2024年（3月）CCAA第一期考試-信息安全管理體系基礎考試真題

一、單項選擇題（每題1.5分，共60分）1.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標準，信息安全管理中的“可用性”是指（）。A.反映事物真實情況的程度B.保護資產(chǎn)準確和完整的特性C.根據(jù)授權(quán)實體的要求可訪問和利用的特性D.信息不被未授權(quán)的個人、實體或過程利用或知悉的特性正確答案：C2.GB/T22080-2016標準中提到的“風險責任者”，是指（）。A.發(fā)現(xiàn)風險的人或?qū)嶓wB.風險處置人員或?qū)嶓wC.有責任和權(quán)威來管理風險的人或?qū)嶓wD.對風險發(fā)生后結(jié)果進行負責的人或?qū)嶓w正確答案：C3.組織應按照GB/T22080-2016標準的要求（）信息安全管理體系。A.建立、實施、監(jiān)視和持續(xù)改進B.策劃、實現(xiàn)、維護和持續(xù)改進C.建立、實現(xiàn)、維護和持續(xù)改進D.策劃、實現(xiàn)、監(jiān)視和持續(xù)改進正確答案：C4.關(guān)于GB/T22080-2016標準，所采用的過程方法是（）。A.PDCA法B.PPTR方法C.SWOT方法D.SMART方法正確答案：A5.ISO/IEC27002最新版本為（）。A.2022B.2015C.2005D.2013正確答案：A6.關(guān)于ISO/IEC27004，以下說法正確的是（）。A.該標準可以替代GB/T28450B.該標準是信息安全水平的度量標準C.該標準是ISMS管理績效的度量指南D.該標準可以替代ISO/IEC27001中的9.2的要求正確答案：C7.在ISO/IEC27000系列標準中，為組織的信息安全風險管理提供指南的標準是（）。A.ISO/IEC27004B.ISO/IEC27003C.ISO/IEC27002D.IS0/IEC27005正確答案：D8.根據(jù)GB/T22080-2016標準的要求，最高管理層應（），以確保信息安全管理體系符合標準要求。A.分配責任和權(quán)限B.分配角色和權(quán)限C.分配崗位與權(quán)限D(zhuǎn).分配職責與權(quán)限正確答案：A9.根據(jù)GB/T22080-2016標準，組織應在相關(guān)（）上建立信息安全目標。A.職能和層次B.戰(zhàn)略和意圖C.戰(zhàn)略和方針D.組織環(huán)境和相關(guān)方要求正確答案：A10.根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估。A.只需在重大變更發(fā)生時B.只需按計劃的時間間隔C.應按計劃的時間間隔或當重大變更提出或發(fā)生時D.應按計劃的時間間隔且當重大變更提出或發(fā)生時正確答案：C11.某數(shù)據(jù)中心申請ISMS認證的范圍為“IDC基礎設施服務的提供”，對此以下說法正確的是（）。A.附錄A.8可以刪減B.附錄A.17可以刪減C.附錄A.12可以刪減D.附錄A.14可以刪減正確答案：D12.根據(jù)GB/T22080-2016標準中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是（）。A.技術(shù)脆弱性應單獨管理，與事件管理沒有關(guān)聯(lián)B.及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息C.了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風險驗越小D.及時安裝針對技術(shù)脆弱性的所有補丁是應對脆弱性相關(guān)風險的最佳途徑正確答案：B13.根據(jù)GB/T22080-2016標準中控制措施的要求，關(guān)于資產(chǎn)清單，正確的是（）。A.做好資產(chǎn)整理是其基礎B.識別信息，以及與信息和信息處理設施相關(guān)的其他資產(chǎn)C.識別和完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)責任人D.資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高正確答案：B14.根據(jù)GB/T22080-2016中控制措施的要求，為了確保布纜安全，以下正確的做法是（）。A.為了防止干擾，電源電纜宜與通信電纜分開B.使用同一電纜管道鋪設電源電纜和通信電纜C.網(wǎng)絡電纜采用明線架設，以便于探查故障和維修D(zhuǎn).配線盤應盡量放置在公共可訪問區(qū)域，以便于應急管理正確答案：A15.（）不是保護辦公室、房間和設施的安全的考慮措施。A.電磁屏蔽B.關(guān)鍵設施的安置避免公眾訪問的場地C.配置設施以防保密信息被外部可視或可聽D.建筑物內(nèi)側(cè)或外側(cè)以明確標記給出其用途的指示正確答案：D16.投訴受理后收到的每件投訴都應該按照準則進行初步評估，評估的內(nèi)容不包括（）。A.風險偏好B.復雜程度C.影響程度D.嚴重程度正確答案：A17.根據(jù)GB/T28450《信息安全技術(shù)信息安全管理體系審核指南》標準，ISMS的規(guī)模不包括（）。A.組織的部門數(shù)量B.信息系統(tǒng)的數(shù)量C.ISMS覆蓋的場所數(shù)量D.在組織控制下開展工作的人員總數(shù)，以及與ISMS有關(guān)的相關(guān)方和合同方正確答案：A18.