cisp考试试题及答案（往年）

#学习资料 ·2025-11-27 11:41:30

406.  以下哪项不是信息安全的主要目标

A.确保业务连续性

B.保护信息免受各种威胁的损害

C.防止黑客窃取员工个人信息

D.投资回报和商业机遇最大化

【答案】 C

407.  信息安全需求获取的主要手段

A.信息安全风险评估

B.领导的指示

C.信息安全技术

D.信息安全产品

【答案】 A

408.  下面哪项不是实施信息安全管理的关键成功因素

A.理解组织文化

B.得到高层承诺

C.部署安全产品

D.纳入奖惩机制

【答案】 C

409.  下面哪一个不是高层安全方针所关注的

A.识别关键业务目标

B.定义安全组织职责

C.定义安全目标

D.定义防火墙边界防护策略

【答案】 D

410.  谁对组织的信息安全负最终责任？

A.安全经理

B.高管层

C.IT经理

D.业务经理

【答案】 B

411.  ISO27004是指以下哪个标准

A.《信息安全管理体系要求》

B.《信息安全管理实用规则》

C.《信息安全管理度量》

D.《ISMS实施指南》

【答案】 C

412.  下面哪一项不是ISMS Plan阶段的工作？

A.定义ISMS方针

B.实施信息安全风险评估

C.实施信息安全培训

D.定义ISMS范围

【答案】 C

413.  下面哪一项不是ISMS Check阶段的工作？

A.安全事件响应

B.安全内部审核

C.管理评审

D.更新安全计划

【答案】 A

414.  定义ISMS范围时，下列哪项不是考虑的重点

A.组织现有的部门

B.信息资产的数量与分布

C.信息技术的应用区域

D.IT人员数量

【答案】 D

415.  当选择的控制措施成本高于风险带来的损失时，应考虑

A.降低风险

B.转移风险

C.避免风险

D.接受风险

【答案】 D

416.  关于控制措施选择描述不正确的是

A.总成本中应考虑控制措施维护成本

B.只要控制措施有效，不管成本都应该首先选择

C.首先要考虑控制措施的成本效益

D.应该考虑控制措施实施的成熟度

【答案】 B

417.  信息资产分级的最关键要素是

A.价值

B.时间

C.安全性

D.所有者

【答案】 A

418.  管理评审的最主要目的是

A.确认信息安全工作是否得到执行

B.检查信息安全管理体系的有效性

C.找到信息安全的漏洞

D.考核信息安全部门的工作是否满足要求

【答案】 B

419.  内部审核的最主要目的是

A.检查信息安全控制措施的执行情况

B.检查系统安全漏洞

C.检查信息安全管理体系的有效性

D.检查人员安全意识

【答案】 A

420.  在某个公司中,以下哪个角色最适合评估信息安全的有效性?

A.公司的专家

B.业务经理

C.IT审计员

D.信息安全经理

【答案】 C

421.  安全评估人员正为某个医疗机构的生产和测试环境进行评估。在访谈中，注意到生产数据被用于测试环境测试，这种情况下存在哪种最有可能的潜在风险？

A.测试环境可能没有充足的控制确保数据的精确性

B.测试环境可能由于使用生产数据而产生不精确的结果

C.测试环境的硬件可能与生产环境的不同

D.测试环境可能没有充分的访问控制以确保数据机密性