CISP信息安全评估.docx-得力文库

资源描述

《CISP信息安全评估.docx》由会员分享，可在线阅读，更多相关《CISP信息安全评估.docx（15页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、CISP信息安全评估1. 残余风险是风险管理中的一个重要概念。在信息安全风险管理中，关于残余风险描述错误的是() 单选题 *A. 残余风险是采取了安全措施后，仍然可能存在的风险：一般来说，是在综合考虑了安全成本与效益后不去控制的风险B. 残余风险应受到密切监视，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件C. 实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果D. 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小残余风险值作为风险管理效果评估指标(正确答案)2. 小李在某单位是负责信息安全风险管理方面工作的部

2、门领导，主要负责对所在行业的新人进行基本业务素质培训，一次培训的时候，小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项：单选题 *A. 风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析B. 定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性(正确答案)C. 定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值因此更具有客观性D. 半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化3. 信息安全风险评估是信息安全风险管理工作中的重要环节

3、。在国家网络与信息安全协调小组发布的关于开展信息安全风险评估工作的意见(国信办 20065 号)中，风险评估分为自评估和检查评估两种形式，并对两种工作形势提出了有关工作原则和要求。下面选项中描述正确的是() 单选题 *A. 信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充(正确答案)B. 信息安全风险评估应以检查评估为主，自评估和检查评估相互结合、互为补充C. 自评估和检查评估时相互排斥的，单位应慎重地从两种工作形式选择一个，并长期使用D. 自评估和检查评估是相互排斥的，无特殊理由的单位均应选择检查评估，以保证安全效果4. 信息安全风险评估是信息安全风险管理工作中

4、的重要环节。在关于开展信息安全风险评估工作的意见(国信办20065 号)中，指出了风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求。下面选项中描述错误的是() 单选题 *A. 自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估B. 检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的风险评估C. 信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充D. 自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个，并坚持使用(正确答案)5. 在风险管理中，残余风险是指在实施了新的或增强的安全措施

5、后还剩下的风险，关于残余风险，下面描述错误的是() 单选题 *A. 风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风险的书面批准，这也是风险管理中的一个重要过程B. 管理层确认接受残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且必须承担引发的后果C. 接受残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制地提高安全保护措施的强度，对安全保护措施的选择要考虑到成本和技术的等因的限制D. 如果残余风险没有降低到可接受的级别，则只能被动地选择接受风险，即对风险不采取进一步的

6、处理措施，接受风险可能带来的结果(正确答案)6. 在可信计算机系统评估准则(TCSEC)中，下列哪一项是满足强制保护要求的最低级别？单选题 *A. C2B. C1C. B2D. B1(正确答案)7. GB/T 18336信息技术安全性评估准则是测评标准类中的重要标准，该标准定义了保护轮廊(Protection Profile，PP)和安全目标(Security Target，ST)的评估准则，提出了评估保证级(EvaluationAssurance Level， EAL)，其评估保证级共分为()个递增的评估保证等级单选题 *A、4B、5C、6D、7(正确答案)8. 不同的信息安全风险评

7、估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法。下面的描述中，错误的是( )。单选题 *A定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量B定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析(正确答案)C定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关D定性风险分析更具主观性，而定量风险分析更具客观性9. CB/T 20984-2007信息安全技术信息安全

8、义批详选规范、对 10 个（）进行了定义阐述其相关关系，规定了（）的原理和（）规定了风险评估实施的 7 个阶段的具体方法和要求，规定了针对信息系统（ )5 个阶段风险评估的常见（），给出了风险评估的一般计算方法和相关工具建议。单选题A.风险要素；风险评估；实施流程；生命周期；工作形式(正确答案)B.风险要素；实施流程；风险评估；生命周期；工作形式C.风险要素；生命周期；风险评估；实施流程；工作形式D.风险要素；工作形式；风险评估；实施流程；生命周期10. 陈工学习了信息安全风险的有关知识，了解到信息安全风险的构成过程，包括五个方面: 起源、方式、途径、受体和后果。他画了下面这

