2024年8月CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系知識(shí)含解析_第1頁(yè)
2024年8月CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系知識(shí)含解析_第2頁(yè)
2024年8月CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系知識(shí)含解析_第3頁(yè)
2024年8月CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系知識(shí)含解析_第4頁(yè)
2024年8月CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系知識(shí)含解析_第5頁(yè)
已閱讀5頁(yè),還剩14頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

2024年8月CCAA注冊(cè)審核員考試題目—ISMS信息安全管理體系知識(shí)一、單項(xiàng)選擇題1、對(duì)于較大范圍的網(wǎng)絡(luò),網(wǎng)絡(luò)隔離是:()A、可以降低成本B、可以降低不同用戶(hù)組之間非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無(wú)線網(wǎng)絡(luò)D、以上都對(duì)2、國(guó)家秘密的保密期限應(yīng)為:()A、絕密不超過(guò)三十年,機(jī)密不超過(guò)二十年,秘密不超過(guò)十年B、絕密不低于三十年,機(jī)密不低于二十年,秘密不低于十年C、絕密不超過(guò)二十五年,機(jī)密不超過(guò)十五年,秘密不超過(guò)五年D、絕密不低于二十五年,機(jī)密不低于十五年,秘密不低于五年3、ISO/IEC27001所采用的過(guò)程方法是()A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法4、()是風(fēng)險(xiǎn)管理的重要一環(huán)。A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)管理程序5、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生,它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效,或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障6、你所在的組織正在計(jì)劃購(gòu)置一套適合多種系統(tǒng)的訪問(wèn)控制軟件包來(lái)保護(hù)關(guān)鍵信息資源,在評(píng)估這樣一個(gè)軟件產(chǎn)品時(shí)最重要的標(biāo)準(zhǔn)是什么?()A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價(jià)7、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括()A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后,可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性8、對(duì)于信息安全方針,()是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息,不得向外部泄露C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則,不可變更9、信息是消除()的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素10、某公司計(jì)劃升級(jí)現(xiàn)有的所有PC機(jī),使其用戶(hù)可以使用指紋識(shí)別登錄系統(tǒng),訪問(wèn)關(guān)鍵數(shù)據(jù)實(shí)施時(shí)需要()A、所有受信的PC機(jī)用戶(hù)履行的登記、注冊(cè)手續(xù)(或稱(chēng)為:初始化手續(xù))B、完全避免失誤接受的風(fēng)險(xiǎn)(即:把非授權(quán)者錯(cuò)誤識(shí)別為授權(quán)者的風(fēng)險(xiǎn))C、在指紋識(shí)別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶(hù)不可能訪問(wèn)到關(guān)鍵數(shù)據(jù)11、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí),申核組長(zhǎng)可以()A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以12、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于()A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部13、設(shè)置防火墻策略是為了()A、進(jìn)行訪問(wèn)控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過(guò)濾D、進(jìn)行流量控制14、關(guān)于訪問(wèn)控制,以下說(shuō)法正確的是()A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制B、三層交換機(jī)基于MAC實(shí)施訪問(wèn)控制C、路由器根據(jù)路由表確定最短路徑D、強(qiáng)制訪問(wèn)控制中,用戶(hù)標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別,即可讀該文件15、關(guān)于信息系統(tǒng)登錄的管理,以下說(shuō)法不正確的是()A、網(wǎng)絡(luò)安全等級(jí)保護(hù)中,三級(jí)以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率,可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶(hù)使用優(yōu)質(zhì)口令16、抵御電子郵箱入侵措施中,不正確的是()A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器17、關(guān)于互聯(lián)網(wǎng)信息服務(wù),以下說(shuō)法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營(yíng)性和非經(jīng)營(yíng)性?xún)深?lèi),其中經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門(mén)備案B、非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C、從事經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù),應(yīng)符合《中華人民共和國(guó)電信條例》規(guī)定的要求D、經(jīng)營(yíng)性互聯(lián)網(wǎng)服務(wù),是指通過(guò)互聯(lián)網(wǎng)向上網(wǎng)用戶(hù)無(wú)嘗提供具有公開(kāi)性、共享性信息的服務(wù)活動(dòng)18、管理者應(yīng)()A、制定ISMS方針B、制定ISMS目標(biāo)和專(zhuān)劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評(píng)審的執(zhí)行19、—家投資顧問(wèn)商定期向客戶(hù)發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件,如何保證客戶(hù)收到資料沒(méi)有被修改()A、電子郵件發(fā)送前,用投資顧問(wèn)商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前,用投資顧問(wèn)商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前,用投資顧問(wèn)商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前,用投資顧問(wèn)商的私鑰加密郵件20、在形成信息安全管理體系審核發(fā)現(xiàn)時(shí),應(yīng)()。