2024年（3月）CCAA第一期考試-信息安全管理體系基礎(chǔ)考試真題

一、單項(xiàng)選擇題（每題1.5分，共60分）1.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，信息安全管理中的“可用性”是指（）。A.反映事物真實(shí)情況的程度B.保護(hù)資產(chǎn)準(zhǔn)確和完整的特性C.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性D.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性正確答案：C2.GB/T22080-2016標(biāo)準(zhǔn)中提到的“風(fēng)險(xiǎn)責(zé)任者”，是指（）。A.發(fā)現(xiàn)風(fēng)險(xiǎn)的人或?qū)嶓wB.風(fēng)險(xiǎn)處置人員或?qū)嶓wC.有責(zé)任和權(quán)威來(lái)管理風(fēng)險(xiǎn)的人或?qū)嶓wD.對(duì)風(fēng)險(xiǎn)發(fā)生后結(jié)果進(jìn)行負(fù)責(zé)的人或?qū)嶓w正確答案：C3.組織應(yīng)按照GB/T22080-2016標(biāo)準(zhǔn)的要求（）信息安全管理體系。A.建立、實(shí)施、監(jiān)視和持續(xù)改進(jìn)B.策劃、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)C.建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)D.策劃、實(shí)現(xiàn)、監(jiān)視和持續(xù)改進(jìn)正確答案：C4.關(guān)于GB/T22080-2016標(biāo)準(zhǔn)，所采用的過(guò)程方法是（）。A.PDCA法B.PPTR方法C.SWOT方法D.SMART方法正確答案：A5.ISO/IEC27002最新版本為（）。A.2022B.2015C.2005D.2013正確答案：A6.關(guān)于ISO/IEC27004，以下說(shuō)法正確的是（）。A.該標(biāo)準(zhǔn)可以替代GB/T28450B.該標(biāo)準(zhǔn)是信息安全水平的度量標(biāo)準(zhǔn)C.該標(biāo)準(zhǔn)是ISMS管理績(jī)效的度量指南D.該標(biāo)準(zhǔn)可以替代ISO/IEC27001中的9.2的要求正確答案：C7.在ISO/IEC27000系列標(biāo)準(zhǔn)中，為組織的信息安全風(fēng)險(xiǎn)管理提供指南的標(biāo)準(zhǔn)是（）。A.ISO/IEC27004B.ISO/IEC27003C.ISO/IEC27002D.IS0/IEC27005正確答案：D8.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，最高管理層應(yīng)（），以確保信息安全管理體系符合標(biāo)準(zhǔn)要求。A.分配責(zé)任和權(quán)限B.分配角色和權(quán)限C.分配崗位與權(quán)限D(zhuǎn).分配職責(zé)與權(quán)限正確答案：A9.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)。A.職能和層次B.戰(zhàn)略和意圖C.戰(zhàn)略和方針D.組織環(huán)境和相關(guān)方要求正確答案：A10.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織（）實(shí)施風(fēng)險(xiǎn)評(píng)估。A.只需在重大變更發(fā)生時(shí)B.只需按計(jì)劃的時(shí)間間隔C.應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)D.應(yīng)按計(jì)劃的時(shí)間間隔且當(dāng)重大變更提出或發(fā)生時(shí)正確答案：C11.某數(shù)據(jù)中心申請(qǐng)ISMS認(rèn)證的范圍為“IDC基礎(chǔ)設(shè)施服務(wù)的提供”，對(duì)此以下說(shuō)法正確的是（）。A.附錄A.8可以刪減B.附錄A.17可以刪減C.附錄A.12可以刪減D.附錄A.14可以刪減正確答案：D12.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是（）。A.技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)B.及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息C.了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)驗(yàn)越小D.及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑正確答案：B13.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于資產(chǎn)清單，正確的是（）。A.做好資產(chǎn)整理是其基礎(chǔ)B.識(shí)別信息，以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn)C.識(shí)別和完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)責(zé)任人D.資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高正確答案：B14.