注册信息安全专业人员考试章节练习题-06 信息安全评估试题及答案.pdf

该【注册信息安全专业人员考试章节练习题-06 信息安全评估试题及答案 】是由【1781111****】上传分享，文档一共【15】页，该文档可以免费在线阅读，需要了解更多关于【注册信息安全专业人员考试章节练习题-06 信息安全评估试题及答案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..注册信息安全专业人员考试章节练****题-06信息安全评估试题及答案1、小陈自学了风评的相关国家准则后,将风险的公式用图形来表示,下面F1,F2,F3,F4分别代表某种计算函数,四张图中,那个计算关系正确?(C)答案选C[单选题]*答案选C(正确答案)2、陈工学****了信息安全风险的有关知识,了解到信息安全风险的构成过程,有五个方面:起源、方式、途径、受体和后果,他画了下面这张图来描述信息安全风险的构成过程,图中空白处应填写?()[单选题]*A、信息载体:..B、措施C、脆弱性(正确答案)D、风险评估3、风险分析是风险评估工作的一个重要内容,GB/T20984-2007在资料性附录中给出了一种矩阵法来计算信息安全风险大小,如下图所示,图中括号应填哪个?()[单选题]*A、安全资产价值大小等级B、脆弱性严重程度等级C、安全风险隐患严重等级D、安全事件造成损失大小(正确答案)4、定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可以性和损失量。小王采用该方法来为单位机房计算火灾风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ExposureFactor,EF)是X,年度发生率(urrence,ARO),而小王计算的年度预期损失(AnnualizedLossExpectancy,ALE)值为5万元人民币,由此,X值应该是()[单选题]*A、%:..B、25%(正确答案)C、5%D、50%5、某单位的信息安全主管部门在学****我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是()[单选题]*A、检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估B、检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测(正确答案)C、检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施D、检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点6、关于风险要素识别阶段工作内容叙述错误的是()[单选题]*A、资产识别是指对需要保护的资产和系统等进行识别和分类B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C、脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估D、确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台(正确答案)7、风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项():..[单选题]*A、识别面临的风险并赋值B、识别存在的脆弱性并赋值(正确答案)C、制定安全措施实施计划D、检查安全措施有效性8、以下关于可信计算说法错误的是()[单选题]*A、可信的主要目的是要建立起主动防御的信息安全保障体系B、可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念C、可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信D、可信计算平台出现后会取代传统的安全防护体系和方法(正确答案)9、以下哪一项不属于常见的风险评估与管理工具()[单选题]*A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具(正确答案)10、小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评:..估工作形式,小张认为::自评估和检查评估;、运营或使用单位发起的对本单位信息系统进行风险评估;;“自评估”和“检查评估”中的一个,非此即彼。请问小张的所述论点中错误的是哪项()[单选题]*A、第一个观点B、第二个观点C、第三个观点D、第四个观点(正确答案)11、小李在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训,一次培训的时候,小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项()[单选题]*A、风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析B、定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性(正确答案)C、定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性D、半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式,实现对风险各要素的度量数值化12、风险评估工具的使用在一定程度上解决了手动评估的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛使用,根据在风险评估过程中的主要任务和作用原理,风险评估工具可以为以下几类,其中错误的是()[单选题]*A、风险评估与管理工具B、系统基础平台风险评估工具C、风险评估辅助工具D、环境风险评估工具(正确答案):..13、为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是()[单选题]*A、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估B、自评估应参照相应标准、依据制定的评估方案和评估准则,结合系统特定的安全要求实施C、自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施(正确答案)D、周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行14、信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是()[单选题]*A、信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充(正确答案)B、信息安全风险评估应以检查评估为主,自评估和检查评估相互结合、互为补充C、自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用D、自评估和检查评估是相互排斥的,无特殊理由的单位均应选择检查评估,以保证安全效果15、规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下()中的输出结果。