CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了CISP试题及答案,具体内容如下:
单项选择题
1、以下关于信息安全工程说法正确的是()
A、信息化建设中系统功能的实现是最重要的
B、信息化建设可以实施系统,而后对系统进行安全加固
C、信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设
D、信息化建设没有必要涉及信息安全建设
答案:C
2、在使用系统安全工程-能力成熟度模型(SSE-CCM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误的理解是()
A、如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时,则这个组织在这个过程区域的能力成熟度未达到此级
B、如果该组织某个过程区域(Process Areas,PA)具备了“定义标准过程”、“执行已定义的过程"”两个公共特征,则此过程区域的能力成熟度级别达到3级“充分定义级"
C、如果某个过程区域(Process Areas,PA)包含4个基本实施(Base Practices,BP),执行此PA时执行了3个BP,则此过程区域的能力成熟度级别为0
D、组织在不同的过程区域的能力成熟度可能处于不同的级别上
答案:B
3、信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选择最合适的是()
A、通用布缆系统工程
B、电子设备机房系统工程
C、计算机网络系统工程
D、以上都适用
答案:D
4、信息安全工程监理的职责包括()
A、质量控制、进度控制、成本控制、合同管理、信息管理和协调
B、质量控制、进度控制、成本控制、合同管理和协调
C、确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调
D、确定安全要求、认可设计方案、监视安全态势和协调
答案:A
5.对系统工程(Systems Engineering, SE)的理解,以下错误的是()
A、系统工程偏重于对工程的组织与经营管理进行研究
B、系统工程不属于技术实现,而是一种方法论
C、系统工程不是一种对所有系统都具有普遍意义的科学方法
D、系统工程是组织管理系统规划、研究、制造、实验、使用的科学方法
答案:C
6、关于监理过程中成本控制,下列说法中正确的是?()
A、成本只要不超过预计的收益即可
B、成本应控制得越低越好
C、成本控制由承建单位实现,监理单位只能记录实际开销
D、成本控制的主要目的是在批准的预算条件下确保项目保质按期完成
答案:D
7、某政府机构拟建设一机房,在工程安全监理单位参与下制定了招标文件,项目分二期,一期目标为年内实现系统上线运营,二期目标为次年上半年完成运行系统风险的处理。招标文件经营管理层审批后发布,就此工程项目而言,以下正确的是()
A、此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施,具有合理性和可行性
B、在工程安全监理的参与下,确保了此招标文件的合理性
C、工程规划不符合信息安全工程的基本原则
D、招标文件经营管理层审批,表明工程目标符合业务发展规划
答案:C
8、下列关于ISO15408信息技术安全评估准则(简称CC)通用性的特点,即给出通用的表达方式,描述不正确的是()
A、如果用户、开发者、评估者和认可者都使用CC语言,互相就容易理解沟通
B、通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
C、通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定
D、通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估
答案:D
9、下面信息安全漏洞理解错误的是()
A、讨论漏洞应该从生命周期的角度出发,信息产品和信息系统在需求、设计、实现、配置、维护和使用等阶段中均有可能产生漏洞
B、信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段,由于设计、开发等相关人员无意中产生的缺陷所造成的
C、信息安全漏洞如果被恶意攻击者成功利用,可能会给信息产品和信息系统带来安全损害,甚至带来很大的经济损失
D、由于人类思维能力、计算机计算能力的局限性等因素,所以在信息产品和信息系统中产生新的漏洞是不可避免的
答案:B
10、以下哪项是对系统工程过程中“概念与需求定义"阶段的信息安全工作的正确描述?()
A、应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑
B、应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
C、应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实
D、应详细规定系统验收测试中有关系统安全性测试的内容
答案:A
