cisp考試試題及答案（往年）

#學習資料 ·2025-11-27 11:41:30

406.  以下哪項不是信息安全的主要目標

A.確保業務連續性

B.保護信息免受各種威脅的損害

C.防止黑客竊取員工個人信息

D.投資回報和商業機遇最大化

【答案】 C

407.  信息安全需求獲取的主要手段

A.信息安全風險評估

B.領導的指示

C.信息安全技術

D.信息安全產品

【答案】 A

408.  下面哪項不是實施信息安全管理的關鍵成功因素

A.理解組織文化

B.得到高層承諾

C.部署安全產品

D.納入獎懲機制

【答案】 C

409.  下面哪一個不是高層安全方針所關注的

A.識別關鍵業務目標

B.定義安全組織職責

C.定義安全目標

D.定義防火墻邊界防護策略

【答案】 D

410.  誰對組織的信息安全負最終責任？

A.安全經理

B.高管層

C.IT經理

D.業務經理

【答案】 B

411.  ISO27004是指以下哪個標準

A.《信息安全管理體系要求》

B.《信息安全管理實用規則》

C.《信息安全管理度量》

D.《ISMS實施指南》

【答案】 C

412.  下面哪一項不是ISMS Plan階段的工作？

A.定義ISMS方針

B.實施信息安全風險評估

C.實施信息安全培訓

D.定義ISMS范圍

【答案】 C

413.  下面哪一項不是ISMS Check階段的工作？

A.安全事件響應

B.安全內部審核

C.管理評審

D.更新安全計劃

【答案】 A

414.  定義ISMS范圍時，下列哪項不是考慮的重點

A.組織現有的部門

B.信息資產的數量與分布

C.信息技術的應用區域

D.IT人員數量

【答案】 D

415.  當選擇的控制措施成本高于風險帶來的損失時，應考慮

A.降低風險

B.轉移風險

C.避免風險

D.接受風險

【答案】 D

416.  關于控制措施選擇描述不正確的是

A.總成本中應考慮控制措施維護成本

B.只要控制措施有效，不管成本都應該首先選擇

C.首先要考慮控制措施的成本效益

D.應該考慮控制措施實施的成熟度

【答案】 B

417.  信息資產分級的最關鍵要素是

A.價值

B.時間

C.安全性

D.所有者

【答案】 A

418.  管理評審的最主要目的是

A.確認信息安全工作是否得到執行

B.檢查信息安全管理體系的有效性

C.找到信息安全的漏洞

D.考核信息安全部門的工作是否滿足要求

【答案】 B

419.  內部審核的最主要目的是

A.檢查信息安全控制措施的執行情況

B.檢查系統安全漏洞

C.檢查信息安全管理體系的有效性

D.檢查人員安全意識

【答案】 A

420.  在某個公司中,以下哪個角色最適合評估信息安全的有效性?

A.公司的專家

B.業務經理

C.IT審計員

D.信息安全經理

【答案】 C

421.  安全評估人員正為某個醫療機構的生產和測試環境進行評估。在訪談中，注意到生產數據被用于測試環境測試，這種情況下存在哪種最有可能的潛在風險？

A.測試環境可能沒有充足的控制確保數據的精確性

B.測試環境可能由于使用生產數據而產生不精確的結果

C.測試環境的硬件可能與生產環境的不同

D.測試環境可能沒有充分的訪問控制以確保數據機密性