()[单选题]*A、风险评估准备阶段(正确答案)B、风险要素识别阶段C、风险分析阶段:..D、风险结果判定阶段16、规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时,形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《待评估信息系统相关设备及资产清单》应是如下()[单选题]*A、风险评估准备B、风险要素识别(正确答案)C、风险分析D、风险结果判定17、风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一个最合适的选项()[单选题]*A、识别面临的风险并赋值B、识别存在的脆弱性并赋值(正确答案)C、制定安全措施实施计划D、检查安全措施有效性18、某单位在实施信息安全风险评估后,形成了若干文挡,下面()中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。()[单选题]*A、《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容B、《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容C、《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容(正确答案)D、《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容:..19、规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础。按照规范的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()[单选题]*A、《风险评估方案》B、《需要保护的资产清单》(正确答案)C、《风险计算报告》D、《风险程度等级列表》20、GB/T18336《信息技术安全性评估准则》是测评标准类中的重要标准,该标准定义了保护轮廊(ProtectionProfile,PP)和安全目标(SecurityTarget,ST)的评估准则,提出了评估保证级(EvaluationAssuranceLevel,EAL),其评估保证级共分为()个递增的评估保证等级。()[单选题]*A、4B、5C、6D、7(正确答案)21、下列哪一些对信息安全漏洞的描述是错误的?()[单选题]*A、漏洞是存在于信息系统的某种缺陷。B、漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。C、具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。D、漏洞都是人为故意引入的一种信息系统的弱点(正确答案)22、以下哪一种判断信息系统是否安全的方式是最合理的?()[单选题]*A、是否己经通过部署安全控制措施消灭了风险B、是否可以抵抗大部分风险C、是否建立了具有自适应能力的信息安全模型:..D、是否已经将风险控制在可接受的范围内(正确答案)23、小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预期损失为多少?()[单选题]*A、24万B、、、9万(正确答案)24、《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是()[单选题]*A、规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等B、设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求C、实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证D、运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面(正确答案)25、对信息安全风险评估要素理解正确的是()[单选题]*A、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构(正确答案)B、应针对构成信息系统的每个资产做风险评价C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项D、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁:..[单选题]*A、信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互为补充(正确答案)B、信息安全风险评估工作要按照严密组织、规范操作、讲求科学、注重实效”的原则开展C、信息安全风险评估应贯穿于网络和信息系统建设运行的全过程D、开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导27、风险计算原理可以用下面的范式形式化地加以说明:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))以下关于上式各项说明错误的是()[单选题]*A、R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性B、L表示威胁利资产脆弱性导致安全事件的可能性C、F表示安全事件发生后造成的损失D、Ia,Va分别表示安全事件作用全部资产的价值与其对应资产的严重程度(正确答案)28、在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产价值的评估,以下选项中正确的是()[单选题]*A、资产的价值指采购费用B、资产的价值指维护费用C、资产的价值与其重要性密切相关(正确答案)D、资产的价值无法估计29、不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是()[单选题]*A、定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量B、定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用:..