1、考試信息安全CISP-模擬C-第2部分-STEVEN復制26. 以下說法正確的是： 單選題 *A. 驗收測試是由承建方和用戶按照用戶使用手冊執行軟件驗收B. 軟件測試的目的是為了驗證軟件功能是否正確C. 監理工程師應按照有關標準審查提交的測試計劃，并提出審查意見(正確答案)D. 軟件測試計劃開始于軟件設計階段，完成于軟件開發階段答案解析：解釋：C是監理工程師的職責。27. 信息系統安全保護等級為3級的系統，應當0年進行一次等級測評？ 單選題 *A. 0. 5B. 1(正確答案)C. 2D. 3答案解析：解釋：等級保護三級系統一年測評一次，四級系統每半年測評一次。28. 國家科學技術秘密的密級分

2、為絕密級、機密級、秘密級，以下哪項屬于絕密級的描述？ 單選題 *A. 處于國際先進水平，并且有軍事用途或者對經濟建設具有重要影響的B. 能夠局部反應國家防御和治安實力的C. 我國獨有、不受自然條件因素制約、能體現民族特色的精華，并且社會效益或者經濟效益顯著的傳統工藝D. 國際領先，并且對國防建設或者經濟建設具有特別重大影響的(正確答案)答案解析：解釋：D為絕密級。29. 關于我國加強信息安全保障工作的總體要求，以下說法錯誤的是： 單選題 *A. 堅持積極防御、綜合防范的方針B. 重點保障基礎信息網絡和重要信息系統安全C. 創建安全健康的網絡環境D. 提高個人隱私保護意識(正確答案)答案解析：解

3、釋：提高個人隱私保護意識不屬于（2003年）我國加強信息安全保障工作的總體要求。30. 根據關于加強國家電子政務工程建設項目信息安全風險評估工作的通知的規定，以下正確的是： 單選題 *A. 涉密信息系統的風險評估應按照信息安全等級保護管理辦法等國家有關保密規定和標準進行B. 非涉密信息系統的風險評估應按照非涉及國家秘密的信息系統分級保護管理辦法等要求進行C. 可委托同一專業測評機構完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告(正確答案)D. 此通知不要求將“信息安全風險評估”作為電子政務項目驗收的重要內容答案解析：解釋：C為正確描述。31. 某單位信息安全崗位員工，利用個人業余

4、時間，在社交網絡平臺上向業內同不定期發布信息安全相關知識和前沿動態資訊， 這一行為主要符合以下哪一條注冊信息安全專業人員（CISP)職業道德準則： 單選題 *A. 避免任何損害CISP聲譽形象的行為B. 自覺維護公眾信息安全，拒絕并抵制通過計算機網絡系統泄露個人隱私的行為C. 幫助和指導信息安全同行提升信息安全保障知識和能力(正確答案)D. 不在公眾網絡傳播反動、暴力、黃色、低俗信息及非法軟件答案解析：解釋：C為正確描述。32. 以下哪一項不是我國信息安全保障的原則： 單選題 *A. 立足國情，以我為主，堅持以技術為主(正確答案)B. 正確處理安全與發展的關系，以安全保發展，在發展中求安全C.

5、 統籌規劃，突出重點，強化基礎性工作D. 明確國家、企業、個人的責任和義務，充分發揮各方面的積極性，共同構筑國家信息安全保障體系答案解析：解釋：A的正確描述為立足國情，以我為主，堅持以技術和管理并重。33. 下列選項中，哪個不是我國信息安全保障工作的主要內容： 單選題 *A. 加強信息安全標準化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善我國信息安全標準 體系B. 建立國家信息安全研宄中心，加快建立國家急需的信息安全技術體系，實現國家信息安全自主可控目標(正確答案)C. 建設和完善信息安全基礎設施，提供國家信息安全保障能力支撐D. 加快信息安全學科建設和信息安全人才培養

6、答案解析：解釋：建立國家信息安全研宄中心不是我國信息安全保障工作的主要內容。34. 關于信息安全管理，說法錯誤的是： 單選題 *A. 信息安全管理是管理者為實現信息安全目標(信息資產的CIA等特性，以及業務運作的持續)而進行的計劃、組織、指 揮、協調和控制的一系列活動。B. 信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責、制定信息安全方 針策略標準規范、建立有效的監督審計機制等多方面非技術性的努力。C. 實現信息安全，技術和產品是基礎，管理是關鍵。D. 信息安全管理是人員、技術、操作三者緊密結合的系統工程，是一個靜態過程。(正確答案)答案解析：解釋：信息

