(1)
(3)
1 CISP (4)
1.1 CISP (4)
1.2 (4)
1.3 CISP (4)
1.4 CISP CISE/CISO (6)
2 (8)
2.1 (8)
2.1.1 (8)
2.1.2 (8)
2.1.3 (9)
2.2 (9)
2.2.1 (10)
2.2.2 (10)
3 (11)
3.1 (11)
3.1.1 (11)
3.1.2 (12)
3.2 (13)
3.2.1 (13)
3.2.2 (14)
3.3 (14)
3.3.1 (14)
3.3.2 (15)
3.3.3 (15)
3.4 (16)
3.4.1 (16)
3.4.2 (17)
3.5 (17)
3.5.1 (17)
3.5.2 (17)
3.6 (18)
3.6.1 (18)
3.6.2 (19)
3.6.3 (19)
3.7 (20)
3.7.1 (20)
3.7.2 (20)
4 (22)
4.1 (22)
4.1.1 (22)
4.1.2 (23)
4.2 (23)
4.2.1 (23)
4.2.2 (24)
4.3 (24)
4.3.1 (24)
4.3.2 (26)
5 (27)
5.1 (27)
5.1.1 (27)
5.2 (28)
5.2.1 (28)
5.2.2 (28)
5.2.3 (29)
6 (30)
6.1 (30)
6.1.1 (30)
6.1.2 (31)
6.2 (32)
6.2.1 (32)
6.2.2 (32)
6.2.3 (32)
6.3 (33)
6.3.1 (33)
6.3.2 (33)
CISP
CISP
1CISP 2
3
4
5
6
1.1 CISP
Certified Information Security
Professional CISP
CISP
Certified Information Security
Engineer CISE
Certified Information Security
Officer CISO
CISA
CISP-DRP
CISE CISO
CISA
CISA
CISP-DRP
CISP-DRP
1.3 CISP
CISP
1.某公司准备在业务环境中部署一种新的计算机产品,下列哪一项是授权过程的最后一步? A.认证 B.定级 C.认可 D.识别 答案:C 2.下列哪一项准确地描述了可信计算基(TCB)? A.TCB只作用于固件(Firmware) B.TCB描述了一个系统提供的安全级别 C.TCB描述了一个系统内部的保护机制 D.TCB通过安全标签来表示数据的敏感性 答案:C 3.下列哪一项安全机制是一个抽象机,不但确保主体拥有必要的访问权限,而且确保对客体不会有未经 授权的访问以及破坏性的修改行为? A.安全核心 B.可信计算基 C.引用监视器 D.安全域 答案:C 4.安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中的“简单安全 规则”? A.Biba模型中的不允许向上写 B.Biba模型中的不允许向下读 C.Bell-LaPadula模型中的不允许向下写 D.Bell-LaPadula模型中的不允许向上读 答案:D 5.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好 地描述了星或(*-)完整性原则? A.Bell-LaPadula模型中的不允许向下写 B.Bell-LaPadula模型中的不允许向上读 C.Biba模型中的不允许向上写 D.Biba模型中的不允许向下读 答案:C 6.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来 操作业务数据,这种情况属于下列哪种安全模型的一部分? A.Bell-LaPadula模型 B.Biba模型 C.信息流模型 D.Clark-Wilson模型 答案:D 7.作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动 性较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?
