版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
2022年第一期ISMS信息安全管理體系CCAA審核員模擬試題一、單項選擇題1、依據(jù)GB/T29246,控制目標指描述控制的實施結(jié)果所要達到的目標的()。A、說明B、聲明C、想法D、描述2、《信息安全等級保護管理辦法》規(guī)定,應(yīng)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每()至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年3、桌面系統(tǒng)級聯(lián)狀態(tài)下,關(guān)于上級服務(wù)器制定的強制策略,以下說法正確的是()A、下級管理員無權(quán)修改,不可刪除B、下級管理員無權(quán)修改,可以刪除C、下級管理員可以修改,可以刪除D、下級管理員可以修改,不可刪除4、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生,它可能是對信息安全方針的違反或控制措施的失效,或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障5、物理安全周邊的安全設(shè)置應(yīng)考慮:()A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點考慮計算機機房,而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C6、國家秘密的保密期限應(yīng)為:()A、絕密不超過三十年,機密不超過二十年,秘密不超過十年B、絕密不低于三十年,機密不低于二十年,秘密不低于十年C、絕密不超過二十五年,機密不超過十五年,秘密不超過五年D、絕密不低于二十五年,機密不低于十五年,秘密不低于五年7、為了達到組織災(zāi)難恢復(fù)的要求,備份時間間隔不能超過()。A、服務(wù)水平目標(SLO)B、恢復(fù)點目標(RPO)C、恢復(fù)時間目標(RTO)D、最長可接受終端時間(MAO)8、GB/T22080-2016中所指資產(chǎn)的價值取決于()A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部9、信息分類方案的目的是()A、劃分信息載體的不同介質(zhì)以便于儲存和處理,如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類,按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型,如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù),以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析10、形成ISMS審核發(fā)現(xiàn)時,不需要考慮的是()A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性11、《信息安全管理體系認證機構(gòu)要求》中規(guī)定,第二階段審核()進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠程視頻的形式D、以上都對12、在現(xiàn)場審核結(jié)束之前,下列哪項活動不是必須的?()A、關(guān)于客戶組織ISMS與認證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報告D、聽取客戶對審核發(fā)現(xiàn)提出的問題13、關(guān)于信息安全策略,下列說法正確的是()A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審14、描述組織采取適當?shù)目刂拼胧┑奈臋n是()A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序15、制定信息安全管理體系方針,應(yīng)予以考慮的輸入是()A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部16、訪問控制是指確定()以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵17、關(guān)于容量管理,以下說法不正確的是()A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求,設(shè)置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務(wù)關(guān)鍵性,設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù),通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃18、關(guān)于信息系統(tǒng)登錄口令的管理,以下做法不正確的是:()A、必要時,使用密碼技術(shù)、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令19、在考慮網(wǎng)絡(luò)安全策略時,應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個方面提出相應(yīng)的對策?A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷20、ISMS文件評審需考慮()A、收集信息,以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告,并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見21、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素()。A、其產(chǎn)品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產(chǎn)品或過程22、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括()A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象23、組織機構(gòu)在建立和評審ISMS時,應(yīng)考慮()A、風險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C24、我國網(wǎng)絡(luò)安全等級保護共分幾個級別?()A、7B、4C、5D、625、不屬于常見的危險密碼是()A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼26、在形成信息安全管理體系審核發(fā)現(xiàn)時,應(yīng)()。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性27、被黑客控制的計算機常被稱為()A、蠕蟲B、肉雞C、灰鴿子D、木馬28、相關(guān)方的要求可以包括()A、標準、法規(guī)要求和合同義務(wù)B、法律、標準要求和合同義務(wù)C、法律、法規(guī)和標準要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)29、關(guān)于顧客滿意,以下說法正確的是:()A、顧客沒有抱怨,表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足,即意味著顧客滿意30、信息安全管理體系的設(shè)計應(yīng)考慮()A、組織的戰(zhàn)B、組織的目標和需求C、組織的業(yè)務(wù)過程性質(zhì)D、以上全部31、數(shù)字簽名可以有效對付哪一類信息安全風險?A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改32、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評審范疇的是()。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力33、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當按照規(guī)定與提供者簽訂()協(xié)議和保密義務(wù)與責任。