2022年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識復(fù)習題含解析_第1頁
2022年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識復(fù)習題含解析_第2頁
2022年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識復(fù)習題含解析_第3頁
2022年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識復(fù)習題含解析_第4頁
2022年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識復(fù)習題含解析_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

2022年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識復(fù)習題一、單項選擇題1、可用性是指()A、根據(jù)授權(quán)實體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人,實體或者過程利用或知悉的特性C、保護資產(chǎn)的準確和完整的特性D、反映事物真實情況的程度2、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理3、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生,它可能是對信息安全方針的違反或控制措施的失效,或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障4、管理者應(yīng)()A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行5、依據(jù)GB/T22080/ISO/IEC27001,建立資產(chǎn)清單即:()A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn),明確其對組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺賬,同時指定資產(chǎn)負責人C、資產(chǎn)價格越高,往往意味著功能越全,因此資產(chǎn)重要性等級就越高D、A+B6、審核發(fā)現(xiàn)是指()A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項7、ISMS文件的多少和詳細程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C8、根據(jù)GB/T22080-2016中控制措施的要求,不屬于人員招聘的安全要求的是()A、參加信息安全培訓B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議9、關(guān)于信息系統(tǒng)登錄的管理,以下說法不正確的是()A、網(wǎng)絡(luò)安全等級保護中,三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率,可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令10、在實施技術(shù)符合性評審時,以下說法正確的是()A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估11、組織確定的信息安全管理體系范圍應(yīng)()A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用12、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南13、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響,但不包括()A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對14、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準,以下做法不正確的是()A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應(yīng)定期檢查機房空調(diào)的有效性15、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標準,以下說法正確的是()A、對于進入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略,對于離開組織的設(shè)備設(shè)施則不須驗證B、對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證,對于進入組織的設(shè)備設(shè)施則不必驗證C、對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D、對于進入和離開組織的設(shè)備和資產(chǎn),驗證攜帶者身份信息,可替代對設(shè)備設(shè)施的驗證16、應(yīng)定期評審信息系統(tǒng)與組織的()的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準17、關(guān)于信息系統(tǒng)登錄口令的管理,以下做法不正確的是:()A、必要時,使用密碼技術(shù)、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令18、依據(jù)GB/T22080/IS0/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù),視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù),默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù),按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對19、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標準,下列說法錯誤的是()A、標準可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應(yīng)用風險管理過程來保持信息的保密性、完整性和可用性20、末次會議包括()A、請受審核方確認不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進行討論D、以上都不準確21、對于較大范圍的網(wǎng)絡(luò),網(wǎng)絡(luò)隔離是:()A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對22、由認可機構(gòu)對認證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格,予以承認的合格評定活動是()A、認證B、認可C、審核D、評審23、信息安全風險的基本要素包括()A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果24、信息安全事態(tài)、事件和事故的關(guān)系是()A、事態(tài)一定是事件,事件一定是事故B、事件一定是事故,事故一定是事態(tài)C、事態(tài)一定是事故,事故一定是事件D、事故一定是事件,事件一定是事態(tài)25、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責?()A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對26、關(guān)于投訴處理過程的設(shè)計,以下說法正確的是:()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用27、計算機病毒是計算機系統(tǒng)中一類隱藏在()上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)28、以下關(guān)于認證機構(gòu)的監(jiān)督要求表述錯誤的是()A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案,并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應(yīng)由認證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應(yīng)對認證證書的使用進行監(jiān)督29、設(shè)置防火墻策略是為了()A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制30、當發(fā)現(xiàn)不符合項時,組織應(yīng)對不符合做出反應(yīng),適用時()。A、采取措施,以控制并予以糾正B、對產(chǎn)生的影響進行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生31、關(guān)于顧客滿意,以下說法正確的是:()A、顧客沒有抱怨,表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失,就意味著顧客滿意C、顧客認為其要求己得到滿足,即意味著顧客滿意D、組織認為顧客要求己得到滿足,即意味著顧客滿意32、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級,國家秘密的密級分為()。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、—密、二密、三密、四密四個級別33、文件化信息指()A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件34、最高管理層應(yīng)(),以確保信息安全管理體系符合本標準要求。A、分配職責與權(quán)限B、分配崗位與權(quán)限C、分配責任和權(quán)限D(zhuǎn)、分配角色和權(quán)限35、在形成信息安全管理體系審核發(fā)現(xiàn)時,應(yīng)()。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性36、對于獲準認可的認證機構(gòu),認可機構(gòu)證明()A、認證機構(gòu)能夠開展認證活動B、其在特定范圍內(nèi)按照標準具有從事認證活動的能力C、認證機構(gòu)的每張認證證書都符合要求D、認證機構(gòu)具有從事相應(yīng)認證活動的能力37、關(guān)于GB/T22081標準,以下說法正確的是:()A、提供了選擇控制措施的指南,可用作信息安全管理體系認證的依據(jù)B、提供了選擇控制措施的指南,不可用作信息安全管理體系認證的依據(jù)C、提供了信息安全風險評估的指南,是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風險評估的依據(jù),是實施ISCVIEC27000的支持性標準38、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務(wù)器C、個人使用的電腦D、審核記錄39、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位,公司文件規(guī)定員工計算機密碼必須6位及以上,那么中哪一項不是針對該問題的糾正措施?()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設(shè)置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育40、在現(xiàn)場審核時,審核組有權(quán)自行決定變更的事項是()。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整二、多項選擇題41、信息安全管理中,以下屬于“按需知悉(need-to-know)”原則的是()A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息,僅在必要時才可擴大范圍。D、工作范圍是可訪問的信息42、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是()。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)43、操作系統(tǒng)的基本功能有()A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理44、組織的信息安全管理體系初次認證應(yīng)包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定45、設(shè)計一個信息安全風險管理工具,應(yīng)包括如下模塊()。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程46、依據(jù)GB/Z20986,確定為重大社會影響的情況包括()A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟建設(shè)設(shè)有重大負面影響47、常規(guī)控制圖主要用于區(qū)分()A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動48、關(guān)于個人信息安全的基本原則,以下正確的是()A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則49、針對敏感應(yīng)用系統(tǒng)安全,以下正確的做法是()。A、用戶嘗試登錄失敗時,明確提示其用戶名錯誤或口令錯誤B、登錄之后,不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務(wù)運行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權(quán)限50、按覆蓋的地理范圍進行分類,計算機網(wǎng)絡(luò)可以分為()A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)51、以下()活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實施培訓和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施52、“云計算機服務(wù)”包括哪幾個層面?()A、PaasB、SaaSC、IaaSD、PIIS53、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是()A、維護網(wǎng)絡(luò)空間主權(quán)B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益54、以下做法正確的是()A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時,其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致55、以下做法正確的是()A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時,其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致三、判斷題56、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。()57、不同組織有關(guān)信息安全管理體系文件化信息的詳細程度應(yīng)基本相同()58、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進信息安全管理體系的承諾。59、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。()60、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng),并降低進入該系統(tǒng)的無意錯誤操作導(dǎo)致的影響()61、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。62、在來自可信站點電子郵件中輸入個人或財務(wù)信息是安全的。()63、ISO/IEC27018是用于對云安全服務(wù)中隱私保護認證的依據(jù)。()64、組織應(yīng)適當保留信息安全目標文件化信息()65、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù),這樣才能保證安全。()

