2014cisp练习题新安全工程

CISP—安全工程1、下面有关能力成熟度模型的说法错误的能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两使用过程能力方案时，可以灵活选择评估和改进哪个或那些过程使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程SS-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型答案：D2、的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义2级——计划3级-——充分定4级——量化控5级——持续改3、下列哪项不是信息系统的安全工程的能力成熟度模型（SSE-CMM）的主要过风险评保证过工程过4、SSE-CMM工程过程区域中的风险过程包含哪些过程区域评 、评估脆弱性、评估影评 、评估脆弱性、评估安全风评 、评估脆弱性、评估影响、评估安全风评估 、评估脆弱性、评估影响、验证和证实安答案：C5、信息系统安全工程（ISS）的一个重要目标就是在I项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作：明确业务 的要识别来 的安全要论证安全要求是否正确完答案：D6、信息化建设和建设的关系应当是信息化建设的结束就 建设的开信息化建设 建设应同步规划、同步实信息化建设 建设是交替进行的，无法区分谁先谁以上说法都7、如果你作为甲方负责一个工程项目的实施，当乙方提出一项工程变更时你最应当关注的是变更的流程是否符合预先的规变更是否会对项目进度造成拖变更的原因和造成的8、以下哪项是对系统工程过程中“概念与需求定义”阶段的工作的正确描述应基 和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考应充分调 技术发展情况和产品市场，选择最先进的安全解决方案和技术产应在 作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切答案：A9、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下一项不是必须做的测试系统应使用不低于生产关系的控制措为测试系统中的数据部署完善的备份与恢复措在测试完成后立即清除测试系统中的所有敏感数部署审计措施，记录生产数据拷贝和使10、关于监理过程中成本控制，下列说法中正确的是成本只要不超过预计的收益即成本应控制得越低越成本控制由承建单位实现，监理单位只能记录实际开答案：D11、以下哪一项是对信息系统经常不能满足用户需求的最好解释没有适当的工经常变化的用户需用户参与需求挖掘不12、许多安全管理工作在信息系统生存周期中的运行阶段发生。以下哪一种行为通常是不是在这一阶段中发生的进行系统备管理加密密认可安全控制措13、 管理工作中“符合性”的含义不包括哪一项 的符对安全策略和标准的对用户预期服务效果的符14、下面哪一项最准确的阐述了安全监测措施和安全审计措施之间审计措施不能自动执行，而检测措施可以自动执监视措施不能自动执行，而审计措施可以自动执审计措施 地或周期性的进行，而监测措施是实时地进监测措 地或周期性地进行，而审计措施是实时地进答案15、系统工程是工程的基础学科，说：“系统工程时组织管理系统规划，研究、制造、实验，科学的管理方法，使一种对所有系统都具有普遍意义的科学方法，以下哪项对系统工程的理解是正确的系统工程是法系统工程是一种技术系统工程是一种基本系统工程不以人参与系统为研究对答案16、项目管理是工程的基本理论，以下哪项对项目管理的理解是正确项目管理的基本要素是质量，进度和成项目管理的基本要素是范围，人力和沟项目管理是从项目的执行开始到项目结束的全过程进行计项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论。对项目涉及的技术工作进行有效地管理答案：A17、在信息系统的设计阶段必须做以下工作除了决定使用哪些安全控制措对设计方案的安全性进行评开发信息系统的运行手开发测试、验收和认可方答案 安全风安全保安全技安全管答案19、关于SSE-CMM的描述错误的是1993年4月国家安全局资助，有安全工业界，英国国防部和通信安全机构共同组成SSE-CMM项目组SSE-CMM的能力级别分为6个级别SSE-CMM讲安全工程过程划分为三类：风险、工程和保证20、下面对SSE-CMM说法错误的是它通过域维和能力维共同形成对安全工程能力的域维定义了工程能力的所有实施活能力维定义了工程能力的判断答案：D21、如果可以在组织范围定义文档化的标准过程，在所有的项目规划、执行和已定义的过程，并且可以很好地协调项目活动和组织活动，则组织的安全能力成熟度可以达到？规划定充分定义量化控制持续改进22、“配置管理”是系统工程的重要概念，他在软件工程和工程中得到广泛应用下面对“配置管理”解释最准确的是配置管理的本质是变更流程管配置管理是一个对系统（包括软件、硬件、文档、测试设备、开发\设备）所有变化进行控制的过配置管理是对信息系统的技术参数进行管理配置是对系统基线和源代码的版本进行管23、根据SSE-CMM以下哪项不是在安全工程过程中实施安全控制时需要做的获得用户对安全需求的理建立安全控制的职管理安全控制的配24、下面哪条不属于SSE-CMM中能力级别3“充分定义”级的基本内容改进组织能定义标准过协调安全实25、下面哪项不是工程实施阶段工程监理的主要目标明确工程实施计划、对于计划的调整必须合理、促使工程中所适用的产品和服务符合承建合同及国家相关法律、和标促使业务单位与承建单位充分沟通，形成深化的安全需答案：C26、下列哪项是基于系统的输入、输出和文件的数目和复杂性测量信息系统的大小功能点计划评价与技术快速应用开发27、下面哪一项为系统安全工程能力成熟度模型提供了评估方法28、的系统安全能力成熟度模型达到哪个级别以后，就可以考虑为过程域（PR）的实施提供充分的资源2级――计划3级――充分定4级――最化控5级――持续改29、I工程建设与IT安全工程建设脱节是众多安全风险涌现的根源，同时安全风险也越来越多地体现在应用层。因此迫切需要加强对开发阶段的安全考虑，特别是要加强对数据安全性的考虑，以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素？操作系统的安全加输入数据的数据处理过程控30、下面对能力成熟度模型解释最准确的是它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过它通过严格工程成果来判断工程能它与统计过程控制理论的出发点不同，所以应用于不同领31、下面对于SSE—CMM保证过程的说话错误的是保证是指安全需求得到满足的可信任程信任程度来自于对安全工程过程结果的自验证与证实安全的主要包括观察、论证、分析和测PA“建立保证论据”为PA“验证与证实安全”提供了支33、按照SSE—CMM，能力级别第三级是指定量控计划持续改35、在I项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标：防止出现数据范围以外的防止出现错误的数据处理顺防止缓冲区防止代码注36、工程经理工程师不需要做的工作是编写响应测试方审核响应测试方参与响应测试过37、下列那一项是对信息系统经常不能满足用户需求的最好解没事适当的工经常变化的用户需用户参与需求挖掘不38、根据《信息系统安全保障评估框架第四部分：工程保障》安全工程过程分未实施、基本实施、计 、量化控制、充分定义和持续改未实施、基本实施、计 ，充分定义、量化控制和持续改基本实施、计 、充分定义、量化控制和