2023年10月CCAA國家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題含解析_第1頁
2023年10月CCAA國家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題含解析_第2頁
2023年10月CCAA國家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題含解析_第3頁
2023年10月CCAA國家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題含解析_第4頁
2023年10月CCAA國家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題含解析_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

2023年10月CCAA國家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題一、單項(xiàng)選擇題1、關(guān)于內(nèi)部審核下面說法不正確的是()。A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B、通過內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)C、組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案D、組織應(yīng)確保審核結(jié)果報(bào)告至管理層2、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后,終端用戶修改了IP地址,對(duì)其的處理方式不包括()A、自動(dòng)恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對(duì)其發(fā)出警告D、鎖定鍵盤鼠標(biāo)3、確定資產(chǎn)的可用性要求須依據(jù)()。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定4、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定,國家對(duì)經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度5、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響?()A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)6、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí),審核組長可以()A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上都不可以7、組織應(yīng)()A、定義和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識(shí)別和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識(shí)別和控制安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域8、關(guān)于訪問控制,以下說法正確的是()A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問控制B、三層交換機(jī)基于MAC實(shí)施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強(qiáng)制訪問控制中,用戶標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別,即可讀該文件9、關(guān)于信息安全策略,下列說法正確的是()A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審10、GB/T22080-2016中所指資產(chǎn)的價(jià)值取決于()A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部11、以下說法不正確的是()A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)審B、應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C、制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無影響D、安全計(jì)劃應(yīng)適時(shí)更新12、風(fēng)險(xiǎn)評(píng)價(jià)是指()A、系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和評(píng)估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D、以上都對(duì)13、ISO/IEC27701是()A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求14、加密技術(shù)可以保護(hù)信息的()A、機(jī)密性B、完整性C、可用性D、A+B15、創(chuàng)建和更新文件化信息時(shí),組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)16、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生,它可能是對(duì)信息安全方針的違反或控制措施的失效,或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障17、桌面系統(tǒng)級(jí)聯(lián)狀態(tài)下,關(guān)于上級(jí)服務(wù)器制定的強(qiáng)制策略,以下說法正確的是()A、下級(jí)管理員無權(quán)修改,不可刪除B、下級(jí)管理員無權(quán)修改,可以刪除C、下級(jí)管理員可以修改,可以刪除D、下級(jí)管理員可以修改,不可刪除18、組織通過哪些措施來確保員工和合同方意識(shí)到并履行其信息安全職責(zé)?()A、審查、任用條款和條件B、管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對(duì)19、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響?()A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)20、如果信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國家安全造成損害,則應(yīng)具備的保護(hù)水平為:()A、三級(jí)B、二級(jí)C、四級(jí)D、五級(jí)21、下列措施中,()是風(fēng)險(xiǎn)管理的內(nèi)容。A、識(shí)別風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)價(jià)C、風(fēng)險(xiǎn)處置D、以上都是22、安全掃描可以實(shí)現(xiàn)()A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對(duì)內(nèi)網(wǎng)安全威脅檢測(cè)不足的問題D、掃描檢測(cè)所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流23、ISO/IEC27001所采用的過程方法是()A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法24、主動(dòng)式射頻識(shí)別卡(RFID)存在哪一種弱點(diǎn)?()A、會(huì)話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR25、關(guān)于互聯(lián)網(wǎng)信息服務(wù),以下說法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類,其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù),應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務(wù),是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務(wù)活動(dòng)26、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)是()A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)27、容災(zāi)的目的和實(shí)質(zhì)是()A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞28、密碼技術(shù)不適用于控制下列哪種風(fēng)險(xiǎn)?