2023年3月CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題含解析_第1頁
2023年3月CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題含解析_第2頁
2023年3月CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題含解析_第3頁
2023年3月CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題含解析_第4頁
2023年3月CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題含解析_第5頁
已閱讀5頁,還剩13頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

2023年3月CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題一、單項選擇題1、物理安全周邊的安全設(shè)置應(yīng)考慮:()A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點(diǎn)考慮計算機(jī)機(jī)房,而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機(jī)制D、A+C2、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是()A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險評估程序3、最高管理層應(yīng)(),以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任與權(quán)限D(zhuǎn)、分配角色和權(quán)限4、第三方認(rèn)證審核時,對于審核提出的不符合項,審核組應(yīng):()A、與受審核方共同評審不符合項以確認(rèn)不符合的條款B、與受審核方共同評審不符合項以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評審不符合以確認(rèn)不符合的性質(zhì)D、以上都對5、設(shè)備維護(hù)維修時,應(yīng)考慮的安全措施包括:()A、維護(hù)維修前,按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后,檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部6、計算機(jī)病毒系指_____。A、生物病毒感染B、細(xì)菌感染C、被損壞的程序D、特制的具有損壞性的小程序7、—家投資顧問商定期向客戶發(fā)送有關(guān)財經(jīng)新聞的電子郵件,如何保證客戶收到資料沒有被修改()A、電子郵件發(fā)送前,用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前,用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前,用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前,用投資顧問商的私鑰加密郵件8、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定,國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行()A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度9、組織應(yīng)(),以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達(dá)到必要的程度B、保持文件化信息達(dá)到必要的程度C、保持文件化信息達(dá)到可用的程度D、產(chǎn)生文件化信息達(dá)到必要的程度10、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南11、實(shí)施管理評審的目的是為確保信息安全管理體系的()A、充分性B、適宜性C、有效性D、以上都是12、在每天下午5點(diǎn)使計算機(jī)結(jié)束時斷開終端的連接屬于()A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙13、依據(jù)GB/T22080/ISO/IEC27001,建立資產(chǎn)清單即:()A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn),明確其對組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺賬,同時指定資產(chǎn)負(fù)責(zé)人C、資產(chǎn)價格越高,往往意味著功能越全,因此資產(chǎn)重要性等級就越高D、A+B14、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項性能()A、完整性B、可用性C、保密性D、可靠性15、下面哪個不是典型的軟件開發(fā)模型?()A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型16、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程17、對于較大范圍的網(wǎng)絡(luò),網(wǎng)絡(luò)隔離是:()A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對18、不屬于常見的危險密碼是()A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼19、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級,國家秘密的密級分為()。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機(jī)密、秘密三個級別D、—密、二密、三密、四密四個級別20、下列哪個選項不屬于審核組長的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通21、審核抽樣時,可以不考慮的因素是()A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果22、在以下認(rèn)為的惡意攻擊行為中,屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改23、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于,它不僅備份系統(tǒng)中的數(shù)據(jù),還備份系統(tǒng)中安裝的應(yīng)用程序,數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息,以便迅速()A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)24、關(guān)于信息安全連續(xù)性,以下說法正確的是:A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定25、對于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序,以下做法正確的是()A、實(shí)用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實(shí)用程序清單C、緊急響應(yīng)時所使用的實(shí)用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實(shí)用程序清單26、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理27、在認(rèn)證審核時,一階段審核是()A、是了解受審方ISMS是否正常運(yùn)行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確28、依據(jù)GB/T22080-2016標(biāo)準(zhǔn),符合性要求包括()A、知識產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個人隱私的保護(hù)D、以上都對29、保密性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対30、在信息安全管理體系審核時,應(yīng)遵循()原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點(diǎn)原則阻塞點(diǎn)就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi),可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點(diǎn)。31、關(guān)于信息安全管理體系認(rèn)證,以下說法正確的是()A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期32、由認(rèn)可機(jī)構(gòu)對認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評審、審核等認(rèn)證活動人員的能力和執(zhí)業(yè)資格,予以承認(rèn)的合格評定活動是()。