CISP信息安全管理习题

C:“PDCA\循环是只能用于信息安全管理体系有效进行的工作程序 D:“PDCA”循环是可用于任何一项活动有效进行的工作程序

33.下述选项中对于\风险管理\的描述不正确的是:

A:风险管理是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通。

B:风险管理的目的是了解风险并采取措施处置风险并将风险消除。

C:风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。

D:在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。

34.以下关于可信计算说法错误的是：

A:可信的主要目的是要建立起主动防御的信息安全保障体系

B:可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念

C:可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信

D:可信计算平台出现后会取代传统的安全防护体系和方法

35.

风险是需要保护的( )发生损失的可能性，它是( )和( )综合结果。

专业资料

A:资产，攻击目标，威胁事件 B:设备，威胁，漏洞 C:资产，威胁，脆弱性 D:以上都不对

36.以下列哪种处置方法属于转移风险？

A:部署综合安全审计系统 B:对网络行为进行实时监控 C:制订完善的制度体系

D:聘用第三方专业公司提供维护外包服务

37.对操作系统打补丁和系统升级是以下哪种风险控制措施? A:降低风险 B:规避风险 C:转移风险 D:接受风险

38.以下哪一项可认为是具有一定合理性的风险?

A:总风险 B:最小化风险

专业资料

C:可接受风险 D:残余风险

39.在风险管理工作中“监控审查”的目的，一是:________二是_________。

A:保证风险管理过程的有效性，保证风险管理成本的有效性 B:保证风险管理结果的有效性，保证风险管理成本的有效性 C:保证风险管理过程的有效性，保证风险管理活动的决定得到认可 D:保证风险管理结果的有效性，保证风险管理活动的决定得到认可

40.风险管理四个步骤的正确顺序是:

A:背景建立、风险评估、风险处理、批准监督 B:背景建立、风险评估、审核批准、风险控制 C:风险评估、对象确立、审核批准、风险控制 D:风险评估、风险控制、对象确立、审核批准

41.在风险管理的过程中，\建立背景\即\对象确立\的过程是哪四个活动?

A:风险管理准备、信息系统调查、信息系统分析、信息安全分析 B:风险管理准备、信息系统分析、信息安全分析、风险政策的制定 C:风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析 D:确定对象、分析对象、审核对象、总结对象

专业资料

42.

下列对风险分析方法的描述正确的是:

A:定量分析比定性分析方法使用的工具更多 B:定性分析比定量分析方法使用的工具更多 C:同一组织只能使用一种方法进行评估 D:符合组织要求的风险评估方法就是最优方法

43.

在一个有充分控制的信息处理计算中心中，下面哪一项可以由同一个人执

行?

A:安全管理和变更管理 B:计算机操作和系统开发 C:系统开发和变更管理 D:系统开发和系统维护

44.以下关于“最小特权”安全管理原则理解正确的是:

A:组织机构内的敏感岗位不能由一个人长期负责 B:对重要的工作进行分解，分配给不同人员完成 C:一个人有且仅有其执行岗位所足够的许可和权限

D:防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

45.以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?

A:组织机构内的敏感岗位不能由一个人长期负责

专业资料