1.关于微软的SDL 原则,弃用不安全的函数属于哪个阶段?() A、规划 B、设计 C、实现 D、测试 答案:C 2.优秀源代码审核工具具有哪些特点() ①安全性②多平台性③可扩展性④知识性⑤集成性 A.①②③④⑤ B.②③④ C.①②③④ D.②③ 答案:A 3. 信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括()六个方面的内容。( )是信息安全风险管理的四个基本步骤,( )则贯穿于这四个基本步骤中。 A.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建 立、风险评估、风险处理和批准监督;监控审查和沟通咨询
B.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和监控审查;批准监督和沟通咨询 C.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和沟通咨询;监控审查和批准监督 D.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、监控审查和批准监督;风险处理和沟通咨询 答案:A 4.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程,下列选项中不属于风险评估要素的是()。 A.资产 B.跪弱性 C.威胁 D.安全需求 答案:D 5.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法,他们在讨论中就应该采用自主访问控制还是强制访问控创产生了分歧。小本认为应该采用自主访问控制的方法,他的观点主要有;(1)自主访向控制方式,可为用户提供灵活、可调整的安全策略,合法用户可以修改任一文件的存取控制信息;(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法,他的观点主要有;(3)强制访问控制中,只有文件的拥有者可以修改文件的安全属性,因此安全性较高;(4)强制访问控制能够保护敏感信息。以上四个观点中,只有一个观点是正确的,它是( ). A.观点(1) B.观点(2) C.观点(3)
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.doczj.com/doc/fc14964256.html, email:pcc@https://www.doczj.com/doc/fc14964256.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期:2019年 4 月 中国信息安全测评中心 中电数据服务有限公司
注册个人信息保护专业人员(CISP-PIP) 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息,请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能,为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司,以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初,经中国信息安全测评中心授权,中电数据成立个人信息保护专业人员考试中心,开展注册个人信息保护专业人员(CISP-PIP)知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识,具备个人信息保护理论基础和实践能力,可在数据保护、信息审计、组织合规与风险管理等领域发挥专长,有效提升相关企业数据安全意识和保护能力,强化我国公民个人信息和国家重要数据安全保护水平。
目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6
国家注册信息安全管理体系(ISMS)审核员 培训招生简章 中国信息安全认证中心(China Information Security Certification Center,英文缩写:ISCCC)是经中央编制委员会批准成立,由原国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证(产品认证、服务资质认证和ISMS、ITSM认证)的专门机构。 中国信息安全认证中心是经国家批准的ISMS审核员、信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全技术培训的专业培训机构。 国家注册ISMS审核员是国家认可的ISMS认证审核执业资格,从事和提供第三方ISMS认证的认证机构必须具备规定数量的国家注册ISMS审核员。另外,ISMS审核员也是一个组织中不可缺少的、重要的信息安全岗位,其职责是持续评审组织ISMS的符合性,以保证组织的信息安全符合法规、标准和业务的要求。 为各类人员对培训的需求,我们将定期举办ISMS审核员培训班,欢迎报名参加。 培训班的培训与考试内容、时间与方式见附件。
报名回执: 国家注册ISMS 审核员培训班报名表 注: 1. 学员报名条件按国家ISMS 注册审核员注册基本要求执行(见CCAA网站人员注册-新领域确认-关于发布《信息安全管理体系认证审核员确认方案的》通知)。 2. 请随回执一并提交480*640的数码登记照。 3. 回执请联系:
