CISP考試內容主要包括信息安全保障、網絡安全監管、信息安全管理、業務連續性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環境安全、軟件安全開發共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內容如下：

單項選擇題

1、實施ISMS內審時，確定ISMS的控制目標、控制措施、過程和程序應該要符合相關要求，以下哪個不是?

A. 約定的標準及相關法律的要求

B.已識別的安全需求

C. 控制措施有效實施和維護

D. ISO13335風險評估方法

【答案】D

2、 以下對ISO27001標準的描述不正確的是：

A. 企業通過ISO27001認證則必須符合ISO27001信息安全管理體系規范

的所有要求

B. ISO27001標準與信息系統等級保護等標準相沖突

C.ISO27001是源自于英國的標準BS7799

D. ISO27001是當前國際上最被認可的信息安全管理標準

【答案】B

3、下面哪個組合不是是信息資產

A. 硬件、軟件、文檔資料

B. 關鍵人員

C.組織提供的信息服務

D. 桌子、椅子

【答案】D

4、 對安全策略的描述不正確的是

A. 信息安全策略(或者方針)是由組織的較高管理者正式制訂和發布的描述企業信息安全目標和方向，用于指導信息安全管理體系的建立和實施過程

B. 策略應有一個屬主，負責按復查程序維護和復查該策略

C.安全策略的內容包括管理層對信息安全目標和原則的聲明和承諾;

D. 安全策略一旦建立和發布，則不可變更;

【答案】D

5、 信息的存在及傳播方式

A. 存在于計算機、磁帶、紙張等介質中

B. 記憶在人的大腦里

C… 通過網絡打印機復印機等方式進行傳播

D. 通過投影儀顯示

【答案】D

6、 以下對企業信息安全活動的組織描述不正確的是

A. 企業應該在組織內建立發起和控制信息安全實施的管理框架。

B. 企業應該維護被外部合作伙伴或者客戶訪問和使用的企業信息處理設施和信息資產的安全。

C.在沒有采取必要控制措施，包括簽署相關協議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規定。

D. 企業在開展業務活動的過程中，應該完全相信員工，不應該對內部員工采取安全管控措施

【答案】D

7、有關認證和認可的描述，以下不正確的是

A. 認證就是第三方依據程序對產品、過程、服務符合規定要求給予書面保證(合格證書)

B. 根據對象的不同，認證通常分為產品認證和體系認證

C.認可是由某權威機構依據程序對某團體或個人具有從事特定任務的能力給予的正式承認

D. 企業通過ISO27001認證則說明企業符合ISO27001和ISO27002標準的要求

【答案】D

8、企業信息資產的管理和控制的描述不正確的是

A. 企業應該建立和維護一個完整的信息資產清單，并明確信息資產的管控責任;

B. 企業應該根據信息資產的重要性和安全級別的不同要求，采取對應的管控措施;

C.企業的信息資產不應該分類分級，所有的信息系統要統一對待

D. 企業可以根據業務運作流程和信息系統拓撲結構來識別所有的信息資產

【答案】C

9、以下哪個不可以作為ISMS管理評審的輸入

A. ISMS審計和評審的結果

B. 來自利益伙伴的反饋

C. 某個信息安全項目的技術方案

D. 預防和糾正措施的狀態

【答案】C

10、有關人員安全的描述不正確的是

A. 人員的安全管理是企業信息安全管理活動中最難的環節

B. 重要或敏感崗位的人員入職之前，需要做好人員的背景檢查

C.企業人員預算受限的情況下，職責分離難以實施，企業對此無能為力，也無需做任何工作

D. 人員離職之后，必須清除離職員工所有的邏輯訪問帳號

【答案】C