2022年3月CCAA注冊審核員ISMS信息安全管理體系考試題目含解析_第1頁
2022年3月CCAA注冊審核員ISMS信息安全管理體系考試題目含解析_第2頁
2022年3月CCAA注冊審核員ISMS信息安全管理體系考試題目含解析_第3頁
2022年3月CCAA注冊審核員ISMS信息安全管理體系考試題目含解析_第4頁
2022年3月CCAA注冊審核員ISMS信息安全管理體系考試題目含解析_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

2022年3月CCAA注冊審核員ISMS信息安全管理體系考試題目一、單項選擇題1、依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員,必須對在履行職責(zé)中知悉的()嚴(yán)格保密,不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確2、確保信息沒有非授權(quán)泄密,即確保信息不泄露給非授權(quán)的個人、實體或進(jìn)程其所用,是指()A、完整性B、可用性C、機密性D、抗抵賴性3、對于所有擬定的糾正和預(yù)防措施,在實施前應(yīng)通過()過程進(jìn)行評審。A、薄弱環(huán)節(jié)識別B、風(fēng)險分析C、管理方案D、A+CE、A+B4、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn),下列說法錯誤的是()A、標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標(biāo)準(zhǔn)中所表述要求的順序反映了這些要求要實現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應(yīng)用風(fēng)險管理過程來保持信息的保密性、完整性和可用性5、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制6、GB/T22080-2016中所指資產(chǎn)的價值取決于()A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部7、審核計劃中不包括()。A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排8、下面哪個不是典型的軟件開發(fā)模型?()A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型9、《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》對應(yīng)的國際標(biāo)準(zhǔn)號為()A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700510、在考慮網(wǎng)絡(luò)安全策略時,應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個方面提出相應(yīng)的對策?A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷11、主動式射頻識別卡(RFID)存在哪一種弱點?()A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR12、gb17859-1999提出將信息系統(tǒng)的安全等級劃分為()個等級,并提出每個級別的安全功能要求A、2B、3C、5D、713、訪問控制是確保對資產(chǎn)的訪問,是基于()要求進(jìn)行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問14、相關(guān)方的要求可以包括()A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)15、風(fēng)險處置計劃,應(yīng)()A、獲得風(fēng)險責(zé)任人的批準(zhǔn),同時獲得對殘余風(fēng)險的批準(zhǔn)B、獲得最高管理者的批準(zhǔn),同時獲得對殘余風(fēng)險的批準(zhǔn)C、獲得風(fēng)險部門負(fù)責(zé)人的批準(zhǔn),同時獲得對殘余風(fēng)險的批準(zhǔn)D、獲得管理者代表的批準(zhǔn),同時獲得對殘余風(fēng)險的批準(zhǔn)16、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護(hù)措施的失效,或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障17、設(shè)備維護(hù)維修時,應(yīng)考慮的安全措施包括:()A、維護(hù)維修前,按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后,檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部18、末次會議包括()A、請受審核方確認(rèn)不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、以上都不準(zhǔn)確19、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求,以下說法正確的是()A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用20、關(guān)于防范惡意軟件,以下說法正確的是:()A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件21、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性,是通過什么實現(xiàn)的?()A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險釣魚22、計算機病毒系指_____。A、生物病毒感染B、細(xì)菌感染C、被損壞的程序D、特制的具有損壞性的小程序23、依據(jù)GB/T22080-2016標(biāo)準(zhǔn),符合性要求包括()A、知識產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個人隱私的保護(hù)D、以上都對24、某公司計劃升級現(xiàn)有的所有PC機,使其用戶可以使用指紋識別登錄系統(tǒng),訪問關(guān)鍵數(shù)據(jù)實施時需要()A、所有受信的PC機用戶履行的登記、注冊手續(xù)(或稱為:初始化手續(xù))B、完全避免失誤接受的風(fēng)險(即:把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險)C、在指紋識別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)25、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定,國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度26、以下哪個選項不是ISMS第一階段審核的目的()A、獲取對組織信息安全管理體系的了解和認(rèn)識B、了解客戶組織的審核準(zhǔn)備狀態(tài)C、為計劃2階段審核提供重點D、確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求27、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在()方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議28、實施管理評審的目的是為確保信息安全管理體系的()A、充分性B、適宜性C、有效性D、以上都是29、在以下認(rèn)為的惡意攻擊行為中,屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改30、組織應(yīng)()A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍31、關(guān)于信息系統(tǒng)登錄口令的管理,以下做法不正確的是:()A、必要時,使用密碼技術(shù)、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令32、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險?A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改33、控制影響信息安全的變更,包括()A、組織、業(yè)務(wù)活動、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動、信息處理設(shè)施和系統(tǒng)變更34、關(guān)于信息安全策略,下列說法正確的是()A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審35、某公司進(jìn)行風(fēng)險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患、為了處置這個風(fēng)險,公司不再提供無線網(wǎng)絡(luò)用于辦公,這種處置方式屬于()A、風(fēng)險接受B、風(fēng)險規(guī)避C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩36、下列不一定要進(jìn)行風(fēng)險評估的是()A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計劃的時間間隔37、在現(xiàn)場審核結(jié)束之前,下列哪項活動不是必須的?