版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
2021年12月CCAA注冊審核員ISMS信息安全管理體系考試題目一、單項選擇題1、不屬于公司信息資產的是()A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對2、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標準,以下說法正確的是()A、對于進入組織的設備和資產須驗證其是否符合安全策略,對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證,對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產,驗證攜帶者身份信息,可替代對設備設施的驗證3、依據(jù)GB/T22080/ISO/1EC27001,關于網絡服務的訪問控制策略,以下正確的是()A、沒有陳述為禁止訪問的網絡服務,視為允許方問的網絡服務B、對于允許訪問的網絡服務,默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務,按照規(guī)定的授權機制進行授權D、以上都對4、文件化信息創(chuàng)建和更新時,組織應確保適當?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業(yè)性的評審和批準5、對于信息安全方針,()是ISO/IEC27001所要求的A、信息安全方針應形成文件B、信息安全方針文件為公司內部重要信息,不得向外部泄露C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針是建立信息安全工作的總方向和原則,不可變更6、實施管理評審的目的是為確保信息安全管理體系的()A、充分性B、適宜性C、有效性D、以上都是7、完整性是指()A、根據(jù)授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、保護資產保密和可用的特性8、確保信息沒有非授權泄密,即確保信息不泄露給非授權的個人、實體或進程其所用,是指()A、完整性B、可用性C、機密性D、抗抵賴性9、在現(xiàn)場審核時,審核組有權自行決定變更的事項是()。A、市核人日B、審核的業(yè)務范圍C、審核日期D、審核組任務調整10、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程11、關于顧客滿意,以下說法正確的是:()A、顧客沒有抱怨,表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失,就意味著顧客滿意C、顧客認為其要求己得到滿足,即意味著顧客滿意D、組織認為顧客要求己得到滿足,即意味著顧客滿意12、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時,對相關方可用D、定期更新13、依法負有網絡安全監(jiān)督管理職責的部門及其工作人員,必須對在履行職責中知悉的()嚴格保密,不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確14、對全國密碼工作實行統(tǒng)一領導的機構是()A、中央密碼工作領導機構B、國家密碼管理部門C、中央國家機關D、全國人大委員會15、某公司進行風險評估后發(fā)現(xiàn)公司的無線網絡存在大的安全隱患、為了處置這個風險,公司不再提供無線網絡用于辦公,這種處置方式屬于()A、風險接受B、風險規(guī)避C、風險轉移D、風險減緩16、漏洞檢測的方法分為()A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是17、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于()對信息系統(tǒng)造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網絡故障18、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序19、關于信息安全管理體系認證,以下說法正確的是:A、負責作出認證決定的人員中應至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應參與審核D、負責作出認證決定的人員應包含參與了預審核的人員20、組織應()與其意圖相關的,且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保21、《計算機信息系統(tǒng)安全保護條例》規(guī)定:對計算機信息系統(tǒng)中發(fā)生的案件,有關使用單位應當在()向當?shù)乜h民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內22、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是:()A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數(shù)23、ISMS管理評審的輸出應考慮變更對安全規(guī)程和控制措施的影響,但不包括()A、業(yè)務要求變更B、合同義務變更C、安全要求的變更D、以上都不對24、依據(jù)《中華人民共和國網絡安全法》,以下說法不正確的是()A、網絡安全應采取必要措施防范對網絡的攻擊和侵入B、網絡安全措施包括防范對網絡的破壞C、網絡安全即采取措施保護信息在網絡中傳輸期間的安全D、網絡安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護25、關于容量管理,以下說法不正確的是()A、根據(jù)業(yè)務對系統(tǒng)性能的需求,設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性,設置資源占用的優(yōu)先級C、對于關鍵業(yè)務,通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃26、TCP/IP協(xié)議層次結構由()A、網絡接口層、網絡層組成B、網絡接口層、網絡層、傳輸層組成C、網絡接口層、網絡層、傳輸層和應用層組成D、其他選項均不正確27、可用性是指()A、根據(jù)授權實體的要求可訪問和利用的特性B、信息不能被未授權的個人,實體或者過程利用或知悉的特性C、保護資產的準確和完整的特性D、反映事物真實情況的程度28、對于較大范圍的網絡,網絡隔離是()A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對29、關于信息安全策略,下列說法正確的是()A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審30、組織應在相關()上建立信息安全目標A、組織環(huán)境和相關方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次31、下列()不是創(chuàng)建和維護測量要執(zhí)行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發(fā)和更新測量D、建立測量文檔并確定實施優(yōu)先級32、信息分級的目的是()A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當?shù)谋WoC、確保信息得到保護D、確保信息按照其級別得到處理33、虛擬專用網(VPN)的數(shù)據(jù)保密性,是通過什么實現(xiàn)的?()A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(Tunnelling)C、數(shù)字簽名D、風險釣魚34、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?