CISSP第二域1-10题

        我们今天刷第二域：资产安全，继续10道，练习题来源《CISSP Official (ISC)2 Practice Tests（Second Edition）》，翻译水平有限，有点生涩请见谅哈。

1、Angela是一家银行的信息安全架构师，被指派确保交易在网络中安全进行。她建议所有交易都使用TLS。她试图阻止最有可能的威胁是什么？她用什么方法来防范？

A、 中间人，VPN

B、 数据包注入、加密

C、 嗅探，加密

D、嗅探，TEMPEST

2、信息及相关技术控制目标（COBIT）是信息技术（IT）管理和治理的框架。哪个数据管理角色，最有可能选择并应用COBIT来平衡对安全控制和业务需求的需求？

A、 业务所有者Businessowners

B、 数据处理器

C、 数据所有者

D、 数据管理员

3、什么术语用来描述最低安全标准的起点？

A、 提纲

B、 基线

C、 政策

D、 配置指南

4、通常我们对其所包含的数据分类对介质进行打标签，那打标签是基于什么样的规则？

A、 数据根据其完整性要求进行标记。

B、 介质根据其包含的数据的最高分类级别进行标记。

C、 介质被标记为它所包含的数据的所有级别的分类。

D、 介质用其包含的数据的最低分类级别标记。

5、下列哪个管理过程有助于组织为敏感信息分配适当级别的安全控制？

A、 信息分类

B、 数据残留

C、 传输中的数据

D、 清除

6、数据保留策略如何帮助减少不必要的麻烦？

A、 确保不保留不需要的数据

B、 确保犯罪数据被销毁

C、 通过确保数据被安全擦除，从而无法恢复以进行法律查询

D、 通过降低法律要求的数据存储成本

7、信息技术（IT）部门中负责日常任务的员工担任什么数据角色？

A、 业务所有者

B、 用户

C、 数据处理器processor

D、 数据保管员Custodian

 8、苏珊在一家美国公司工作，该公司与欧盟的客户开展业务。她负责处理这些客户的PII，她可能要做什么？

A、 随时加密数据。

B、 根据HIPAA对数据进行标记和分类。

C、 根据PCI DSS标准进行年度评估。

D、 遵守美国-欧盟隐私保护等标准。

9、Ben的任务是为其组织的信息分类系统所涵盖的系统确保安全控制。为什么Ben会选择使用安全基线？

A、 它适用于所有情况，允许一致的安全控制。

B、 它们得到了行业标准机构的批准，避免了责任。

C、 它们提供了一个很好的起点，可以根据组织的需要进行调整。

D、 它们确保系统始终处于安全状态。

10、如果允许介质可以在相同敏感级别的运行环境中重用，需要采用哪种数据处理方式？

A、 清除Clearing

B、 删除Erasing

C、 根除Purging

D、 清扫Sanitization

1、C。加密通常用于保护通信量，如银行交易不被嗅探。虽然包注入和中间人攻击是可能的，但它们发生的可能性要小得多，如果使用VPN，它将用于提供加密。TEMPEST是一种技术规范，用于防止使用电磁辐射进行间谍活动，不会用于阻止任何正常银行的攻击。

2、A。业务所有者必须在提供价值的需要与监管、安全和其他要求之间取得平衡。这使得采用像COBIT这样的通用框架具有吸引力。数据所有者更可能要求负责控制选择人员确定要使用的标准。数据处理器需要根据欧盟GDPR等法规执行特定操作。最后，在许多组织中，数据管理员是监督如何使用数据的内部角色。

3、B。基线用于确保最低安全标准。策略是标准可以指向权威的基础，配置指南可以从基线构建，以帮助需要实现任务的人员完成任务。提纲是有帮助的，但提纲不是你要找的术语。

4、B。介质通常用它所包含的数据的最高分类级别来标记。这样可以防止在较低的分类级别处理或访问数据。数据完整性要求可能是分类过程的一部分，但在分类方案中并不是唯一因素。

5、A。保护敏感数据的需要推动了信息分类。这使得组织能够专注于需要需要保护的数据，而不是花费精力在不太重要的数据上。数据残留描述试图删除数据后留在介质上的数据。传输数据的目的不是为保护敏感数据，清除是从介质中删除数据的技术过程。

6、A。数据保留策略有助于确保根除过时的数据，从而降低防止数据泄露的潜在额外成本。许多组织都有积极的保留策略，既可以降低存储成本，又可以限制现有和可泄露的数据量。数据保留策略的设计目的不是为了销毁犯罪数据，而且仍然必须满足数据保留的法律要求。

7、D。托管人被授予处理日常任务的角色，他负责处理、存储和保护数据的日常任务。数据处理器是用来处理数据的系统。业务所有者通常是项目或系统所有者，其任务是确保系统为其用户或客户提供价值。

8、D。隐私保护的合规性有助于美国公司遵守欧盟一般数据保护条例。HIPAA是一项美国法律，专门适用于医疗保健和相关组织。另外不可能一直对所有数据进行加密（至少如果你想使用这些数据的话）。PCI DSS是处理信用卡信息的全球合同法规。

9、C。 安全基线提供了范围的起点，并根据组织的需要调整安全控制。它并不总是适合于特定的组织需求，它不能确保系统始终处于安全状态，并且它也不能防止责任。

10、A。清除是为了重新使用介质做准备，清除介质后，未分类的数据将写入介质上的所有可寻址位置，一旦完成，介质就可以重复使用，注意是同密级之间使用。删除是删除文件或介质，这种级别最低。根除是一种更为强烈的清除形式，可在安全性较低的区域中重用（根除后可以将介质从高密级环节拿到低密级环境中使用，但是因为根除的成本较高，比较麻烦，所以用的很少），而清扫是一系列的过程，它从系统或介质中删除数据，同时确保数据无法以任何方式恢复。

        PS：这4个单词建议直接记英文，这样比较容易区分，否则很容易混淆。