CISP试题及答案-二套题(3)

68、以下对系统日志信息的操作中哪项是最不应当发生的？ A、对日志内容进行编辑

B、只抽取部分条目进行保存和查看 C、用新的日志覆盖旧的日志

D、使用专用工具对日志进行分析

69、以下哪一项是对信息系统经常不能满足用户需求的最好解释： A、没有适当的质量管理工具 B、经常变化的用户需求 C、用户参与需求挖掘不够 D、项目管理能力不强

70、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为通常是不是在这一阶段中发生的？ A、进行系统备份 B、管理加密密钥 C、认可安全控制措施 D、升级安全软件

71、在信息安全管理工作中“符合性”的含义不包括哪一项？ A、对法律法规的符合

B、对安全策略和标准的符合 C、对用户预期服务效果的符合 D、通过审计措施来验证符合情况

72、下面哪一项最准确的阐述了安全监测措施和安全审计措施之间的区别？ A、审计措施不能自动执行，而检测措施可以自动执行 B、监视措施不能自动执行，而审计措施可以自动执行

C、审计措施是一次性地或周期性地进行，而监测措施是实时地进行 D、监测措施一次性地或周期性地进行，而审计措施是实时地进行

73、口令是验证用户身份的最常用手段，以下哪一种口令的潜在风险影响范围最大？ A、长期没有修改的口令 B、过短的口令

C、两个人公用的口令

D、设备供应商提供的默认口令

74、系统工程是信息安全工程的基础学科，钱学森说：“系统工程时组织管理系统规划，研究、制造、实验，科学的管理方法，使一种对所有系统都具有普遍意义的科学方法，以下哪项对系统工程的理解是正确的 A、系统工程是一种方法论

B、系统工程是一种技术实现 C、系统工程是一种基本理论

D、系统工程不以人参与系统为研究对象

75、项目管理是信息安全工程的基本理论，以下哪项对项目管理的理解是正确的： A、项目管理的基本要素是质量，进度和成本 B、项目管理的基本要素是范围，人力和沟通

C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织

D、项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论。对项目涉及的技术工作进行有效地管理

76、在信息系统的设计阶段必须做以下工作除了： A、决定使用哪些安全控制措施 B、对设计方案的安全性进行评估 C、开发信息系统的运行维护手册 D、开发测试、验收和认可方案

77、进行信息安全管理体系的建设是一个涉及企业文化，信息系统特点，法律法规等多方面因素的负杂过程，人们在这样的过程中总结了许多经验，下面哪一项是最不值得赞同的？ A、成功的信息安全管理体系建设必须得到组织的高级管理的直接支持 B、制定的信息安全管理措施应当与组织的文化环境相匹配 C、应该对ISO27002等国际标注批判地参考，不能完全照搬

D、借助有经验的大型国际咨询公司，往往可以提高管理体系的执行效

78、信息系统安全保障工程是一门跨学科的工程管理过程，他是基于对信息系统安全保障需求的发掘和对——————的理解，以经济，科学的方法来设计、开发、和建设信息系统，以便他能满足用户安全保障需求的科学和艺术。 A、安全风险 B、安全保障 C、安全技术 D、安全管理

79、关于SSE-CMM的描述错误的是：

A、1993年4月美国国家安全局资助，有安全工业界，英国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。

B、SSE-CMM的能力级别分为6个级别。

C、SSE-CMM讲安全工程过程划分为三类：风险、工程和保证。 D、SSE的最高能力级别是量化控制

80、下面对SSE-CMM说法错误的是？

A、它通过域维和能力维共同形成对安全工程能力的评价 B、域维定义了工程能力的所有实施活动

C、能力维定义了工程能力的判断标注 D、“公共特征”是域维中对获得过程区目标的必要步骤的定义

81在SSE-CMM中对工程过程能力的评价分为三个层次，由宏 观到微观依次是

A能力级别-公共特征（CF）-通用实践（GP） B能力级别-通用实践-（GP）-公共特征（CF） C通用实践-（GP）-能力级别-公共特征（CF） D公共特征（CF）-能力级别-通用实践-（GP）、

