CISP考試內容主要包括信息安全保障、網絡安全監管、信息安全管理、業務連續性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環境安全、軟件安全開發共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內容如下：

單項選擇題

1、以下有關訪問控制的描述不正確的是

A. 口令是最常見的驗證身份的措施，也是重要的信息資產，應妥善保護和管理

B. 系統管理員在給用戶分配訪問權限時，應該遵循“最小特權原則”，即分配給員工的訪問權限只需滿足其工作需要的權限，工作之外的權限一律不能分配

C.單點登錄系統(一次登錄/驗證，即可訪問多個系統)最大的優勢是提升了便利性，但是又面臨著“把所有雞蛋放在一個籃子”的風險;

D. 雙因子認證(又稱強認證)就是一個系統需要兩道密碼才能進入;

【答案】D

2、 以下對審核發現描述正確的是

A. 用作依據的一組方針、程序或要求

B.與審核準則有關的并且能夠證實的記錄、事實陳述或其他信息

C. 將收集到的審核證據依照審核準則進行評價的結果，可以是合格/符合項，也可以是不合格/不符合項

D. 對審核對象的物理位置、組織結構、活動和過程以及時限的描述

【答案】C

3、 以下有關信息安全方面的業務連續性管理的描述，不正確的是

A. 信息安全方面的業務連續性管理就是要保障企業關鍵業務在遭受重大災難/破壞時，能夠及時恢復，保障企業業務持續運營

B. 企業在業務連續性建設項目一個重要任務就是識別企業關鍵的、核心業務

C.業務連續性計劃文檔要隨著業務的外部環境的變化，及時修訂連續性計劃文檔

D. 信息安全方面的業務連續性管理只與IT部門相關，與其他業務部門人員無須參入

【答案】D

4、ISMS審核常用的審核方法不包括?

A. 糾正預防

B.文件審核

C. 現場審核

D. 滲透測試

【答案】A

5、有關信息安全事件的描述不正確的是

A. 信息安全事件的處理應該分類、分級

B. 信息安全事件的數量可以反映企業的信息安全管控水平

C.某個時期內企業的信息安全事件的數量為零，這意味著企業面臨的信息安全風險很小

D. 信息安全事件處理流程中的一個重要環節是對事件發生的根源的追溯，以吸取教訓、總結經驗，防止類似事情再次發生

【答案】C

6、 ISMS的內部審核員(非審核組長)的責任不包括?

A. 熟悉必要的文件和程序;

B.根據要求編制檢查列表;

C. 配合支持審核組長的工作，有效完成審核任務;

D. 負責實施整改內審中發現的問題;

【答案】D

7、有關信息系統的設計、開發、實施、運行和維護過程中的安全問題，以下描述錯誤的是

A. 信息系統的開發設計，應該越早考慮系統的安全需求越好

B. 信息系統的設計、開發、實施、運行和維護過程中的安全問題，不僅僅要考慮提供一個安全的開發環境，同時還要考慮開發出安全的系統

C.信息系統在加密技術的應用方面，其關鍵是選擇密碼算法，而不是密鑰的管理

D. 運營系統上的敏感、真實數據直接用作測試數據將帶來很大的安全風險

【答案】C

8、審核在實施審核時，所使用的檢查表不包括的內容有?

A. 審核依據

B.審核證據記錄

C. 審核發現

D. 數據收集方法和工具

【答案】C

9、ISMS審核時，首次會議的目的不包括以下哪個?

A. 明確審核目的、審核準則和審核范圍

B.明確審核員的分工

C. 明確接受審核方責任，為配合審核提供必要資源和授權

D. 明確審核進度和審核方法，且在整個審核過程中不可調整

【答案】D

10、以下有關通信與日常操作描述不正確的是

A. 信息系統的變更應該是受控的

B. 企業在崗位設計和人員工作分配時應該遵循職責分離的原則

C.移動介質使用是一個管理難題，應該采取有效措施，防止信息泄漏

D. 內部安全審計無需遵循獨立性、客觀性的原則

【答案】D