摘要：对于【信息系统项目管理师】软考考试而言，试题无疑是最重要的学习资料之一。在软考备考过程中，吃透所考知识点、熟悉出题思路，对我们提升分数的效果是最明显的，通过试题反复练习，还可以查漏补缺。今天，给大家带来【信息系统项目管理师】部分试题的详解，一起来看看吧~



1、按优先级或相对等级排列项目风险，属于 （ ） 的输出。
A、 定性风险分析
B、 定量风险分析
C、 风险管理计划
D、 风险监视表

答案:A
答题解析:

风险定性分析的输出如下：

 风险记录（更新）

风险记录在风险识别过程中被初始化。风险记录随着风险定性分析的进展而更新。更新的风险记录包含在项目管理计划中。其中包括：

 按优先级或相对等级排列的项目风险。概率及影响矩阵可以根据每个风险的重要程度进行分类。因此，项目经理可以把注意力放在比较重要的风险上，对这些风险的有效管理可以进一步改善项目的输出结果。风险可以根据成本、时间、范围及质量单独地列出优先级清单，因为组织可以由一个目标来评价另一个目标。

 按种类的风险分组。风险分类会揭示某些风险的共同原因或需要我们特别关注的项目区域。发现风险的集中性可以提高风险响应的有效性。

 需要近期做出响应的风险列表。要求紧急响应的风险可以归为一类，需要延迟处理的风险可以归为另一类。

 需要进一步分析和应对的风险列表。有些风险需要做进一步的分析，如定量分析和应对。

 低优先级风险的监视表。在风险定性分析过程中不重要的风险将被放在监视列表中以备继续监视。

 风险定性分析的趋势。随着分析的不断重复，特定风险结果的趋势愈加明显。

 使得风险应对或进一步分析的紧迫性、重要性可能增加，也可能减少。

2、信息系统安全可以分为5个层面的安全要求，包括：物理、网络、主机、应用、数据及备份恢复，“当检测到攻击行为时，记录攻击源IP，攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警”属于 （ ） 层面的要求。
A、 物理
B、 网络
C、 主机
D、 应用

答案:B
答题解析:

《信息系统安全等级保护基本要求》GB/T 22239—2008中有原文描述，7.1技术要求；7.1.2网络安全，7.1.2.5入侵防范。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

3、访问控制是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用的安全措施，以下关于访问控制的叙述中， （ ） 是不正确的。
A、 访问控制包括2个重要的过程：鉴别和授权
B、 访问控制机制分为2种：强制访问控制（MAC）和自主访问控制（DAC）
C、 RBAC基于角色的访问控制对比DAC的先进处在于用户可以自主将访问的权限授给其他用户
D、 RBAC不是基于多级安全需求的，因为基于RBAC的系统中主要关心的是保护信息的完整性，即“谁可以对什么信息执行何种动作”

答案:C
答题解析:

基于角色的访问控制（RBAC）：角色由应用系统的管理员定义，角色成员的增减也只可以由系统的管理员执行，授权规定是强加给用户的，用户只能被动接受，不可以自主的决定，也不可以自主地将访问权限传给他人。