2024年3月CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析_第1頁
2024年3月CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析_第2頁
2024年3月CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析_第3頁
2024年3月CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析_第4頁
2024年3月CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

2024年3月CCAA國家注冊審核員復(fù)習(xí)題—ISMS信息安全管理體系知識一、單項選擇題1、當(dāng)操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行()以確保對組織的運行和安全沒有負(fù)面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認(rèn)2、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求,以下說法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對3、在現(xiàn)場審核時,審核組有權(quán)自行決定變更的事項是()。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整4、下列說法不正確的是()A、殘余風(fēng)險需要獲得管理者的批準(zhǔn)B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處置過程的結(jié)果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次5、《信息安全管理體系認(rèn)證機構(gòu)要求》中規(guī)定,第二階段審核()進行A、在客戶組織的場所B、在認(rèn)證機構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠(yuǎn)程視頻的形式D、以上都對6、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程7、當(dāng)操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行()以確保對組織的運行和安全沒有負(fù)面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認(rèn)8、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為()A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270149、風(fēng)險評價是指()A、系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B、將估算的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程C、指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D、以上都對10、下面哪個不是典型的軟件開發(fā)模型?()A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型11、如果信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害,則應(yīng)具備的保護水平為:()A、三級B、二級C、四級D、五級12、關(guān)于信息安全策略,下列說法正確的是()A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審13、相關(guān)方的要求可以包括()A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)14、ISMS關(guān)鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的()系統(tǒng)A、報告B、傳遞C、評價D、測量15、我國網(wǎng)絡(luò)安全等級保護共分幾個級別?()A、7B、4C、5D、616、在以下認(rèn)為的惡意攻擊行為中,屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改17、可用性是指()A、根據(jù)授權(quán)實體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人,實體或者過程利用或知悉的特性C、保護資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實情況的程度18、信息安全管理中,支持性基礎(chǔ)設(shè)施指:()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部19、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護核心交換機B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制20、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C21、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評審范疇的是()。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力22、關(guān)于GB/T28450,以下說法正確的是()。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901123、保密性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、突體或過程利用或知悉的特性C、保護信息的準(zhǔn)確和完整的特性D、以上都不対24、依據(jù)GB/T22080/ISO/IEC27001的要求,管理者應(yīng)()A、制定ISMS目標(biāo)和計劃B、實施ISMS管理評審C、決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別D、其他選項均不正確25、以下關(guān)于認(rèn)證機構(gòu)的監(jiān)督要求表述錯誤的是()A、認(rèn)證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案,并判斷方案的合理性B、認(rèn)證機構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機構(gòu)應(yīng)對認(rèn)證證書的使用進行監(jiān)督26、關(guān)于防范惡意軟件,以下說法正確的是:()A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件27、《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng),是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)B、計算機及其相關(guān)的設(shè)備、設(shè)施,不包括軟件C、計算機運算環(huán)境的總和,但不含網(wǎng)絡(luò)D、一個組織所有計算機的總和,包括未聯(lián)網(wǎng)的微型計算機28、由認(rèn)可機構(gòu)對認(rèn)證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格,予以承認(rèn)的合格評定活動是()A、認(rèn)證B、認(rèn)可C、審核D、評審29、訪問控制是確保對資產(chǎn)的訪問,是基于()要求進行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問30、在實施技術(shù)符合性評審時,以下說法正確的是()A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險評估D、滲透測試和漏洞掃描不可替代風(fēng)險評估31、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價值取決于()A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部32、以下說法不正確的是()A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險評估進行再評審B、應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進行再評估C、制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響D、安全計劃應(yīng)適時更新33、下列關(guān)于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設(shè)備,如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作34、關(guān)于信息安全管理中的“脆弱性”,以下正確的是:()A、脆弱性是威脅的一種,可以導(dǎo)致信息安全風(fēng)險B、網(wǎng)絡(luò)中“釣魚”軟件的存在,是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令,是口令管理的脆弱性D、以上全部35、計算機信息系統(tǒng)安全專用產(chǎn)品是指:()A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途(如高保密)專用的計算機軟件和硬件產(chǎn)品36、殘余風(fēng)險是指:()A、風(fēng)險評估前,以往活動遺留的風(fēng)險B、風(fēng)險評估后,對以往活動遺留的風(fēng)險的估值C、風(fēng)險處置后剩余的風(fēng)險,比可接受風(fēng)險低D、風(fēng)險處置后剩余的風(fēng)險,不一定比可接受風(fēng)險低37、下列哪一種情況下,網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?()A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時38、以下關(guān)于認(rèn)證機構(gòu)的監(jiān)督要求表述錯誤的是()A、認(rèn)證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案,并判斷方案的合理性B、認(rèn)證機構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機構(gòu)應(yīng)對認(rèn)證證書的使用進行監(jiān)督39、組織應(yīng)()與其意圖相關(guān)的,且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保40、確定資產(chǎn)的可用性要求須依據(jù)()。A、授權(quán)實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定二、多項選擇題41、計算機信息系統(tǒng)的安全保護,應(yīng)保障;()A、計算機及相關(guān)和配套設(shè)備的安全B、設(shè)施(含網(wǎng)絡(luò))的安全C、運行壞境的安全D、計算機功能的正常發(fā)揮42、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類43、以下屬于訪問控制的是()。A、開發(fā)人員登錄SVN系統(tǒng),授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒44、下列哪項屬于《認(rèn)證機構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機構(gòu)應(yīng)具備的條件?()A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度45、以下()活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)46、管理評審的輸出包括()A、管理評審報告B、持續(xù)改進機會相關(guān)決定C、管理評審會議紀(jì)要D、變更信息的安全管理體系任何需求47、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分,分別是()。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)48、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù),以下不正確的做法是()A、公司使用微信群會議,對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息49、關(guān)于目標(biāo),下列說法正確的是()A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進行表示,例如:操作準(zhǔn)則D、目標(biāo)可以是不同層次的,例如組織、項目和產(chǎn)品50、《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動,提高產(chǎn)品、服務(wù)的(),促進經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力51、根據(jù)《中華人民共和國保守國家秘密法》,下列屬于國家秘密的是()。A、國家事務(wù)重大決策中的秘密事項B、國民經(jīng)濟和社會發(fā)展中的秘密事項C、科學(xué)技術(shù)中的秘密事項D、國防建設(shè)和武裝力量活動中的秘密事項52、下列有關(guān)涉密信息系統(tǒng)說法正確的是()A、涉密信息系統(tǒng)經(jīng)單位保密工作機構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計算機重裝操作系統(tǒng)后可降為非涉密計算機使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)53、常規(guī)控制圖主要用于區(qū)分()A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動54、以下場景中符合GB/T22080-20161SO1EC27001:2013標(biāo)準(zhǔn)要求的情況是()A、某公司為保潔人員發(fā)放了公司財務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡,以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標(biāo)上紅橙黃藍(lán)標(biāo)志C、某公司為少數(shù)核心項目人員發(fā)放了手機,允許其使用手機在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP,但不允許將手機帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘55、風(fēng)險處置的可選措施包括()。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩三、判斷題56、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。57、通過修改某種已知計算機病毒的代碼,使其能夠躲過現(xiàn)有計算機病毒檢測程序時,可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。58、最高管理層應(yīng)確保方針得到建立()59、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的接受和批準(zhǔn)。60、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進信息安全管理體系的承諾。61、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。()62、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”,指網(wǎng)絡(luò)服務(wù)提供者,不包括其他類型的網(wǎng)絡(luò)所有者和管理者。()63、最高管理層應(yīng)通過“確保持續(xù)改進”活動,證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾64、創(chuàng)建和更新文件化信息時,組織應(yīng)確保對其適宜性和充分性進行評審和批準(zhǔn)。65、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。

