CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了CISP试题及答案,具体内容如下:
单项选择题
1、实施ISMS内审时,确定ISMS的控制目标、控制措施、过程和程序应该要符合相关要求,以下哪个不是?
A. 约定的标准及相关法律的要求
B.已识别的安全需求
C. 控制措施有效实施和维护
D. ISO13335风险评估方法
【答案】D
2、 以下对ISO27001标准的描述不正确的是:
A. 企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范
的所有要求
B. ISO27001标准与信息系统等级保护等标准相冲突
C.ISO27001是源自于英国的标准BS7799
D. ISO27001是当前国际上最被认可的信息安全管理标准
【答案】B
3、下面哪个组合不是是信息资产
A. 硬件、软件、文档资料
B. 关键人员
C.组织提供的信息服务
D. 桌子、椅子
【答案】D
4、 对安全策略的描述不正确的是
A. 信息安全策略(或者方针)是由组织的较高管理者正式制订和发布的描述企业信息安全目标和方向,用于指导信息安全管理体系的建立和实施过程
B. 策略应有一个属主,负责按复查程序维护和复查该策略
C.安全策略的内容包括管理层对信息安全目标和原则的声明和承诺;
D. 安全策略一旦建立和发布,则不可变更;
【答案】D
5、 信息的存在及传播方式
A. 存在于计算机、磁带、纸张等介质中
B. 记忆在人的大脑里
C… 通过网络打印机复印机等方式进行传播
D. 通过投影仪显示
【答案】D
6、 以下对企业信息安全活动的组织描述不正确的是
A. 企业应该在组织内建立发起和控制信息安全实施的管理框架。
B. 企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全。
C.在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。
D. 企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
【答案】D
7、有关认证和认可的描述,以下不正确的是
A. 认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)
B. 根据对象的不同,认证通常分为产品认证和体系认证
C.认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认
D. 企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求
【答案】D
8、企业信息资产的管理和控制的描述不正确的是
A. 企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;
B. 企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;
C.企业的信息资产不应该分类分级,所有的信息系统要统一对待
D. 企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产
【答案】C
9、以下哪个不可以作为ISMS管理评审的输入
A. ISMS审计和评审的结果
B. 来自利益伙伴的反馈
C. 某个信息安全项目的技术方案
D. 预防和纠正措施的状态
【答案】C
10、有关人员安全的描述不正确的是
A. 人员的安全管理是企业信息安全管理活动中最难的环节
B. 重要或敏感岗位的人员入职之前,需要做好人员的背景检查
C.企业人员预算受限的情况下,职责分离难以实施,企业对此无能为力,也无需做任何工作
D. 人员离职之后,必须清除离职员工所有的逻辑访问帐号
【答案】C
