CISP题库实际上不对外公开,目前对外公开的试题资料基本是模拟试题或者说是各大机构整理的备考资料。真正的考题需要考生通过报考机构获取。此次整理的CISP2021年模拟考题(29)暂无答案,请考生悉知!
141.王工是某单位的系统管理员,他在某次参加单位组织的风险管理工作时,发现当前案例中共有两个重要资产;资产 A1 和资产 A2;其中资产 A1 面临两个主要威胁:威胁 T1 和威胁 T2;而资产 A2 面临一个主要威胁:威胁 T3;威胁 T1 可以利用的资产 A1 参在的两个脆弱性:脆弱性 V1 和脆弱性 V2;威胁 T2 可以利用的资产 AI 存在的三个脆弱性:脆弱性 V3、脆弱性 V4 和脆弱性 V5;可以利用的资产 A2 存在的两个脆弱性:脆弱性 V6 和脆弱性 V7。根据上述条件,请问:使用相乘法时,应该为资产A1 计算几个风险值()
A.2
B.3
C.5
D.6
142.在标准 GB/T 20274.1—2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面?()
A.保障要素、生命周期和运行维护
B.保障要素、生命周期和安全特征
C.规划组织、生命周期和安全特征
D.规划组织、生命周期和运行维护
143.在信息系统中,访问控制是重要的安全功能之一。它的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是()
A.对文件进行操作的用户是一种主体
B.主体可以接受客体的信息和数据,也可能改变客体相关的信息C.访问权限是指主体对客体所允许的操作
D.对目录的访问权可分为读、写和拒绝访问
144.残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关于残余风险描述错误的是()
A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险
B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标
145.以下关于威胁建模流程步骤说法不正确的是()
A.威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁
B.评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险
C.消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威胁。
D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,威胁就是漏洞。
注:以上试题资源来源于网络,如有侵权,请联系删除。