根據(jù)GB/T22080-2016中控制措施的要求，為了確保布纜安全，以下正確的做法是（）。A.為了防止干擾，電源電纜宜與通信電纜分開(kāi)B.使用同一電纜管道鋪設(shè)電源電纜和通信電纜C.網(wǎng)絡(luò)電纜采用明線架設(shè)，以便于探查故障和維修D(zhuǎn).配線盤(pán)應(yīng)盡量放置在公共可訪問(wèn)區(qū)域，以便于應(yīng)急管理正確答案：A15.（）不是保護(hù)辦公室、房間和設(shè)施的安全的考慮措施。A.電磁屏蔽B.關(guān)鍵設(shè)施的安置避免公眾訪問(wèn)的場(chǎng)地C.配置設(shè)施以防保密信息被外部可視或可聽(tīng)D.建筑物內(nèi)側(cè)或外側(cè)以明確標(biāo)記給出其用途的指示正確答案：D16.投訴受理后收到的每件投訴都應(yīng)該按照準(zhǔn)則進(jìn)行初步評(píng)估，評(píng)估的內(nèi)容不包括（）。A.風(fēng)險(xiǎn)偏好B.復(fù)雜程度C.影響程度D.嚴(yán)重程度正確答案：A17.根據(jù)GB/T28450《信息安全技術(shù)信息安全管理體系審核指南》標(biāo)準(zhǔn)，ISMS的規(guī)模不包括（）。A.組織的部門(mén)數(shù)量B.信息系統(tǒng)的數(shù)量C.ISMS覆蓋的場(chǎng)所數(shù)量D.在組織控制下開(kāi)展工作的人員總數(shù)，以及與ISMS有關(guān)的相關(guān)方和合同方正確答案：A18.形成ISMS審核發(fā)現(xiàn)時(shí)，不需要考慮的是（）。A.所實(shí)施控制措施的有效性B.所實(shí)施控制措施的時(shí)效性C.適用性聲明的完備性和合理性D.所實(shí)施控制措施與適用性聲明的符合性正確答案：B19.根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS文件評(píng)審不包括（）。A.風(fēng)險(xiǎn)處置計(jì)劃的完備性B.風(fēng)險(xiǎn)評(píng)估報(bào)告的合理性C.適用性聲明的完備性和合理性D.信息安全管理手冊(cè)的充分性正確答案：D20.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，信息安全的保密性是指（）。A.保證信息不被其他人使用B.保護(hù)信息準(zhǔn)確和完整的特性C.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性D.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性正確答案：D21.根據(jù)ISO/IEC27000標(biāo)準(zhǔn)，（）為組織提供了信息安全管理體系實(shí)施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27003D.ISO/IEC27013正確答案：C22.GB/Z20986《信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南》規(guī)定，未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件是（）。A.信息竊取事件B.信息泄漏事件C.信息算改事件D.信息假冒事件正確答案：C23.下列關(guān)于DMZ區(qū)的說(shuō)法錯(cuò)誤的是（）。A.DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)B.內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)外部網(wǎng)絡(luò)以及DMZC.有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作D.通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)入的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等正確答案：A24.關(guān)于顧客滿意以下說(shuō)法錯(cuò)誤的是（）。A.顧客滿意是指顧客對(duì)其期望已被滿足程度的感受B.確保規(guī)定的顧客要求符合顧客的愿望并得到滿足，就能確保顧客很滿意C.投訴是一種滿意程度低的最常見(jiàn)的表達(dá)方式，但沒(méi)有投訴并不一定表明顧客很滿意D.為了實(shí)現(xiàn)較高的顧客滿意，可能有必要滿足那些顧客既沒(méi)有明示也不是通常隱含或必須履行的期望正確答案：A25.關(guān)于“監(jiān)控系統(tǒng)”的存取與使用，下列說(shuō)法正確的是（）。A.應(yīng)保持時(shí)鐘同步B.監(jiān)控系統(tǒng)所產(chǎn)生的記錄可由用戶任意存取C.只有當(dāng)系統(tǒng)發(fā)生異常事件及其他安全相關(guān)事件時(shí)才需進(jìn)行監(jiān)控D.監(jiān)控系統(tǒng)投資額龐大，并會(huì)影響系統(tǒng)效能，因此可以予以暫時(shí)省略正確答案：A26.若通過(guò)桌面系統(tǒng)對(duì)終端實(shí)行引IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）。A.動(dòng)態(tài)B.靜態(tài)C.靜態(tài)、動(dòng)態(tài)均可D.靜態(tài)達(dá)到50%以上即可正確答案：B27.