2022年CISP模擬試題每日一練（三十一）

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運(yùn)營、安全評估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計(jì)算環(huán)境安全、軟件安全開發(fā)共十個(gè)知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了2022年CISP考試模擬試題每日一練，大家可以練習(xí)下。

單項(xiàng)選擇題：

1.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯(cuò)誤的理解是（）。

A.SSE-CMM 要求實(shí)施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等

B.SSE-CMM 可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目

C.基于 SSE-CMM 的工程是獨(dú)立工程，與軟件工程，硬件工程，通信工程等分別規(guī)劃實(shí)施

D.SSE-CMM 覆蓋整個(gè)組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動

2.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年的度的培訓(xùn)工作計(jì)劃，提出了四大培訓(xùn)任務(wù)和目標(biāo)，關(guān)于這中個(gè)培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項(xiàng)中不合理的是（）。

A.由于網(wǎng)絡(luò)安全上升到安全的高度，網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對集團(tuán)公司下屬單位的部經(jīng)理(一把手)的網(wǎng)絡(luò)安全法培訓(xùn)

B.對下級單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安全培訓(xùn)，建議通過 CISP 培訓(xùn)以確保人員能力得到保障

C.對其他信息化相關(guān)人員(網(wǎng)絡(luò)管理員、軟件開發(fā)人員)也進(jìn)行安全基礎(chǔ)培訓(xùn)，使相關(guān)人 員對網(wǎng)絡(luò)安全有所了解

D.對全體員工安排信息安全意識及基礎(chǔ)安全知識培訓(xùn)，實(shí)現(xiàn)全員信息安全意識教育

3.以下關(guān)于威脅建模流程步驟說法不正確的是（）。

A.威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅

B.評估威脅是對威脅進(jìn)行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后 果，并計(jì)算風(fēng)險(xiǎn)

C.消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過 重新設(shè)計(jì)直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來消減威脅。

D.識別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞。

4.按照我國信息安全等級保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需自主定價(jià)、自主保護(hù)，按照要求向公安機(jī)關(guān)備案即可，可以不需要上級或主管部門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于（）。

A.零級系統(tǒng)

B.一級系統(tǒng)

C.二級系統(tǒng)

D.三級系統(tǒng)

5.以下關(guān)于法律的說法錯(cuò)誤的是（）。

A.法律是意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系和效力

B.法律可以是公開的，也可以是“內(nèi)部”的

C.一旦制定，就比較穩(wěn)定，長期有效，不允許經(jīng)常更改

D.法律對違法犯罪的后果由明確規(guī)定，是一種“硬約束”

6.某 IT 公司針對信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)工作是錯(cuò)誤，作為企業(yè)的 CSO,請你指出存在問題的是哪個(gè)總結(jié)（）。

A.公司自身擁有優(yōu)勢的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行

B.公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級應(yīng)急響應(yīng)啟動實(shí)施、 應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)在應(yīng)急預(yù)案 5 個(gè)階段，流程完善可用

C.公司應(yīng)急預(yù)案包括了基本環(huán)境類、業(yè)務(wù)系統(tǒng)、安全事件類、安全事件類和其他類，基本 覆蓋了各類應(yīng)急事件類型

D.公司應(yīng)急預(yù)案對事件分裂依據(jù) GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》，分為 7 個(gè)基本類別，預(yù)案符合相關(guān)標(biāo)準(zhǔn)

注：以上試題資源來源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪除。