李智贾梦妮 北京市朝阳区朝外大街甲10号中认大厦,100020 中国信息安全认证中心 电话:传真: 电子邮件:
CISP信息安全管理章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 小李去参加单位组织的信息安全培训后,他把自己对信息安全管理体系(Information Security Management System, ISMS)的理解画了以下一张图,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。 a、监控和反馈ISMS b、批准和监督ISMS c、监视和评审ISMS d、沟通和资询ISMS 最佳答案是:c 2. 在对安全控制进行分析时,下面哪个描述是不准确的? a、对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的 b、应确保选择对业务效率影响最小的安全措施 c、选择好实施安全控制的时机和位置,提高安全控制的有效性 d、仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应最佳答案是:b 3. 以下哪一项不是信息安全管理工作必须遵循的原则? a、风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中 b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 c、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低 d、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力 最佳答案是:c 4. 对信息安全风险评估要素理解正确的是: a、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构 b、应针对构成信息系统的每个资产做风险评价 c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项 d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 最佳答案是:a 5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容: a、出入的原因 b、出入的时间 c、出入口的位置 d、是否成功进入 最佳答案是:a 6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容:
注册信息安全专业人员(CISP) 随着信息技术的迅速发展和广泛应用,网络安全威胁向经济社会的各个方面渗透,成为国家安全的重要组成部分。2017年6月1日《中华人民共和国网络安全法》正式施行,保障网络安全对我国网络安全有着重大意义。 CISP即“注册信息安全专业人员”,系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP),CISP系经中国信息安全产品测评认证中心(已改名中国信息安全测评中心)实施国家认证。CISP是强制培训的。如果想参加CISP考试,必须要求出具授权培训机构的培训合格证明。 一、企业所需 注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。 二、个人所需
CISP作为目前国内最权威的信息安全认证,将会使您的个人职业生涯稳步提升,同时,CISP也是国内拥有会员数最多的信息安全认证,你可以通过CISP之家俱乐部与行业精英交流分享,提高个人信息安全保障水平。 三、适用人群 包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT或安全顾问人员、IT审计人员、信息安全类讲师或培训人员、信息安全事件调查人员、其他从事与信息安全相关工作的人员(如系统管理员、程序员等) 1、CISE(注册信息安全工程师): 适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员 2、CISO(注册信息安全管理人员): 适合政府、各大企事业单位的网络安全管理人员,也适合网络安全集成服务提供商的网络安全顾问人员 四、认证要求 1、注册要求 1.教育与工作经历
信息安全专业人员 注册指南 中国信息安全测评中心 二00八年八月
目录 0 引言 (1) 1 能力要求 (1) 2 注册人员范围 (1) 3 注册信息安全专业人员道德准则 (2) 4 注册程序 (3) 5 培训 (4) 6 考试 (4) 7 申请注册 (5) 8 经历审核 (7) 9 评估、注册与公布 (7) 9.1评估 (7) 9.2注册与公布 (7) 10 注册维持 (8) 11 专业发展 (10) 12 处罚 (11) 13 争议、投诉与申诉 (12) 14 注册人员档案 (12) 15 有关费用 (12)