A、認(rèn)證B、認(rèn)可C、審核D、評審33、下面哪一種屬于網(wǎng)絡(luò)上的被動攻擊()A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析34、在規(guī)劃如何達(dá)到信息安全目標(biāo)時,組織應(yīng)確定()A、要做什么,有什么可用資源,由誰負(fù)責(zé),什么時候開始,如何測量結(jié)果B、要做什么,需要什么資源,由誰負(fù)責(zé),什么時候完成,如何測量結(jié)果C、要做什么,需要什么資源,由誰負(fù)責(zé),什么時候完成,如何評價結(jié)果D、要做什么,有什么可用資源,由誰執(zhí)行,什么時候開始,如何評價結(jié)果35、關(guān)于訪問控制策略,以下不正確的是:()A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時限和訪問類型B、對于多任務(wù)訪問,一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致36、過程是指()A、有輸入和輸出的任意活動B、通過使用資源和管理,將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對37、按照PDCA思路進(jìn)行審核,是指()A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進(jìn)行審核B、按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核C、按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核D、以上都對38、文件初審是評價受審方ISMS文件的描述與審核準(zhǔn)則的()A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對39、依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員,必須對在履行職責(zé)中知悉的()嚴(yán)格保密,不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確40、在規(guī)劃如何達(dá)到信息安全目標(biāo)時,組織應(yīng)確定()A、要做什么,有什么可用資源,由誰負(fù)責(zé),什么時候開始,一次何測量結(jié)果B、要做什么,需要什么資源,由誰負(fù)責(zé),什么時候完成,如何測量結(jié)果C、要做什么,需要什么資源,由誰負(fù)責(zé),什么時候完成,如何評價結(jié)果D、要做什么,有什么可用資源,由誰執(zhí)行,什么時候開始,如何評價結(jié)果二、多項選擇題41、下列有關(guān)涉密信息系統(tǒng)說法正確的是()A、涉密信息系統(tǒng)經(jīng)單位保密工作機(jī)構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運(yùn)行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計算機(jī)重裝操作系統(tǒng)后可降為非涉密計算機(jī)使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)42、以下說法不正確的是()A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證,則信息安全管理體系審核可略過風(fēng)險評估43、公司M將信息系統(tǒng)運(yùn)維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是()A、與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B、在對N公司人員服務(wù)時,接入M公司的移動電腦事前進(jìn)行安全掃描C、將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項目組組長名下,由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用D、對N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記,硬盤和U盤不在此檢查登記范圍內(nèi)44、管理評審的輸入應(yīng)包括()。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果45、認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn),特定培訓(xùn)或情況的準(zhǔn)則,以確保審核組至少具備()A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識46、《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動,提高產(chǎn)品、服務(wù)的(),促進(jìn)經(jīng)濟(jì)和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力47、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于()A、指導(dǎo)組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實(shí)施指南C、審核員實(shí)施審核的依據(jù)D、以上都不對48、信息安全管理體系審核應(yīng)遵循的原則包括:()A、誠實(shí)守信B、保密性C、基于風(fēng)險D、基于事實(shí)的決策方法49、按覆蓋的地理范圍進(jìn)行分類,計算機(jī)網(wǎng)絡(luò)可以分為()A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)50、以下()活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識教育計劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評審D、采取糾正措施51、依據(jù)GB/Z20986,確定為重大社會影響的情況包括()A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟(jì)建設(shè)設(shè)有重大負(fù)面影響52、關(guān)于按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求,以下正確的選項是()A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后53、以下()活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識教育計劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評審D、采取糾正措施54、關(guān)于“不可否認(rèn)性”,以下說法正確的是()A、數(shù)字簽名是實(shí)現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段B、身份認(rèn)證是實(shí)現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認(rèn)性”的關(guān)鍵屬性D、具有證實(shí)一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性55、對于組織在風(fēng)險處置過程中所選的控制措施,以下說法正確的是()A、將所有風(fēng)險都必須被降低至可接受的級別B、可以將風(fēng)險轉(zhuǎn)移C、在滿足公司策略和方針條件下,有意識、客觀地接受風(fēng)險D、規(guī)避風(fēng)險三、判斷題56、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。()57、通過修改某種已知計算機(jī)病毒的代碼,使其能夠躲過現(xiàn)有計算機(jī)病毒檢測程序時,可以稱這種新出現(xiàn)的計算機(jī)病毒是原來計算機(jī)病毒的變形。58、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù),這樣才能保證安全。()59、客戶所有場所業(yè)務(wù)的范圍相同,且在同一ISMS下運(yùn)行,并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時,認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的認(rèn)證審核()60、計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸檢索等處理的人機(jī)系統(tǒng)()61、當(dāng)需要時,組織可設(shè)計控制,或識別來自任何來源的控制。()62、審核方案應(yīng)包括審核所需的資源,例如交通和食宿。()63、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同()64、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機(jī)APP完成對公司客戶的服務(wù)請求處理,但手機(jī)須安裝公司規(guī)定的安全控制程序,無論手機(jī)是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。()65、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。

參考答案一、單項選擇題1、D2、B3、C4、B5、D6、D7、C8、C解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度;對非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度,故選C9、B10、D11、D12、A13、A14、B15、A16、D17、B18、D19、C解析:《中華人民共和國保守國家秘密法》第十條,國家秘密的密級分為絕密,機(jī)密,秘密三級20、A21、C22、D23、D24、B25、D26、D解析:27001附錄A12,6,技術(shù)方面的脆弱性管理,應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息,評價組織對這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣響?yīng)對相關(guān)風(fēng)險。故選D27、B28、D29、B30、B31、B32、B33、D解析:主動攻擊會導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論