在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是（）。A.數(shù)據(jù)篡改B.數(shù)據(jù)竊聽(tīng)C.非法訪問(wèn)D.數(shù)據(jù)流分析正確答案：A28.關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估，以下說(shuō)法正確的是（）。A.風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)評(píng)價(jià)B.組織應(yīng)基于其整體業(yè)務(wù)活動(dòng)所在的環(huán)境和風(fēng)險(xiǎn)考慮其信息安全管理體系的設(shè)計(jì)C.風(fēng)險(xiǎn)評(píng)估過(guò)程中各參數(shù)的賦值一旦確定，不應(yīng)輕易改變，以維持風(fēng)險(xiǎn)評(píng)估的穩(wěn)定性D.如果集團(tuán)企業(yè)的各地分子公司業(yè)務(wù)性質(zhì)相同，則針對(duì)一個(gè)分子公司識(shí)別、評(píng)價(jià)風(fēng)險(xiǎn)即可，其風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果文件其他分子公司可直接采用，以節(jié)省重復(fù)識(shí)別和計(jì)算的工作品正確答案：B29.在物聯(lián)網(wǎng)中，M2M通常由三部分組成，下面哪項(xiàng)不是其組成部分？（）A.主機(jī)部分B.網(wǎng)絡(luò)部分C.應(yīng)用部分D.終端部分正確答案：A30.（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A.漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè)和防火墻B.漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻C.網(wǎng)絡(luò)入侵檢測(cè)、防病毒系統(tǒng)和防火墻D.補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)和防火墻正確答案：B31.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于（）。A.6個(gè)月B.1個(gè)月C.3個(gè)月D.12個(gè)月正確答案：A32.根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》，國(guó)家秘密的最高密級(jí)為（）。A.秘密B.機(jī)密C.特密D.絕密正確答案：D33.根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》，國(guó)家秘密的保密期限應(yīng)為（）。A.絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年B.絕密不超過(guò)三十年，機(jī)密不超過(guò)二十年，秘密不超過(guò)十年C.絕密不超過(guò)二十五年，機(jī)密不超過(guò)十五年，秘密不超過(guò)五年D.絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年正確答案：B34.根據(jù)《中華人民共和國(guó)密碼法》，國(guó)家對(duì)密碼實(shí)行（）管理。A.分類(lèi)B.有效C.統(tǒng)籌D.統(tǒng)一正確答案：A35.根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全等級(jí)分為五級(jí)，以下說(shuō)法正確的是（）。A.二級(jí)系統(tǒng)和五級(jí)系統(tǒng)不進(jìn)行測(cè)評(píng)B.二級(jí)系統(tǒng)每年進(jìn)行一次測(cè)評(píng)，三級(jí)系統(tǒng)每年進(jìn)行二次測(cè)評(píng)C.三級(jí)系統(tǒng)每年進(jìn)行一次測(cè)評(píng)，四級(jí)系統(tǒng)每年進(jìn)行二次測(cè)評(píng)D.四級(jí)系統(tǒng)每年進(jìn)行二次測(cè)評(píng)，五級(jí)系統(tǒng)每季度進(jìn)行一次測(cè)評(píng)正確答案：C36.《信息安全等級(jí)保護(hù)管理辦法》規(guī)定（）級(jí)保護(hù)時(shí)，國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。A.2B.3C.4D.5正確答案：C37.根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn)，以下說(shuō)法錯(cuò)誤的是（）。A.信道是系統(tǒng)內(nèi)的信息傳輸路徑B.訪問(wèn)監(jiān)控器是監(jiān)控器主體和客體之間授權(quán)訪問(wèn)關(guān)系的部件C.敏感標(biāo)記表示主體安全級(jí)別并描述主體數(shù)據(jù)敏感性的一組信息D.安全策略是有關(guān)管理、保護(hù)、發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則正確答案：C38.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？（）A.2011B.2017C.2019D.2016正確答案：A39.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行（）。