11、基于对()的信任,当一个请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的()。在()中,攻击者伪装成“公安部门”人员要求受害者对权威的信任。在()中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求()等()
A、权威:执行:电信诈骗:网络攻击:更改密码
B、权威:执行:网络攻击:电信诈骗:更改密码
C、执行:权威:电信炸骗:网络攻击:更改密码
D、执行:权威:网络攻击:电信许骗:更改密码
答案:A
12、有关系统安全工程_能力成熟度模型(SSE-CMM)中 基本实施( Base Practice)正确的理解是()
A、BP不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B、BP不是根据广泛的现有资料,实施和希赛网意见综合得出的
C、BP不代表信息安全工程领域的最佳实践
D、BP不是过程区域(Process Areas,PA )的强制项
答案:A
13、了解社会工程学攻击是应对和防御()的关键,对于信息系统的管理人员和用户,都应该了解社会学的攻击的概念和攻击的()。组织机构可采取对相关人员实施社会工程学培训来帮助员工了解什么是社会工程学攻击,如何判断是否存在社会工程学攻击,这样才能更好的保护信息系统和()。因为如果对攻击方式有所了解那么用户识破攻击者的伪装就().因此组织机构应持续不断的向员工提供安全意识的培训和教育,向员工灌输(),人机降低社会工程学攻击的风险()
A、社会工程学攻击:越容易:原理:个人数据:安全意识
B、社会工程学攻击:原理:越容易:个人数据:安全意识
C、原理:社会工程学攻击:个人数据:越容易:安全意识
D、社会工程学攻击:原理:个人数据:越容易:安全意识
答案:D
14、信息安全工程作为信息安全保障的重要组成部门,主要是为了解决()
A、信息系统的技术架构安全问题
B、信息系统组成部门的组件安全问题
C、信息系统生命周期的过程安全问题
D、信息系统运行维护的安全管理问题
答案:C
15、建立并完善()是有效应对社会工程攻击的方法,通过()的建立,使得信息系统用户需要循()来实施某些操作,从而在一定程度上降低社会工程学的影响.例如对于用户密码的修改,由于相应管理制度的要求,()需要对用户身份进行电话回拨确认才能执行,那么来自外部的攻击就可能很难伪装成为内部工作人员进行(),因为他还需要想办法拥有一个组织机构内部电话才能实施()
A、信息安全管理体系:安全管理制度:规范:网络管理员:社会工程学攻击
B、信息安全管理体系:安全管理制度:网络管理员:规范:社会工程学攻击
C、安全管理制度:信息安全管理体系:规范:网络管理员:社会工程学攻击
D、信息安全管理体系:网络管理员:安全管理制度:规范:社会工程学攻击
答案:A
16、在使用系统安全工程_能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是()
A、测量单位是基本实施(Base Practices,BP)
B、测量单位是通用实践(Generic Practices, GP)
C、测量单位是过程区域(Process Areas, PA)
D、测量单位是公共特征(Common Features, CF)
答案:D
17、信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解目标所有相关的()。这些资料和信息对很多组织机构来说都是公开或看无用的,然而对攻击者来说,这些信息都是非常有价值的,这些信息收集得越多,离他们成功得实现()就越近,如果认为信息没有价值或价值的非常低,组织机构通常不会采取措施(),这正是社会工程学攻击者所希望的()
A、信息收集:社会工程学:资料和信息:身份伪装:进行保护.
B、社会工程学:信息收集:资料和信息:身份伪装:进行保护
C、社会工程学:信息收集:身份伪装:资料和信息:进行保护.
D、信息收集:资料和信息:社会工程学:身份伪装:进行保护
答案:B
18、有关系统安全工程-能力成熟度模型(SSE-CMM),错误的理解是()
A、SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B、SSE-CMM 可以使安全工程成为一个确定的、成熟的和可度量的科目
C、基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
D、SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
答案:C
19、()攻击是建立在人性“弱点”利用基础上的攻击,大部分的社会工程学攻击都是经过()才能实施成功的,即使是最简单的“直接攻击”也需要进行()。如果希望受害者接受攻击者所()攻击者就必须具备这个身份需要的()
A、社会工程学:精心策划:前期的准备:伪装的身份:一些特征
B、精心策划:社会工程学:前期的准备:伪装的身份:一些特征
C、精心策划:社会工程学:伪装的身份:前期的准备:一些特征
D、社会工程学:伪装的身份:精心策划:前期的准备:一些特征
答案:A
注:以上试题来源于网络,如有侵权,可联系客服删除。
