CISP试题和答案

数据

D.定性风险分析提供了较好的成本效益分析 【答案】 B

159. 下面关于定性风险评估方法的说法不正确的是

A.易于操作，可以对风险进行排序并能够对那些需要立即改善的环节进行标识

B.主观性强，分析结果的质量取决于风险评估小组成员的经验和素质 C.\耗时短、成本低、可控性高 \

D.能够提供量化的数据支持，易被管理层所理解和接受 【答案】 D

160. 下面关于定量风险评估方法的说法正确的是

A.易于操作，可以对风险进行排序并能够对那些需要立即改善的环节进行标识

B.能够通过成本效益分析控制成本 C.\耗时短、成本低、可控性高 \

D.主观性强，分析结果的质量取决于风险评估小组成员的经验和素质 【答案】 B

161. 年度损失值（ALE）的计算方法是什么 A.ALE=ARO*AV B.ALE=AV*SLE C.\\

D.ALE=AV*EF

【答案】 C

162. 矩阵分析法通常是哪种风险评估采用的方法 A.定性风险评估 B.定量分析评估 C.安全漏洞评估 D.安全管理评估 【答案】 A

163. 风险评估和管理工具通常是指什么工具 A.漏洞扫描工具 B.入侵检测系统 C.安全审计工具

D.安全评估流程管理工具 【答案】 D

164. 安全管理评估工具通常不包括 A.调查问卷 B.检查列表 C.访谈提纲 D.漏洞扫描 【答案】 D

165. 安全技术评估工具通常不包括 A.漏洞扫描工具 B.入侵检测系统 C.调查问卷

D.渗透测试工具 【答案】 C

166. 对于信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保

A.信息资产被过度保护

B.不考虑资产的价值，基本水平的保护都会被实施 C.对信息资产实施适当水平的保护

D.对所有信息资产保护都投入相同的资源 【答案】 C

167. 区别脆弱性评估和渗透测试是脆弱性评估

A.检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检测其可能带来的损失

B.和渗透测试为不同的名称但是同一活动

C.是通过自动化工具执行，而渗透测试是一种完全的手动过程 D.是通过商业工具执行，而渗透测试是执行公共进程 【答案】 A

168. 合适的信息资产存放的安全措施维护是谁的责任 A.安全管理员 B.系统管理员

C.数据和系统所有者 D.系统运行组 【答案】 C

169. 要很好的评估信息安全风险，可以通过： A.评估IT资产和IT项目的威胁

B.用公司的以前的真的损失经验来决定现在的弱点和威胁 C.审查可比较的组织公开的损失统计

D.审查在审计报告中的可识别的IT控制缺陷 【答案】 A

170. 下列哪项是用于降低风险的机制 A.安全和控制实践 B.财产和责任保险 C.审计与认证

D.合同和服务水平协议 【答案】 A

171. 回顾组织的风险评估流程时应首先 A.鉴别对于信息资产威胁的合理性 B.分析技术和组织弱点

C.鉴别并对信息资产进行分级

D.对潜在的安全漏洞效果进行评价 【答案】 C

172. 在实施风险分析期间，识别出威胁和潜在影响后应该 A.识别和评定管理层使用的风险评估方法 B.识别信息资产和基本系统 C.揭示对管理的威胁和影响 D.识别和评价现有控制 【答案】 D

173. 在制定控制前，管理层首先应该保证控制 A.满足控制一个风险问题的要求 B.不减少生产力

C.基于成本效益的分析 D.检测行或改正性的 【答案】 A

174. 在未受保护的通信线路上传输数据和使用弱口令是一种？ A.弱点 B.威胁 C.可能性 D.影响

【答案】 A

175. 数据保护最重要的目标是以下项目中的哪一个 A.识别需要获得相关信息的用户 B.确保信息的完整性

C.对信息系统的访问进行拒绝或授权 D.监控逻辑访问 【答案】 B

176. 对一项应用的控制进行了检查,将会评估 A.该应用在满足业务流程上的效率 B.任何被发现风险影响 C.业务流程服务的应用 D.应用程序的优化 【答案】 B

177. 在评估逻辑访问控制时，应该首先做什么 A.把应用在潜在访问路径上的控制项记录下来 B.在访问路径上测试控制来检测是否他们具功能化 C.按照写明的策略和实践评估安全环境 D.对信息流程的安全风险进行了解 【答案】 D

178. 在评估信息系统的管理风险。首先要查看 A.控制措施已经适当 B.控制的有效性适当

C.监测资产有关风险的机制 D.影响资产的漏洞和威胁 【答案】 D

179. 在开发一个风险管理程序时，什么是首先完成的活动 A.威胁评估

B.数据分类 C.资产清单

D.关键程度分析 【答案】 C

180. 在检查IT安全风险管理程序，安全风险的测量应该 A.列举所有的网络风险

B.对应IT战略计划持续跟踪 C.考虑整个IT环境

D.识别对(信息系统)的弱点的容忍度的结果 【答案】 C

181. 在实施风险管理程序的时候，下列哪一项应该被最先考虑到： A.组织的威胁，弱点和风险概貌的理解 B.揭露风险的理解和妥协的潜在后果 C.基于潜在结果的风险管理优先级的决心

D.风险缓解战略足够使风险的结果保持在一个可以接受的水平上 【答案】 A

182. 授权访问信息资产的责任人应该是 A.资产保管员 B.安全管理员 C.资产所有人 D.安全主管 【答案】 C

183. 渗透测试作为网络安全评估的一部分 A.提供保证所有弱点都被发现

B.在不需要警告所有组织的管理层的情况下执行 C.找到存在的能够获得未授权访问的漏洞 D.在网络边界上执行不会破坏信息资产 【答案】 C

184. 一个组织的网络设备的资产价值为100000元，一场意外火灾使其损坏了价值的25%,按照经验统计，这种火灾一般每5年发生一次，年预期损失ALE为 A.5000元 B.10000元 C.25000元 D.15000元 【答案】 A

185. 一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手，如何控制这个风险 A.开除这名职员

B.限制这名职员访问敏感信息 C.删除敏感信息

D.将此职员送公安部门 【答案】 B

186. 以下哪一种人最有可能给公司带来最大的安全风险？