2022年6月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系含解析_第1頁
2022年6月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系含解析_第2頁
2022年6月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系含解析_第3頁
2022年6月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系含解析_第4頁
2022年6月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系含解析_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

2022年6月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系一、單項選擇題1、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級,采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù),那么,需要首要關(guān)注的是()。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋C蹹、數(shù)據(jù)傳輸?shù)谋C?、《信息安全技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于()對信息系統(tǒng)造成物理破壞而導致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障3、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動?()A、對組織的信息安全管理體系進行變更B、執(zhí)行信息安全風險評估C、開展內(nèi)部審核D、開展管理評審4、從計算機安全的角度看,下面哪一種情況是社交工程的一個直接例子?()A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞5、關(guān)于顧客滿意,以下說法正確的是:()A、顧客沒有抱怨,表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失,就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足,即意味著顧客滿意6、末次會議包括()A、請受審核方確認不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進行討論D、以上都不準確7、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響,但不包括()A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對8、風險責任人是指()A、具有責任和權(quán)限管理一項風險的個人或?qū)嶓wB、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務(wù)責任人D、信息及信息處理設(shè)施的使用者9、依據(jù)GB/T22080-2016/IS0/IEC27001:2013,以下關(guān)于資產(chǎn)清單正確的是()。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B10、控制影響信息安全的變更,包括()A、組織、業(yè)務(wù)活動、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動、信息處理設(shè)施和系統(tǒng)變更11、《信息安全等級保護管理辦法》規(guī)定,應(yīng)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每()至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年12、信息安全管理中,支持性基礎(chǔ)設(shè)施指:()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部13、PKI的主要組成不包括()A、SSLB、CRC、CAD、RA14、()是風險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序15、當發(fā)現(xiàn)不符合項時,組織應(yīng)對不符合做出反應(yīng),適用時()。A、采取措施,以控制并予以糾正B、對產(chǎn)生的影響進行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生16、信息安全管理中,以下哪一種描述能說明“完整性”()。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況17、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位,公司文件規(guī)定員工計算機密碼必須6位及以上,那么中哪一項不是針對該問題的糾正措施?()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設(shè)置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育18、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理19、關(guān)于GB/T28450,以下說法正確的是()。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901120、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后,終端用戶修改了IP地址,對其的處理方式不包括()A、自動恢復其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標21、下列關(guān)于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設(shè)備,如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作22、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,以下正確的是()。A、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個月B、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月,網(wǎng)絡(luò)日志保存不得少于6個月23、在考慮網(wǎng)絡(luò)安全策略時,應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個方面提出相應(yīng)的對策?A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷24、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制25、組織的風險責任人不可以是()A、組織的某個部門B、某個系統(tǒng)管理員C、風險轉(zhuǎn)移到組織D、組織的某個虛擬小組負責人26、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、以上都不對27、組織應(yīng)(),以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度28、在ISO組織框架中,負責ISO/IEC27000系列標準編制工作的技術(shù)委員會是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4029、漏洞檢測的方法分為()A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是30、主動式射頻識別卡(RFID)存在哪一種弱點?()A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR31、為信息系統(tǒng)用戶注冊時,以下正確的是:()A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊C、預(yù)設(shè)固定用戶ID并留有冗余,以保障可用性D、避免頻繁變更用戶訪問權(quán)32、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定,國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度33、最高管理層應(yīng)(),以確保信息安全管理體系符合本標準要求。A、分配職責與權(quán)限B、分配崗位與權(quán)限C、分配責任和權(quán)限D(zhuǎn)、分配角色和權(quán)限34、信息安全風險的基本要素包括()A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果35、依據(jù)GB/T29246,控制目標指描述控制的實施結(jié)果所要達到的目標的()。A、說明B、聲明C、想法D、描述36、根據(jù)《信息安全等級保護管理辦法》,對于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證37、組織應(yīng)()與其意圖相關(guān)的,且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保38、設(shè)備維護維修時,應(yīng)考慮的安全措施包括:()A、維護維修前,按規(guī)定程序處理或清除其中的信息B、維護維修后,檢查是否有未授權(quán)的新增功能C、敏感部件進行物理銷毀而不予送修D(zhuǎn)、以上全部39、關(guān)于信息安全管理體系認證,以下說法正確的是:A、負責作出認證決定的人員中應(yīng)至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應(yīng)參與審核D、負責作出認證決定的人員應(yīng)包含參與了預(yù)審核的人員40、下面哪一種屬于網(wǎng)絡(luò)上的被動攻擊()A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析二、多項選擇題41、關(guān)于審核發(fā)現(xiàn),以下說法正確的是:()A、審核發(fā)現(xiàn)是收集的審核證據(jù)對照審核準則進行評價的結(jié)果B、審核發(fā)現(xiàn)包括正面的和負面的發(fā)現(xiàn)C、審核發(fā)現(xiàn)是審核結(jié)論的輸入D、審核發(fā)現(xiàn)是制定審核準則的依據(jù)42、下列說法正確的是()A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針43、組織建立的信息安全目標,應(yīng)()A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新44、投訴處理過程應(yīng)包括:()A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止45、以下屬于信息安全管理體系審核證據(jù)的是()A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告46、風險評估過程一般應(yīng)包括()A、風險識別B、風險分析C、風險評價D、風險處理47、組織在風險處置過程中所選的控制措施需()A、將所有風險都必須被降低到可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險48、設(shè)計一個信息安全風險管理工具,應(yīng)包括如下模塊()。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程49、GB/T22080-2016/ISO/IEC27001:2013標準可用于()A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對50、風險評估過程一般應(yīng)包括()A、風險識別B、風險分析C、風險評價D、風險處置51、信息安全風險分析包括()A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后,可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性52、管理評審的輸出包括()A、管理評審報告B、持續(xù)改進機會相關(guān)決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求53、網(wǎng)絡(luò)常見的拓撲形式有()A、星型B、環(huán)型C、總線D、樹型54、審核計劃中應(yīng)包括()A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排55、關(guān)于按照相關(guān)國家標準強制性要求進行安全合格認證的要求,以下正確的選項是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運行后三、判斷題56、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。()57、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定()58、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一()59、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。()60、信息安全風險準則包括風險接受準則和風險評價準則。()61、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。()62、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。()63、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”,指網(wǎng)絡(luò)服務(wù)提供者,不包括其他類型的網(wǎng)絡(luò)所有者和管理者。()64、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準()65、容量管理策略可以考慮增加容量或降低容量要求()

