版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
2024年3月CCAA國家注冊審核員考試題目—ISMS信息安全管理體系一、單項(xiàng)選擇題1、密碼技術(shù)不適用于控制下列哪種風(fēng)險?()A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險D、數(shù)據(jù)被非授權(quán)訪問的風(fēng)險2、信息安全殘余風(fēng)險是()。A、沒有處置完成的風(fēng)險B、沒有評估的風(fēng)險C、處置之后仍存在的風(fēng)險D、處置之后沒有報告的風(fēng)險3、組織機(jī)構(gòu)在建立和評審ISMS時,應(yīng)考慮()A、風(fēng)險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C4、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為()A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270145、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性,是通過什么實(shí)現(xiàn)的?()A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險釣魚6、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險?A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改7、關(guān)于容量管理,以下說法不正確的是()A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求,設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對業(yè)務(wù)關(guān)鍵性,設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù),通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃8、《信息安全等級保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對秘密級、機(jī)密級信息系統(tǒng)每()至少進(jìn)行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年9、管理者應(yīng)()A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行10、監(jiān)督、檢查、指導(dǎo)計算機(jī)信息系統(tǒng)安全保護(hù)工作是()對計算機(jī)信息系統(tǒng)安全保護(hù)履行法定職責(zé)之一A、電信管理機(jī)構(gòu)B、公安機(jī)關(guān)C、國家安全機(jī)關(guān)D、國家保密局11、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標(biāo)準(zhǔn),不屬于第三方服務(wù)監(jiān)視和評審范疇的是()。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力12、構(gòu)成風(fēng)險的關(guān)鍵因素有()A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性13、確保信息沒有非授權(quán)泄密,即確保信息不泄露給非授權(quán)的個人、實(shí)體或進(jìn)程其所用,是指()A、完整性B、可用性C、機(jī)密性D、抗抵賴性14、下面哪個不是《中華人民共和國密碼法》中密碼的分類?()A、核心密碼B、普通密碼C、國家密碼D、商用密碼15、—家投資顧問商定期向客戶發(fā)送有關(guān)財經(jīng)新聞的電子郵件,如何保證客戶收到資料沒有被修改()A、電子郵件發(fā)送前,用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前,用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前,用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前,用投資顧問商的私鑰加密郵件16、在每天下午5點(diǎn)使計算機(jī)結(jié)束時斷開終端的連接屬于()A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙17、組織應(yīng)()A、定義和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識別和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識別和控制安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域18、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于,它不僅備份系統(tǒng)屮的數(shù)據(jù),還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息,以便迅速()。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)19、GB/T22080-2016中所指資產(chǎn)的價值取決于()A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部20、關(guān)于信息系統(tǒng)登錄口令的管理,以下做法不正確的是:()A、必要時,使用密碼技術(shù)、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令21、審核發(fā)現(xiàn)是指()A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D、審核中的觀察項(xiàng)22、經(jīng)過風(fēng)險處理后遺留的風(fēng)險是()A、重大風(fēng)險B、有條件的接受風(fēng)險C、不可接受的風(fēng)險D、殘余風(fēng)險23、依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員,必須對在履行職責(zé)中知悉的()嚴(yán)格保密,不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項(xiàng)均正確24、文件化信息創(chuàng)建和更新時,組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)25、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C26、依據(jù)GB/T22080-2016/IS0/IEC27001:2013,以下關(guān)于資產(chǎn)清單正確的是()。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B27、審核證據(jù)是指()A、與審核準(zhǔn)則有關(guān)的,能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對28、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應(yīng)用網(wǎng)關(guān)C、擴(kuò)展的日志記錄能力D、包交換29、保密性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対30、依據(jù)GB/T29246,控制目標(biāo)指描述控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的()。A、說明B、聲明C、想法D、描述31、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是()A、認(rèn)證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部32、在運(yùn)行階段,組織應(yīng)()A、策劃信息安全風(fēng)險處置計劃,保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險處置計劃,保留文件化信息C、測量信息安全風(fēng)險處置計劃,保留文件化信息D、改進(jìn)信息安全風(fēng)險處置計劃,保留文件化信息33、信息安全管理體系是用來確定()A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊與標(biāo)準(zhǔn)的符合程度34、信息安全管理中,關(guān)于脆弱性,以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術(shù)脆弱性B、軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種C、識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性,不包括當(dāng)前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機(jī)會35、ISMS文件的多少和詳細(xì)程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對36、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù),視為允許方問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù),默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù),按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對37、風(fēng)險處置是()A、識別并執(zhí)行措施來更改風(fēng)險的過程B、確定并執(zhí)行措施來更改風(fēng)險的過程C、分析并執(zhí)行措施來更改風(fēng)險的過程D、選擇并執(zhí)行措施來更改風(fēng)險的過程38、從計算機(jī)安全的角度看,下面哪一種情況是社交工程的一個直接例子?