0 引言 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。 中国信息安全测评中心的英文名称为:China Information Technology Security Evaluation Center,简称:CNITSEC。 中国信息安全测评中心始建于1997年,1998年以“中国互联网络安全产品测评认证中心”的名称试运行。同年经国家技术监督局授权为“中国国家信息安全测评认证中心”。2001年,中央机构编制委员会将其正式定名为“中国信息安全产品测评认证中心”,并批准了相应的职能任务和机构编制。2007年,经中央批准,增加漏洞分析和风险评估职能,更名为“中国信息安全测评中心”,成为国家信息安全专控队伍。(以下简称中心) “注册信息安全专业人员”,英文为Certified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”,英文为Certified Information Security Officer(简称CISO),“注册信息安全审核员”英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。 本指南适用于所有向CNITSEC提出申请“注册信息安全专业人员”的中华人民共和国公民。 1 能力要求 具备一定的信息安全基础知识,了解并掌握GB/T 18336、ISO 15408、ISO 17799等有关信息安全标准,具有进行信息安全服务的能力。其知识体系的要求详见“注册信息安全专业人员资质评估准则”。 2 注册人员范围 包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、
注册信息安全专业人员认证资料(doc 14页)
信息安全和审计 注册信息安全专业人员认证 引言 1 能力要求 2 注册人员范围 3 注册信息安全专业人员道德准则 4 认证程序 5 培训 6 考试 7 申请认证 8 经历审核 9 评价、认证与公布 9.1评价 9.2认证与公布 10 保持认证 11 专业发展 12 处罚 13 争议、投诉与申诉 14 注册人员档案 15 有关费用 16 相关文件及表格 中国信息安全产品测评认证中心(简称CNITSEC)是经中央批准成立的、代表国家
开展信息安全测评认证工作的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。 中国信息安全产品测评认证中心的主要职能是: ·对国内外信息安全产品和信息技术进行测评和认证; ·对国内信息系统和工程进行安全性评估和认证; ·对提供信息系统安全服务的组织和单位进行评估和认证; ·对注册信息安全专业人员的资质进行评估和认证。 “中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。 “注册信息安全专业人员”,英文为Certified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”,英文为Certified Information Security Officer(简称CISO),“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全产品测评认证中心实施国家认证。 本指南适用于所有向CNITSEC提出申请“注册信息安全专业人员”认证的中华人民共和国公民。 1 能力要求 具备一定的信息安全基础知识,了解并掌握GB/T 18336、ISO 15408、ISO 17799等有关信息安全标准,具有进行信息安全服务的能力。其知识体系的要求详见“注册信息安全专业人员资质评估准则”。 2 注册人员范围 包括在国家信息安全测评认证机构(包含授权测评机构)、信息安全咨询
注册信息安全专业人员(CSIP)考试模拟测试题(G) 1. CC 标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC 标准的先进性: A. 结构的开放性 B. 表达方式的通用性 C. 独立性 D. 实用性 答案:C 2. 根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812 号),关于推动信息安全等级保护()建设和开展( )工作的通知(公信安[2010]303号)等文件,由公安部( )对等级保护测评机构管理,接受测评机构的申请、考核和定期(),对不具备能力的测评机构则() A.等级测评;测评体系;等级保护评估中心;能力验证;取消授权 B.测评体系;等级保护评估中心;等级测评;能力验证;取消授权 C.测评体系;等级测评;等级保护评估中心;能力验证;取消授权 D.测评体系;等级保护评估中心;能力验证;等级测评;取消授权 答案:C 3. 以下哪个现象较好的印证了信息安全特征中的动态性( ) A.经过数十年的发展,互联网上已经接入了数亿台各种电子设备 B 刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险 C 某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击 D.某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍然产生了泄露 答案:B 4. 老王是某政府信息中心主任。以下哪项项目是符合《保守国家秘密法》要求的( ) A.老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理 B.老王要求下属小张把中心所有计算机贴上密级标志 C.老王每天晚上12 点将涉密计算机连接上互联网更新杀毒软件病毒库 D.