cisp试题及答案

cisp试题及答案

一、引言本试题及答案围绕CISP（注册信息安全专业人员）认证核心知识域设计，涵盖信息安全管理体系、风险管理、数据安全、网络安全、安全策略等关键内容，题型包括单项选择、多项选择、判断及简答题，共72题，总分100分旨在帮助备考人员通过模拟练习巩固知识点，提升应试能力，内容基于信息安全行业实践经验整理，可作为日常学习和考前冲刺参考

二、单项选择题（共30题，每题1分，共30分）（以下题目均为单选题，每题只有一个正确答案）CISP认证的核心能力要求不包括（）A.信息安全风险评估B.安全策略制定与实施C.软件开发全流程管理D.安全事件应急响应根据《信息安全技术信息安全管理体系要求》（GB/T22080），ISMS的建立过程不包括（）A.范围定义B.风险评估C.体系试运行D.第三方认证审核以下哪项不属于信息安全风险评估中的“资产”范畴？（）A.数据资产B.硬件设备C.安全策略文件第1页共14页D.网络拓扑图CISP认证对“持续教育”的要求是（）A.无需参加持续教育B.每2年完成40学时继续教育C.每年完成20学时继续教育D.认证终身有效，无需继续教育以下哪种攻击属于被动攻击？（）A.DDoS攻击B.数据窃听C.恶意代码感染D.暴力破解信息安全“PDRR”模型中的“R”指的是（）A.保护（Protection）B.检测（Detection）C.响应（Response）D.恢复（Recovery）以下哪项是数据分类分级的核心目的？（）A.提高数据存储效率B.实现差异化安全保护C.减少数据备份成本D.优化数据传输速度CISP认证审核中，对申请人“实践经验”的要求是（）A.至少1年信息安全相关工作经验B.至少2年信息安全相关工作经验C.至少3年信息安全相关工作经验第2页共14页D.无明确经验要求以下哪项不属于安全策略的核心要素？（）A.目标与范围B.适用对象C.技术实现细节D.责任部门与人员风险评估中，“风险值”的计算公式通常为（）A.威胁可能性×脆弱性B.资产价值×威胁可能性C.资产价值×脆弱性×威胁可能性D.资产价值×威胁可能性/脆弱性以下哪项不属于《网络安全法》规定的关键信息基础设施安全保护要求？（）A.安全检测和风险评估B.应急预案与演练C.数据跨境流动备案D.系统硬件国产化CISP持证人员的“保密义务”要求不包括（）A.不泄露认证相关敏感信息B.不参与未经授权的安全测试C.不使用认证资质谋取私利D.可向任何人分享认证考试内容以下哪种技术可有效防止SQL注入攻击？（）A.数据加密B.输入验证与参数化查询第3页共14页C.防火墙部署D.入侵检测系统信息安全管理体系（ISMS）中，“监控与评审”的周期通常为（）A.每季度1次B.每半年1次C.每年1次D.每3年1次以下哪项是安全事件响应的第一步？（）A.事件分析与定位B.事件遏制与消除C.事件识别与报告D.事后总结与改进CISP认证的“初始审核”流程不包括（）A.申请材料审核B.笔试考试C.面试答辩D.背景调查数据备份策略中，“3-2-1”原则指的是（）A.3份备份、2种介质、1个副本B.3份备份、2种介质、1个异地存储C.3个备份点、2种介质、1份加密副本D.3份数据、2种存储方式、1个本地副本以下哪项属于“软件安全开发生命周期（SDL）”的核心阶段？（）A.需求分析与设计B.系统运维与优化第4页共14页C.数据备份与恢复D.安全事件响应CISP持证人员若出现违规行为，可能面临的后果不包括（）A.暂停认证资格B.撤销认证证书C.行业通报批评D.自动晋升认证等级以下哪项不属于信息安全风险评估中的“威胁”来源？（）A.恶意攻击者B.软硬件故障C.自然灾害D.安全策略完善安全审计的核心目的是（）A.发现系统漏洞B.记录操作行为并追溯C.优化系统性能D.提升用户体验CISP认证对“职业道德”的要求不包括（）A.廉洁自律，不谋私利B.保守工作秘密C.可接受客户提供的礼品D.拒绝参与违规操作以下哪种不属于常见的访问控制模型？（）A.自主访问控制（DAC）B.强制访问控制（MAC）第5页共14页C.基于角色的访问控制（RBAC）D.基于流量的访问控制（TBAC）信息安全“纵深防御”策略的核心思想是（）A.部署多种安全设备，形成防御体系B.从多个层面构建安全防护，单点失效不影响整体C.仅在关键系统部署安全防护D.定期更换安全设备，避免技术落后CISP认证考试中，“案例分析题”通常考察的能力不包括（）A.风险识别与评估能力B.安全策略制定能力C.代码编写能力D.安全事件处置能力数据脱敏的主要目的是（）A.提高数据存储效率B.保护敏感信息不被泄露C.加快数据传输速度D.优化数据处理性能以下哪项不属于“安全基线”的内容？（）A.操作系统安全配置B.数据库访问权限设置C.网络拓扑结构设计D.服务器密码复杂度要求CISP持证人员继续教育的内容不包括（）A.信息安全新技术B.相关法律法规更新第6页共14页C.认证考试原题解析D.行业最佳实践风险处置中，“风险规避”的适用场景是（）A.风险发生可能性高、影响严重B.风险发生可能性低、影响轻微C.风险可通过技术手段完全消除D.风险无法识别或评估以下哪项是“信息安全管理体系（ISMS）”与“风险管理”的关系？（）A.ISMS是风险管理的一部分B.风险管理是ISMS的核心要素C.两者完全独立，无关联D.风险管理是ISMS的结果输出

