2023年第二期月CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析_第1頁
2023年第二期月CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析_第2頁
2023年第二期月CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析_第3頁
2023年第二期月CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析_第4頁
2023年第二期月CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析_第5頁
已閱讀5頁,還剩14頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

2023年第二期月CCAA注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、審核發(fā)現(xiàn)是指()A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項2、桌面系統(tǒng)級聯(lián)狀態(tài)下,關(guān)于上級服務(wù)器制定的強制策略,以下說法正確的是()A、下級管理員無權(quán)修改,不可刪除B、下級管理員無權(quán)修改,可以刪除C、下級管理員可以修改,可以刪除D、下級管理員可以修改,不可刪除3、下列措施中,()是風險管理的內(nèi)容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是4、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求,以下說法正確的是()A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用5、關(guān)于信息安全管理中的“脆弱性”,以下正確的是:()A、脆弱性是威脅的一種,可以導致信息安全風險B、網(wǎng)絡(luò)中“釣魚”軟件的存在,是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令,是口令管理的脆弱性D、以上全部6、最高管理層應(yīng)(),以確保信息安全管理體系符合本標準要求。A、分配職責與權(quán)限B、分配崗位與權(quán)限C、分配責任和權(quán)限D(zhuǎn)、分配角色和權(quán)限7、對保密文件復(fù)印件張數(shù)核對是確保保密文件的()A、保密性B、完整性C、可用性D、連續(xù)性8、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,以下正確的是()。A、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個月B、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月,網(wǎng)絡(luò)日志保存不得少于6個月9、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評審范疇的是()。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力10、根據(jù)《中華人民共和國國家秘密法》,國家秘密的最高密級為()A、特密B、絕密C、機密D、秘密11、關(guān)于信息安全管理體系認證,以下說法正確的是:A、負責作出認證決定的人員中應(yīng)至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應(yīng)參與審核D、負責作出認證決定的人員應(yīng)包含參與了預(yù)審核的人員12、組織應(yīng)()A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)13、組織應(yīng)()A、分離關(guān)鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關(guān)聯(lián)的職責及責任范圍14、關(guān)于系統(tǒng)運行日志,以下說法正確的是:()A、系統(tǒng)管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志15、在認證審核時,一階段審核是()A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確16、文件化信息指()A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件17、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為()等級。A、5B、6C、3D、418、下面哪個不是典型的軟件開發(fā)模型?()A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型19、在ISO組織框架中,負責ISO/IEC27000系列標準編制工作的技術(shù)委員會是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4020、關(guān)于信息安全產(chǎn)品的使用,以下說法正確的是:()A、對于所有的信息系統(tǒng),信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng),己列入信息安全產(chǎn)品認征目錄的,應(yīng)取得國家信息安全產(chǎn)品人證機構(gòu)頒發(fā)的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng),信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞21、過程是指()A、有輸入和輸出的任意活動B、通過使用資源和管理,將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對22、下列哪項對于審核報告的描述是錯誤的?()A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后,由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構(gòu)審核后,由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對23、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項性能()A、完整性B、可用性C、保密性D、可靠性24、密碼技術(shù)不適用于控制下列哪種風險?()A、數(shù)據(jù)在傳輸中被竊取的風險B、數(shù)據(jù)在傳輸中被篡改的風險C、數(shù)據(jù)在傳輸中被損壞的風險D、數(shù)據(jù)被非授權(quán)訪問的風險25、為信息系統(tǒng)用戶注冊時,以下正確的是:()A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊C、預(yù)設(shè)固定用戶ID并留有冗余,以保障可用性D、避免頻繁變更用戶訪問權(quán)26、創(chuàng)建和更新文件化信息時,組織應(yīng)確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準27、當發(fā)現(xiàn)不符合項時,組織應(yīng)對不符合做出反應(yīng),適用時()。A、采取措施,以控制并予以糾正B、對產(chǎn)生的影響進行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生28、《中華人民共和國認證認可條例》規(guī)定,認證人員自被撤銷職業(yè)資格之日起()內(nèi),認可機構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年29、計算機信息系統(tǒng)安全專用產(chǎn)品是指:()A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途(如高保密)專用的計算機軟件和硬件產(chǎn)品30、《信息安全管理體系認證機構(gòu)要求》中規(guī)定,第二階段審核()進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠程視頻的形式D、以上都対31、GB/T22080-2016中所指資產(chǎn)的價值取決于()A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部32、以下對GB/T22081-2016/IS0/IEC27002:2013標準的描述,正確的是()A、該標準屬于要求類標準B、該標準屬于指南類標準C、該標準可用于一致性評估D、組織在建立ISMS時,必須滿足該標準的所有要求33、加密技術(shù)可以保護信息的()A、機密性B、完整性C、可用性D、A+B34、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是()A、劃分信息載體的不同介質(zhì)以便于儲存和處理,如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類,按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型,如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù),以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析35、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的?()A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄36、在實施技術(shù)符合性評審時,以下說法正確的是()A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估37、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于()A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙38、信息安全目標應(yīng)()A、可測量B、與信息安全方針一致C、適當時,對相關(guān)方可用D、定期更新39、在信息安全管理體系審核時,應(yīng)遵循()原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi),可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。40、容災(zāi)的目的和實質(zhì)是()A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞二、多項選擇題41、風險處置的可選措施包括()。A、風險識別B、風險分析C、風險轉(zhuǎn)移D、風險減緩42、在開展信息安全績效和ISMS有效性評價時,組織應(yīng)確定()A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員43、對于審核發(fā)現(xiàn)()A、審核組應(yīng)根據(jù)需要,在審核的適當階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求,只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn),以確認審核證據(jù)的準確性,并得到受審核方的理解D、包括正面的和負面的發(fā)現(xiàn)44、以下屬于“信息處理設(shè)施”的是()A、信息處理系統(tǒng)B、信息處理相關(guān)的服務(wù)C、與信息處理相關(guān)的設(shè)備D、安置信息處理設(shè)備的物理場所與設(shè)施45、風險評估過程一般應(yīng)包括()A、風險識別B、風險分析C、風險評價D、風險處理46、信息安全管理體系范圍和邊界的確定依據(jù)包括()A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)47、按覆蓋的地理范圍進行分類,計算機網(wǎng)絡(luò)可以分為()A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)48、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動,提高產(chǎn)品、服務(wù)的(),促進經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力49、下列哪些屬于網(wǎng)絡(luò)攻擊事件()A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊50、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù),應(yīng)當向()電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)51、移動設(shè)備策略宜考慮()A、移動設(shè)備注冊B、惡意軟件防范C、訪問控制D、物理保護要求52、風險評估過程中威脅的分類一般應(yīng)包括()A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴53、為控制文件化信息,適用時,組織應(yīng)強調(diào)以下哪些活動?()A、分發(fā),訪問,檢索和使用B、存儲和保護,包括保持可讀性C、控制變更(例如版本控制)D、保留和處理54、根據(jù)《中華人民共和國密碼法》,密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導,()依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負責55、含有高等級敏感信息的設(shè)備的處置可采取()A、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞三、判斷題56、不同組織有關(guān)信息安全管理體系文件化信息的詳細程度應(yīng)基本相同()57、計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)()58、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”,指網(wǎng)絡(luò)服務(wù)提供者,不包括其他類型的網(wǎng)絡(luò)所有者和管理者。()59、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一()60、當需要時,組織可設(shè)計控制,或識別來自任何來源的控制。()61、客戶所有場所業(yè)務(wù)的范圍相同,且在同一ISMS下運行,并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時,認證機構(gòu)可以考慮使用基于抽樣的認證審核()62、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設(shè)備,因此認證審核時不必審核計算機機房物理安全的相關(guān)內(nèi)容()63、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息,可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)()。64、實習審核員可以獨立完成審核任務(wù)。()65、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。()