A、安全保密B、安全保護C、安全保障D、安全責任34、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制35、關(guān)于備份,以下說法正確的是()A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求,同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄,不須規(guī)定保存期36、訪問控制是確保對資產(chǎn)的訪問,是基于()要求進行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問37、根據(jù)GB/T22080-2016標準的要求,組織()實施風險評估A、應(yīng)按計劃的時間間隔或當重大變更提出或發(fā)生時B、應(yīng)按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔38、當獲得的審核證據(jù)表明不能達到審核目的時,申核組長可以()A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以39、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應(yīng)用網(wǎng)關(guān)C、擴展的日志記錄能力D、包交換40、測量控制措施的有效性以驗證安全要求是否被滿足是()的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段二、多項選擇題41、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是()A、維護網(wǎng)絡(luò)間主權(quán)B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益42、信息安全方針應(yīng)()A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進行溝通C、確保符合組織的戰(zhàn)略方針D、適當時,對相關(guān)方可用43、關(guān)于審核委托方,以下說法正確的是:()A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核44、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分,分別是()。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)45、組織建立的信息安全目標,應(yīng)()。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新46、第二階段審核中,應(yīng)重點審核被審核單位的()。A、最高管理者的領(lǐng)導(dǎo)力B、與信息安全有關(guān)的風險C、基于風險評估和風險處置過程D、ISMS有效性47、關(guān)于審核委托方,以下說法正確的是:()A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核48、信息安全管理體系范圍和邊界的確定依據(jù)包括()A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)49、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息?()A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標50、常規(guī)控制圖主要用于區(qū)分()A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動51、關(guān)于“信息安全連續(xù)性”,以下正確的做法包括:()A、人員、設(shè)備、設(shè)施、場所等的冗余配置B、定期或?qū)崟r進行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標D、有保障信息安全連續(xù)性水平的過程和程序文件52、風險評估過程一般應(yīng)包括()A、風險識別B、風險分析C、風險評價D、風險處理53、下列哪項屬于《認證機構(gòu)管理辦法》中規(guī)定的設(shè)立認證機構(gòu)應(yīng)具備的條件?()A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認證人員D、具有符合認證認可要求的管理制度54、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動,提高產(chǎn)品、服務(wù)的(),促進經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力55、計算機信息系統(tǒng)的安全保護,應(yīng)保障()A、計算機及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮三、判斷題56、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。57、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。()58、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。()59、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù),這樣才能保證安全。()60、組織應(yīng)適當保留信息安全目標文件化信息。()61、中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網(wǎng)的微型計算機的安全保護辦法,另行制定。62、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”,指網(wǎng)絡(luò)服務(wù)提供者,不包括其他類型的網(wǎng)絡(luò)所有者和管理者。()63、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機APP完成對公司客戶的服務(wù)請求處理,但手機須安裝公司規(guī)定的安全控制程序,無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。()64、創(chuàng)建和更新文件化信息時,組織應(yīng)確保對其適宜性和充分性進行評審和批準。65、實習審核員可以獨立完成審核任務(wù)。()
參考答案一、單項選擇題1、B解析:參考27000,控制目標指,描述實施控制的實施結(jié)果所要達到的目標的聲明。故選B2、D3、A4、A5、D6、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項不超過三十年,機密級事項不超過二十年,秘密級事項不超過十年7、C8、B9、C10、C11、A12、C13、D14、B15、D16、A解析:訪問控制,確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進行授權(quán)和限制的手段。A表述更為全面,B,C選項過于細化,故選A17、C18、B19、B20、A21、D解析:高風險的產(chǎn)品或過程應(yīng)增加審核時間要素22、A23、E24、C25、D26、B27、B28、D29、C30、D31、D32、B33、A解析:《中華人民共和國網(wǎng)絡(luò)安全法》第36條,關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責任。故選A34、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問,應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問。cd選項錯誤,必須是已授權(quán)用戶才可訪問。A選項錯誤,在家登錄,不符合安全訪問控制策略。故選B35、A36、D37、A38、B39、D40、C二、多項選擇題41、A,B,C,D42、A,C,D43、B,C,D44、B,C,D45、A,B,C,D46、A,B,C,D47、B,C,D48、A,B,C,D49、A,B,D50、A,B,C,D51、A,B,C,D52、A,B,C解析:風險評估包括風險辨識、風險分析、風險評價三個步驟。1.風險辨識。風險辨識是指查找企業(yè)各業(yè)務(wù)單元、各項重要經(jīng)營活動及其重要業(yè)務(wù)流程中有無風險,有哪些風險。2.風險分析。風險分析是對辨識出的風險及其特征進行明確的定義描述,分析和描述風險發(fā)生可能性的高
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 岳麓版高中經(jīng)濟史獲獎?wù)n件戰(zhàn)后資本主義的調(diào)整
- 內(nèi)蒙古阿拉善盟2025屆高三壓軸卷數(shù)學(xué)試卷含解析
- 廣西賀州市2025屆高考數(shù)學(xué)四模試卷含解析
- 2025屆湖南省桃江縣一中高三下學(xué)期第六次檢測語文試卷含解析
- 2025屆廣東省清遠市陽山縣陽山中學(xué)高三第四次模擬考試英語試卷含解析
- 數(shù)據(jù)資產(chǎn)管理體系建設(shè)指南(雷澤佳編制-2024)
- 貴州省貴定縣第二中學(xué)2025屆高三考前熱身語文試卷含解析
- 江蘇省鹽城市、南京市2025屆高三第二次模擬考試語文試卷含解析
- 8.2《登高》課件 2024-2025學(xué)年統(tǒng)編版高中語文必修上冊
- 《教學(xué)與科研》課件
- GB/T 43417-2023兒童青少年脊柱側(cè)彎矯形器的配置
- JGJ366-2015 混凝土結(jié)構(gòu)成型鋼筋應(yīng)用技術(shù)規(guī)程
- 品管圈QCC成果匯報提高瞳孔測量準確率(近距瞳孔測量指引)
- 外研社英語教材(一年級起點)一年級下冊知識點總結(jié)
- 家長會課件:六年級上學(xué)期家長會課件
- 江蘇省昆山、太倉、常熟、張家港四市2023-2024學(xué)年八年級上學(xué)期期中陽光測試物理試題
- 公司投標書密封條模板
- (4)-1.1 正確認識人的本質(zhì)
- 大型純堿廠家檢修方案
- 東北農(nóng)業(yè)大學(xué)作業(yè)封皮
- 第六單元名著導(dǎo)讀《西游記》孫悟空的成長之路課件(共43張)統(tǒng)編版語文七年級上冊
評論
0/150
提交評論