CISP考试真题,CISP测试题哪里有？

CISP考试真题，测试题哪里有？

 

想要完成并顺利通过专业的考试，就要分外地认真学习相关的内容、踏实复习科学的知识、多次挑战有关考试的相关试题，这几点必不可少。如果想要获取2022年CISP最新考试认证题库，可以按照小编下文介绍的方法，自己来具体操作一下。

 

CISP线上题库哪里有？

 

最直接了当的方法，就是向官网的授权机构，咨询有关的信息。第一步了解具体的证书情况，再获取CISP的认证考试题库。还能获取专业课程顾问的个性化指导，让自己对CISP的相关事项更加清晰。

 报名培训机构之后，可以选择适合自己的学习方式，掌握良好的学习方法。通过系统化地学习信息安全的知识内容之后，训练和刷题才能“下笔如有神”。有效做题、高效复习才能真正地查缺补漏，并且让自己快速成长。

其次可以在网上冲浪，小编在此不再展开说明，大家仅供参考。值得提醒的是：网上非正规渠道的任何信息，都可能不尽完整，时效性也不能保证，这个方法确实有一定风险。

 

——CISP认证考试考试题库的重要性——

 

光说不练假把式。经过资深讲师的指导，想要把知识运用得当，就要不断地训练。刷题、实操，缺一不可。

 

获得了海量题库，可以选择在线上练习（中培教育提供强大好用的线上练习系统），并且还可以加入线下的课后交流群，获取优秀助教的细心指导，学有所得，才能把知识真正地牢记于心。

 

CISP历年考试真题：（20道仅供参考，更全历年真题，考试模拟题联系中培课程老师）

1、有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是：

A.BP是基于最新技术而制定的安全参数基本配置

B.大部分BP是没有经过测试的

C.一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段

D.一项BP可以和其他BP有重叠

答案：C

解析：A错误，BP基于最佳的工程过程实践；B错误，BP是经过测试的；D错误，一项BP和其他的BP是不重复。

 

2、以下哪一种判断信息系统是否安全的方式是最合理的？

A.是否己经通过部署安全控制措施消灭了风险

B.是否可以抵抗大部分风险

C.是否建立了具有自适应能力的信息安全模型

D.是否己经将风险控制在可接受的范围内

答案：D

解析：判断风险控制的标准是风险是否控制在接受范围内。

 

3、以下关于信息安全法治建设的意义，说法错误的是：

A、信息安全法律环境是信息安全保障体系中的必要环节

B、明确违反信息安全的行为，并对行为进行相应的处罚，以打击信息安全犯罪活动

C、信息安全主要是技术问题，技术漏洞是信息犯罪的根源

D、信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系

答案：C

解析：信息安全问题是多方面存在的，不能认为主要为技术问题，同时技术漏洞不是犯罪的根源所在。

 

4、小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，己知：核心机房的总价价值一百万，灾害将导致资产总价值损失24%,历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少：

A.24万

B.0.09万

C.37.5万

D.9万

答案:D

解析：计算公式为100万×24%×(3/8)=9万

 

5、2005年4月1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是：

A.电子签名一一是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据

B.电子签名适用于民事活动中的合同或者其他文件、单证等文书

C.电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务

D.电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有

答案：D

解析：电子签名不可以与认证服务提供者共有。

 

6、[单选题]91、不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况选择适当的 风险评估方法。下面的描述中错误的是( )。

A、定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和 缺失量

B、定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性 风险分析

C、定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析结果和风险评估团队的素质、经验和 知识技能密切相关

D、定性风险分析更具主观性，而定量风险分析更具客观性

答案：B

解析：实际工作中根据情况选择定量、定性或定量与定性相结合。

 

7、[单选题]92、小李去参加单位组织的信息安全管理体系(Information Security Management System. ISMS)的培训，理解画了一下一 张图(图中包括了规划建立、实施运行、保持和改进)，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项( )。

A、监控和反馈ISMS

B、批准和监督ISMS

C、监视和评审ISMS

D、沟通和咨询ISMS

答案：C

解析：管理体系PDCA分别指的阶段是：P-规划建立、D-实施运行、C-监视和评审、A-保持和改进。

8、[单选题]93、为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些 标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中，()规定了等级保护定级阶段的依据、对象、 流程、方法及等级变更等内容。