()A、計算機(jī)舞弊B、欺騙或脅迫C、計算機(jī)偷竊D、計算機(jī)破壞39、組織應(yīng)()與其意圖相關(guān)的,且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保40、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級,國家秘密的密級分為()。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機(jī)密、秘密三個級別D、—密、二密、三密、四密四個級別二、多項(xiàng)選擇題41、以下屬于信息安全管理體系審核的證據(jù)是:()A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告42、信息安全管理中,以下屬于"按需知悉(need-to-know)原則的是()A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息,僅在必要時才可擴(kuò)大范圍D、得到管理者批準(zhǔn)的信息是可訪問的信息43、對于組織在風(fēng)險處置過程中所選的控制措施,以下說法正確的是()A、將所有風(fēng)險都必須被降低至可接受的級別B、可以將風(fēng)險轉(zhuǎn)移C、在滿足公司策略和方針條件下,有意識、客觀地接受風(fēng)險D、規(guī)避風(fēng)險44、以下做法正確的是()A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果,盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時,其愿使用計算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致45、風(fēng)險處置包括()A、風(fēng)險降低B、風(fēng)險計劃C、風(fēng)險控制D、風(fēng)險轉(zhuǎn)移46、下列說法正確的是()A、殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針47、審核計劃中應(yīng)包括()A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排48、關(guān)于云計算服務(wù)中的的安全,以下說法不正確的是()。A、服務(wù)提供方提供身份鑒別能力,云服務(wù)客戶自己定義并實(shí)施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力,并定義和實(shí)施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力,服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力,并定義和實(shí)施身份鑒別準(zhǔn)則49、為確保員工和合同方理解其職責(zé)、并適合其角色,在員工任用之前,必須()A、對其進(jìn)行試用B、對員工的背景進(jìn)行適當(dāng)?shù)尿?yàn)證檢查C、在任用條款與合同中指導(dǎo)安全職責(zé)D、面試50、關(guān)于“不可否認(rèn)性”,以下說法正確的是()A、數(shù)字簽名是實(shí)現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段B、身份認(rèn)證是實(shí)現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認(rèn)性”的關(guān)鍵屬性D、具有證實(shí)一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性51、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是()A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務(wù)結(jié)束的情況D、員工出差52、對于審核發(fā)現(xiàn)()A、審核組應(yīng)根據(jù)需要,在審核的適當(dāng)階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求,只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn),以確認(rèn)審核證據(jù)的準(zhǔn)確性,并得到受審核方的理解D、包括正面的和負(fù)面的發(fā)現(xiàn)53、組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動是A、審核準(zhǔn)備B、第一階段審核C、第二階段審核D、認(rèn)證決定54、信息安全方針應(yīng)()A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時,對相關(guān)方可用55、以下()活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識教育計劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評審D、采取糾正措施三、判斷題56、客戶所有場所業(yè)務(wù)的范圍相同,且在同一ISMS下運(yùn)行,并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時,認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的認(rèn)證審核()57、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。()58、最高管理層應(yīng)確保方針得到建立()59、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動,證實(shí)對信息安全管理體系的領(lǐng)導(dǎo)和承諾60、審核員由實(shí)習(xí)審核員轉(zhuǎn)審核員之前,至少必須通過4次完整體系20天的審核。()61、容量管理策略可以考慮增加容量或降低容量要求。()62、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。()63、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”()64、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。()65、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。()
參考答案一、單項(xiàng)選擇題1、C2、C解析:參考GB/T20984-2007信息安全風(fēng)險評估規(guī)范,3,12殘余風(fēng)險是指采取了安全措施后,信息系統(tǒng)仍然可能存在的風(fēng)險。故選C3、E4、D5、B6、D7、C8、D9、A10、B11、B12、C13、C14、C15、C16、A17、A18、D19、B20、B21、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準(zhǔn)則進(jìn)行評價的結(jié)果,故選C22、D23、D解析:網(wǎng)絡(luò)安全法第45條,依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員,必須對在履行職責(zé)中知悉的個人信息,隱私和商業(yè)秘密嚴(yán)格保密,不得泄露,出售或者非法向他人提供。故選D24、D25、D26、A27、A28、D29、B30、B解析:參考27000,控制目標(biāo)指,描述實(shí)施控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的聲明。故選B31、D32、B33、C34、B35、D36、C37、D解析:風(fēng)險處置,是指選擇并且執(zhí)行措施來更改風(fēng)險的過程。故選D38、B39、A解析:理解組織及其環(huán)境40、C解析:《中華人民共和國保守國家秘密法》第十條,國家秘密的密級分為絕密,機(jī)密,秘密三級二、多項(xiàng)選擇題41、A,B,C,D42、A,B,C43、B,C,D44、A,C45、A,D46、應(yīng)以安全的方式將臨時秘密鑒別信息提供給用戶;應(yīng)避免使用外部防火未受保護(hù)的(明文)電子郵件。綜上本題選BCD47、A,
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 土地租賃協(xié)議2023
- 部編版六年級語文上冊第八單元知識梳理填空
- (2024)1-4酸鈉鹽生產(chǎn)建設(shè)項(xiàng)目可行性研究報告(一)
- 2023年天津市益中學(xué)校高考語文模擬試卷
- 2023年家政服務(wù)項(xiàng)目融資計劃書
- 零食行業(yè)藍(lán)皮書
- 電力電纜模擬習(xí)題+參考答案
- 養(yǎng)老院老人生活設(shè)施維修人員管理制度
- 養(yǎng)老院老人訪客管理制度
- 2024年旅游產(chǎn)品銷售與推廣合同3篇
- 道路工程施工方案及技術(shù)措施
- 陜西省漢中市洋縣2022-2023學(xué)年六年級上學(xué)期期末水平測試語文試卷
- 課外古詩詞誦讀《采桑子(輕舟短棹西湖好)》教學(xué)設(shè)計 統(tǒng)編版語文八年級上冊
- 國家開放大學(xué)《中國現(xiàn)代文學(xué)專題》形考任務(wù)1-4參考答案
- 2023年抖音運(yùn)營陪跑協(xié)議書
- 工程倫理案例分析-毒跑道事件
- 小兒鼻炎調(diào)理課程課件
- 股東損害公司債權(quán)人利益責(zé)任糾紛起訴狀(成功范文)
- 家庭財務(wù)管理系統(tǒng)
- 逆向思維的含義與作用課件教學(xué)
- 冠寓運(yùn)營管理手冊
評論
0/150
提交評論