CISP10月最新试题
一、单选题。(共10题,共100分,每题10分)
1.小陈在某电器城购买了一台冰箱,并留下了个人姓名、电话在和电子邮件地址等信,第二
天他收到了一封来自电器城提示他中奖的邮件上,查看该邮件后他按照提示操作缴纳中奖税
款后并没有得到中奖奖金,再打电话询问电器城才得知电器城并没有开的活动,在此案例中,
下面描述错误的是()
a、小陈应当注意保护自己的隐私,没有必要告诉别人的信息不要登记和公布给别人
b、小陈钱被骗走了,这类网络犯罪案件也应该向公安局报案
c、邮件服务运营商通过技术手段,可以在一定程度上阻止此类钓鱼邮件和哄骗邮件
d、小陈应当向电器城索赔,追回损失
最佳答案是:d
2.信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调
小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5号)中,指出了风险评
估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选
项中描述正确的是()。
a、信息安全风险评估应以检查评估为主,自评估和检查评估相互结合.互为补充
b、自评估只能是由发起单位内部的人员来实施,而检查评估是由上级指定的风险评估服务
机构来实施
c、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
d、检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题
进行检查和评测
最佳答案是:c
3.在设计信息系统安全保障方案时,以下哪个做法是错误的:
a、要充分切合信息安全需求并且实际可行
b、要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
c、要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
d、要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍
最佳答案是:c
4.评估数据库应用的便捷性时,IS审计师应该验证:
a、能够使用结构化查询语言(SQL)
b、与其他系统之间存在信息的导入、导出程序
c、系统中采用了索引(Index)
d、所有实体(entities)都有关键名、主键和外键
最佳答案是:a
5.某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以
下哪一项工作不能降低该系统的受攻击面:
a、分析系统功能的重要性b、分析从哪里可以访问这些功能
c、采取合理措施降低特权d、分析系统应满足的性能要求
最佳答案是:d
6.以下关于软件程序安全编写和编译过程应该注意的问题说法不正确的是:
a、采用最新的集成编译环境和支持工具
b、充分使用编译环境提供的安全编译选项来保护软件代码的安全性
c、源代码审核是指仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正
确性,报告源代码中可能隐藏的错误和缺陷。
d、严格遵守代码编写的安全规范就能保障软件的安全性
最佳答案是:d
7.关于风险评估准备阶段工作内容叙述错误的是:
a、制订风险评估方案,确定风险评估的实施方案,包括风险评估的工作过程、活动、子活
动、每项活动的输入数据和输出结果
b、选择风险评估方法和工具,从现有风险评估方法和工具库汇总选择合适的风险评估方法
和工具
c、制订组织机构自己的风险评估准则,相关准则可以不需要得到被评估方的认可
d、风险评估方案应获得管理决策层的认可、批准和支持
最佳答案是:c
8.层次化的文档是信息安全管理体系(InformationSecurityManagementSystem,ISMS)建设的
直接体现,也ISMS建设的成果之一。关于文档编制的描述,以下选项()的描述是错误的。
a、文档包括文件(如方针、策略、标准、指南等)和记录,其中记录为各项控制措施是否有
效实施、ISMS是否有效运行提供客观证据
b、文档应由编制者审核、批准后发布,并定期评审、更新并再次得到批准,当发生重大变
化或重大信息安全事件时应及时评审和修订
c、文件是ISMS的关键要素之一,是组织内部的“法”,是组织的实际工作标准,也是ISMS
审核的依据,要求相关部门及人员贯彻执行
d、文件的编制很重要,不能直接套用现成的一套“标准”文件;组织应当依据风险评估结
果来编制文件体系,要针对有风险的地方做好管理和控制
最佳答案是:c
9.信息安全工程监理是信息系统工程监理的重要组