參考答案一、單項選擇題1、B2、A3、D4、A5、A6、D7、B解析:2700214,2,3運行平臺變更后對應(yīng)用的技術(shù)評審,當(dāng)運行平臺發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行評審和測試,以確保對組織的運行和安全沒有負(fù)面影響。故選B8、D9、B10、A11、A12、D13、D14、D15、C16、D17、A18、D19、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問,應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問。cd選項錯誤,必須是已授權(quán)用戶才可訪問。A選項錯誤,在家登錄,不符合安全訪問控制策略。故選B20、D21、B22、A23、B24、D解析:信息安全目標(biāo)及其實現(xiàn)規(guī)劃,組織應(yīng)在相關(guān)職能和層級上建立信息安全目標(biāo),A項錯誤。B項27001最高管理層應(yīng)按計劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性,充分性,和有效性。而管理評審的實施執(zhí)行者是組織,因此B表述不準(zhǔn)確。C項,27001,5.1.2組織應(yīng)建立并維護信息安全風(fēng)險準(zhǔn)則,包括風(fēng)險接受準(zhǔn)則和信息安全風(fēng)險評估實施準(zhǔn)則。而非最高管理者,因此C錯誤,綜上故選D25、B26、D27、A28、B29、D30、D31、B32、C33、A34、C35、A36、D37、A38、B39、A解析:理解組織及其環(huán)境40、A解析:資產(chǎn)在可用性上的不同要求,依據(jù)授權(quán)實體的需求而定,故選A二、多項選擇題41、A,B,C,D42、A,B,D

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論