9、张图来描述信息安全风险的构成过程，图中空白处应该填写( ) 单选题 *A、信息载体B、措施C、脆弱性(正确答案)D、风险评估11. 随着金融电子化的发展，全球金融通信网络已出具规模。某金融单位组建的计算机通信网络覆盖全国，有力的促进了该企业各种金融业务的发展。然而网络技术的普及、网络规模规模的延伸，开始逐步让该企业对网络安全提出了更高的要求。为了进一步促进金融电子化的建设，保障金融网络安全运行，该企业经过前期充分的调研分析与论证，实施了防火墙VPN 系统建设项目。防火墙不能实现的安全功能是()。单选题 *A、对出入网络的访问行为进行管理和控制B、过滤出入网络的数据，强化安全策略

10、C、隐藏内部网络细节D、评估系统关键资源和数据完整性，识别已知的攻击行为(正确答案)12.在国家标准信息系统安全保障评估框架第部分：简介和一般模型(GB T2027412006)中描述了信息系统安全保障模型，下面对这个模型理解错误的是() 单选题 *A.该模型强调保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏，从而达到实现组织机构使命的目的B、该模型是一个强调持续发的动态安全模型即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程C、该模型强调综合保障的观念，即信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障来实施和实现信息系统的

11、安全保障目标D、模型将风险和策略作为信息系统安全保障的基础和核心，基干 IATF 模型改进，在其基础上增加了人员要素，强调信息安全的自主性(正确答案)13. 风险分析是风险评估工作中的一个重要内容，GBT209842007 在资料性附录中给出了一种矩阵法来计算信息安全风险大小，其中风险计算矩阵如下图所示，请为途中括号空白处选择合适的内容() 单选题 *A.安全资产价值大小等级B、脆弱性严重程度等级C、安全风险隐患严重等级D 安全事件造成损失大小(正确答案)14. 规范的实施流程和文档管理，是信息安全风险评估能否取得成果的重要基础。某单位在实施风险评估时，形成了风险评估方案并得到了管理

12、决策层的认可。在风险评估实施的各个阶段中，该风险评估方案应是如下( )中的输出结果。单选题 *A.风险评估准备阶段(正确答案)B.风险要素识别阶段C.风险分析阶段D.风险结果判定阶段15. 小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小假设单位机房的总值为 400 元人民币，暴露系数(Exposure factor,EF)是 25%,年度发生率 annualizd rate of 0ccurrence,ARO),为 0.2,那么小王计算的年度预期损失 Annualized Loss Expectancy, AE)应该是( )，单选题 *A.100 万元人民币B.

13、400 万元人民币C.20 万元人民币(正确答案)D.180 万元人民币16. 小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小。假设单位机房的总价格为 200 万元人民币，暴露系数(FoposureFactor.EF) 是 25%，年度发生率 annualizd rate of 0ccurrence,ARO) 为 0.1，那么小王计算的年度预期损失 Annualized Loss Expectancy, AE)应该是( )，单选题 *A.5 万元人民币(正确答案)B.50 万元人民币C.2.5 万元人民币D.25 万元人民币17. GP/T18336 信息技术安全性评估

14、准则是测评标准中的重要标准，该标准定义了保护轮廓(protectionprofile,pp)和安全目标(security target,st) 的评估准则。提出了评估保证级(evaluation assurance level。.eal),期评估保证级共分为( )个递增的评估保证等级单选题 *A.4B.5C.6D.7(正确答案)18. 规范的实施流程和文档管理，是信息安全风险评估能否取得成果的重要基础，某单位在实施风险评估时，形成了待评估信息系统相关设备及资产清单。在风险评估实施的各个阶段中，该待评估信息系统相关设备及资产清单应是如下()中的输出结果。单选题 *A、风险评估准备

15、B、风险要素识别(正确答案)C、风险分析D、风险结果判定19. 关于风险要素识别阶段工作内容叙述错误的是：单选题 *A. 资产识别是指对需要保护的资产和系统等进行识别和分类B. 威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C. 脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估D. 确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台(正确答案)20. 在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确的是() 单选题 *

16、A、资产的价值指采购费用B、资产的价值指维护费用C、资产的价值与其重要性密切相关(正确答案)D、资产的价值无法估计21.信息安全风险管理过程的模型如图所示。按照流程，请问，信息安全风险管理包括( )六个方面的内容。( )是信息安全风险管理的四个基本步骤， ( )则贯穿于这四个基本步骤中。单选题 *A.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、风险处理和批准监督；监控审查和沟通咨询(正确答案)B.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、风险处理和监控审查；批准监督和沟通咨询C.背景建立、风险评估、风险处理、批准