形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）。A.所實施控制措施的有效性B.所實施控制措施的時效性C.適用性聲明的完備性和合理性D.所實施控制措施與適用性聲明的符合性正確答案：B19.根據(jù)GB/T28450標準，ISMS文件評審不包括（）。A.風險處置計劃的完備性B.風險評估報告的合理性C.適用性聲明的完備性和合理性D.信息安全管理手冊的充分性正確答案：D20.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標準，信息安全的保密性是指（）。A.保證信息不被其他人使用B.保護信息準確和完整的特性C.根據(jù)授權(quán)實體的要求可訪問的特性D.信息不被未授權(quán)的個人、實體或過程利用或知悉的特性正確答案：D21.根據(jù)ISO/IEC27000標準，（）為組織提供了信息安全管理體系實施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27003D.ISO/IEC27013正確答案：C22.GB/Z20986《信息安全技術(shù)信息安全事件分類分級指南》規(guī)定，未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件是（）。A.信息竊取事件B.信息泄漏事件C.信息算改事件D.信息假冒事件正確答案：C23.下列關(guān)于DMZ區(qū)的說法錯誤的是（）。A.DMZ可以訪問內(nèi)部網(wǎng)絡B.內(nèi)部網(wǎng)絡可以無限制地訪問外部網(wǎng)絡以及DMZC.有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作D.通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進入的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等正確答案：A24.關(guān)于顧客滿意以下說法錯誤的是（）。A.顧客滿意是指顧客對其期望已被滿足程度的感受B.確保規(guī)定的顧客要求符合顧客的愿望并得到滿足，就能確保顧客很滿意C.投訴是一種滿意程度低的最常見的表達方式，但沒有投訴并不一定表明顧客很滿意D.為了實現(xiàn)較高的顧客滿意，可能有必要滿足那些顧客既沒有明示也不是通常隱含或必須履行的期望正確答案：A25.關(guān)于“監(jiān)控系統(tǒng)”的存取與使用，下列說法正確的是（）。A.應保持時鐘同步B.監(jiān)控系統(tǒng)所產(chǎn)生的記錄可由用戶任意存取C.只有當系統(tǒng)發(fā)生異常事件及其他安全相關(guān)事件時才需進行監(jiān)控D.監(jiān)控系統(tǒng)投資額龐大，并會影響系統(tǒng)效能，因此可以予以暫時省略正確答案：A26.若通過桌面系統(tǒng)對終端實行引IP、MAC綁定，該網(wǎng)絡IP地址分配方式應為（）。A.動態(tài)B.靜態(tài)C.靜態(tài)、動態(tài)均可D.靜態(tài)達到50%以上即可正確答案：B27.在以下認為的惡意攻擊行為中，屬于主動攻擊的是（）。A.數(shù)據(jù)篡改B.數(shù)據(jù)竊聽C.非法訪問D.數(shù)據(jù)流分析正確答案：A28.關(guān)于信息安全風險評估，以下說法正確的是（）。A.風險評估包括風險管理與風險評價B.組織應基于其整體業(yè)務活動所在的環(huán)境和風險考慮其信息安全管理體系的設計C.風險評估過程中各參數(shù)的賦值一旦確定，不應輕易改變，以維持風險評估的穩(wěn)定性D.如果集團企業(yè)的各地分子公司業(yè)務性質(zhì)相同，則針對一個分子公司識別、評價風險即可，其風險評估過程和結(jié)果文件其他分子公司可直接采用，以節(jié)省重復識別和計算的工作品正確答案：B29.在物聯(lián)網(wǎng)中，M2M通常由三部分組成，下面哪項不是其組成部分？（）A.主機部分B.網(wǎng)絡部分C.應用部分D.終端部分正確答案：A30.（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施。A.漏洞掃描、網(wǎng)絡入侵檢測和防火墻B.漏洞掃描、補丁管理系統(tǒng)和防火墻C.網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻D.補丁管理系統(tǒng)、網(wǎng)絡入侵檢測和防火墻正確答案：B31.《中華人民共和國網(wǎng)絡安全法》要求網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡日志不少于（）。A.6個月B.1個月C.3個月D.12個月正確答案：A32.根據(jù)《中華人民共和國保守國家秘密法》，國家秘密的最高密級為（）。A.秘密B.機密C.特密D.絕密正確答案：D33.根據(jù)《中華人民共和國保守國家秘密法》，國家秘密的保密期限應為（）。A.絕密不低于三十年，機密不低于二十年，秘密不低于十年B.絕密不超過三十年，機密不超過二十年，秘密不超過十年C.絕密不超過二十五年，機密不超過十五年，秘密不超過五年D.絕密不低于二十五年，機密不低于十五年，秘密不低于五年正確答案：B34.根據(jù)《中華人民共和國密碼法》，國家對密碼實行（）管理。A.分類B.有效C.統(tǒng)籌D.統(tǒng)一正確答案：A35.