A.許可制度B.地方經(jīng)營(yíng)C.國(guó)家經(jīng)營(yíng)D.備案制度正確答案：A40.《網(wǎng)絡(luò)安全審查辦法》的制定，是為了（）。A.保守國(guó)家秘密，維護(hù)國(guó)家安全和利益B.保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全C.確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全D.規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動(dòng)，促進(jìn)互聯(lián)網(wǎng)信息服務(wù)健康有序發(fā)展正確答案：B二、多項(xiàng)選擇題（每題2分，共30分，錯(cuò)選、多選、漏選均不得分）41.以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容。A.確定ISMS方針B.實(shí)施體系文件培訓(xùn)C.確定ISMS的范圍和邊界D.確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施正確答案：AC42.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，風(fēng)險(xiǎn)描述的要素包括（）。A.后果B.威脅C.脆弱性D.可能性正確答案：AD43.信息安全是保證信息的（），另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A.可用性B.機(jī)密性C.完備性D.完整性正確答案：ABD44.以下屬于相關(guān)方的是（）。A.顧客B.供方C.所有者D.組織內(nèi)的人員正確答案：ABCD45.依據(jù)GB/T22080-2016，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括（）。A.信息備份策略B.訪問(wèn)控制策略C.信息傳輸策略D.密鑰管理策略正確答案：ABCD47.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，下列說(shuō)法正確的是（）。A.殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B.組織控制下的員工應(yīng)了解信息安全方針C.保留有關(guān)信息安全風(fēng)險(xiǎn)處置過(guò)程的文件化信息D.適用性聲明需要包含必要的控制及其選擇的合理性說(shuō)明正確答案：ABCD48.移動(dòng)設(shè)備策略宜考慮（）。A.訪問(wèn)控制B.移動(dòng)設(shè)備注冊(cè)C.惡意軟件防范D.物理保護(hù)要求正確答案：ABCD49.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，管理評(píng)審是為了確保信息安全管理體系持續(xù)的（）。A.充分性B.符合性C.有效性D.適宜性正確答案：ACD50.針對(duì)系統(tǒng)和應(yīng)用訪問(wèn)控制，以下做法不正確的是（）。A.對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)人員開(kāi)放不限時(shí)權(quán)限B.登錄之后，不活動(dòng)超過(guò)規(guī)定時(shí)間強(qiáng)制使其退出登錄C.對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D.用戶嘗試登錄失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤正確答案：AD51.對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施，以下說(shuō)法正確的是（）。A.規(guī)避風(fēng)險(xiǎn)B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移C.所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別D.在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)正確答案：AB52.風(fēng)險(xiǎn)處置的可選措施包括（）。A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩正確答案：CD52.風(fēng)險(xiǎn)處置的可選措施包括（）。A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩正確答案：CD53.認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備（）。A.信息安全的知識(shí)B.管理體系的知識(shí)C.與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)D.ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)正確答案：ABCD54.可用于信息安全風(fēng)險(xiǎn)分析的方法包括（）。A.場(chǎng)景分析法B.ATA（攻擊路徑分析）法C.FMEA（失效模式分析）法C.HACCP（危害分析與關(guān)鍵控制點(diǎn)）法正確答案：AD55.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)