CISP题库实际上不对外公开,目前对外公开的试题资料基本是模拟试题或者说是各大机构整理的备考资料。真正的考题需要考生通过报考机构获取。此次整理的CISP2021年模拟考题(42)暂无答案,请考生悉知!
226.以下哪项制度或标准作为我国的一项基础制度加以推行,并且有一定强制性,其实施的 主要目的是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和 重要信息系统的安全。()
A.信息安全管理体系(ISMS)
B.信息安全等级保护
C.NISI SP800
D.ISO 270000 系列
227.关于信息安全事件管理和应急响应,以下说法错误的是()
A.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B.应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪 6 个阶段
C.对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D.根据信息安全事件的分级参考要素,可将信息安全事作为分为 4 个级别;特别重大事件(II 级)、较大事件(III 级)和一般事件(IV 级)
228.以下关于数字签名说法正确的是(D)
A. 数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息
B.数字签名能够解决数据的加密传输,即安全传输问题
C.数字签名一般采用对称加密机制
D.数字签名能够解决篡改、伪造等安全性问题
229.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威 胁。STRIDE 是微软 SDL 中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE 中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?(D)
A . 网站竞争对手可能雇佣攻击者实施 DDos 攻击,降低网站访问速度
B . 网站使用 http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄漏,例如购买的商品金额等
C . 网站使用 http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D . 网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
230.信息系统安全保障评估概念和关系如图所示,信息系统安全保障评估,就是在信息系统 所处运行环境中对信息系统安全保障的具体工作和活动进行客观的评估,通过信息系统安全 保障评估所搜集的(),向信息系统的所有相关方提供信息系统的(B)能够实现其安全保障策略,能够将其所面临的风险降低到其可接受的程度的主观信心,信息系统安全保障评 估的评估对象是(B),信息系统不仅包含仅讨论术的信息技术系统,还包括同信息系统所 处的运行环境相关的人和管理等领域,信息系统安全保障是一个动态持续的过程,涉及信息 系统整个(B),因此信息系统安全保障的评估也应该提供一种(B)的信心。
A.安全保障工作;客观证据;信息系统;生命周期;动态持续
B.客观证据;安全保障工作;信息系统;生命周期;动态持续
C.客观证据;安全保障工作;生命周期;信息系统;动态持续
D.客观证据:安全保障工作:动态持续:信息系统:生命周期
注:以上试题资源来源于网络,如有侵权,请联系删除。