7、安全管理是人員、技術、操作三者緊密結合的系統工程，是一個動態過程。35. 以下哪個選項不是信息安全需求的來源？ 單選題 *A. 法律法規與合同條約的要求B. 組織的原則、目標和規定C. 風險評估的結果D. 安全架構和安全廠商發布的病毒、漏洞預警(正確答案)答案解析：解釋：安全需求來源于內部驅動，D是外部參考要素，不屬于信息安全需求的主要來源。36. 下列關于信息系統生命周期中實施階段所涉及主要安全需求描述錯誤的是： 單選題 *A. 確保采購定制的設備、軟件和其他系統組件滿足已定義的安全要求B. 確保整個系統已按照領導要求進行了部署和配置(正確答案)C. 確保系統使用人員已具備使用系統安全功能和

8、安全特性的能力D. 確保信息系統的使用已得到授權答案解析：解釋：B是錯誤的，不是按照領導要求進行了部署和配置。37. 下列關于信息系統生命周期中安全需求說法不準確的是： 單選題 *A. 明確安全總體方針，確保安全總體方針源自業務期望B. 描述所涉及系統的安全現狀，提交明確的安全需求文檔C. 向相關組織和領導人宣貫風險評估準則(正確答案)D. 對系統規劃中安全實現的可能性進行充分分析和論證答案解析：解釋：C屬于風險評估階段，不屬于題干中的安全需求階段。38. 小張在某單位是負責事信息安全風險管理方面工作的部門領導，主要負責對所在行業的新人進行基本業務素質培訓。一次 培訓的時候，小張主要負責講解風

9、險評估工作形式，小張認為：1. 風險評估工作形式包括：自評估和檢查評估；2. 自評估是指信息系統擁有、運營或使用單位發起的對本單位信息系統進行風險評估；3. 檢查評估是信息系統上級管理部門組織或者國家有關職能部門依法開展的風險評估；4. 對信息系統的風險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼.請問小張的所述論點中錯誤的是哪項： 單選題 *A. 第一個觀點B. 第二個觀點C. 第三個觀點D. 第四個觀點(正確答案)答案解析：解釋：正確的做法為“自評估”和“檢查評估”相互結合和互為補充。39. 小李在某單位是負責信息安全風險管理方面工作的部門領導，主要負責對所在行業的新人進行基本

10、業務素質培訓，一次培 訓的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項： 單選題 *A. 風險評估方法包括：定性風險分析、定量風險分析以及半定量風險分析B. 定性風險分析需要憑借分析者的經驗和直覺或者業界的標準和慣例，因此具有隨意性(正確答案)C. 定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數字值，因此更具客觀性D. 半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式，實現對風險 各要素的度量數值化答案解析：解釋：定性分析不能靠直覺、不能隨意。40. 風險評估工具的使用在一定程度上解決了手動評佑的局限

11、性，最主要的是它能夠將專家知識進行集中，使專家的經驗知識 被廣泛使用，根據在風險評估過程中的主要任務和作用愿理，風險評估工具可以為以下幾類，其中錯誤的是： 單選題 *A. 風險評估與管理工具B. 系統基礎平臺風險評估工具C. 風險評估輔助工具D. 環境風險評估工具(正確答案)答案解析：解釋：通常情況下信息安全風險評估工具不包括環境評估工具。41. 為了解風險和控制風險，應當及時進行風險評估活動，我國有關文件指出：風險評估的工作形式可分為自評估和檢查評估 兩種，關于自評估，下面選項中描述錯誤的是0。 單選題 *A. 自評估是由信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估B.