三、多项选择题（共20题，每题2分，共40分）（以下题目均为多选题，每题至少有2个正确答案，多选、错选、漏选均不得分）CISP认证的核心知识域包括（）A.信息安全管理B.风险评估与管理C.安全工程与实施D.安全运营与应急响应信息安全管理体系（ISMS）文件化的内容通常包括（）A.信息安全方针B.风险评估报告C.安全策略与标准第7页共14页D.运行程序与记录数据安全保护的关键技术包括（）A.数据加密B.数据脱敏C.数据备份与恢复D.数据防泄漏（DLP）网络安全防护技术中，属于“边界防护”的有（）A.防火墙B.入侵检测/防御系统（IDS/IPS）C.VPND.网络隔离技术风险评估过程中，“资产识别”应考虑的维度包括（）A.价值（机密性、完整性、可用性）B.重要性C.依赖关系D.数量与规模CISP持证人员的“保密义务”具体包括（）A.对认证过程信息严格保密B.不泄露客户敏感数据C.不利用未公开信息谋取利益D.可向亲友分享认证考试内容以下属于“安全事件”的有（）A.系统被恶意入侵B.数据泄露C.硬件故障第8页共14页D.员工误操作导致数据损坏信息安全技术标准中，与ISMS相关的有（）A.ISO/IEC27001B.NIST SP800-26C.GB/T22080D.ISO/IEC27002访问控制的基本要素包括（）A.主体B.客体C.授权D.认证安全基线配置的依据通常包括（）A.行业标准B.法律法规要求C.组织业务需求D.历史安全事件数据分类分级的原则包括（）A.准确性B.客观性C.动态调整D.最小化以下属于“主动攻击”的有（）A.数据篡改B.拒绝服务攻击C.端口扫描第9页共14页D.数据窃听CISP认证申请的条件包括（）A.满足规定的工作经验要求B.通过CISP培训并获得培训证明C.无违法违规记录D.通过认证考试信息安全意识培训的对象包括（）A.全体员工B.管理层C.技术人员D.外部合作伙伴风险处置策略中，“风险转移”的方式包括（）A.购买网络安全保险B.外包安全服务C.采用成熟的第三方产品D.员工安全意识培训安全审计的作用包括（）A.发现潜在安全漏洞B.追溯安全事件责任人C.验证安全控制有效性D.优化系统性能数据备份策略的关键参数包括（）A.备份频率B.备份介质类型C.恢复时间目标（RTO）第10页共14页D.恢复点目标（RPO）以下属于“信息安全管理体系（ISMS）”目标的有（）A.保护组织信息资产B.满足法律法规要求C.提升业务连续性D.消除所有安全风险CISP持证人员继续教育的方式包括（）A.参加官方组织的培训课程B.发表信息安全相关论文C.参与行业交流活动D.自学信息安全书籍安全策略的制定原则包括（）A.合规性B.可执行性C.全员参与D.动态更新