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用 答案:D 5. 关于计算机取征描述不正确的是() A.计算机取证是使用先进的技术和工具,按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪的相关证据的活动 B.取证的目的包括通过证据,查找肇事者,通过证据推断犯罪过程,通过证据判断受害者损失程度及涉及证据提供法律支持 C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品,对于电子证据取证工作主要围绕两方面进行证据的获取和证据的保护 D.计算机取证的过程,可以分为准备,保护,提取,分析和提交五个步骤 答案:C 解释:CISP 4.1 版本(2018.10)教材的第156 页。实际的情况是包括证据的获取和证据的分析两个方面。 6. ()第23 条规定存储、处理国家机秘密的计算机信息系统(以下简称涉密信息系统),按照()实行分级保护,()应当按照国家保密标准配备保密设施、设备。()、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步)。涉密信息系统应当按照规定,经()后方可投入使用。 A.《保密法》;涉密程度;涉密信息系统;保密设施;检查合格 B.《国家保密法》;涉密程度;涉密系统;保密设施;检查合格 C.《网络保密法》;涉密程度;涉密系统;保密设施;检查合格 D.《安全保密法》;涉密程度,涉密信息系统;保密设施;检查合 格答案:B 7. Linux 系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护root 账户、使用网络防火墙和文件权限操作共10 个方面来完成。小张在学习了Linux 系统安全的相关知识后,尝试为自己计算机上的Linux 系统进行安全配置。下列选项是他的部分操作,其中不合理的是()。
【关键字】考试 河南省2018年C类信息安全员考试试题 一、单项选择题(共25 题,每题2 分,每题的备选项中,只有1 个事最符合题意) 1、当脚手架下部暂不能设连墙件时可搭设抛撑。抛撑应采用通长杆件与脚手架可靠连接,连接点中心至主节点的距离不应大于__。抛撑应在连墙件搭设后方可拆除。 A.300mm B.320mm C.340mm D.350mm 2、新浇筑的普通混凝土的自重标准值为__。 A.18kN/m3 B.20kN/m3 C.22kN/m3 D.24kN/m3 3、钢筋弯曲机弯钢筋时,严禁在弯曲钢筋的作业半径内和机身不设__的一侧站人。弯曲好的半成品应堆放整齐,弯钩不得朝上。 A.防备装置 B.漏电保护器 C.固定销 D.活动销 4、起重机钢丝绳上最后一个绳卡距绳头的长度不得小于__。 A.110mm B.120mm C.130mm D.140mm 5、施工现场临时用电必须采用__三相五线接零保护系统的要求。 A.TN-S B.TN-C C.TT D.IT 6、下列选项中,关于卷材屋面的施工安全技术,叙述正确的有__。 A.熬油必须有人看守,熬油量不得超过锅容量的3/4 B.装运沥青的勺、桶、壶等工具,不得用焊锡,盛油量不得超过容器的2/3 C.垂直运输时附近15m范围内禁止站人,屋面上的油桶、油壶必须放置平稳 D.屋面铺贴卷材,四周应设置1.5m高的围栏,靠近屋面四周沿边应侧身操作 E.患皮肤病、眼结膜病以及对沥青严重敏感的工人,不得从事沥青工作 7、脚手架底部的构造应符合的规定要求有__。 A.每根立杆底端应设底座或垫板,且应设纵向、横向扫地杆 B.纵向扫地杆距底座上皮不大于200mm,并采用直角扣件与立杆固定 C.横向扫地杆应采用直角扣件固定在紧靠纵向扫地杆下方的立杆上 D.纵向扫地杆距底座上皮不大于1000mm,并采用直角扣件与立杆固定 E.横向扫地杆设在距底面0.8m处
CISP信息安全技术章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全? a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘 c、操作系统上部署防病毒软件,以对抗病毒的威胁 d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能 最佳答案是:b 2. 对于抽样而言,以下哪项是正确的? a、抽样一般运用于与不成文或无形的控制相关联的总体 b、如果内部控制健全,置信系统可以取的较低 c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 d、变量抽样是估计给定控制或相关控制集合发生率的技术 最佳答案是:b 3. 以下关于账户策略中密码策略中各项作用说明,哪个是错误的: a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令 b、“密码长度最小值”是强制用户使用一定长度以上的密码 c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码 d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换 最佳答案是:c 4. 如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是: a、访问控制表(ACL) b、访问控制矩阵 c、能力表(CL) d、前缀表(Profiles)最佳答案是:c 5. 关于数据库恢复技术,下列说法不正确的是: a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数
