2024年3月CCAA國家注冊審核員復(fù)習題-ISMS信息安全管理體系含解析_第1頁
2024年3月CCAA國家注冊審核員復(fù)習題-ISMS信息安全管理體系含解析_第2頁
2024年3月CCAA國家注冊審核員復(fù)習題-ISMS信息安全管理體系含解析_第3頁
2024年3月CCAA國家注冊審核員復(fù)習題-ISMS信息安全管理體系含解析_第4頁
2024年3月CCAA國家注冊審核員復(fù)習題-ISMS信息安全管理體系含解析_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

2024年3月CCAA國家注冊審核員復(fù)習題—ISMS信息安全管理體系一、單項選擇題1、關(guān)于信息安全管理中的“脆弱性”,以下正確的是:()A、脆弱性是威脅的一種,可以導致信息安全風險B、網(wǎng)絡(luò)中“釣魚”軟件的存在,是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令,是口令管理的脆弱性D、以上全部2、在規(guī)劃如何達到信息安全目標時,組織應(yīng)確定()A、要做什么,有什么可用資源,由誰負責,什么時候開始,一次何測量結(jié)果B、要做什么,需要什么資源,由誰負責,什么時候完成,如何測量結(jié)果C、要做什么,需要什么資源,由誰負責,什么時候完成,如何評價結(jié)果D、要做什么,有什么可用資源,由誰執(zhí)行,什么時候開始,如何評價結(jié)果3、以下哪些可由操作人員執(zhí)行?()A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶4、相關(guān)方的要求可以包括()A、標準、法規(guī)要求和合同義務(wù)B、法律、標準要求和合同義務(wù)C、法律、法規(guī)和標準要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)5、關(guān)于信息安全管理中的“脆弱性”,以下正確的是:()A、脆弱性是威脅的一種,可以導致信息安全風險B、網(wǎng)絡(luò)中“釣魚”軟件的存在,是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令,是口令管理的脆弱性D、以上全部6、第三方認證審核時,對于審核提出的不符合項,審核組應(yīng):()A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質(zhì)D、以上都對7、ISO/IEC27001描述的風險分析過程不包括()A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后,可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性8、信息安全管理體系中提到的“資產(chǎn)責任人”是指:()A、對資產(chǎn)擁有財產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負責人9、信息安全管理體系是用來確定()A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度10、組織確定的信息安全管理體系范圍應(yīng)()A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用11、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,以下說法不正確的是()A、以電子或其它方式記錄的能夠單獨或與其他信息結(jié)合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息12、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護措施的失效,或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障13、依據(jù)GB/T22080-2016標準,符合性要求包括()A、知識產(chǎn)權(quán)保護B、公司信息保護C、個人隱私的保護D、以上都對14、TCP/IP協(xié)議層次結(jié)構(gòu)由()A、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D、其他選項均不正確15、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于,它不僅備份系統(tǒng)屮的數(shù)據(jù),還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息,以便迅速()。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)16、口令管理系統(tǒng)應(yīng)該是(),并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專人管理式D、A+B+C17、組織應(yīng)()A、定義和使用安全來保護敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識別和使用安全來保護敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識別和控制安全來保護敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域18、根據(jù)《中華人民共和國國家秘密法》,國家秘密的最高密級為()A、特密B、絕密C、機密D、秘密19、組織應(yīng)()A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)20、審核發(fā)現(xiàn)是指()A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項21、構(gòu)成風險的關(guān)鍵因素有()A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性22、組織應(yīng)()。A、對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級23、描述組織采取適當?shù)目刂拼胧┑奈臋n是()A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序24、數(shù)字簽名可以有效對付哪一類信息安全風險?A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改25、GB/T22080-2016中所指資產(chǎn)的價值取決于()A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部26、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響,但不包括()A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對27、風險評估過程一般應(yīng)包括()A、風險識別B、風險分析C、風險評價D、以上全部28、由認可機構(gòu)對認證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格,予以承認的合格評定活動是()A、認證B、認可C、審核D、評審29、當獲得的審核證據(jù)表明不能達到審核目的時,申核組長可以()A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以30、ISMS文件的多少和詳細程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對31、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標準,下列說法錯誤的是()A、標準可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應(yīng)用風險管理過程來保持信息的保密性、完整性和可用性32、()屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理33、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項性能()A、完整性B、可用性C、保密性D、可靠性34、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序35、依據(jù)GB/T22080-2016/IS0/IEC27001:2013,以下關(guān)于資產(chǎn)清單正確的是()。