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性21、根據(jù)GB/T22080-2016標(biāo)準(zhǔn),審核中下列哪些章節(jié)不能刪減()。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A22、在認(rèn)證審核時(shí),一階段審核是()A、是了解受審方ISMS是否正常運(yùn)行的過(guò)程B、是必須進(jìn)行的C、不是必須的過(guò)程D、以上都不準(zhǔn)確23、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于,它不僅備份系統(tǒng)中的數(shù)據(jù),還備份系統(tǒng)中安裝的應(yīng)用程序,數(shù)據(jù)庫(kù)系統(tǒng)、用戶(hù)設(shè)置、系統(tǒng)參數(shù)等信息,以便迅速()A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)24、控制影響信息安全的變更,包括()A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過(guò)程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過(guò)程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更25、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格,予以承認(rèn)的合格評(píng)定活動(dòng)是()。A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審26、在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下,下列哪一條屬于增加審核時(shí)間的要素?A、其產(chǎn)品/過(guò)程無(wú)風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B、客戶(hù)的認(rèn)證準(zhǔn)備C、僅涉及單一的活動(dòng)過(guò)程D、具有高風(fēng)險(xiǎn)的產(chǎn)品或過(guò)程27、虛擬專(zhuān)用網(wǎng)(VPN)的數(shù)據(jù)保密性,是通過(guò)什么實(shí)現(xiàn)的?()A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險(xiǎn)隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險(xiǎn)釣魚(yú)28、關(guān)于GB/T22081標(biāo)準(zhǔn),以下說(shuō)法正確的是:()A、提供了選擇控制措施的指南,可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南,不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南,是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù),是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)29、當(dāng)發(fā)現(xiàn)不符合項(xiàng)時(shí),組織應(yīng)對(duì)不符合做出反應(yīng),適用時(shí)()。A、采取措施,以控制并予以糾正B、對(duì)產(chǎn)生的影響進(jìn)行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生30、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每()至少進(jìn)行次保密檢查或者系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年31、對(duì)于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序,以下做法正確的是()A、實(shí)用程序的使用不在審計(jì)范圍內(nèi)B、建立禁止使用的實(shí)用程序清單C、緊急響應(yīng)時(shí)所使用的實(shí)用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實(shí)用程序清單32、訪問(wèn)控制是確保對(duì)資產(chǎn)的訪問(wèn),是基于()要求進(jìn)行授權(quán)和限制的手段。A、用戶(hù)權(quán)限B、可被用戶(hù)訪問(wèn)的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問(wèn)33、審核發(fā)現(xiàn)是指()A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)34、信息分類(lèi)方案的目的是()A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理,如紙張、光盤(pán)、磁盤(pán)B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類(lèi),按此分類(lèi)確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類(lèi)型,如供銷(xiāo)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù),以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析35、PKI的主要組成不包括()A、SSLB、CRC、CAD、RA36、容量管理的對(duì)象包括()A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部37、下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊()A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析38、在考慮網(wǎng)絡(luò)安全策略時(shí),應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個(gè)方面提出相應(yīng)的對(duì)策?A、硬件和軟件B、技術(shù)和制度C、管理員和用戶(hù)D、物理安全和軟件缺陷39、關(guān)于信息安全管理體系認(rèn)證,以下說(shuō)法正確的是:A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員40、風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的()A、行動(dòng)B、計(jì)劃C、意愿D、批復(fù)二、多項(xiàng)選擇題41、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求,以下正確的選項(xiàng)是()A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品C、銷(xiāo)售前D、投入運(yùn)行后42、以下屬于訪問(wèn)控制的是()。A、開(kāi)發(fā)人員登錄SVN系統(tǒng),授予其與職責(zé)相匹配的訪問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問(wèn)D、病毒產(chǎn)品查殺病毒43、組織建立的信息安全目標(biāo),應(yīng)()。A、是可測(cè)量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時(shí)更新44、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過(guò)程要形成文件化的信息?()A、信息安全方針B、信息安全風(fēng)險(xiǎn)處置過(guò)程C、溝通記錄D、信息安全目標(biāo)45、針對(duì)敏感應(yīng)用系統(tǒng)安全,以下正確的做法是()。