CISSP第一域1-10题

      来来来，我们从今天开始刷题了，每天10道，练习题来源《CISSP Official (ISC)2 Practice Tests（Second Edition）》，翻译水平有限，有点生涩请见谅哈。今天是第一域安全和风险管理。明天就是第二域，依次类推。答案也在文末直接给出了。

1、定量风险分析的最后一步是什么？

A、确定资产价值

B、确定年度发生率

C、计算年度损失预期值

D、进行成本/效益分析

2、将以下编号的无线攻击术语与相应带有字母的描述进行匹配：

无线攻击术语

1、流氓接入点

2、重放

3、邪恶双胞胎

4、战争驾驶

描述：

A、一种攻击，克隆一个合法访问点的SSID和其认证方式

B、一种接入点，通过假冒一个明显合法的SSID来吸引新的连接

C、一种攻击，通过捕获通信中信息并进行重传来尝试访问目标系统

D、使用检测工具查找无线网络的过程

3、根据《数字千年版权法》（DMCA），什么类型的违法行为不需要互联网服务提供商在收到版权持有人的侵权索赔通知后立即采取行动？

A、 客户在提供商服务器上存储信息

B、 提供者缓存信息

C、 客户通过提供商网络传输信息

D、 提供者搜索引擎中的信息缓存

4、FlyAway Travel在欧盟和美国都设有办事处，并定期在这些办事处之间传递个人信息。他们最近收到一位欧盟客户的请求，要求终止他们的账户。根据一般数据保护条例（GDPR），处理个人信息的哪项要求规定，个人可以要求其数据不再传播或处理？

A、 访问权限

B、 隐私设计

C、 被遗忘的权利

D、 数据可移植性权利

5、以下哪项不是三种常见的威胁建模技术之一？

A、 专注于资产

B、 专注于攻击者

C、 专注于软件

D、 专注于社会工程

6、以下哪一项信息元素不被视为会触发大多数美国州数据违反法律的个人识别信息？

A、 学生识别号

B、 社会保障号码

C、 驾照号码

D、 信用卡号码

7、1991年，联邦量刑指南正式制定了一项规定，要求高级管理人员对信息安全事项承担个人责任。这项规定叫什么名字？

A、 尽职调查规则

B、 个人责任规则

C、 谨慎人规则

D、 正当程序规则

8、以下哪一项与密码配合使用，可以实现多因素身份验证机制？

A、 用户名

B、 个人识别码（PIN）

C、 安全问题

D、 指纹扫描

9、根据欧盟的GDPR政策，美国政府哪个机构负责管理欧盟和美国之间的隐私保护协议的条款，？

A、 国防部

B、 财政部

C、 国务院

D、 商务部

10、Yolanda是一家金融机构的首席隐私官，正在研究与客户支票账户相关的隐私问题。下列哪项法律最有可能适用于这种情况？

A. GLBA

B. SOX

C. HIPAA

D. FERPA

1、D。定量风险分析的最后一步是进行成本/效益分析，以确定组织是否应实施建议的对策。

2、1—B；2--C；3--A；4—D

3、C。DMCA法案规定国际互联网服务提供者（ISP）发生通过其网络侵害他人著作权事件时的责任问题，免除传输信息的责任。

4、C。被遗忘的权利，也称为删除权，保证数据主体能够从处理或使用中删除其信息。它可能与数据处理的同意书有关；如果受试者撤销了对处理的同意，则数据控制器可能需要采取其他步骤，包括删除。

5、D。三种常见的威胁建模技术主要针对攻击者、软件和资产。社会工程是攻击者的一个子集。

6、A。大多数州的数据泄露通知法律都是仿照加利福尼亚州的法律制定的，该法律涵盖社会保险号、驾驶执照号、州身份证号、信用卡/借记卡号、银行账号（连同PIN或密码）、医疗记录和健康保险信息。

7、C。审慎人规则要求高级管理人员承担个人责任，确保普通、审慎的个人在同样的情况下能够适当谨慎行事。该规则最初适用于金融事务，但联邦量刑指南在1991年将其应用于信息安全事务。

8、D。指纹扫描是“你是什么”因素的一个例子，它适合与“你知道什么”密码配对以实现多因素身份验证。用户名不是身份验证因素。PIN和安全问题都是“你知道什么”，当与密码配对时，它们不会实现多因素身份验证，因为这两种方法都来自同一类别，无法满足多因素身份验证的要求。

9、D。美国商务部负责执行欧盟-美国隐私保护协议。

10、A。TheGramm-Leach-Bliley Act（GLBA）包含规范客户财务信息隐私的条款。它特别适用于金融机构

有更多CISSP兴趣的朋友欢迎微信交流。

原文始发于微信公众号（CISSP Learning）：【刷题】CISSP第一域1-10题