2021CISP考試開考時間已經固定，由微信公眾號【CISP】對外公布，9月各地都有考試，考試時間不一樣，為了方便考生備考，小編整理了CISP考試試題，可供備考。

26.小王在學習信息安全管理體系相關知識之后，對于建立信息安全管理體系，自己總結了下面四條要求，其中理解不正確的是()

A.信息安全管理體系的建立應參照國際國內有關標準實施，因為這些標準是標準化組織在總結研究了很多實際的或潛在的問題后，制定的能共同的和重復使用的規則

B.信息安全管理體系應強調全過程和動態控制的思想，因為安全問題是動態的，系統所處的安全環境也不會一成不變，不可能建設永遠安全的系統

C.信息安全管理體系的建立應基于一次風險評估徹底解決所有安個問題的思想，因為這是有關信息安全的法律和法規方面的要求，這體現以預防控制為主的思想

D.信息安全管理體系應體現科學性和全面性的特點，因為要對信息安全管理涉及的方方面面實施較為均衡的管理，避免遺漏某些方面而導致組織的整體信息安全水平過低

27.某電子商務網站在開發設計時，使用了威脅建模方法來分析電子商務網站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?()

A . 網站競爭對手可能雇傭攻擊者實施DDos攻擊，降低網站訪問速度

B . 網站使用http協議進行瀏覽等操作，未對數據進行加密，可能導致用戶傳輸信息泄漏，例如購買的商品金額等

C . 網站使用http協議進行瀏覽等操作，無法確認數據與用戶發出的是否一致，可能數據被中途篡改

D . 網站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息

28.以下關于網絡安全設備說法正確的是()

A.防火墻既能實現內外網物理隔離，又能實現內外網邏輯隔離

B.安全隔離與信息交換系統也稱為網閘，需要信息交換時，同一時間可以和兩個不同安全級別的網絡連接

C.入侵檢測系統的主要作用是發現并報告系統中未授權或違反安全策略的行為

D.虛擬專用網是在公共網絡中，利用隧道技術，建立一個一直、安全的通信網絡

29.小牛在對某公司的信息系統進行風險評估后，因考慮到該業務系統中部分涉及金融交易的功能模塊風險太高，他建議該公司以放棄這個功能模塊的方式來處理風險，請問這種風險處置的方法是()

A、降低風險

B、規避風險

C、放棄風險

D、轉移風險

30.關于信息安全應急響應管理過程描述不正確的是()

A.基于應急響應工作的特點和事件的不規則性，事先制定出事件應急響應方法和過程，有助于一個組織在事件發生時阻止亂的發生成是在混亂狀態中迅速恢復控制，將損失和負面影響降到最低

B.應急響應方法和過程并不是

C.一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢測、遏制、根除、恢復和跟蹤總結6個階段

D.一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢測、遏制、根除、恢復和跟蹤總結6個階段，這6個階段的響應方法一定能確保時間處理成功

提示：本次試題無答案解析，請考生知悉，每次更新5題，僅供參照。