CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了CISP试题及答案,具体内容如下:
单项选择题
1、以下有关访问控制的描述不正确的是
A. 口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理
B. 系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配
C.单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着“把所有鸡蛋放在一个篮子”的风险;
D. 双因子认证(又称强认证)就是一个系统需要两道密码才能进入;
【答案】D
2、 以下对审核发现描述正确的是
A. 用作依据的一组方针、程序或要求
B.与审核准则有关的并且能够证实的记录、事实陈述或其他信息
C. 将收集到的审核证据依照审核准则进行评价的结果,可以是合格/符合项,也可以是不合格/不符合项
D. 对审核对象的物理位置、组织结构、活动和过程以及时限的描述
【答案】C
3、 以下有关信息安全方面的业务连续性管理的描述,不正确的是
A. 信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营
B. 企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务
C.业务连续性计划文档要随着业务的外部环境的变化,及时修订连续性计划文档
D. 信息安全方面的业务连续性管理只与IT部门相关,与其他业务部门人员无须参入
【答案】D
4、ISMS审核常用的审核方法不包括?
A. 纠正预防
B.文件审核
C. 现场审核
D. 渗透测试
【答案】A
5、有关信息安全事件的描述不正确的是
A. 信息安全事件的处理应该分类、分级
B. 信息安全事件的数量可以反映企业的信息安全管控水平
C.某个时期内企业的信息安全事件的数量为零,这意味着企业面临的信息安全风险很小
D. 信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生
【答案】C
6、 ISMS的内部审核员(非审核组长)的责任不包括?
A. 熟悉必要的文件和程序;
B.根据要求编制检查列表;
C. 配合支持审核组长的工作,有效完成审核任务;
D. 负责实施整改内审中发现的问题;
【答案】D
7、有关信息系统的设计、开发、实施、运行和维护过程中的安全问题,以下描述错误的是
A. 信息系统的开发设计,应该越早考虑系统的安全需求越好
B. 信息系统的设计、开发、实施、运行和维护过程中的安全问题,不仅仅要考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统
C.信息系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理
D. 运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险
【答案】C
8、审核在实施审核时,所使用的检查表不包括的内容有?
A. 审核依据
B.审核证据记录
C. 审核发现
D. 数据收集方法和工具
【答案】C
9、ISMS审核时,首次会议的目的不包括以下哪个?
A. 明确审核目的、审核准则和审核范围
B.明确审核员的分工
C. 明确接受审核方责任,为配合审核提供必要资源和授权
D. 明确审核进度和审核方法,且在整个审核过程中不可调整
【答案】D
10、以下有关通信与日常操作描述不正确的是
A. 信息系统的变更应该是受控的
B. 企业在岗位设计和人员工作分配时应该遵循职责分离的原则
C.移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏
D. 内部安全审计无需遵循独立性、客观性的原则
【答案】D
