CISP考試內容主要包括信息安全保障、網絡安全監管、信息安全管理、業務連續性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環境安全、軟件安全開發共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內容如下：

單項選擇題

1、 下系統工程說法錯誤的是（）

A、系統工程是基本理論的技術實現

B、系統工程是一種對所有系統都具有普遍意義的科學方法

C、系統工程是組織管理系統規劃、研究、制造、試驗、使用的科學方法

D、系統工程是一種方法論

答案：A

2、對系統工程(Systems Engineering，SE) 的理解，以下錯誤的是（）

A、系統工程偏重于對工程的組織與經營管理進行研究

B、系統工程不屬于技術實現，而是一種方法論

C、系統工程不是一種對所有系統都具有普遍意義的科學方法

D、系統工程是組織管理系統規劃、研究、制造、試驗、使用的科學方法

答案：C

3、在工程實施階段，監理機構依據承建合同、安全設計方案、實施方案、實施記錄、或地方相關標準和技術指導文件，對信息化工程進行安全檢查，以驗證項目是否實現了項目設計目標和安全等級要求（）

A、功能性

B、可用性

C、保障性

D、符合

答案：D

4、 系統工程的模型之一霍爾三維結構模型由時間維、邏輯維和知識維組成。有關此模型，錯誤的是（）

A、霍爾三維結構體系形象地描述了系統工程研究的框架

B、時間維表示系統工程活動從開始到結束按時間順序排列的全過程

C、邏輯維的七個步驟與時間維的七個階段嚴格對應，即時間維第-階段應執行邏輯維第一步驟的活動，時間維第二階段應執行邏輯維第二步驟的活動

D、知識維列舉可能需要運用的工程、醫學、建筑、商業、法律、管理、社會科學和藝術等各種知識和技能

答案：C

5、有關項目管理，錯誤的理解是（）

A、項目管理是一門關于項目資金、時間、人力等資源控制的管理科學

B、項目管理是運用系統的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束(正確答案)

C、項目管理包括對項目范圍、時間、成本、質量、人力資源、溝通、風險、采購、集成的管理

D、項目管理是系統工程思想針對具體項目的實踐應用

答案：B

6、以下關于信息安全工程說法正確的是（）

A、信息化建設中系統功能的實現是最重要的

B、信息化建設可以先實施系統，而后對系統進行安全加固

C、信息化建設中在規劃階段合理規劃信息安全，在建設階段要同步實施信息安全建設

D、信息化建設沒有必要涉及信息安全建設

答案：C

7、對惡意代碼的預防，需要采取增強安全防范策略與意識等措施，關于以下預防措施或意識，說法錯誤的是（）

A、在使用來自外部的移動介質前，需要進行安全掃描

B、限制用戶對管理員權限的使用

C、開放所有端口和服務，充分使用系統資源

D、不要從不可信來源下載或執行應用程序

答案：C

8、系統安全工程能力成熟度模型(Systems Security Engineering Capability maturity model, SSE-CMM) 定義的包含評估影響、評估威脅、評估脆弱性和評估安全風險的基本過程領域是（）

A、風險過程

B、工程過程

C、保證過程

D、評估過程

答案：A

9、社會工程學定位在計算機信息安全工作鏈的一個最脆弱的環節，即“人”這個環節上。這些社會工程黑客在某黑客大會上成功攻入世界五百強公司，其中一名自稱是CSO雜志做安全調查，半小時內，攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員，在詢問關于工作滿意度以及食堂食物質量問題后，雇員開始透露其他信息，包括:操作系統、服務包、殺毒軟件、電子郵件及瀏覽器。為對抗此類信息收集和分析，公司需要做的是（）

A、通過信息安全培訓，使相關信息發布人員了解信息收集風險，發布信息最小化原則

B、減少系統對外服務的端口數量，修改服務旗標

C、關閉不必要的服務，部署防火墻、IDS等措施

D、系統安全管理員使用漏洞掃描軟件對系統進行安全審計

答案：A

10、有關系統安全工程-能力成熟度模型(SSE-CMM) 中的通用實施(Generie Practices，GP) ，錯誤的理解是（）

A、GP是涉及過程的管理、測量和制度化方面的活動

B、GP適用于域維中部分過程區域(Process Areas， PA) 的活動而非所有PA的活動

C、系統工程研究強調多學科協作，根據研究問題涉及到的學科和專業范圍，組成一個知識結構合理的希賽網體系

D、系統工程研究是以系統思想為指導，采取的理論和方法是綜合集成各學科、各領域的理論和方法

答案：B

11、以下哪一項不是信息系統集成項目的特點（）

A、信息系統集成項目要以滿足客戶和用戶的需求為根本出發點

B、系統集成就是選擇最好的產品和技術，開發相應的軟件和硬件，將其集成到信息系統的過程

C、信息系統集成項目的指導方法是“總體規劃、分步實施”

