高级软件人才培训专家-CISP-2练习题二卷

### 高级软件人才培训专家-CISP-2练习题知识点详解 #### 一、等级保护实施阶段及流程 - **知识点概述**： - 根据GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》，等级保护实施分为五个主要阶段。 - 实际操作中，基于已有系统的现状，逐步形成了另一套实施流程。 - **详细解释**： - **五大阶段**：定级、总体规划、设计实施、运行维护、系统终止。 - **定级**：根据系统的功能和重要性对其进行等级划分。 - **总体规划**：制定全面的安全策略和技术方案。 - **设计实施**：按照规划进行安全措施的设计和实施。 - **运行维护**：确保系统在运行过程中持续符合安全要求。 - **系统终止**：在系统不再使用时，妥善处理相关信息和资产。 - **实际操作流程**：定级、备案、差距分析、建设整改、验收测评、定期复查。 - **定级**：确定系统的保护级别。 - **备案**：向相关部门提交系统的基本信息。 - **差距分析**：评估系统当前状态与要求之间的差距。 - **建设整改**：根据差距分析的结果进行相应的安全改进。 - **验收测评**：验证整改后的系统是否达到要求。 - **定期复查**：定期检查系统是否持续符合安全标准。 - **关键概念对比**： - 实施指南中的五大阶段侧重于从项目管理的角度出发，涵盖了从系统初期到最终退役的整个生命周期。 - 实际操作流程则更注重于已建成系统的持续改进，侧重于通过一系列具体的步骤来提升系统的安全水平。 #### 二、Windows管理控制台命令 - **知识点概述**：掌握用于打开Windows管理控制台的命令。 - **详细解释**： - **mmc**：Windows Management Console (MMC) 是一个提供统一界面的工具，用于管理各种系统组件和服务。 - **应用场景**：适用于需要进行高级系统管理任务的情况，如查看日志、管理服务或网络设置等。 #### 三、信息安全的动态性特征 - **知识点概述**：理解信息安全特性中的动态性。 - **详细解释**： - **定义**：信息安全的动态性指的是安全状况会随着时间和环境的变化而变化，需要持续关注并采取相应措施。 - **例证**：刚刚完成风险评估并采取措施后不久，新的系统漏洞出现，使信息系统面临新的风险。这体现了信息安全的动态性。 #### 四、质量管理的概念与实践 - **知识点概述**：理解质量管理的基本概念和实践方法。 - **详细解释**： - **质量管理定义**：是一系列相互协调的活动，旨在实现组织的质量目标。 - **ISO 9000系列标准**：提供了质量管理的原则和指南，帮助组织建立和改进其质量管理体系。 - **质量管理体系的核心**：将资源与过程相结合，采用过程管理方法，确保持续改进。 - **四个关键方面**：机构、程序、过程和总结。 #### 五、ISO27001标准及其前身 - **知识点概述**：ISO27001标准及其历史背景。 - **详细解释**： - **ISMS定义**：信息安全管理体系（ISMS）为组织建立、实施、维护和改进信息安全提供了一个框架。 - **BS7799标准**：ISO27001的前身，最初由英国贸易工业部（DTI）发布。 - **BS7799-1**：1995年发布的《信息安全管理实施细则》，提供了一系列信息安全最佳实践指南。 #### 六、防止网页病毒入侵的措施 - **知识点概述**：评估不同措施的有效性。 - **详细解释**： - **措施评估**：四项措施中，“禁止使用IE浏览器并统一使用Chrome浏览器”的建议不太适合推广。 - **原因**：虽然更换浏览器可以在一定程度上提高安全性，但许多应用程序和网站与IE浏览器兼容，强制更换可能会影响正常工作，并不能完全防止病毒感染。 #### 七、ISO27001控制措施的范围 - **知识点概述**：ISO27001标准下的控制措施领域。 - **详细解释**： - **控制措施领域**：包括信息安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信安全等。 - **不包含的领域**：业务安全性审计不在ISO27001控制措施范围内。 #### 八、保护-检测-响应模型 - **知识点概述**：PDR模型的基本构成。 - **详细解释**： - **模型构成**：保护（Protection）、检测（Detection）、响应（Response）。 - **应用场景**：在信息安全保障工作中，该模型帮助组织应对潜在的安全威胁。 - **关键环节**：强调通过适度防护、加强检测以及有效响应来保障系统安全。