CISP官方信息安全工程章节练习一.docx

CISP信息安全工程章节练习一 一、单选题。(共33题,共100分,每题3.0303030303分) 1. 如果你作为甲方负责监督一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是： a、变更的流程是否符合预先的规定 b、变更是否会对项目进度造成拖延 c、变更的原因和造成的影响 d、变更后是否进行了准确的记录 最佳答案是:c 2. 以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？ a、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑 b、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品 c、应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实 d、应详细规定系统验收测试中有关系统安全性测试的内容 最佳答案是:a 3. 在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的： a、测试系统应使用不低于生产系统的访问控制措施 b、为测试系统中的数据部署完善的备份与恢复措施 c、在测试完成后立即清除测试系统中的所有敏感数据 d、部署审计措施，记录生产数据的拷贝和使用 最佳答案是:b 4. 以下关于信息安全工程说法正确的是： a、信息化建设中系统功能的实现是最重要的 b、信息化建设可以先实施系统，然后对系统进行安全加固 c、信息化建设在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设 d、信息化建设没有必要涉及信息安全建设 最佳答案是:c 5. 信息安全工程监理模型不包括下面哪一项? a、监理咨询服务 b、咨询监理支撑要素 c、监理咨询阶段过程 d、控制管理措施 最佳答案是:a 6. 信息安全工程监理工程师不需要做的工作是:_________。 a、编写验收测试方案 b、审核验收测试方案 c、监督验收测试过程 d、审核验收测试报告 最佳答案是:a 7. 信息安全工程监理的作用不包括下面哪一项? a、弥补建设单位在技术与管理上的经验不足 b、帮助承建单位攻克技术难点，顺利实施项目 c、改善建设单位与承建单位之间的交流沟通 d、通过监理控制积极促进项目保质按期完成 最佳答案是:b 8. 一家公司在实施一套新的C/S结构的企业资源管理（CRP）系统。分支机构传送客户订单到一个中心生产设备，下列哪项最好地保证了订单准确的输入和相应的生产了产品？ a、 在ERP系统中记录所有的客户订单 b、 验证生产的产品和客户订单的内容 c、 在订单传输过程中使用hash运算 d、（产品主管）在生产前批准订单 最佳答案是:b 9. IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源，同时安全风险也越来越多地体现在应用层，因此迫切需要加强对开发阶段的安全考虑，特别是要加强对数据 安全性的考虑，以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素： a、操作系统的安全加固 b、输入数据的校验 c、数据处理过程控制 d、输出数据的验证 最佳答案是:a 10. 在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标： a、防止出现数据范围以外的值 b、防止出现错误的数据处理顺序 c、防止缓冲区溢出攻击 d、防止代码注入攻击 最佳答案是:b 11. 以下对信息安全问题产生的根源描述最准确的是： a、信息安全问题是由于信息技术的不断发展造成的 b、信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 c、信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 d、信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏 最佳答案是:d 12. 关于信息安全策略的说法中，下面说法正确的是： a、信息安全策略的制定是以信息系统的规模为基础 b、信息安全策略的制定是以信息系统的网络拓扑结构为基础 c、信息安全策略是以信息系统风险管理为基础 d、在信息系统尚未建设完成之前，无法确定信息安全策略 最佳答案是:c 13. 从系统工程的角度来处理信息安全问题，以下说法错误的是： a、系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。 b、系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企