根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)安全等級分為五級，以下說法正確的是（）。A.二級系統(tǒng)和五級系統(tǒng)不進行測評B.二級系統(tǒng)每年進行一次測評，三級系統(tǒng)每年進行二次測評C.三級系統(tǒng)每年進行一次測評，四級系統(tǒng)每年進行二次測評D.四級系統(tǒng)每年進行二次測評，五級系統(tǒng)每季度進行一次測評正確答案：C36.《信息安全等級保護管理辦法》規(guī)定（）級保護時，國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。A.2B.3C.4D.5正確答案：C37.根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》標準，以下說法錯誤的是（）。A.信道是系統(tǒng)內(nèi)的信息傳輸路徑B.訪問監(jiān)控器是監(jiān)控器主體和客體之間授權(quán)訪問關(guān)系的部件C.敏感標記表示主體安全級別并描述主體數(shù)據(jù)敏感性的一組信息D.安全策略是有關(guān)管理、保護、發(fā)布敏感信息的法律、規(guī)定和實施細則正確答案：C38.《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？（）A.2011B.2017C.2019D.2016正確答案：A39.《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行（）。A.許可制度B.地方經(jīng)營C.國家經(jīng)營D.備案制度正確答案：A40.《網(wǎng)絡安全審查辦法》的制定，是為了（）。A.保守國家秘密，維護國家安全和利益B.保障網(wǎng)絡安全，維護網(wǎng)絡空間主權(quán)和國家安全C.確保關(guān)鍵信息基礎設施供應鏈安全，維護國家安全D.規(guī)范互聯(lián)網(wǎng)信息服務活動，促進互聯(lián)網(wǎng)信息服務健康有序發(fā)展正確答案：B二、多項選擇題（每題2分，共30分，錯選、多選、漏選均不得分）41.以下（）活動是ISMS建立階段應完成的內(nèi)容。A.確定ISMS方針B.實施體系文件培訓C.確定ISMS的范圍和邊界D.確定風險評估方法和實施正確答案：AC42.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標準，風險描述的要素包括（）。A.后果B.威脅C.脆弱性D.可能性正確答案：AD43.信息安全是保證信息的（），另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A.可用性B.機密性C.完備性D.完整性正確答案：ABD44.以下屬于相關(guān)方的是（）。A.顧客B.供方C.所有者D.組織內(nèi)的人員正確答案：ABCD45.依據(jù)GB/T22080-2016，經(jīng)管理層批準，定期評審的信息安全策略包括（）。A.信息備份策略B.訪問控制策略C.信息傳輸策略D.密鑰管理策略正確答案：ABCD47.根據(jù)GB/T22080-2016標準的要求，下列說法正確的是（）。A.殘余風險需要獲得風險責任人的批準B.組織控制下的員工應了解信息安全方針C.保留有關(guān)信息安全風險處置過程的文件化信息D.適用性聲明需要包含必要的控制及其選擇的合理性說明正確答案：ABCD48.移動設備策略宜考慮（）。A.訪問控制B.移動設備注冊C.惡意軟件防范D.物理保護要求正確答案：ABCD49.根據(jù)GB/T22080-2016標準的要求，管理評審是為了確保信息安全管理體系持續(xù)的（）。A.充分性B.符合性C.有效性D.適宜性正確答案：ACD50.針對系統(tǒng)和應用訪問控制，以下做法不正確的是（）。A.對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權(quán)限B.登錄之后，不活動超過規(guī)定時間強制使其退出登錄C.對于修改系統(tǒng)核心業(yè)務運行數(shù)據(jù)的操作限定操作時間D.用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤正確答案：AD51.對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）。A.規(guī)避風險B.可以將風險轉(zhuǎn)移C.所有風險都必須被降低到可接受的級別D.在滿足公司策略和方針條件下，有意識、客觀地接受風險正確答案：AB52.風險處置的可選措施包括（）。A.風險識別B.風險分析C.風險轉(zhuǎn)移D.風險減緩正確答案：CD52.風險處置的可選措施包括（）。A.風險識別B.風險分析C.風險轉(zhuǎn)移D.風險減緩正確答案：CD53.認證機構(gòu)應有驗證審核組成員背景經(jīng)驗，特定培訓或情況的準則，以確保審核組至少具備（）。A.信息安全的知識B.管理體系的知識C.與受審核活動相關(guān)的技術(shù)知識D.ISMS監(jiān)視、測量、分析和評價的知識正確答案：ABCD54.可用于信息安全風險分析的方法包括（）。A.場景分析法B.ATA（攻擊路徑分析）法C.FMEA（失效模式分析）法C.HACCP（危害分析與關(guān)鍵控制點）法正確答案：AD55.《中華人民共和國網(wǎng)絡安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡，以及網(wǎng)