cisp信息安全管理风险课堂例题

《cisp信息安全管理风险课堂例题》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、1、以下关于风险评估的描述不正确的是？a)作为风险评估的要素之一，威胁发生的可能需要被评估b)作为风险评估的要素之一，威胁发生后产生的影响需要被评估c)风险评估是风险管理的第一步d)风险评估是风险管理的最终结果2、以下哪个选项是缺乏适当的安全控制的表现a)威胁b)脆弱性c)资产d)影响3、下面那个不是信息安全风险的要素？a)资产及其价值b)数据安全c)威胁d)控制措施4、信息安全风险管理的对象不包括如下哪项a)信息自身b)信息载体c)信息网络d)信息环境5、信息安全风险管理的最终责任人是？a)决策层b)管理层c)执行层d)支持层6、信息安全风险评估对象确立的主要依

2、据是什么a)系统设备的类型b)系统的业务目标和特性a)系统的技术架构b)系统的网络环境2、下面哪一项不是风险评估的过程？a)风险因素识别b)风险程度分析c)风险控制选择d)风险等级评价3、风险控制是依据风险评估的结果，选择和实施合适的安全措施。下面哪个不是风险控制的方式？a)规避风险b)转移风险c)接受风险d)降低风险4、如何对信息安全风险评估的过程进行质量监控和管理？a)对风险评估发现的漏洞进行确认b)针对风险评估的过程文档和结果报告进行监控和审查c)对风险评估的信息系统进行安全调查d)对风险控制测措施有有效性进行测试5、信息系统的价值确定需要与哪个部门进行有效

3、沟通确定？a)系统维护部门b)系统开发部门c)财务部门d)业务部门6、系统上线前应当对系统安全配置进行检查，不包括下列哪种安全检查？a)主机操作系统安全配置检查b)网络设备安全配置检查c)系统软件安全漏洞检查d)数据库安全配置检查7、风险评估实施过程中资产识别的依据是什么？a)依据资产分类分级的标准b)依据资产调查的结果c)依据人员访谈的结果d)依据技术人员提供的资产清单2、风险评估实施过程中资产识别的范围主要包括什么类别？a)网络硬件资产b)数据资产c)软件资产d)以上都包括3、风险评估实施过程中脆弱性识别主要包括什么方面a)软件开发漏洞b)网站应用漏洞c)主机

4、系统漏洞d)技术漏洞与管理漏洞4、下面哪一个不是脆弱性识别的手段？a)人员访谈b)技术工具检测c)信息资产核查d)安全专家人工分析5、年度损失值（ALE）的计算方法是什么？a)ALE=ARO*AVb)ALE=AV*SLEc)ALE=ARO*SLEd)ALE=AV*EF6、合适的信息资产存放的安全措施维护是谁的责任？a)安全管理员b)系统管理员c)数据和系统所有者d)系统运行组1、要很好的评估信息安全风险，可以通过：a)评估IT资产和IT项目的威胁b)用公司的以前的真的损失经验来决定现在的弱点和威胁c)审查可比较的组织公开的损失统计d)审查在审计报告中的可识别IT控

5、制缺陷2、在制定控制前，管理层首先应该保证控制：a)满足控制一个风险问题的要求b)不减少生产力c)基于成本效益的分析d)检测行或改正性的3、对一项应用的控制进行了检查,将会评估a)该应用在满足业务流程上的效率b)任何被发现风险影响c)业务流程服务的应用d)应用程序的优化4、在评估逻辑访问控制时，应该首先做什么？a)把应用在潜在访问路径上的控制项记录下来b)在访问路径上测试控制来检测是否他们具功能化c)按照写明的策略和实践评估安全环境d)对信息流程的安全风险进行了解5、在检查IT安全风险管理程序，安全风险的测量应该a)列举所有的网络风险b)对应IT战略计划持续跟踪c

6、)考虑整个IT环境d)识别对(信息系统)的弱点的容忍度的结果6、一个组织的网络设备的资产价值为100000元，一场意外火灾使其损坏了价值的25%,按照经验统计，这种火灾一般每5年发生一次，年预期损失ALE为：a)5000元a)10000元b)25000元c)15000元2、一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手，如何控制这个风险？a)开除这名职员b)限制这名职员访问敏感信息c)删除敏感信息d)将此职员送公安部门