而不应选择定性风险分析(正确答案)C、定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关D、定性风险分析更具主观性,而定量风险分析更具客观性30、降低风险(或减低风险)指通过对面的风险的资产采取保护措施的方式来降低风险,下面那个措施不属于降低风险的措施()[单选题]*A、减少威胁源,采用法律的手段制裁计算机的犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机B、签订外包服务合同,将有计算难点,存在实现风险的任务通过签订外部合同的方式交予第三方公司完成,通过合同责任条款来应对风险(正确答案)C、减低威胁能力,采取身份认证措施,从而抵制身份假冒这种威胁行为的能力D、减少脆弱性,及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性31、在风险管理中,残余风险是指实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是()[单选题]*A、风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程B、管理层确认接收残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且承担引发的后果C、接收残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制的提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术等因素的限制D、如果残余风险没有降低到可接受的级别,则只能被动的选择接受风险,即对风险不进行下一步的处理措施,接受风险可能带来的结果。(正确答案)标准是目前系统安全认证方面最权威的而标准,标准的先进性?()[单选题]*A、结构的开放性,即功能和保证要求可以保护轮廓”和“安全目标”中进行一步细化和扩展B、表达方式的通用性,即给出通用的表达方式C、独立性,它强调将安全的功能和保证分离(正确答案):..CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中33、对于数字证书而言,一般采用的是哪个标准?()[单选题]*A、ISO/IEC15408B、、GB/T20984D、(正确答案)34、在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?()[单选题]*A、C2B、C1C、B2D、B1(正确答案)35、GB/T18336《信息技术安全性评估准则》()是测评标准类中的重要标准,该标准定义了保护轮廓(ProtectionProfile,PP)和安全目标(SecurityTarget,ST)的评估准则,提出了评估保证级(EvaluationAssuranceLevel,EAL),其评估保证级共分为()个递增的评估保证等级(D)[单选题]*A、4B、5C、6D、7(正确答案)36、在GB/T18336《信息技术安全性评估准则》(CC标准)中,有关保护轮廓(ProtectionProfile,PP)和安全目标(SecurityTarget,ST),错误的是()[单选题]*A、PP是描述一类产品或系统的安全要求:..PP描述的安全要求与具体实现无关C、两份不同的ST不可能满足同一份PP的要求(正确答案)D、ST与具体的实现有关37、某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选项中描述不正确的是()[单选题]*A、对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施B、安全措施主要有预防性、检测性和纠正性三种C、安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁D、对确认为不适当的安全措施可以置之不顾(正确答案)38、风险处理是依据(),选择和实施合适的安全措施,风险处理的目的是为了将()始终控制在可接爱的范围内风险处理的方式主要有()、()、()和()四种方式()[单选题]*A、风险:风险评估的结果:降低:规避:转移:接受B、风险评估的结果:风险:降低:规避:转移:接受(正确答案)C、风险评估:风险;降低:规避:转移:接受D、风险:风险评估:降低:规避:转移:接受39、信息安全风险值应该是以下哪些因素的函数?()[单选题]*A、信息资产的价值、面临的威胁以及自身存在的脆弱性(正确答案)B、病毒、黑客、漏洞等C、保密信息如国家秘密,商业秘密等D、网络、系统、应用的复杂程度40、下列选项中对信息系统审计概念的描述中不正确的是()[单选题]*A、信息系统审计,也可称作IT审计或信息系统控制审计:..审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性C、信息系统审计是单一的概念,是对会计信息系统的安全性、有效性进行检查(正确答案)D、从信息系统审计内容上看,可以将信息系统审计分为不同专项审计,例如安全审计、项目合规审计、绩效审计等41、信息安全风险管理是基于()的信息安全管理,也就是,始终以()为主线进行信息安全的管理,应根据实际()的不同来理解信息安全风险管理的侧重点即()选择的范围和对象重点应有所不同()[单选题]*A、风险:风险;信息系统:风险管理(正确答案)B、风险:风险:风险管理:信息系统C、风险管理:信息系统:风险:风险D、风险管理:风险:风险:信息系统42、安全评估技术采用()这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。()[单选题]*A、安全扫描器(正确答案)B、安全扫描仪C、自动扫描器D、自动扫描仪43、目前,很多行业用户在进行信息安全产品选项时,均要求产品通过安全测评。关于信息安全产品测评的意义,下列说法中不正确的是()[单选题]*A、有助于建立和实施信息安全产品的市场准入制度B、对用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供科学公正的专业指导C、对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督D、打破市场垄断,为信息安全产业发创造一个良好的竞争环境(正确答案):..44)(国信办200605号),主要内容包括分析信息系统资产的(),评估信息系统面临的(),存在的()、已有的安全措施和残余风险的影响等、两类信息系统的()、涉密信息系统参照分级保护”、非涉密信息系统参照“等级保护”()[单选题]*A、《关于开展信息安全风险评估工作的意见》:重要程度:安全威胁:脆弱性:工作开展(正确答案)B、《关于开展风险评估工作的意见》:安全威胁:重要程度:脆弱性:工作开展C、《关于开展风险评估工作的意见》:重要程度:安全威胁:脆弱性:工作开展D、《关于开展信息安全风險评估工作的意见》:脆弱性:重要程度:安全威胁:工作开展45、安全审计是事后认定违反安全规则行为的分析技术在检测违反安全规则方面、准确发现系统发生的事件以对事件发生的事后分析方面,都发挥着巨大的作用。但安全审计也有无法实现的功能,以下哪个需求是网络安全审计无法实现的功能()[单选题]*A、发现系统中存在的漏洞和缺陷B、发现用户的非法操作行为C、发现系统中存在***及恶意代码D、发现系统中感染的恶意代码类型及名称(正确答案)46、下列关于ISO15408信息技术安全评估准则()通用性的特点,即给出通用的表达方式,描述不正确的是()[单选题]*A、如果用户、开发者、语言,互相就容易理解沟通B、通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义C、通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要D、也适用于对信息安全建设工程实施的成熟度进行评估(正确答案)