注册信息安全专业人员(CSIP)考试模拟测试题(G) 1. CC 标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC 标准的先进性: A. 结构的开放性 B. 表达方式的通用性 C. 独立性 D. 实用性 答案:C 2. 根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812 号),关于推动信息安全等级保护()建设和开展()工作的通知(公信安[2010]303 号)等文件,由公安部()对等级保护 测评机构管理,接受测评机构的申请、考核和定期(),对不具备能力的测评机构则() A. 等级测评;测评体系;等级保护评估中心;能力验证;取消授权 B. 测评体系;等级保护评估中心;等级测评;能力验证;取消授权 C. 测评体系;等级测评;等级保护评估中心;能力验证;取消授权 D. 测评体系;等级保护评估中心;能力验证;等级测评;取消授权 答案:C 3. 以下哪个现象较好的印证了信息安全特征中的动态性() A. 经过数十年的发展,互联网上已经接入了数亿台各种电子设备 B 刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险 C 某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击 D .某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍然产生了泄露 答案:B 4. 老王是某政府信息中心主任。以下哪项项目是符合《保守国家秘密法》要求的() A. 老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理 B. 老王要求下属小张把中心所有计算机贴上密级标志 C .老王每天晚上12 点将涉密计算机连接上互联网更新杀毒软件病毒库 D.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用 答案:D 5. 关于计算机取征描述不正确的是() A. 计算机取证是使用先进的技术和工具,按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪的相关证据的活 动 B. 取证的目的包括通过证据,查找肇事者,通过证据推断犯罪过程,通过证据判断受害者损失程度及涉及证据提供法律支持 C. 电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品,对于电子证据取证工作主要围绕两方面进行证据的获取和证据的保护 D. 计算机取证的过程,可以分为准备,保护,提取,分析和提交五个步骤 答案:C 解释:CISP 4.1版本(2018.10 )教材的第156页。实际的情况是包括证据的获取和证据的分析两个方面。 6. ()第23 条规定存储、处理国家机秘密的计算机信息系统(以下简称涉密信息系统),按照()实行分级保护,()应当按照国家保密标准配备保密设施、设备。()、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步)。涉密信息系统应当按照规定,经()后方可投入使用。 A. 《保密法》;涉密程度;涉密信息系统;保密设施;检查合格 B. 《国家保密法》;涉密程度;涉密系统;保密设施;检查合格 C. 《网络保密法》;涉密程度;涉密系统;保密设施;检查合格 D. 《安全保密法》;涉密程度,涉密信息系统;保密设施;检查合 格答案:B 7. Linux 系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保 护root账户、使用网络防火墙和文件权限操作共10个方面来完成。小张在学习了LinUX系统安全的相关知识后,尝试为自己计算机上的Linux 系统进行安全配置。下列选项是他的部分操作,其中不合理的是()。
谢谢观赏 注册信息安全专业人员-应急响应工程师 白皮书 发布日期:2019年 1 月 中国信息安全测评中心 网神信息技术(北京)股份有限公司?版权2019-攻防领域考试中心
CISP-IRE白皮书 咨询及索取 关于中国信息安全测评中心CISP-IRE考试相关的更多信息,请与注册信息安全专业人员攻防领域考试中心联系。 注册信息安全专业人员攻防领域考试中心联系方式 【邮箱】xxx 【网址】xxx 【地址】北京市海淀区昆明湖南路51号中关村军民融合产业园D座2层 【邮编】100097 360企业安全集团下属的网神信息技术(北京)股份有限公司是以“保护大数据时代的安全”为企业使命,以“数据驱动安全”为技术思想,专注于为政府和企业提供新一代网络安全产品和信息安全服务的提供商。360企业安全集团与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心,由360企业安全集团子公司网神信息技术(北京)股份有限公司具体运营,负责注册信息安全专业人员应急响应工程师(CISP-IRE)资质的培训知识体系制定、考试开发维护、业务推广、市场宣传及持证人员的服务。CISP-IRE专注于培养、考核高级实用型网络安全应急响应安全人才,是业界首个理论与实践相结合的网络安全专项技能水平注册考试。