()A、關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報告D、聽取客戶對審核發(fā)現(xiàn)提出的問題38、關(guān)于信息安全策略,下列說法正確的是()A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審39、管理者應(yīng)()A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行40、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理二、多項選擇題41、以下說法不正確的是()A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷,并對結(jié)果進(jìn)行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施D、顧客不投訴并不意味著顧客滿意了42、對于審核發(fā)現(xiàn)()A、審核組應(yīng)根據(jù)需要,在審核的適當(dāng)階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求,只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn),以確認(rèn)審核證據(jù)的準(zhǔn)確性,并得到受審核方的理解D、包括正面的和負(fù)面的發(fā)現(xiàn)43、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12,3,1條款要求()A、設(shè)定備份策B、定期測試備份介質(zhì)C、定期備份D、定期測試信息和軟件44、管理評審的輸出包括()A、管理評審報告B、持續(xù)改進(jìn)機會相關(guān)決定C、管理評審會議紀(jì)要D、變更信息的安全管理體系任何需求45、第二階段審核中,應(yīng)重點審核被審核單位的()。A、最高管理者的領(lǐng)導(dǎo)力B、與信息安全有關(guān)的風(fēng)險C、基于風(fēng)險評估和風(fēng)險處置過程D、ISMS有效性46、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類47、最高管理層應(yīng)建立信息安全方針,方針應(yīng)()A、對相關(guān)方可用B、包括對持續(xù)改進(jìn)ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜48、以下()活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)49、關(guān)于審核委托方,以下說法正確的是:()A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核50、《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動,提高產(chǎn)品、服務(wù)的(),促進(jìn)經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力51、以下屬于信息安全管理體系審核證據(jù)的是()A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告52、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過程要形成文件化的信息?()A、信息安全方針B、信息安全風(fēng)險處置過程C、溝通記錄D、信息安全目標(biāo)53、設(shè)計一個信息安全風(fēng)險管理工具,應(yīng)包括如下模塊()。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風(fēng)險趨勢分析D、信息安全事件管理流程54、“云計算機服務(wù)”包括哪幾個層面?()A、PaasB、SaaSC、IaaSD、PIIS55、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是()A、與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B、在對N公司人員服務(wù)時,接入M公司的移動電腦事前進(jìn)行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下,由其按需發(fā)給進(jìn)入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進(jìn)行檢查登記,硬盤和U盤不在此檢查登記范圍內(nèi)三、判斷題56、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。()57、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù),這樣才能保證安全。()58、組織業(yè)務(wù)運行使用云基礎(chǔ)設(shè)施服務(wù),同時員工通過自有手機APP執(zhí)行業(yè)務(wù)過程,此情況下GB/T22080-2016標(biāo)準(zhǔn)A8.1條款可以刪減。()59、GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)()60、在來自可信站點電子郵件中輸入個人或財務(wù)信息是安全的。()61、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃,這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求()62、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn),與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。()63、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實施的()64、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描,因此不再進(jìn)行其他形式的信息安全風(fēng)險評估,這在認(rèn)證審核時是可接受的()65、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。()

參考答案一、單項選擇題1、D解析:網(wǎng)絡(luò)安全法第45條,依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員,必須對在履行職責(zé)中知悉的個人信息,隱私和商業(yè)秘密嚴(yán)格保密,不得泄露,出售或者非法向他人提供。故選D2、C3、B4、B解析:引言中明確表述,標(biāo)準(zhǔn)中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現(xiàn)的順序5、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問,應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問。cd選項錯誤,必須是已授權(quán)用戶才可訪問。A選項錯誤,在家登錄,不符合安全訪問控制策略。故選B6、B7、A8、A9、B10、B11、B12、C解析:《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》規(guī)定了計算機系統(tǒng)安全保護(hù)能力的五個等級13、D14、D15、A16、A17、D18、C19、A20、D21、B22、D23、D24、A25、D26、D27、B解析:局域網(wǎng)是指家庭或是辦公室,或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計算機環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯能力上,故選B28、D29、D30、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文:應(yīng)分離沖突的職責(zé)及其貴任范

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論