A、GB / T 20271-2006《信息系统通用安全技术要求》

B、GB / T 22240-2008《信息系统安全保护等级定级指南》

C、GB / T 25070-2010《信息系统等级保护安全设计技术要求》

D、GB / T 20269-2006《信息系统安全管理要求》

答案：B

9、[单选题]94、某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法 不正确的是：

A、所选择的特征(指纹)便于收集、测量和比较

B、每个人所拥有的指纹都是独一无二的

C、指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题

D、此类系统…般由用户指纹信息釆集和指纹信息识别两部分组成

答案：C

解析：指纹识别系统存在安全威胁问题，同时存在着错误拒绝率和错误接受率的问题。

10、[单选题]95、下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则？

A、《关于加强政府信息系统安全和保密管理工作的通知》

B、《中华人民共和国计算机信息系统安全保护条例》

C、《国家信息化领导小组关于加强信息安全保障工作的意见》

D、《关于开展信息安全风险评估工作的意见》

答案：C

解析：《国家信息化领导小组关于加强信息安全保障工作的意见》(中办2003年27号文件)规定了信息安全工作 的原则，例如立足国情、以我为主、坚持技管并重等。

 

11、[单选题]96、在以下标准中，属于推荐性国家标准的是？

A、GB/T XXXX. X-200X

B、 GB XXXX-200X

C、DBXX/T XXX-200X

D、 GB/Z XXX-XXX-200X

答案：A

解析：A为国标推荐标准；B为国标强制标准；C为地方标准；D为国标指导标准。

 

12、[单选题]97、微软SDL将软件开发生命周期制分为七个阶段，并列出了十七项重要的安全活动。其中“弃用不安全的函数”属 于( )的安全活动

A、要求阶段

B、设计阶段

C、实施阶段

D、验证阶段

答案：C

解析：弃用不安全的函数为编码实施阶段。

13、[单选题]98、由于频繁出现计算机运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做 法中，对于解决问题没有直接帮助的是( )

A、要求所有的开发人员参加软件安全开发知识培训

B、要求增加软件源代码审核环节，加强对软件代码的安全性审査

C、要求统一采用Windows8系统进行开发，不能釆用之前的Windows版本

D、要求邀请专业队伍进行第三方安全性测试，尽量从多角度发现软件安全问题

答案：C

解析：统一采用Windows8系统对软件安全无帮助。

 

14、[单选题]99、关于源代码审核，描述正确的是(  )

A、源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行

B、源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具

C、源代码审核如果想要有效率高，则主要依赖人工审核而不是工具审核，因为人工智能的，需要人的脑袋来判断

D、源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试 答案：B

解析：A错误，因为IATF不用于代码审核；C错误，因为人工和攻击相结合；D错误，安全测试由需求确定。

 

15、[单选题]100、微软提出了 STRIDE模型，其中R是Repudiation(抵赖)的缩写，此项错误的是( )

A、某用户在登录系统并下载数据后，却声称“我没有下载过数据〃软件R威胁

B、某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”威胁也属于R威胁。

C、对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术

D、对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术

答案：D

解析：R-抵赖无法通过过滤、流控和隐私保护实现的，R-抵赖的实现方式包括数字签名、安全审计、第三方公证。

16、有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是： （  ）

A.BP是基于最新技术而制定的安全参数基本配置

B.大部分BP是没有经过测试的

C.一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段

D.一项BP可以和其他BP有重叠

答案：C

解析：A错误，BP基于最佳的工程过程实践；B错误，BP是经过测试的；D错误，一项BP和其他的BP是不重复。

 

17、以下哪一种判断信息系统是否安全的方式是最合理的？（ ）

A.是否己经通过部署安全控制措施消灭了风险

B.是否可以抵抗大部分风险

C.是否建立了具有自适应能力的信息安全模型

D.是否己经将风险控制在可接受的范围内

答案：D

解析：判断风险控制的标准是风险是否控制在接受范围内。

 

18、以下关于信息安全法治建设的意义，说法错误的是： （ ）

A、信息安全法律环境是信息安全保障体系中的必要环节

B、明确违反信息安全的行为，并对行为进行相应的处罚，以打击信息安全犯罪活动

C、信息安全主要是技术问题，技术漏洞是信息犯罪的根源

D、信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系

答案：C

解析：信息安全问题是多方面存在的，不能认为主要为技术问题，同时技术漏洞不是犯罪的根源所在。

19、小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，己知：核心机房的总价价值一百万，灾害将导致资产总价值损失24%,历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少：

A.24万

B.0.09万

C.37.5万

D.9万

答案:D

解析：计算公式为100万×24%×(3/8)=9万

 

20、2005年4月1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是：

A.电子签名一一是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据

B.电子签名适用于民事活动中的合同或者其他文件、单证等文书

C.电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务

D.电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有

答案：D

解析：电子签名不可以与认证服务提供者共有。

 

——小编结语——

 

CISP认证考试题库的重要性，相信屏幕前的网友们有着十分明确的认知了。小编在此预祝每一名报考CISP的学员能够一次考过，成功上岸！