目录 引言1 一、CISP-IRE考试要求 2 二、CISP-IRE考试方向 2 三、CISP-IRE注册流程 4 四、CISP职业准则4 五、CISP-IRE考生申请资料要求5 六、CISP-IRE收费标准 6 七、注册信息安全专业人员攻防领域考试中心联系方式6
引言 当前,信息化社会发展方兴未艾,信息成为一种重要的战略资源。信息的获取、存储、处理及其安全保障能力成为一个国家综合国力的重要组成部分。目前,信息产业已成为世界第一大产业,信息科学与技术正处于空前繁荣的阶段。信息安全是信息的影子,哪里有信息,哪里就有信息安全问题。在信息科学与技术发展欣欣向荣的同时,危害信息安全的事件也不断发生。 基于严峻的网络空间安全形势,国内外多位信息安全领域资深专家、学者指出:不断增长的产业链式网络攻击虽然日趋严重,但是更让人担忧的是,网络安全人才的短缺致使各个层级的网络安全团队难以“扩军”,信息安全领域人才的储备量远远跟不上网络安全风险的增长量。 网络安全人才决定网络安全技术的交替、更迭,而人才的短缺直接影响政府事业机关网络防御能力,也导致中、小型企业很难组建自己的安全团队。网络安全防范能力堪忧,严重影响我国网络安全建设。 《网络安全法》第三条提出“国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。”因此,培养“高素质的网络安全和信息化人才队伍”的工作刻不容缓! 中国信息安全测评中心主导的注册信息安全专业人员攻防领域考试中心推出的“CISP-IRE”(注册信息安全专业人员-应急响应工程师,Certified Information Security Professional - Incident Response Engineer)技能水平注册考试,锻炼考生实际解决网络安全问题的能力,发现人才,有效增强网络安全防御能力,促进
I S O信息安全管理体系 注册审核员模拟试题 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
ISO27001信息安全管理体系注册审核员模拟试题考题A 2018-04-07?来源:国家注册审核员网 一、判断题:(共7小题,共28分) 1.信息安全的主要属性有保密性、完整性、可用性。【对】 2.信息安全管理体系由若干信息安全管理类组成。【对】 3.集中监控的网状部署结构的节点监控中心之间的通讯需要与管理中心协调调度方可进行。【错】 4.为了安全起见,网络安全员与报警处置中心联系的只使用网络这条唯一通道。【错】 5.黑色星期四"是因有人通过BELL实验室与Internet连接的有漏洞的机器上放置了一个蠕虫程序而引起网络灾难得名的。【错】 6.信息战的军事目标是指一个国家军队的网络系统、信息系统、数据资源。【错】 7.网络物理隔离是指两个网络间链路层、网络层在任何时刻都不能直接通讯。【错】 二、单选题:(共8小题,共32分) 1.关于实现信息安全过程的描述,以下哪一项论述不正确。【D】 A.信息安全的实现是一个大的过程,其中包含许多小的可细分过程 B.组织应该是别信息安全实现中的每一个过程 C.对每一个分解后的信息安全的过程实施监控和测量 D.信息安全的实现是一个技术的过程√ 2.建立和实施信息安全管理体系的重要原则是。【D】 A.领导重视B.全员参与C.持续改进D.以上各项都是√ 3.组织在建立和实施信息安全管理体系的过程中,领导重视可以。【D】 A.指明方向和目标B.提供组织保障C.提供资源保障D.以上各项都是√ 4.你认为建立信息安全管理体系时,首先因该:【B】 A.风险评估B.建立信息安全方针和目标C.风险管理D.制定安全策略 5.《计算机信息系统安全专用产品检测和销售许可证管理办法》是由那个部门颁布的:【B】 A.保密局B.公安部C.密码办D.以上都不是 6.计算机信息系统安全专用产品,是指。【C】 A.用于保护计算机信息系统安全的专用硬件产品 B.用于保护计算机信息系统安全的专用软件产品 C.用于保护计算机信息系统安全的专用硬件和软件产品√ D.以上都不是 7.涉及国家秘密的计算机信息系统,必须:【A】 A.实行物理隔离B.实行逻辑隔离C.实行单向隔离D.以上都不是
注册信息安全专业人员 (应急响应方向)考试及注册申请表 发布日期2019年1月 申请人姓名: 申请类型:□CISP-IRE □CISP-IRS 申请日期: 中国信息安全测评中心 网神信息技术(北京)股份有限公司
填表说明 1. 本表请于考试前填写完毕并向培训机构提交纸版及电子版各一份,由培训机构 进行初审,初审合格后提交CISP-攻防领域考试中心复审;个人考生可直接提交纸版及电子版各一份至CISP-攻防领域考试中心。 2. 表中除了签名的部分外,其他部分均可以打印的形式填写; 3. 表中信息如涉密,须脱密后填写; 4. 为避免因工作变动而无法联系到申请人,请认真填写第一部分“个人情况”中 的备用联系方式,提供一个固定的联系方式。如果申请者的联系方式或所在单位发生变动,请以信函、电话或电子邮件的形式通知CISP-攻防领域考试中心; 5. 第二部分“工作经历”中: 1)建议填写申请人完整的工作经历; 2)专职(或兼职等效)从事与信息安全活动相关的技术或管理工作岗位的工作经历应单独填写; 3)需要时可增加附页; 4)教育和信息安全专业工作经历要求: CISP-IRE/IRS申请学员无需满足学历与工作经历要求,可直接报考。6. 初考学员附身份证正反面复印件、学历学位复印件、2张2寸免冠照片;补考 学员附补考申请表、身份证正反面复印件、2张2寸免冠照片; 7. 表格填写完毕后,请参照第四部分:附件及申请材料完整性自查表进行 检查后再提交申请资料,如果因为个人填写的内容错误导致考试或注册过 程失败,责任由个人承担。 CISP-攻防领域考试中心联系方式 【邮箱】CISP@https://www.doczj.com/doc/fc14964256.html, 【网址】https://www.doczj.com/doc/fc14964256.html,/service/examcisp 【地址】北京市海淀区昆明湖南路51号中关村军民融合产业园D座2层 【邮编】100097
