2024年3月CCAA國家注冊審核員ISMS信息安全管理體系復(fù)習(xí)題含解析_第1頁
2024年3月CCAA國家注冊審核員ISMS信息安全管理體系復(fù)習(xí)題含解析_第2頁
2024年3月CCAA國家注冊審核員ISMS信息安全管理體系復(fù)習(xí)題含解析_第3頁
2024年3月CCAA國家注冊審核員ISMS信息安全管理體系復(fù)習(xí)題含解析_第4頁
2024年3月CCAA國家注冊審核員ISMS信息安全管理體系復(fù)習(xí)題含解析_第5頁
已閱讀5頁,還剩13頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

2024年3月CCAA國家注冊審核員ISMS信息安全管理體系復(fù)習(xí)題一、單項選擇題1、組織機(jī)構(gòu)在建立和評審ISMS時,應(yīng)考慮()A、風(fēng)險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C2、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn),以下說法正確的是()A、對于進(jìn)入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略,對于離開組織的設(shè)備設(shè)施則不須驗證B、對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證,對于進(jìn)入組織的設(shè)備設(shè)施則不必驗證C、對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D、對于進(jìn)入和離開組織的設(shè)備和資產(chǎn),驗證攜帶者身份信息,可替代對設(shè)備設(shè)施的驗證3、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理4、《計算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定:對計算機(jī)信息系統(tǒng)中發(fā)生的案件,有關(guān)使用單位應(yīng)當(dāng)在()向當(dāng)?shù)乜h民政府公安機(jī)關(guān)報告A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)5、不屬于WEB服務(wù)器的安全措施的是()A、保證注冊帳戶的時效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼6、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是()A、不同網(wǎng)絡(luò)運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù),用戶及信息系統(tǒng)7、組織應(yīng)()A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)8、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源,在評估這樣一個軟件產(chǎn)品時最重要的標(biāo)準(zhǔn)是什么?()A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價9、以下對GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述,正確的是()A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評估D、組織在建立ISMS時,必須滿足該標(biāo)準(zhǔn)的所有要求10、安全標(biāo)簽是一種訪問控制機(jī)制,它適用于下列哪一種訪問控制策略?()A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強(qiáng)制性訪問控制策略11、GB/T22080-2016中所指資產(chǎn)的價值取決于()A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部12、風(fēng)險處置計劃,應(yīng)()A、獲得風(fēng)險責(zé)任人的批準(zhǔn),同時獲得對殘余風(fēng)險的批準(zhǔn)B、獲得最高管理者的批準(zhǔn),同時獲得對殘余風(fēng)險的批準(zhǔn)C、獲得風(fēng)險部門負(fù)責(zé)人的批準(zhǔn),同時獲得對殘余風(fēng)險的批準(zhǔn)D、獲得管理者代表的批準(zhǔn),同時獲得對殘余風(fēng)險的批準(zhǔn)13、不屬于公司信息資產(chǎn)的是()A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對14、根據(jù)GB/T22080-2016中控制措施的要求,不屬于人員招聘的安全要求的是()A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議15、計算機(jī)病毒是計算機(jī)系統(tǒng)中一類隱藏在()上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)16、信息安全管理體系是用來確定()A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊與標(biāo)準(zhǔn)的符合程度17、依據(jù)GB/T22080/ISO/IEC27001的要求,管理者應(yīng)()A、制定ISMS目標(biāo)和計劃B、實施ISMS管理評審C、決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別D、其他選項均不正確18、漏洞檢測的方法分為()A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是19、文件初審是評價受審方ISMS文件的描述與審核準(zhǔn)則的()A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對20、關(guān)于信息安全管理體系認(rèn)證,以下說法正確的是()A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期21、審核發(fā)現(xiàn)是指()A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D、審核中的觀察項22、當(dāng)操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行()以確保對組織的運行和安全沒有負(fù)面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認(rèn)23、最高管理層應(yīng)(),以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任與權(quán)限D(zhuǎn)、分配角色和權(quán)限24、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是()A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險評估程序25、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后,終端用戶修改了IP地址,對其的處理方式不包括()A、自動恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標(biāo)26、文件化信息創(chuàng)建和更新時,組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)27、關(guān)于內(nèi)部審核下面說法不正確的是()。A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B、通過內(nèi)部審核確定ISMS得到有效實施和維護(hù)C、組織應(yīng)建立、實施和維護(hù)一個審核方案D、組織應(yīng)確保審核結(jié)果報告至管理層28、ISMS管理評審的輸出應(yīng)包括()A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進(jìn)的建議29、加密技術(shù)可以保護(hù)信息的()A、機(jī)密性B、完整性C、可用性D、A+B30、對于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu),認(rèn)可機(jī)構(gòu)證明()A、認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動的能力31、風(fēng)險評估過程一般應(yīng)包括()A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、以上全部32、過程是指()A、有輸入和輸出的任意活動B、通過使用資源和管理,將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對33、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求,組織()實施風(fēng)險評估A、應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時B、應(yīng)按計劃的時間間隔且當(dāng)重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔34、關(guān)于GB/T28450,以下說法正確的是()。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901135、下面哪個不是典型的軟件開發(fā)模型?()A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型36、《信息安全等級保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機(jī)密級信息系統(tǒng)每()至少進(jìn)行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年37、()是風(fēng)險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險管理程序38、對于較大范圍的網(wǎng)絡(luò),網(wǎng)絡(luò)隔離是()A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對39、以下說法不正確的是()A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險評估進(jìn)行再評審B、應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進(jìn)行再評估C、制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響D、安全計劃應(yīng)適時更新40、關(guān)于信息安全策略,下列說法正確的是()A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審二、多項選擇題41、關(guān)于涉密信息系統(tǒng)的管理,以下說法正確的是:()A、涉密計算機(jī)、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途42、含有高等級敏感信息的設(shè)備的處置可采取()A、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞43、評價信息安全風(fēng)險,包括()A、將風(fēng)險分析的結(jié)果與信息安全風(fēng)險準(zhǔn)則進(jìn)行比較B、確定風(fēng)險的控制措施C、為風(fēng)險處置排序以分析風(fēng)險的優(yōu)先級D、計算風(fēng)險大小44、下列說法正確的是()A、殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針45、依據(jù)GB/T22080,經(jīng)管理層批準(zhǔn),定期評審的信息安全策略包括()A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略46、在開展信息安全績效和ISMS有效性評價時,組織應(yīng)確定()A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員47、投訴處理過程應(yīng)包括:()A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止48、下列哪些屬于網(wǎng)絡(luò)攻擊事件()A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊49、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是()A、與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B、在對N公司人員服務(wù)時,接入M公司的移動電腦事前進(jìn)行安全掃描C、將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項目組組長名下,由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用D、對N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記,硬盤和U盤不在此檢查登記范圍內(nèi)50、信息安全是保證信息的(),另外也可包括諸如真實性,可核查性,不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性51、《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全,()A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益52、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類53、關(guān)于目標(biāo),下列說法正確的是()A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示,例如:操作準(zhǔn)則D、目標(biāo)可以是不同層次的,例如組織、項目和產(chǎn)品54、關(guān)于審核委托方,以下說法正確的是:()A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核55、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制三、判斷題56、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項”()57、利用生物信息進(jìn)行身份鑒別包括生物行為特征鑒別及生物特征鑒別。58、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。59、計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸檢索等處理的人機(jī)系統(tǒng)()60、當(dāng)需要時,組織可設(shè)計控制,或識別來自任何來源的控制。()61、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”,指網(wǎng)絡(luò)服務(wù)提供者,不包括其他類型的網(wǎng)絡(luò)所有者和管理者。()62、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。()63、敏感標(biāo)記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息,可信計算機(jī)中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)()。64、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同()65、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”,指網(wǎng)絡(luò)服務(wù)提供者,不包括其他類型的網(wǎng)絡(luò)所有者和管理者。()

