CISP考試內容主要包括信息安全保障、網絡安全監管、信息安全管理、業務連續性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環境安全、軟件安全開發共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內容如下：

單項選擇題

1、以下關于信息安全工程說法正確的是（）

A、信息化建設中系統功能的實現是最重要的

B、信息化建設可以實施系統，而后對系統進行安全加固

C、信息化建設中在規劃階段合理規劃信息安全，在建設階段要同步實施信息安全建設

D、信息化建設沒有必要涉及信息安全建設

答案：C

2、在使用系統安全工程-能力成熟度模型(SSE-CCM)對一個組織的安全工程能力成熟度進行測量時，有關測量結果，錯誤的理解是（）

A、如果該組織在執行某個特定的過程區域時具備了一個特定級別的部分公共特征時，則這個組織在這個過程區域的能力成熟度未達到此級

B、如果該組織某個過程區域(Process Areas，PA)具備了“定義標準過程”、“執行已定義的過程"”兩個公共特征，則此過程區域的能力成熟度級別達到3級“充分定義級"

C、如果某個過程區域(Process Areas，PA)包含4個基本實施(Base Practices,BP)，執行此PA時執行了3個BP，則此過程區域的能力成熟度級別為0

D、組織在不同的過程區域的能力成熟度可能處于不同的級別上

答案：B

3、信息安全工程監理是信息系統工程監理的重要組成部分，信息安全工程監理適用的信息化工程中，以下選擇最合適的是（）

A、通用布纜系統工程

B、電子設備機房系統工程

C、計算機網絡系統工程

D、以上都適用

答案：D

4、信息安全工程監理的職責包括（）

A、質量控制、進度控制、成本控制、合同管理、信息管理和協調

B、質量控制、進度控制、成本控制、合同管理和協調

C、確定安全要求、認可設計方案、監視安全態勢、建立保障證據和協調

D、確定安全要求、認可設計方案、監視安全態勢和協調

答案：A

5.對系統工程(Systems Engineering, SE)的理解，以下錯誤的是（）

A、系統工程偏重于對工程的組織與經營管理進行研究

B、系統工程不屬于技術實現，而是一種方法論

C、系統工程不是一種對所有系統都具有普遍意義的科學方法

D、系統工程是組織管理系統規劃、研究、制造、實驗、使用的科學方法

答案：C

6、關于監理過程中成本控制，下列說法中正確的是?（）

A、成本只要不超過預計的收益即可

B、成本應控制得越低越好

C、成本控制由承建單位實現，監理單位只能記錄實際開銷

D、成本控制的主要目的是在批準的預算條件下確保項目保質按期完成

答案：D

7、某政府機構擬建設一機房，在工程安全監理單位參與下制定了招標文件，項目分二期，一期目標為年內實現系統上線運營，二期目標為次年上半年完成運行系統風險的處理。招標文件經營管理層審批后發布，就此工程項目而言，以下正確的是（）

A、此項目將項目目標分解為系統上線運營和運行系統風險處理分期實施，具有合理性和可行性

B、在工程安全監理的參與下，確保了此招標文件的合理性

C、工程規劃不符合信息安全工程的基本原則

D、招標文件經營管理層審批，表明工程目標符合業務發展規劃

答案：C

8、下列關于ISO15408信息技術安全評估準則(簡稱CC)通用性的特點，即給出通用的表達方式，描述不正確的是（）

A、如果用戶、開發者、評估者和認可者都使用CC語言，互相就容易理解溝通

B、通用性的特點對規范實用方案的編寫和安全測試評估都具有重要意義

C、通用性的特點是在經濟全球化發展、全球信息化發展的趨勢下，進行合格評定

D、通用性的特點使得CC也適用于對信息安全建設工程實施的成熟度進行評估

答案：D

9、下面信息安全漏洞理解錯誤的是（）

A、討論漏洞應該從生命周期的角度出發，信息產品和信息系統在需求、設計、實現、配置、維護和使用等階段中均有可能產生漏洞

B、信息安全漏洞是由于信息產品和信息系統在需求、設計、開發、部署或維護階段，由于設計、開發等相關人員無意中產生的缺陷所造成的

C、信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產品和信息系統帶來安全損害，甚至帶來很大的經濟損失

D、由于人類思維能力、計算機計算能力的局限性等因素，所以在信息產品和信息系統中產生新的漏洞是不可避免的

答案：B

10、以下哪項是對系統工程過程中“概念與需求定義"階段的信息安全工作的正確描述?（）

A、應基于法律法規和用戶需求，進行需求分析和風險評估，從信息系統建設的開始就綜合信息系統安全保障的考慮

B、應充分調研信息安全技術發展情況和信息安全產品市場，選擇最先進的安全解決方案和技術產品

C、應在將信息安全作為實施和開發人員的一項重要工作內容，提出安全開發的規范并切實落實

D、應詳細規定系統驗收測試中有關系統安全性測試的內容

答案：A

11、基于對（）的信任，當一個請求或命令來自一個“權威”人士時，這個請求就可能被毫不懷疑的（）。在（）中，攻擊者偽裝成“公安部門”人員要求受害者對權威的信任。在（）中，攻擊者可能偽裝成監管部門、信息系統管理人員等身份，去要求受害者執行操作，例如偽裝成系統管理員，告訴用戶請求配合進行一次系統測試，要求（）等（）

