CISP-CISO 考试大纲及高频考试试题
#学习资料 ·2026-07-15 10:32:43

目 录
第一章信息安全保障(共10题)
第二章 网络安全监管(共10题)
第三章信息安全管理(共17题)
第四章 业务连续性(共10题)
第五章安全工程与运营(共12题)
第六章安全评估(共12题)
第七章信息安全支撑技术(共8题)
第八章物理与网络通信安全(共8题)
第九章计算环境安全(共8题)
第十章软件安全开发(共6题)
1.信息安全发展的第三个阶段是?
A.通信安全阶段
B.计算机安全阶段
C. 信息安全保障阶段
D.网络安全阶段
答案:C
难度:易
解析:信息安全发展经历了三个主要阶段:第一阶段是通信安全阶段(二战至20世纪70年代),主要关注通信保密:第二阶段是计算机安全阶段(20世纪70-90年代),以《可信计算机系统评估准则》(TCSEC)为代表:第三阶段是信息安全保障阶段(20世纪90年代至今),强调通过技术、管理和工程的综合手段保障信息的CIA三要素(保密性、完整性、可用性),代表框架包括IATF信息保障技术框架。
2.下列哪一项不属于信息安全的CIA三要素?
A.保密性(Confidentiality)
B.完整性(Integrity)
C.可用性(Availability)
D.可审计性(Auditability)
答案:D
难度:易
解析:CIA三要素是信息安全的核心属性:保密性确保信息不被未授权访问;完整性确保信息不被篡改或破坏:可用性确保授权用户能及时访问信息。可审计性是支撑CIA目标实现的手段和属性,不属于三要素本身。其他扩展属性包括真实性、抗抵赖性等。
3.PDR模型中的三个要素是?
A.保护、检测、响应
B.策略、检测、恢复
C.防御、攻击、响应
D.保护、防御、恢复
答案:A
难度:易
解析:PDR模型是最早的动态安全模型之一,由Protection(保护)、Detection(检测)、Response(响应)三个要素组成。该模型强调安全是一个动态过程,通过保护措施降低风险,通过检测及时发现威胁,通过响应快速处置安全事件。后来发展为P~2DR(加入Policy策略)和WPDRRC(加入Warning预警和Recovery恢复)。
4.IATF(信息保障技术框架)将信息系统划分为几个领域?
A.两个
B.三个
C.四个
D.五个
答案:C
难度:中
解析:IATF由美国国家安全局(NSA)制定,将信息保障技术框架分为四个领域:1)本地计算环境(服务器、工作站、操作系统和应用的安全):2)区域边界(局域网边界的访问控制和入侵检测):3)网络和基础设施(传输安全、路由安全):4)支撑性基础设施(PKI体系和KMI密钥管理)。IATF强调深度防御(Defense=in-Depth)策略和人员、技术、运维三要素。
5.下列关于纵深防御((Defense-in-Depth)的描述,错误的是?
A.通过多层安全防护措施降低单点失败的风险
B.纵深防御仅依赖技术手段
C.纵深防御涵盖人员、技术和运维三个维度
D.纵深防御要求攻击者需突破多层防线才能成功