注册信息安全专业人 员
注册信息安全专业人员 渗透测试工程师考试及注册申请表 发布日期2018年9月 申请人姓名: 申请类型:□CISP-PTE □CISP-PTS 申请日期: 中国信息安全测评中心 网神信息技术(北京)股份有限公司
填表说明 1. 本表请于考试前填写完毕并向培训机构提交纸版及电子版各一份,由培训机 构进行初审,初审合格后提交CISP-攻防领域考试中心复审;个人考生可直接提交纸版及电子版各一份至CISP-攻防领域考试中心。 2. 表中除了签名和盖章的部分外,其他部分均可以打印的形式填写; 3. 表中信息如涉密,须脱密后填写; 4. 为避免因工作变动而无法联系到申请人,请认真填写第一部分“个人情况”中 的备用联系方式,提供一个固定的联系方式。如果申请者的联系方式或所在单位发生变动,请以信函、电话或电子邮件的形式通知CISP-攻防领域考试中心; 5. 第二部分“工作经历”中: 1)建议填写申请人完整的工作经历; 2)专职(或兼职等效)从事与信息安全活动相关的技术或管理工作岗位的工作经历应单独填写; 3)需要时可增加附页; 4)教育和信息安全专业工作经历要求: CISP-PTE申请学员无需满足学历与工作经历要求,可直接报考。 6. 初考学员附身份证正反面复印件、学历学位复印件、2张2寸免冠照片;补 考学员附补考申请表、身份证正反面复印件、2张2寸免冠照片; 7. 表格填写完毕后,请参照附件6中的自查表进行检查后再提交申请资料,如 果因为个人填写的内容错误导致考试或注册过程失败,责任由个人承担。
CISP-攻防领域考试中心联系方式 【邮箱】CISP@https://www.doczj.com/doc/fc14964256.html, 【网址】https://www.doczj.com/doc/fc14964256.html,/service/examcisp 【地址】北京市朝阳区来广营创远路36号院朝来高科技产业园7号楼【邮编】100015
2014 广西公需科目信息技术与信息安全考试试卷4 考试时间:150 分钟总分:100 分 1. (2 分) GSM 是第几代移动通信技术?(B ) A. 第三代 B. 第二代 C. 第一代 D. 第四代 2. (2 分)无线局域网的覆盖半径大约是(A )。 A. 10m~100m B. 5m~50m C. 8m~80m D. 15m~150m 3. (2 分)恶意代码传播速度最快、最广的途径是(C )。 A. 安装系统软件时 B. 通过U 盘复制来传播文件时 C. 通过网络来传播文件时 D. 通过光盘复制来传播文件时 4. (2 分)以下关于智能建筑的描述,错误的是(A )。 A. 随着建筑智能化的广泛开展,我国智能建筑市场已接近饱和。 B. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 C. 建筑智能化已成为发展趋势。 D. 智能建筑强调用户体验,具有内生发展动力。 5. (2 分)广义的电子商务是指(B)。 A. 通过互联网在全球范围内进行的商务贸易活动 B. 通过电子手段进行的商业事务活动 C. 通过电子手段进行的支付活动 D. 通过互联网进行的商品订购活动 6. (2分)证书授权中心(CA)的主要职责是(C)。 A. 颁发和管理数字证书
B. 进行用户身份认证 C. 颁发和管理数字证书以及进行用户身份认证 D. 以上答案都不对 7. (2 分)以下关于编程语言描述错误的是(B)。 A. 高级语言与计算机的硬件结构和指令系统无关,采用人们更易理解的方式编写程序,执行速度相对较慢。 B. 汇编语言适合编写一些对速度和代码长度要求不高的程序。 C. 汇编语言是面向机器的程序设计语言。用助记符代替机器指令的操作码,用地址符号或标号代替指令或操作数的地址,一般采用汇编语言编写控制软件、具软件。 D. 机器语言编写的程序难以记忆,不便阅读和书写,编写程序难度大。但具有运行速度极快,且占用存储空间少的特点。 8. (2 分)云计算根据服务类型分为(A )。 A. IAAS 、PAAS、SAAS B. IAAS 、CAAS、SAAS C. IAAS 、PAAS、DAAS D. PAAS、CAAS 、SAAS 9. (2 分)统一资源定位符是(A )。 A. 互联网上网页和其他资源的地址 B. 以上答案都不对 C. 互联网上设备的物理地址 D. 互联网上设备的位置 10. (2分)网站的安全协议是https时,该网站浏览时会进行(B)处理。 A. 增加访问标记 B. 加密 C. 身份验证 D. 口令验证 11. (2分)涉密信息系统工程监理工作应由(D )的单位或组织自身力量承担 A. 具有信息系统工程监理资质的单位; B. 涉密信息系统工程建设不需要监理;