參考答案一、單項選擇題1、A2、C3、B4、B5、C6、C7、D解析:270019,3管理評審,管理評審的輸出應(yīng)包括與持續(xù)改進機會相關(guān)的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理,應(yīng)控制影響信息安全的變更,包括組織,業(yè)務(wù)過程,信息處理設(shè)施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理,故選D8、A9、A10、B11、D12、D13、B14、C解析:參考iso/iec27005,風險管理包括風險評估,風險處置,風險接受,風險溝通,風險監(jiān)視和風險評審。因此風險處置計劃是風險管理的重要一環(huán),故選C15、A解析:參考2700110,1當發(fā)生不符合時,組織應(yīng):對不符合做出反應(yīng),適用時:(1)采取措施,以控制并予以糾正(2)處理后果。故選A16、B17、A18、D解析:27001附錄A12,6,技術(shù)方面的脆弱性管理,應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息,評價組織對這些脆弱性的暴露情況并采取適當?shù)拇胧﹣響?yīng)對相關(guān)風險。故選D19、A20、D21、A22、C23、B24、B25、C26、C27、B28、A29、D解析:漏洞檢測分為被動檢測(靜態(tài)),主動檢測(動態(tài)),綜合檢測(混合檢測)。故選D30、B31、A32、D33、C34、B35、B解析:參考27000,控制目標指,描述實施控制的實施結(jié)果所要達到的目標的聲明。故選B36、A37、A38、D39、C40、D解析:主動攻擊會導致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生,這類攻擊分篡改,偽造消息數(shù)據(jù)和終端(拒絕服務(wù))。被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改,截取/竊聽是指為未經(jīng)用戶同意和認可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽,流量分析,破解弱

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論