82、如果可以在组织范围定义文档化的标准过程，在所有的项目规划、执行和跟踪已定义的过程，并且可以很好地协调项目活动和组织活动，则组织的安全能力成熟度可以达到？ A、规划跟踪定义 B、充分定义级 C、量化控制级 D、持续改进级 83、“配置管理”是系统工程的重要概念，他在软件工程和信息安全工程中得到广泛应用下面对“配置管理”解释最准确的是？ A、配置管理的本质是变更流程管理

B、配置管理是一个对系统（包括软件、硬件、文档、测试设备、开发\\维护设备）所有变化进行控制的过程

C、配置管理是对信息系统的技术参数进行管理

D、管理配置是对系统基线和源代码的版本进行管理

84、根据SSE-CMM以下哪项不是在安全工程过程中实施安全控制时需要做的？ A、获得用户对安全需求的理解 B、建立安全控制的职责 C、管理安全控制的配置

D、进行针对安全控制的教育培训

85、下面哪条不属于SSE-CMM中能力级别3“充分定义”级的基本内容： A、改进组织能力 B、定义标准过程 C、协调安全实施

D、执行已定义的过程

86、下面哪项不是工程实施阶段信息安全工程监理的主要目标？ A、明确工程实施计划、对于计划的调整必须合理、受控

B、促使工程中所适用的产品和服务符合承建合同及国家相关法律、法规和标准 C、促使业务单位与承建单位充分沟通，形成深化的安全需求

D、促使工程实施过程满足承建合同的要求，并与工程设计方案、工程计划相符

87、在国家标准中，属于强制性标准的是： A、GB/T XXXX-X-200X B、GB XXXX-200X C、DBXX/T XXX-200X D、QXXX-XXX-200X

88、在何种情况下，一个组织应对公众和媒体公告其信息系统中发生的信息安全事件？ A、当信息安全事件的负面影响扩展到本组织意外时 B、只要发生了安全事件就应当公告

C、只有公众的什么财产安全受到巨大危害时才公告 D、当信息安全事件平息之后

89、下面对ISO27001的说法最准确的是：

A、该标准的题目是信息安全管理体系实施指南

B、该标准为度量信息安全管理体系的开发和实施提供的一套标准 C、该标准提供了一组信息安全管理相关的控制和最佳实践

D、该标准为建立、实施、运行、监控、审核、维护和改进信息安全体系提供了一个模型

90、ISO27002、ITIL和COBIT在IT管理内容上各有优势、但侧重点不同，其各自重点分别在于：

A、IT安全控制、IT过程管理和IT控制和度量评价 B、IT过程管理、IT安全控制和IT控制和度量评价 C、IT控制和度量评价、IT安全控制和IT安全控制 D、IT过程管理、IT控制和度量评价、IT安全控制

91、以下对于IATF信息安全保障技术框架的说法错误的是： A、它由美国国家安全局公开发布

B、它的核心思想是信息安全深度防御（Defense-in-Depth）

C、它认为深度防御应当从策略、技术和运行维护三个层面来进行

D、它将信息系统保障的技术层面分为计算环境、区域边界、网络和基础设置和支撑性技术设施4个部分

92、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定：

A、威胁、脆弱性 B、系统价值、风险

C、信息安全、系统服务安全

D、受侵害的客体、对客体造成侵害的程度业务

93、下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求：

A、国家秘密和其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定

B、各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级

C、对是否属于国家和属于何种密级不明确的事项，可有各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案。

D、对是否属于国家和属于何种密级不明确的事项，由国家保密工作部门，省、自治区、直辖市的保密工作部门，省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定

94、下面有关我国标准化管理和组织机构的说法错误的是？

A、国家标准化管理委员会是统一管理全国标准化工作的主管机构 B、国家标准化技术委员会承担着国家标准的制定和修改巩工作

C、全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布 D、全国信息安全标准化技术委员负责统一协调信息安全国家标准年度计划项目

95、我国规定商用密码产品的研发、制造、销售和使用采取专控管理，必须经过审批，所依据的是：

A、商用密码管理条例

B、中华人民共和国计算机信息系统安全保护条例 C、计算机信息系统国际联网保密管理规定 D、中华人民共和国保密法

1 B 2 C 3 D 4 B 5 B 6 C 7 C 8 D 9 C 10 D 11 D 12 B 13 D 14 B 15 D 16 B 17 B 18 C 19 B 20 A 21 A 22 B 23 A 24 C 25 B 26 C

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库CISP试题及答案-二套题(3)在线全文阅读。