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B36、在實施技術(shù)符合性評審時,以下說法正確的是()A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估37、關(guān)于適用性聲明下面描述錯誤的是()A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明38、文件化信息指()A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件39、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責?()A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對40、關(guān)于顧客滿意,以下說法正確的是:()A、顧客沒有抱怨,表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失,就意味著顧客滿意C、顧客認為其要求己得到滿足,即意味著顧客滿意D、組織認為顧客要求己得到滿足,即意味著顧客滿意二、多項選擇題41、下列哪項屬于《認證機構(gòu)管理辦法》中規(guī)定的設(shè)立認證機構(gòu)應(yīng)具備的條件?()A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認證人員D、具有符合認證認可要求的管理制度42、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù),以下不正確的做法是()A、公司使用微信群發(fā)布,申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息43、為控制文件化信息,適用時,組織應(yīng)強調(diào)以下哪些活動?()A、分發(fā),訪問,檢索和使用B、存儲和保護,包括保持可讀性C、控制變更(例如版本控制)D、保留和處理44、下面哪一條措施可以防止數(shù)據(jù)泄漏()A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)45、組織的信息安全管理體系初次認證應(yīng)包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定46、關(guān)于鑒別信息保護,正確的是()A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶,應(yīng)提供臨時鑒別信息,并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容47、以下說法正確的是()A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷,并對結(jié)果進行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施D、顧客不投訴并不意味著顧客滿意了48、信息安全是保證信息的(),另外也可包括諸如真實性,可核查性,不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性49、認證機構(gòu)應(yīng)有驗證審核組成員背景經(jīng)驗,特定培訓或情況的準則,以確保審核組至少具備()A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識50、關(guān)于目標,下列說法正確的是()A、目標現(xiàn)的結(jié)果B、溝通記錄C、目標可以采用不同方式進行表示,例如:操作準則D、目標可以是不同層次的,例如組織、項目和產(chǎn)品51、以下做法正確的是()A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時,其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致52、按覆蓋的地理范圍進行分類,計算機網(wǎng)絡(luò)可以分為()A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)53、含有高等級敏感信息的設(shè)備的處置可采?。ǎ〢、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞54、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制55、對風險安全等級三級及以上系統(tǒng),以下說法正確的是()。A、采用雙重身份鑒別機制B、對用戶和數(shù)據(jù)采用安全標記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡(luò)安全等級測評工作三、判斷題56、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設(shè)備,因此認證審核時不必審核計算機機房物理安全的相關(guān)內(nèi)容()57、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。()58、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。()59、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。()60、最高管理層應(yīng)通過“確保持續(xù)改進”活動,證實對信息安全管理體系的領(lǐng)導和承諾61、組織業(yè)務(wù)運行使用云基礎(chǔ)設(shè)施服務(wù),同時員工通過自有手機APP執(zhí)行業(yè)務(wù)過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。()62、創(chuàng)建和更新文件化信息時,組織應(yīng)確保對其適宜性和充分性進行評審和批準。63、信息系統(tǒng)中的“單點故障”指僅有一個故障點,因此屬于較低風險等級的事件。()64、ISO/IEC27018是用于對云安全服務(wù)中隱私保護認證的依據(jù)。()65、風險處置計劃和信息安全殘余風險應(yīng)獲得最高管理者的授受和批準。()

參考答案一、單項選擇題1、C2、C3、C4、D5、C6、B7、A8、C9、C10、A11、C12、A13、D14、C15、D16、B17、A18、B19、C20、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準則進行評價的結(jié)果,故選C21、C22、C解析:參考ISO/IEC27001:2013附錄A8,2信息分級,信息應(yīng)按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級23、B24、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性并保護數(shù)據(jù),防止被人(例如接收者)進行偽造,篡改或是抵賴。故選D25、B26、D解析:270019,3管理評審,管理評審的輸出應(yīng)包括與持續(xù)改進機會相關(guān)的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理,應(yīng)控制影響信息安全的變更,包括組織,業(yè)務(wù)過程,信息處理設(shè)施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理,故選D27、D28、B29、B30、D31、B解析:引言中明確表述,標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現(xiàn)的順序32、D

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論