參考答案一、單項選擇題1、C2、A3、D4、A5、C6、C7、A8、C9、B10、B11、C12、C13、B解析:根據(jù)GB/T22080-2016標準A6,1,2原文:應(yīng)分離沖突的職責及其貴任范圍,以減少未授權(quán)或無意的修改或者不當使用組織資產(chǎn)的機會14、B15、B16、C17、A18、A19、A20、B21、B解析:so9000-20153,4,1過程,利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B22、A23、B24、C25、A26、D解析:27001,7,5,2創(chuàng)建和更新,創(chuàng)建和更新文件化信息時,組織應(yīng)確保適當?shù)臉俗R和描述;格式和介質(zhì);對適宜性和充分性的評審和批準27、A解析:參考2700110,1當發(fā)生不符合時,組織應(yīng):對不符合做出反應(yīng),適用時:(1)采取措施,以控制并予以糾正(2)處理后果。故選A28、D29、A30、A31、B32、B33、D34、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當水平的保護。對比四個選項,c項更能突出對組織的重要程度,故選C35、D36、D37、A38、B39、B40、C二、多項選擇題41、C,D42、B,C,D43、A,C,D44、A,B,C,D45、A,B,C解析:風險評估包括風險辨識、風險分析、風險評價三個步驟。1.風險辨識。風險辨識是指查找企業(yè)各業(yè)務(wù)單元、各項重要經(jīng)營活動及其重要業(yè)務(wù)流程中有無風險,有哪些風險。2.風險分析。風險分析是對辨識出的風險及其特征進行明確的定義描述,分析和描述風險發(fā)生可能性的高低、風險發(fā)生的條件。3.風險評價。風險評價是評估風險對企業(yè)實現(xiàn)目標的影響程度、風險的價值等。46、A,B,C,D47、A,B,C48、A,D解析:略2700

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論