四、判断题（共20题，每题1分，共20分）（对的打“√”，错的打“×”）CISP认证是国家认可的信息安全专业人员资质认证（）信息安全风险评估仅需评估资产的“价值”，无需考虑威胁和脆弱性（）ISMS的建立必须采用国际标准ISO/IEC27001（）数据加密可保护数据的机密性和完整性（）安全事件响应的首要目标是恢复系统正常运行（）CISP持证人员无需参与持续教育即可保持认证有效性（）第11页共14页防火墙可完全阻止所有网络攻击（）风险评估中，“威胁可能性”是指威胁发生的概率（）数据脱敏是在数据使用阶段对敏感信息进行处理的技术（）信息安全方针是ISMS的顶层文件，需全员知晓并遵守（）CISP认证考试包含笔试和面试两部分（）访问控制列表（ACL）是实现强制访问控制（MAC）的核心技术（）安全基线是对系统安全配置的最低要求（）风险处置中，“风险缓解”是指完全消除风险（）数据备份的“3-2-1”原则中，“1个副本”必须存储在异地（）CISP持证人员的职业道德准则仅适用于工作时间（）网络隔离技术可有效隔离不同安全级别的网络（）信息安全事件的“根本原因分析”是为了找出事件发生的直接原因（）安全审计日志应至少保存1年以上（）数据安全是信息安全的核心组成部分，涉及数据全生命周期保护（）

五、简答题（共2题，每题5分，共10分）简述信息安全风险评估的基本流程写出CISP认证的基本申请条件

六、参考答案

一、单项选择题（共30题）C

2.D

3.D

4.B

5.B

6.D

7.B

8.C

9.C

10.CD

12.D

13.B

14.C

15.C

16.B

17.B

18.A

19.D

20.DB

22.C

23.D

24.B

25.C

26.B

27.C

28.C

29.A

30.B

二、多项选择题（共20题）第12页共14页ABCD

2.ABCD

3.ABCD

4.ABCD

5.ABC

6.ABC

7.ABD

8.ACD

9.ABCD

10.ABCDABCD

12.ABC

13.ABCD

14.ABCD

15.ABC

16.ABC

17.ABCD

18.ABC

19.ABC

20.ABCD

三、判断题（共20题）√

2.×

3.×

4.×

5.×

6.×

7.×

8.√

9.√

10.√√

12.×

13.√

14.×

15.√

16.×

17.√

18.×

19.×

20.√

四、简答题（共2题）信息安全风险评估基本流程

①准备阶段明确评估范围、组建团队、制定计划；

②资产识别与价值评估识别关键信息资产，评估其机密性、完整性、可用性价值；

③威胁识别识别可能导致资产受损的威胁来源（如恶意攻击、软硬件故障等）；

④脆弱性识别发现资产存在的安全漏洞或管理缺陷；

⑤现有控制措施评估分析已部署的安全控制有效性；

⑥风险分析计算风险值（威胁可能性×脆弱性×资产价值）；

⑦风险评价判断风险等级（高、中、低），确定风险优先级；

⑧风险处置建议提出风险规避、缓解、转移或接受的具体措施CISP认证基本申请条件

①满足规定的信息安全相关工作经验（本科需满2年，专科需满4年）；

②完成CISP授权培训机构的规定培训并获得培训合格证明；第13页共14页

③通过CISP认证考试；

④无严重违法违规记录，承诺遵守职业道德规范说明本试题内容基于CISP考试大纲整理，答案以官方认证标准为准，仅供学习参考如需深入学习，建议结合CISP官方教材及相关标准规范第14页共14页。