參考答案一、單項選擇題1、E2、C3、D解析:27001附錄A12,6,技術(shù)方面的脆弱性管理,應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息,評價組織對這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣響?yīng)對相關(guān)風(fēng)險。故選D4、C5、D6、D7、C8、D9、B10、D11、B12、A13、C14、A15、C16、C17、D解析:信息安全目標(biāo)及其實現(xiàn)規(guī)劃,組織應(yīng)在相關(guān)職能和層級上建立信息安全目標(biāo),A項錯誤。B項27001最高管理層應(yīng)按計劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性,充分性,和有效性。而管理評審的實施執(zhí)行者是組織,因此B表述不準(zhǔn)確。C項,27001,5.1.2組織應(yīng)建立并維護(hù)信息安全風(fēng)險準(zhǔn)則,包括風(fēng)險接受準(zhǔn)則和信息安全風(fēng)險評估實施準(zhǔn)則。而非最高管理者,因此C錯誤,綜上故選D18、D解析:漏洞檢測分為被動檢測(靜態(tài)),主動檢測(動態(tài)),綜合檢測(混合檢測)。故選D19、A20、B21、C22、B23、C24、B25、D26、D27、C28、C29、D30、B31、D32、B解析:so9000-20153,4,1過程,利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B33、A34、A35、A36、D37、C解析:參考iso/iec27005,風(fēng)險管理包括風(fēng)險評估,風(fēng)險處置

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論