D、信息系統集成包含技術，管理和商務等方面，是一項綜合性的系統工程

答案：B

12、以下關于項目的含義，理解錯誤的是（）

A、項目是為達到特定的目的，使用一定資源、在確定的期間內，為特定發起人而提供獨特的產品、服務或成果而進行的一次性努力。

B、項目有明確的開始日期，結束日期由項目的管理者根據項目進度來隨機確定。

C、項目資源指完成項目所需要的人、財、物等。

D、項目目標要遵守SMART原則，即項目的目標要求具體(Specific) 、可測量(Measurable)、需相關方的一致同意(Agreeto) 、現實(Realistic) 、有一定的時限(Time- oriented)

答案：B

13、有關能力成熟度模型(CMM) 錯誤的理解是（）

A、CMM的基本思想是，因為問題是由技術落后引起的，所以新技術的運用會在一定程度上提高質量、生產率和利潤率

B、CMM的思想來源于項目管理和質量管理

C、CMM是一-種衡量工程實施能力的方法，是一種面向工程過程的方法

D、CMM是建立在統計過程控制理論基礎上的，它基于這樣一個假設，即“生產過程的高質量和在過程中組織實施的成熟性可以低成本地生產出高質量產品”

答案：A

14、張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱,然后向該好友的其他好友發送一些欺騙消息。該攻擊行為屬于以下哪類攻擊? （）

A、口令攻擊

B、暴力破解

C、拒絕服務攻擊

D、社會工程學攻擊

答案：D

15、關于補丁安裝時應注意的問題，以下說法正確的是（）

A、在補丁安裝部署之前不需要進行測試，因為補丁發布之前廠商已經經過了測試

B、補丁的獲取有嚴格的標準必須在廠商的網站上獲取.

C、信息系統打補丁時需要做好備份和相應的應急措施

D、補丁安裝部署時關閉和重啟系統不會產生影響

答案：C

16、從系統工程的角度來處理信息安全問題，以下說法錯誤的是（）

A、系統安全工程旨在了解企業存在的安全風險，建立一組平衡的安全需求，融合各種工程學科的努力將此安全需求轉換為貫穿系統整個生存期的工程實施指南。

B、系統安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統的信任度能夠達到企業的要求，或系統遺留的安全薄弱性在可容許范圍之內。

C、系統安全工程能力成熟度模型(SSE-CMM)是-種衡量安全工程實踐能力的方法，是一種使用面向開發的方法。(正確答案)

D、系統安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎上，通過對安全工作過程進行管理的途徑，將系統安全工程轉變為一個完好定義的、成熟的、可測量的先進學科。

答案：C

17、某信息安全公司的團隊對某款名為“紅包快搶”的外掛進行分析發現此外掛是一個典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權，該后門程序為了達到長期駐留在受害者的計算機中，通過修改注冊表啟動項來達到后門程序隨受害者計算機系統啟動而啟動。為防范此類木馬的攻擊，以下做法無用的是（）

A、不下載、不執行、不接收來歷不明的軟件和文件

B、不隨意打開來歷不明的郵件，不瀏覽不健康不正規的網站

C、使用共享文件夾

D、安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件

答案：C

18、有關系統安全工程-能力成熟度模型(SSE-CMM)中的基本實施( Base Practices,BP)，正確的理解是（）

A、BP是基于最新技術而制定的安全參數基本配置

B、大部分BP是沒有經過測試的

C、一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段

D、一項BP可以和其他BP有重疊

答案：C

19、某黑客通過分析和整理某報社記者小張的博客，找到一些有用的信息，通過偽裝的新聞線索，誘使其執行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報社的局域網全部感染木馬病毒，為防范此類社會工程學攻擊，報社不需要做的是（）

A、加強信息安全意識培訓，提高安全防范能力，了解各種社會工程學攻擊方法,防止受到此類攻擊

B、建立相應的安全相應應對措施，當員工受到社會工程學的攻擊，應當及時報告

C、教育員工注重個人隱私保護

D、減少系統對外服務的端口數量，修改服務旗標

答案：D

20、以下對于信息安全事件理解錯誤的是（）

A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統造成危害，或在信息系統內發生對社會造成負面影響的事件

B、對信息安全事件進行有效管理和響應，最小化事件所造成的損失和負面影響,是組織信息安全戰略的一部分

C、應急響應是信息安全事件管理的重要內容

D、通過部署信息安全策略并配合部署防護措施，能夠對信息及信息系統提供保護，杜絕信息安全事件的發生

答案：D

21、在某網絡機房建設項目中，在施工前，以下哪一項不屬于監理需要審核的內容（）

A、審核實施投資計劃

B、審核實施進度計劃

C、審核工程實施人員

D、企業資質

答案：A