A、用戶(hù)嘗試登錄失敗時(shí),明確提示其用戶(hù)名錯(cuò)誤或口令錯(cuò)誤B、登錄之后,不活動(dòng)超過(guò)規(guī)定時(shí)間強(qiáng)制使其退出登錄C、對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D、對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)人員開(kāi)放不限時(shí)權(quán)限46、以下做法正確的是()A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測(cè)試時(shí),應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果,應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí),其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致47、信息安全管理體系范圍和邊界的確定依據(jù)包括()A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)48、對(duì)于信息安全方針,()是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布,并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審49、以下屬于信息安全管理體系審核的證據(jù)是:()A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告50、為控制文件化信息,適用時(shí),組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)?()A、分發(fā),訪問(wèn),檢索和使用B、存儲(chǔ)和保護(hù),包括保持可讀性C、控制變更(例如版本控制)D、保留和處理51、信息安全是保證信息的(),另外也可包括諸如真實(shí)性,可核查性,不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性52、為控制文件化信息,適用時(shí),組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)?()A、分發(fā),訪問(wèn),檢索和使用B、存儲(chǔ)和保護(hù),包括保持可讀性C、控制變更(例如版本控制)D、保留和處理53、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件?()A、具有固定的辦公場(chǎng)所和必備設(shè)施B、注冊(cè)資本不得少于人民幣600萬(wàn)元C、具有10名以上相應(yīng)領(lǐng)域的專(zhuān)職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度54、投訴處理過(guò)程應(yīng)包括:()A、投訴受理、跟蹤和告知B、投訴初步評(píng)審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止55、最高管理層應(yīng)通過(guò)()活動(dòng),證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、確保將信息安全管理體系要求整合到組織過(guò)程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)D、確保信息安全管理體系達(dá)到預(yù)期結(jié)果三、判斷題56、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”()57、實(shí)習(xí)審核員可以獨(dú)立完成審核任務(wù)。()58、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍()59、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。()60、某組織在生產(chǎn)系統(tǒng)上安裝升級(jí)包前制定了回退計(jì)劃,這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求()61、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。()62、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。()63、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。()64、審核組長(zhǎng)在末次會(huì)議中應(yīng)該對(duì)受審核方是否通過(guò)認(rèn)證給出結(jié)論。()65、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日開(kāi)始實(shí)施的()

參考答案一、單項(xiàng)選擇題1、B2、A解析:國(guó)家秘密的保密期限,除有特殊規(guī)定外,絕密級(jí)事項(xiàng)不超過(guò)三十年,機(jī)密級(jí)事項(xiàng)不超過(guò)二十年,秘密級(jí)事項(xiàng)不超過(guò)十年3、C4、C解析:參考iso/iec27005,風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)接受,風(fēng)險(xiǎn)溝通,風(fēng)險(xiǎn)監(jiān)視和風(fēng)險(xiǎn)評(píng)審。因此風(fēng)險(xiǎn)處置計(jì)劃是風(fēng)險(xiǎn)管理的重要一環(huán),故選C5、A6、D7、A8、A解析:信息安全方針應(yīng):(1)形成文件化信息并可用;(2)在組織內(nèi)得到溝通;(3)適當(dāng)時(shí),對(duì)相關(guān)方可用。故選A9、A10、A11、B12、B13、A14、C15、C解析:應(yīng)確保秘密鑒別信息的保密性,確保鑒別信息得到適當(dāng)?shù)谋Wo(hù),C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式,不能確保鑒別信息得到保護(hù),故選C16、D17、C18、A19、C20、B21、A22、B23、D24、B25、B26、D27、B28、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實(shí)現(xiàn)信息安全管理體系過(guò)程中選擇控制時(shí)的參考,或作為組織在實(shí)現(xiàn)通用信息安全控制時(shí)的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015,iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù),故選B29、A解析:參考2700110,1當(dāng)發(fā)生不符合時(shí),組織應(yīng):對(duì)不符合做出反應(yīng),適用時(shí):(1)采取措施,以控制并予以糾正(2)處理后果。故選A30、D31、D32、D33、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對(duì)照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果,故選C34、C35、B36、D37、D解析:主動(dòng)攻擊會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生,這類(lèi)攻擊分篡改,偽造消息數(shù)據(jù)和終端(拒絕服務(wù))。被動(dòng)攻擊中攻擊者不對(duì)數(shù)據(jù)信息做任何修改,截取/竊聽(tīng)是指為未經(jīng)用戶(hù)同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽(tīng),流量分析,破解弱加密的數(shù)據(jù)流等攻擊方式。故選D38、B39、C40、C二、多項(xiàng)選擇題41、A,B,C42、A,C解析:參考條例第一條,為了規(guī)范認(rèn)證認(rèn)可活動(dòng),提高產(chǎn)品、服務(wù)的質(zhì)量和管理水平促進(jìn)經(jīng)濟(jì)和社會(huì)的發(fā)展,制定本條例。本題選AC43、A,B,C,D44、A,B,D45、B,C46、A,

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論