17、监督、监控审查和沟通咨询；背景建立、风险评估、风险处理和沟通咨询；监控审查和批准监督D.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、监控审查和批准监督；风险处理和沟通咨询22.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程，下列选项中不属于风险评估要素的是( 单选题 *A.资产B. 脆弱性C. 威胁D. 安全需求(正确答案)23. 在 TCSEC 中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从低到高分为() 单选题 *A.A;C1;C2;B1;B2;B3;DB.D;B1;B2;C1;

18、C2;C3;AC.D;C1;C2;B1;B2;B3;A(正确答案)D.A;B1;B2;C1;C2;C3;D24.下列信息安全评估标准中，哪一个是我国信息安全评估的国家标准？() 单选题A.TCSEC 标准B.CC 标准(正确答案)C.FC 标准D.ITSEC 标准25. “CC”标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被测评对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案() 单选题 *A. 评估对象(TOE)B. 保护轮廓(PP)C. 安全目标(ST)(正确答案)D. 评估保证级(EAL)26. 19

19、93 年至 1996 年，欧美六国七方和美国商务由国家标准与技术局共同制定了一个供欧美各国通用的信息安全评估标准，简秋 CC 标准，该安全评估标准的全称为() 单选题 *A.可信计算机系统评估准则)B.信息技术安全评估准则C.可信计算机产品评估准则D.信息技术安全通用评估准则(正确答案)27.风险评估相关政策，目前主要有()(国信办20065 号)。主要内容包括:分析信息系统资产的()，评估信息系统面临的()、存在的()、已有的安全措施和残余风险的影响等、两类信息系统的()、涉密信息系统参照“分级保护”、非涉密信息系统参照“等级保护”。单选题 *A.关于开展信息安全风险评估工作的意

20、见；重要程度:安全威胁:脆弱性工作开展(正确答案)B.关于开展风险评估工作的意见；安全威胁重要程度脆弱性:工作开展C.关于开展风险评估工作的意见；重要程度；安全威胁:脆弱性:工作开展D.关于开展信息安全风险评估工作的意见；脆弱性；重要程度安全威胁:工作开展28.下列选项中对信息系统审计概念的描述中不正确的是() 单选题 *A.信息系统审计,也可称作 IT 审计或信息系统控制审计B.信息系统审计是一个获取并评价证据的过程,审计对象是信息系统相关控制, 审计目标是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性C.信息系统审计是单一的概念,是对会计信息系统的安全

21、性、有效性进行检查(正确答案)D.从信息系审计内容上看,可以将信息系统审计分为不同专项审计,例如安全审计、项日合规审计、绩效审计等29. 风险计算原理可以用下面的范式形式化地加以说明风险值 R(A，T, V)= R(L(T,v), F(Ia, Va)以下关于上式各项说明错误的是: 单选题 *A. R 表示安全风险计算函数，A 表示资产，T 表示威胁，V 表示脆弱性B. L 表示威胁利用资产脆弱性导致安全事件的可能性C. P 表示安全事件发生后造成的损失D.Ia, Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度(正确答案)30. 2005 年,RFC4301 (Request

22、 for Comments 4301:Security Architecture for the Internet Protocol)发布，用以取代原先的 RFC2401，该标准建议规定了 IPsec 系统基础架构，描述如何在 IP 层(IPv4/IPv6)位流量提供安全业务。请问此类 RFC 系列标准建议是由下面哪个组织发布的()。单选题 *A.国际标准化组织(International Organizationfor Standardization,ISO)B.国际电工委员会(International Electrotechnical Commission，IEC)C.国际电

23、信联盟远程通信标准化组织 ( ITU Telecommunication Standardization Secctor，ITU-T)D.Internet 工程任务组(Internet Engineering Task Force，IETF)(正确答案)31. 若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求，其信息安全控制措施通常需要在人力资源安全方面实施常规控制，人力资源安全划分为 3 个控制阶段，不包括哪一项() 单选题 *A、任用之前B、任用中C、任用终止或变化D、任用后(正确答案)32. 若一个组织声称自己的