參考答案一、單項選擇題1、A2、D解析:27001附錄A12,6,技術(shù)方面的脆弱性管理,應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息,評價組織對這些脆弱性的暴露情況并采取適當?shù)拇胧﹣響?yīng)對相關(guān)風險。故選D3、A4、A5、A6、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準則進行評價的結(jié)果,故選C7、D8、A9、C解析:應(yīng)確保秘密鑒別信息的保密性,確保鑒別信息得到適當?shù)谋Wo,C選項為提高效率而保存鑒別信息的直接登錄方式,不能確保鑒別信息得到保護,故選C10、D11、A12、D13、D解析:270019,3管理評審,管理評審的輸出應(yīng)包括與持續(xù)改進機會相關(guān)的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理,應(yīng)控制影響信息安全的變更,包括組織,業(yè)務(wù)過程,信息處理設(shè)施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理,故選D14、B15、C16、D17、B18、C19、B解析:引言中明確表述,標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現(xiàn)的順序20、C21、B22、B23、B24、D25、B26、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍,投訴處理過程為投訴者提供一個開放,有效,方便的投訴程序,故選A27、C28、B29、A30、A解析:參考2700110,1當發(fā)生不符合時,組織應(yīng):對不符合做出反應(yīng),適用時:(1)采取措施,以控制并予以糾正(2)處理后果。故選A31、C32、C解析:《中華人民共和國保守國家秘密法》第十條,國家秘密的密級分為絕密,機密,秘密三級33、

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論