CISP模拟试题及解析：信息安全风险与软件危机

"CISP 必须练习题100题，包含答案和解释，适合备考注册信息安全专业人员考试的考生复习使用。题库涵盖多种信息安全相关知识点，如访问控制机制、风险评估、软件安全开发、信息安全标准以及灾备指标等。" 详细说明： 1. 访问控制策略中，如果各级领导可以对客体实施控制并修改访问控制表，这种模型属于等级型（D）。这是因为在自主访问控制机制中，权限通常由上级管理者分配给下级，形成等级结构。 2. 信息安全风险值是信息资产的价值、面临的威胁以及自身存在的脆弱性的函数（A）。这意味着风险的大小取决于这些因素的组合，而不是单一的因素。 3. 软件安全开发的必要性在于：随着软件应用的普及（A），应用场景变得不再安全（B），软件安全问题频繁发生（C）。因此，选项D认为以上都不是错误的观点，因为软件安全问题确实存在并需要解决。 4. 软件工程的诞生基于工程学（D）的原理，以更系统化、规范化的方法来设计和管理软件开发过程，以克服软件危机。 5. CC标准（B）被描述为我国等同采用的信息安全评估标准。虽然它不是我国的国家标准，但在某些资料中可能被视为等效标准。 6. 在设计信息系统安全保障方案时，错误的做法是过分依赖新技术（C），因为新技术可能存在未被充分验证的风险。应优先考虑需求、成本效益和用户的接受度。 7. 恢复点目标（RPO）是指在发生灾难后，系统能恢复到的最新数据点。RPO-O表示没有数据丢失，即系统恢复后所有数据都是最新的。 这些题目和答案涵盖了CISP考试的关键领域，包括但不限于访问控制策略、风险评估方法、软件工程原则、信息安全标准的应用以及灾难恢复计划的设计原则。备考者应深入理解这些概念，并通过实践来加强记忆和应用能力。