24、ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包括对资产负责和信息分类两个控制目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施( ) 单选题 *A、资产清单B、资产负责人C、资产的可接受使用D、分类指南、信息的标记和处理(正确答案)33. 某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是() 单选题 *A. 检查评估

25、可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关键环节或重点内容实施抽样评估B. 检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测(正确答案)C.检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施D. 检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点34.根据关于加强国家电子政务工程建设项目信息安全风险评估工作的通知的规定，以下正确的是：单选题 *A.涉密信息系统的风险评估应按照信息安全等级保护管理办法等国家有关保密规定和标准进行B、非涉密信息系统的风险评估应按照非涉及国家秘密的信息系统

26、分级保护管理办法等有关要求进行C、可委托同一专业机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告(正确答案)D、此通知不要求将“信息安全风险评估作为电子政务项目验收的重要内容35.风险评估的过程包括()、()、()和()四个阶段。在信息安全风险管理过程中，风险评估活动接受背景建立阶段的输出，形成本阶段的最终输出风险评估报告，此文档为风险处理活动提供输入。()和()贯穿风险评估的四个阶段。单选题 *A.风险评估准备；风险要素识别；风险分析；监控审查；风险结果判定；沟通咨询B.风险评估准备；风险要素识别；监控审查风险分析；风险结果判定；沟通咨询C.风险评估准备；监控审查；

27、风险要素识别；风险分析；风险结果判定；沟通咨询D.风险评估准备；风险要素识别；风险分析；风险结果判定:监控审查；沟通咨询(正确答案)36. 某项目组进行风险评估时由于时间有限，决定采用基于知识的分析方法，使用基于知识的分析方法进行风险评估，最重要的在于评估信息的采集。该项目组对信息源进行了讨论，以下说法中不可行的是() 单选题 *A.可以通过对当前的信息安全策略和相关文档进行复查采集评估信息。B.可以通过进行实地考察的方式采集评估信息。C.可以通过建立模型的方法采集评估信息。(正确答案)D.可以制作问卷，进行调查。37. 风险评估的基本要素包括脆弱性、资产、威胁、风险及安全措施。下面给出

28、的风险评估部分基本要素之间的关系图，哪项是错误的( ). 单选题 *A.B.C.D.(正确答案)38.小陈自学了信息安全风险评估的相关国家标准后,将风险计算的有关公式使用图形来表示,下面四个图中 F1、F2、F3、F4 分别代表某种计算函数。四张图中,计算关系表达正确的是:单选题 *F1F2F3(正确答案)F439.信息应按照其法律要求、价值、对泄露或篡改的()和关键性予以分类。信息资产的所有者应对其分类负责,分类的结果表明了(),该价值取决于其对组织的敏感性和关键性如保密性、完整性和有效性。信息要进行标记并体现其分类,标记的规程需要涵盖物理和电子格式的()。分类信息的标记和安全处理

29、是信息共享的一个关键要求。()和元数据标签是常见的形式。标记应易于辨认, 规程应对标记附着的位置和方式给于指导,并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储和()。单选题 *A.敏感性;物理标签;资产的价值;信息资产;交换规程B.敏感性;信息资产;资产的价值:物理标签;交换规程C.资产的价值;敏感性;信息资产;物理标签;交换规程D.敏感性;资产的价值;信息资产;物理标签;交换规程(正确答案)40.GB/T 18336 的最低级别是( ) 单选题 *A. EAL1(正确答案)B. EAL3C. EAL5D. EAL741. CC 标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现 CC标准的先进性？单选题 *A. 结构的开放性，即功能和保证要求都可以在具体的“保护轮廊”和“安全目标”中进一步细化和扩展B. 表达方式的通用性，即给出通用的表达表示C. 独立性，它强调将安全的功能和保证分离(正确答案)D. 实用性，将 CC 的安全性要求具体应用到 IT 产品的开发、生产、测试和评估过程中42. 信息安全风险值应该是以下哪些因素的函数?() 单选题 *A. 信息资产的价值、面临的威胁以及自身存在的脆弱性(正确答案)B. 病毒、黑客、漏洞等C.保密信息如国家秘密、商业秘密等D.网络、系统、应用的复杂程度

展开阅读全文