12、自評估應參照相應標準、依據制定的評估方案和準則，結合系統特定的安全要求實施C. 自評估應當是由發起單位自行組織力量完成，而不應委托社會風險評估服務機構來實施(正確答案)D. 周期性的自評估可以在評估流程上適當簡化，如重點針對上次評估后系統變化部分進行答案解析：解釋：自評估可以委托社會風險評估服務機構來實施。42. 信息安全風險評估是信息安全風險管理工作中的重要環節，在國家網絡與信息安全協調小組發布的關于開展信息安全風 險評估工作的意見（國信辦(2006) 5號)中，風險評估分為自評估和檢査評估兩種形式，并對兩種工作形式提出了有關工 作原則和要求，下面選項中描述正確的是（）。 單選題 *A. 信

13、息安全風險評估應以自評估為主，自評估和檢査評估相互結合、互為補充(正確答案)B. 信息安全風險評估應以檢查評估為主，自評估和檢查評估相互結合、互為補充C. 自評估和檢查評估是相互排斥的，單位應慎重地從兩種工作形式選擇一個，并長期使用D. 自評估和檢査評估是相互排斥的，無特殊理由單位均應選擇檢査評估，以保證安全效果答案解析：解釋：A為正確答案。43. 小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小，假設單位機房的總價值為200萬元人民幣， 暴露系數(Exposure Factor，EF)是25%，年度發生率(Annualized Rate of Occurrence，ARO)

14、為0. 1，那么小王計算的年度預期損失(Annualized Loss Expectancy， ALE)應該是(）。 單選題 *A. 5萬元人民幣(正確答案)B. 50萬元人民幣C. 2. 5萬元人民幣D. 25萬元人民幣答案解析：解釋：計算方法為200萬*25%*0. 1=5萬。44. 規范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，某單位在實施風險評估時，形成了風險 評估方案并得到了管理決策層的認可，在風險評估實施的各個階段中，該風險評估方案應是如下（）中的輸出結 果。 單選題 *A. 風險評估準備階段(正確答案)B. 風險要素識別階段C. 風險分析階段D. 風險結果

15、判定階段答案解析：解釋：風險評估方案屬于風險評估準備階段的結果。45. 規范的實施流程和文檔管理，是信息安全風險評估能否取得成功的重要基礎。某單41位在實施風險評估時，形成了待 評估信息系統相關設備及資產清單。在風險評估實施的各個階段中，該待評估信息系統相關設備及資產清單應是如 下0 單選題 *A. 風險評估準備B.風險要素識別(正確答案)C.風險分析D.風險結果判定答案解析：解釋：風險要素包括資產、威脅、脆弱性、安全措施。46. 風險要素識別是風險評估實施過程中的一個重要步驟，有關安全要素，請選擇一個最合適的選項0。 單選題 *A. 識別面臨的風險并賦值B.識別存在的脆弱性并賦值(正確答案)

16、C.制定安全措施實施計劃D.檢查安全措施有效性答案解析：解釋：風險要素包括資產、威脅、脆弱性、安全措施。47. 某單位在實施信息安全風險評估后，形成了若干文擋，下面（）中的文擋不應屬于風險評估中“風險評估準備”階段輸出 的文檔。 單選題 *A. 風險評估工作計劃，主要包括本次風險評估的目的、意義、范圍、目標、組織結構、角色及職責、經費預算和進度 安排等內容B. 風險評估方法和工具列表。主要包括擬用的風險評估方法和測試評估工具等內容C. 已有安全措施列表，主要包括經檢查確認后的已有技術和管理各方面安全措施等內容(正確答案)D. 風險評估準則要求，主要包括風險評估參考標準、采用的風險分析方法、風險

17、計算方法、資產分類標準、資產分類 準則等內容答案解析：解釋：風險要素包括資產、威脅、脆弱性、安全措施。48. 文檔體系建設是信息安全管理體系(ISMS)建設的直接體現，下列說法不正確的是： 單選題 *A. 組織內的信息安全方針文件、信息安全規章制度文件、信息安全相關操作規范文件等文 檔是組織的工作標準，也是ISMS審核的依據B. 組織內的業務系統日志文件、風險評估報告等文檔是對上一級文件的執行和記錄，對這些記錄不需要保護和控制(正確答案)C. 組織在每份文件的首頁，加上文件修訂跟蹤表，顯示每一版本的版本號、發布日期、編寫人、審批人、主要修訂等內容D. 層次化的文檔是ISMS建設的直接體現，文檔體系應當依據風險評估的結果建立答案解析：解釋：信息安全管理體系運行記錄需要保護和控制。49. 某項目的主要內容為建造A類機房，監理單位需要根據電子信息系統機房設計規范（GB 50174-2008)的相關要求，對 承建單位的施工設計方案進行審核，以下關于監理單位給出的審核意見錯誤的是： 單選題 *A. 在異地建立備份機房時，設計時應與主用機房等級相同B. 由于高端小型機發熱量大，因