A、權威：執行：電信詐騙：網絡攻擊：更改密碼

B、權威：執行：網絡攻擊：電信詐騙：更改密碼

C、執行：權威：電信炸騙：網絡攻擊：更改密碼

D、執行：權威：網絡攻擊：電信許騙：更改密碼

答案：A

12、有關系統安全工程_能力成熟度模型(SSE-CMM)中 基本實施( Base Practice)正確的理解是（）

A、BP不限定于特定的方法工具，不同業務背景中可以使用不同的方法

B、BP不是根據廣泛的現有資料，實施和希賽網意見綜合得出的

C、BP不代表信息安全工程領域的最佳實踐

D、BP不是過程區域(Process Areas，PA )的強制項

答案：A

13、了解社會工程學攻擊是應對和防御（）的關鍵，對于信息系統的管理人員和用戶，都應該了解社會學的攻擊的概念和攻擊的（）。組織機構可采取對相關人員實施社會工程學培訓來幫助員工了解什么是社會工程學攻擊，如何判斷是否存在社會工程學攻擊，這樣才能更好的保護信息系統和（）。因為如果對攻擊方式有所了解那么用戶識破攻擊者的偽裝就（）.因此組織機構應持續不斷的向員工提供安全意識的培訓和教育，向員工灌輸（），人機降低社會工程學攻擊的風險（）

A、社會工程學攻擊：越容易：原理：個人數據：安全意識

B、社會工程學攻擊：原理：越容易：個人數據：安全意識

C、原理：社會工程學攻擊：個人數據：越容易：安全意識

D、社會工程學攻擊：原理：個人數據：越容易：安全意識

答案：D

14、信息安全工程作為信息安全保障的重要組成部門，主要是為了解決（）

A、信息系統的技術架構安全問題

B、信息系統組成部門的組件安全問題

C、信息系統生命周期的過程安全問題

D、信息系統運行維護的安全管理問題

答案：C

15、建立并完善（）是有效應對社會工程攻擊的方法，通過()的建立，使得信息系統用戶需要循（）來實施某些操作，從而在一定程度上降低社會工程學的影響.例如對于用戶密碼的修改，由于相應管理制度的要求，（）需要對用戶身份進行電話回撥確認才能執行，那么來自外部的攻擊就可能很難偽裝成為內部工作人員進行（），因為他還需要想辦法擁有一個組織機構內部電話才能實施（）

A、信息安全管理體系：安全管理制度：規范：網絡管理員：社會工程學攻擊

B、信息安全管理體系：安全管理制度：網絡管理員：規范：社會工程學攻擊

C、安全管理制度：信息安全管理體系：規范：網絡管理員：社會工程學攻擊

D、信息安全管理體系：網絡管理員：安全管理制度：規范：社會工程學攻擊

答案：A

16、在使用系統安全工程_能力成熟度模型(SSE-CMM)對一個組織的安全工程能力成熟度進行測量時，正確的理解是（）

A、測量單位是基本實施(Base Practices，BP)

B、測量單位是通用實踐(Generic Practices， GP)

C、測量單位是過程區域(Process Areas, PA)

D、測量單位是公共特征(Common Features， CF)

答案：D

17、信息收集是（）攻擊實施的基礎，因此攻擊者在實施前會對目標進行（），了解目標所有相關的（）。這些資料和信息對很多組織機構來說都是公開或看無用的，然而對攻擊者來說，這些信息都是非常有價值的，這些信息收集得越多，離他們成功得實現（）就越近，如果認為信息沒有價值或價值的非常低，組織機構通常不會采取措施（），這正是社會工程學攻擊者所希望的（）

A、信息收集：社會工程學：資料和信息：身份偽裝：進行保護.

B、社會工程學：信息收集：資料和信息：身份偽裝：進行保護

C、社會工程學：信息收集：身份偽裝：資料和信息：進行保護.

D、信息收集：資料和信息：社會工程學：身份偽裝：進行保護

答案：B

18、有關系統安全工程-能力成熟度模型(SSE-CMM)，錯誤的理解是（）

A、SSE-CMM要求實施組織與其他組織相互作用，如開發方、產品供應商、集成商和咨詢服務商等

B、SSE-CMM 可以使安全工程成為一個確定的、成熟的和可度量的科目

C、基于SSE-CMM的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規劃實施

D、SSE-CMM覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統安全的工程活動

答案：C

19、（）攻擊是建立在人性“弱點”利用基礎上的攻擊，大部分的社會工程學攻擊都是經過（）才能實施成功的，即使是最簡單的“直接攻擊”也需要進行（）。如果希望受害者接受攻擊者所()攻擊者就必須具備這個身份需要的（）

A、社會工程學：精心策劃：前期的準備：偽裝的身份：一些特征

B、精心策劃：社會工程學：前期的準備：偽裝的身份：一些特征

C、精心策劃：社會工程學：偽裝的身份：前期的準備：一些特征

D、社會工程學：偽裝的身份：精心策劃：前期的準備：一些特征

答案：A

注：以上試題來源于網絡，如有侵權，可聯系客服刪除。