()A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應35、關于《中華人民共和國保密法》,以下說法正確的是:()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級,由組織自主定級、自主保護36、風險責任人是指()A、具有責任和權限管理一項風險的個人或實體B、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者37、審核抽樣時,可以不考慮的因素是()A、場所差異B、管理評審的結果C、最高管理者D、內審的結果38、物理安全周邊的安全設置應考慮:()A、區(qū)域內信息和資產的敏感性分類B、重點考慮計算機機房,而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C39、依據(jù)GB/T220802016/SO/EC.27001:2013標準,組織應()。A、識別在組織范圍內從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力40、信息安全的機密性是指()A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據(jù)授權實體的要求可訪問的特性D、保護信息準確和完整的特性?二、多項選擇題41、第二階段審核中,應重點審核被審核單位的()。A、最高管理者的領導力B、與信息安全有關的風險C、基于風險評估和風險處置過程D、ISMS有效性42、信息安全管理中,以下屬于"按需知悉(need-to-know)原則的是()A、根據(jù)工作需要僅獲得最小的知悉權限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務所需要的信息,僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息43、信息安全風險分析包括()A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后,可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性44、下列哪些屬于網絡攻擊事件()A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊45、以下說法不正確的是()A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷,并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了46、信息安全管理體系審核應遵循的原則包括:()A、誠實守信B、保密性C、基于風險D、基于事實的決策方法47、網絡常見的拓撲形式有()A、星型B、環(huán)型C、總線D、樹型48、《中華人民共和國網絡安全法》的宗旨是()A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益49、GB/T28450審核方案管理的內容包括()A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模50、關鍵信息基礎設施包括三大部分,分別是()。A、關鍵基礎設施B、基礎信息網絡C、重要信息系統(tǒng)D、重要互聯(lián)網應用系統(tǒng)51、為控制文件化信息,適用時,組織應強調以下哪些活動?()A、分發(fā),訪問,檢索和使用B、存儲和保護,包括保持可讀性C、控制變更(例如版本控制)D、保留和處理52、以下做法正確的是()A、使用生產系統(tǒng)數(shù)據(jù)測試時,應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調換項目組時,其愿使用計算機中的項目數(shù)據(jù)經妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致53、設計一個信息安全風險管理工具,應包括如下模塊()。A、資產識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程54、評價信息安全風險,包括()A、將風險分析的結果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優(yōu)先級D、計算風險大小55、某金融資產武裝押運服務公司擬申請ISMS認證,下列哪些應列入資產清單中()A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支三、判斷題56、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務,這樣才能保證安全。()57、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。58、創(chuàng)建和更新文件化信息時,組織應確保對其適宜性和充分性進行評審和批準。59、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。()60、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍()61、最高管理層應建立信息安全方針、該方針應包括對持續(xù)改進信息安全管理體系的承諾。62、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據(jù)。()63、計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)()64、某組織在生產系統(tǒng)上安裝升級包前制定了回退計劃,這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求()65、中華人民共和國境內的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網的微型計算機的安全保護辦法,另行制定。
參考答案一、單項選擇題1、C2、C3、C4、D5、A解析:信息安全方針應:(1)形成文件化信息并可用;(2)在組織內得到溝通;(3)適當時,對相關方可用。故選A6、D7、C8、C9、D10、D11、C12、B13、D解析:網絡安全法第45條,依法負有網絡安全監(jiān)督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息,隱私和商業(yè)秘密嚴格保密,不得泄露,出售或者非法向他人提供。故選D14、A15、B16、D解析:漏洞檢測分為被動檢測(靜態(tài)),主動檢測(動態(tài)),綜合檢測(混合檢測)。故選D17、C18、D19、C20、A解析:理解組織及其環(huán)境21、C22、D23、D解析:270019,3管理評審,管理評審的輸出應包括與持續(xù)改進機會相關的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理,應控制影響信息安全的變更,包括組織,業(yè)務過程,信息處理設施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理,故選D24、C解
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年中國普羅潘非林項目申請報告
- 足球訓練計劃
- 城市交通工程項目實施方案及技術難點
- 食品攤位合作協(xié)議書
- 多媒體機房管理制度
- 2025學年第一學期新版部編人教版八年級語文教學計劃
- 青島飛洋職業(yè)技術學院《T創(chuàng)新項目》2023-2024學年第一學期期末試卷
- 青島濱海學院《機床電氣與可編程控制器》2023-2024學年第一學期期末試卷
- 黔西南民族職業(yè)技術學院《接口技術》2023-2024學年第一學期期末試卷
- 起重指揮工安全操作規(guī)程模版(2篇)
- 華西口腔修復學教學大綱
- 插畫設計智慧樹知到答案章節(jié)測試2023年江西制造職業(yè)技術學院
- 應用國學:修身 立人 濟世 成物智慧樹知到答案章節(jié)測試2023年四川大學
- 物業(yè)客服年終總結動態(tài)PPT模板
- 預防接種門診的設置
- 雷頓三坐標操作手冊
- LY/T 1143-2006飾面用浸漬膠膜紙
- GB/T 30041-2013頭部防護安全帽選用規(guī)范
- 醫(yī)療器械質量管理體系文件全套
- 2023年終物業(yè)保安工作總結
- 《城市規(guī)劃設計計費指導意見》2017修訂稿
評論
0/150
提交評論