()A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險(xiǎn)B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險(xiǎn)C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險(xiǎn)D、數(shù)據(jù)被非授權(quán)訪問的風(fēng)險(xiǎn)29、設(shè)置防火墻策略是為了()A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制30、組織機(jī)構(gòu)在建立和評(píng)審ISMS時(shí),應(yīng)考慮()A、風(fēng)險(xiǎn)評(píng)估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C31、口令管理系統(tǒng)應(yīng)該是(),并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專人管理式D、A+B+C32、完整性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性33、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于()A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部34、根據(jù)《中華人民共和國國家秘密法》,國家秘密的最高密級(jí)為()A、特密B、絕密C、機(jī)密D、秘密35、根據(jù)GB/T22080-2016中控制措施的要求,不屬于人員招聘的安全要求的是()A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評(píng)估D、簽署保密協(xié)議36、在我國信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為()A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求37、ISMS文件評(píng)審需考慮()A、收集信息,以準(zhǔn)備審核活動(dòng)和適當(dāng)?shù)墓ぷ魑募﨎、請(qǐng)受審核方確認(rèn)ISMS文件審核報(bào)告,并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見38、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指:()A、用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計(jì)的專用計(jì)算機(jī)C、安裝了專用安全協(xié)議的專用計(jì)算機(jī)D、特定用途(如高保密)專用的計(jì)算機(jī)軟件和硬件產(chǎn)品39、信息分級(jí)的目的是()A、確保信息按照其對(duì)組織的重要程度受到適當(dāng)級(jí)別的保護(hù)B、確保信息按照其級(jí)別得到適當(dāng)?shù)谋Wo(hù)C、確保信息得到保護(hù)D、確保信息按照其級(jí)別得到處理40、以下對(duì)GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述,正確的是()A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評(píng)估D、組織在建立ISMS時(shí),必須滿足該標(biāo)準(zhǔn)的所有要求二、多項(xiàng)選擇題41、關(guān)于審核委托方,以下說法正確的是()A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核42、管理評(píng)審是為了確保信息安全管理體系持續(xù)的()A、適宜性B、充分性C、有效性D、可靠性43、關(guān)于審核委托方,以下說法正確的是:()A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核44、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證,下列哪些應(yīng)列入資產(chǎn)清單中()A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支45、A,B,C解析:gb/t20984-20077,2自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估,A正確。周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡化,重點(diǎn)針對(duì)自上次評(píng)估后系統(tǒng)發(fā)生變化后引入的新威脅,以及系統(tǒng)脆弱性的完整性識(shí)別,以便于兩次評(píng)估結(jié)果對(duì)比,B正確。自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施,C正確。D錯(cuò)誤,主體錯(cuò)誤,檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門組織的或國家有關(guān)職能部門依法展開的風(fēng)險(xiǎn)評(píng)估。本題選ABC46、組織建立的信息安全目標(biāo),應(yīng)()。A、是可測(cè)量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時(shí)更新47、常規(guī)控制圖主要用于區(qū)分()A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動(dòng)還是異常波動(dòng)48、信息安全是保證信息的(),另外也可包括諸如真實(shí)性,可核查性,不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性49、對(duì)于信息安全方針,()是GB/T22080-2016標(biāo)準(zhǔn)要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布,并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審50、操作系統(tǒng)的基本功能有()A、存儲(chǔ)管理B、文件管理C、設(shè)備管理D、處理器管理51、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12,3,1條款要求()A、設(shè)定備份策B、定期測(cè)試備份介質(zhì)C、定期備份D、定期測(cè)試信息和軟件52、依據(jù)GB/T22080,經(jīng)管理層批準(zhǔn),定期評(píng)審的信息安全策略包括()A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略53、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分,分別是()。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)54、公司M將信息系統(tǒng)運(yùn)維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是()A、與N簽署協(xié)議規(guī)定服務(wù)級(jí)別及安全要求B、在對(duì)N公司人員服務(wù)時(shí),接入M公司的移動(dòng)電腦事前進(jìn)行安全掃描C、將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項(xiàng)目組組長名下,由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用D、對(duì)N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記,硬盤和U盤不在此檢查登記范圍內(nèi)55、以下()活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)三、判斷題56、中華人民共和國境內(nèi)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計(jì)算機(jī)的安全保護(hù)辦法,另行制定。57、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬58、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的授受和批準(zhǔn)。()59、訪問控制列表指由主體以及主體對(duì)客體的訪問權(quán)限所組成列表。60、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸檢索等處理的人機(jī)系統(tǒng)()61、審核組可以由一個(gè)人組成。()62、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動(dòng),證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾63、最高管理層應(yīng)確保方針得到建立()64、利用生物信息進(jìn)行身份鑒別包括生物行為特征鑒別及生物特征鑒別。65、當(dāng)需要時(shí),組織可設(shè)計(jì)控制,或識(shí)別來自任何來源的控制。()

參考答案一、單項(xiàng)選擇題1、C2、D3、A解析:資產(chǎn)在可用性上的不同要求,依據(jù)授權(quán)實(shí)體的需求而定,故選A4、D5、D6、B7、A8、C9、D10、B11、C12、B13、B14、D15、D解析:27001,7,5,2創(chuàng)建和更新,創(chuàng)建和更新文件化信息時(shí),組織應(yīng)確保適當(dāng)?shù)臉?biāo)識(shí)和描述;格式和介質(zhì);對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)16、A17、A18、B19、D解析:短期停電即電力中斷,故選D。可中斷的電力供應(yīng)20、A21、D22、C23、C24、B25、C26、D27、C28、C29、A30、E31、B32、C

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論