CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網(wǎng)絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內(nèi)容如下：

單項選擇題

1、實施ISMS內(nèi)審時，確定ISMS的控制目標、控制措施、過程和程序應該要符合相關要求，以下哪個不是?

A. 約定的標準及相關法律的要求

B.已識別的安全需求

C. 控制措施有效實施和維護

D. ISO13335風險評估方法

【答案】D

2、 以下對ISO27001標準的描述不正確的是：

A. 企業(yè)通過ISO27001認證則必須符合ISO27001信息安全管理體系規(guī)范

的所有要求

B. ISO27001標準與信息系統(tǒng)等級保護等標準相沖突

C.ISO27001是源自于英國的標準BS7799

D. ISO27001是當前國際上最被認可的信息安全管理標準

【答案】B

3、下面哪個組合不是是信息資產(chǎn)

A. 硬件、軟件、文檔資料

B. 關鍵人員

C.組織提供的信息服務

D. 桌子、椅子

【答案】D

4、 對安全策略的描述不正確的是

A. 信息安全策略(或者方針)是由組織的較高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標和方向，用于指導信息安全管理體系的建立和實施過程

B. 策略應有一個屬主，負責按復查程序維護和復查該策略

C.安全策略的內(nèi)容包括管理層對信息安全目標和原則的聲明和承諾;

D. 安全策略一旦建立和發(fā)布，則不可變更;

【答案】D

5、 信息的存在及傳播方式

A. 存在于計算機、磁帶、紙張等介質中

B. 記憶在人的大腦里

C… 通過網(wǎng)絡打印機復印機等方式進行傳播

D. 通過投影儀顯示

【答案】D

6、 以下對企業(yè)信息安全活動的組織描述不正確的是

A. 企業(yè)應該在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架。

B. 企業(yè)應該維護被外部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設施和信息資產(chǎn)的安全。

C.在沒有采取必要控制措施，包括簽署相關協(xié)議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規(guī)定。

D. 企業(yè)在開展業(yè)務活動的過程中，應該完全相信員工，不應該對內(nèi)部員工采取安全管控措施

【答案】D

7、有關認證和認可的描述，以下不正確的是

A. 認證就是第三方依據(jù)程序對產(chǎn)品、過程、服務符合規(guī)定要求給予書面保證(合格證書)

B. 根據(jù)對象的不同，認證通常分為產(chǎn)品認證和體系認證

C.認可是由某權威機構依據(jù)程序對某團體或個人具有從事特定任務的能力給予的正式承認

D. 企業(yè)通過ISO27001認證則說明企業(yè)符合ISO27001和ISO27002標準的要求

【答案】D

8、企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是

A. 企業(yè)應該建立和維護一個完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責任;

B. 企業(yè)應該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求，采取對應的管控措施;

C.企業(yè)的信息資產(chǎn)不應該分類分級，所有的信息系統(tǒng)要統(tǒng)一對待

D. 企業(yè)可以根據(jù)業(yè)務運作流程和信息系統(tǒng)拓撲結構來識別所有的信息資產(chǎn)

【答案】C

9、以下哪個不可以作為ISMS管理評審的輸入

A. ISMS審計和評審的結果

B. 來自利益伙伴的反饋

C. 某個信息安全項目的技術方案

D. 預防和糾正措施的狀態(tài)

【答案】C

10、有關人員安全的描述不正確的是

A. 人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)

B. 重要或敏感崗位的人員入職之前，需要做好人員的背景檢查

C.企業(yè)人員預算受限的情況下，職責分離難以實施，企業(yè)對此無能為力，也無需做任何工作

D. 人員離職之后，必須清除離職員工所有的邏輯訪問帳號

【答案】C