- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
cisp第一套题库
※随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越
多,综合分析信息安全问题产生的根源,下面描述正确的是( )。[1分]
正确答案:
√信息安全问题产生的根源要从内因和外因两个方面两个方面分析,因为信息系统自身存在脆弱性,同时
外部又有威胁源,从而导致信息系统可能发生安全事件。因此,要防范信息安全风险,需从内外因同时着
手
解析:
只有内因与外因,没有人的因素,人为属外因
※ :SQL 注入JAVA 也有,跟使用哪种语言没有关系,使用过滤器合适
※在使用系统安全工程—能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确
的理解是:[1分]
正确答案:
√:测量组织能力时,就是成熟能力度级别,由执行安全工程过程时所应具有的“公共特征”CF 构成。
※在工程实施阶段,监管机构 承建合同,安全设计方案、实施方案、实施记录,国家地方标准和技术文件,
对信息化工程进行安全 符合性 检查,以验证项目是否实现了项目设计目标和安全等要求。[1分]
正确答案:
√:符合性
※ :要求数据0 丢失和远程集群支持的能力等级是6 级
※不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选
择适当的风险评估方法。下面的描述中,错误的是()。[1分]
正确答案:
√:×定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不
应选择定性风险分析
解析:
不能绝对。合理选择方法。
※《国家网络安全综合计划 (CNCI)》(国令[2008]54号)
解析:
这个不是中国发布的,是2008 年 1 月美国政府发布的关于网络空间信息安全的国家战略,由时任总统G.
布什以第54 号国家安全总统令(NSPD-54)发布
※微软 SDL 将软件开发生命周期划分为七个阶段,并提出了十七项重要的安全活动,其中“威胁建模”属于
(设计 (Design)阶段 )的安全活动。[1分]
正确答案:
√:设计 (Design)阶段
※根据《关于开展信息安全风险评估工作的意见》的规定,错误的是:[1分]
正确答案:
√:×信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互
为补充
解析:
风险评估应以自评估为主
※“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描
述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案 ()。
[1分 ]
√:安全目标(ST)
※有关系统安全工程 -能力成熟度模型 (SSE-CMM)中的基本实施 (Base Practices,BP),正确的理解是:
[1分 ]
正确答案:
√:BP 不限定于特定的方法或工具,不同的业务背景中可以使用不同的方法
※2005 年,RFC4301 (Request for Comments 4301 :Security Architecture for the Internet
Protocol)发布,用以取代原先的 RFC2401,该标准建议规定了 IPsec 系统基础架构,描述如何在 IP 层
(IPv4/IPv6)为流量提供安全业务。请问此类 RFC 系列标准建议是 由下面哪个组织发布的( )。[1分 ]
正确答案:
√:Internet 工程任务组 (Internet Engineering Task Force,IETF)
※美国国家标准与技术研究院 (National Institute of Standards and Technology,NIST)隶属美
国商务部,NIST 发布的很多关于计算机安全的指南文档。下面哪个文档是由 NIST 发布的( )。[1分 ]
正确答案:
√:SP 800-37 《Guide for Applying the Risk Management Framework to Federal Information
Systems》
解析:
SP 800-XX 一系列标准
※应急响应是信息安全事件管理的重要内容之一。关于应急响应工作,下面描述错误的是( )。[1分 ]
正确答案:
√:×应急响应是组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作 :安全事件发
生时正确指挥 、事件发生后全面总结
解析:
少 事前的准备阶段
※信息安全
文档评论(0)