




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
2022年第四期CCAA注冊審核員復(fù)習(xí)題—ISMS信息安全管理體系一、單項(xiàng)選擇題1、不屬于計(jì)算機(jī)病毒防治的策略的是()A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時(shí)、可靠升級反病毒產(chǎn)品C、新購置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測D、整理磁盤2、有關(guān)信息安全管理,風(fēng)險(xiǎn)評估的方法比起基線的方法,主要的優(yōu)勢在于它確保()A、不考慮資產(chǎn)的價(jià)值,基本水平的保護(hù)都會被實(shí)施B、對所有信息資產(chǎn)保護(hù)都投入相同的資源C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、信息資產(chǎn)過度的保護(hù)3、從計(jì)算機(jī)安全的角度看,下面哪一種情況是社交工程的一個(gè)直接例子?()A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞4、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險(xiǎn)?A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改5、最高管理者應(yīng)()。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計(jì)劃C、實(shí)施ISMS內(nèi)部審核D、主持ISMS管理評審6、下列關(guān)于DMZ區(qū)的說法錯(cuò)誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備,如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作7、安全掃描可以實(shí)現(xiàn)()A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流8、管理者應(yīng)()A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行9、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過程不包括()A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級別C、評估識別的風(fēng)險(xiǎn)發(fā)生后,可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性10、關(guān)于系統(tǒng)運(yùn)行日志,以下說法正確的是:()A、系統(tǒng)管理員負(fù)責(zé)對日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計(jì)日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志11、審核發(fā)現(xiàn)是指()A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價(jià)的結(jié)果D、審核中的觀察項(xiàng)12、桌面系統(tǒng)級聯(lián)狀態(tài)下,關(guān)于上級服務(wù)器制定的強(qiáng)制策略,以下說法正確的是()A、下級管理員無權(quán)修改,不可刪除B、下級管理員無權(quán)修改,可以刪除C、下級管理員可以修改,可以刪除D、下級管理員可以修改,不可刪除13、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí),組織應(yīng)確定()A、要做什么,有什么可用資源,由誰負(fù)責(zé),什么時(shí)候開始,如何測量結(jié)果B、要做什么,需要什么資源,由誰負(fù)責(zé),什么時(shí)候完成,如何測量結(jié)果C、要做什么,需要什么資源,由誰負(fù)責(zé),什么時(shí)候完成,如何評價(jià)結(jié)果D、要做什么,有什么可用資源,由誰執(zhí)行,什么時(shí)候開始,如何評價(jià)結(jié)果14、下列不一定要進(jìn)行風(fēng)險(xiǎn)評估的是()A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計(jì)劃的時(shí)間間隔15、管理體系是實(shí)現(xiàn)組織目標(biāo)的方針、()、指南和相關(guān)資源的框架A、目標(biāo)B、規(guī)程C、文件D、記錄16、訪問控制是指確定()以及實(shí)施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵17、組織應(yīng)()A、定義和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識別和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識別和控制安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域18、信息安全控制目標(biāo)是指:()A、對實(shí)施信息安全控制措施擬實(shí)現(xiàn)的結(jié)果的描述B、組織的信息安全策略集的描述C、組織實(shí)施信息安全管理體系的總體宗旨和方向D、A+B19、風(fēng)險(xiǎn)評估過程一般應(yīng)包括()A、風(fēng)險(xiǎn)識別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評價(jià)D、以上全部20、對于信息安全方針,()是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息,不得向外部泄露C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則,不可變更21、保密性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対22、關(guān)于信息安全策略,下列說法正確的是()A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評審23、信息安全管理中,以下哪一種描述能說明“完整性”()。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況24、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責(zé)?()A、審查、任用條款和條件B、管理責(zé)任、信息安全意識教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對25、下列管理評審的方式,哪個(gè)不滿足標(biāo)準(zhǔn)的要求?()A、組織外部評審團(tuán)隊(duì)通過會議的方式對管理體系適宜性、有效性和充分性進(jìn)行評審B、通過網(wǎng)絡(luò)會議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評審C、通過逐級匯報(bào)的方式由最高管理層對管理體系的有效性和充分性進(jìn)行評審D、通過材料評審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評審26、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí),申核組長可以()A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項(xiàng)都不可以27、下列哪一種情況下,網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?()A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時(shí)B、不能使用TCP/IP的環(huán)境時(shí)C、需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)中先創(chuàng)學(xué)D、要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)28、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C29、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評審范疇的是()。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力30、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計(jì)算機(jī)信息系統(tǒng),是指A、對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施,不包括軟件C、計(jì)算機(jī)運(yùn)算環(huán)境的總和,但不含網(wǎng)絡(luò)D、一個(gè)組織所有計(jì)算機(jī)的總和,包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)31、應(yīng)定期評審信息系統(tǒng)與組織的()的符合性。A、信息安全目標(biāo)和標(biāo)準(zhǔn)B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標(biāo)準(zhǔn)32、創(chuàng)建和更新文件化信息時(shí),組織應(yīng)確保適當(dāng)?shù)模ǎ?。A、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)33、殘余風(fēng)險(xiǎn)是指:()A、風(fēng)險(xiǎn)評估前,以往活動遺留的風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)評估后,對以往活動遺留的風(fēng)險(xiǎn)的估值C、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn),比可接受風(fēng)險(xiǎn)低D、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn),不一定比可接受風(fēng)險(xiǎn)低34、依據(jù)GB/T22080-2016/IS0/IEC27001:2013,以下關(guān)于資產(chǎn)清單正確的是()。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B35、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級,國家秘密的密級分為()。A、普密、商密兩個(gè)級別B、低級和高級兩個(gè)級別C、絕密、機(jī)密、秘密三個(gè)級別D、—密、二密、三密、四密四個(gè)級別36、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起()內(nèi),認(rèn)可機(jī)構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年37、風(fēng)險(xiǎn)處置是()A、識別并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程B、確定并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程C、分析并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程D、選擇并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程38、()可用來保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評估D、容災(zāi)和數(shù)據(jù)備份39、PKI的主要組成不包括()A、SSLB、CRC、CAD、RA40、關(guān)于文件管理下列說法錯(cuò)誤的是()A、文件發(fā)布前應(yīng)得到批準(zhǔn),以確保文件是適宜的B、必要時(shí)對文件進(jìn)行評審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰,易于識別D、作廢文件應(yīng)及時(shí)銷毀,防止錯(cuò)誤使用二、多項(xiàng)選擇題41、對風(fēng)險(xiǎn)安全等級三級及以上系統(tǒng),以下說法正確的是()。A、采用雙重身份鑒別機(jī)制B、對用戶和數(shù)據(jù)采用安全標(biāo)記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡(luò)安全等級測評工作42、下列屬于“開發(fā)安全”活動的是()。A、應(yīng)規(guī)范用戶修改軟件包,必須的修改應(yīng)嚴(yán)格管制B、應(yīng)用系統(tǒng)若有變更,應(yīng)進(jìn)行適當(dāng)審核與測試C、軟件應(yīng)盡量采用自行開發(fā)避免外包或采購D、軟件的采購應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序43、常規(guī)控制圖主要用于區(qū)分()A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動44、風(fēng)險(xiǎn)處置包括()A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)計(jì)劃C、風(fēng)險(xiǎn)控制D、風(fēng)險(xiǎn)轉(zhuǎn)移45、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是()。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計(jì)算機(jī)制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)46、關(guān)于云計(jì)算服務(wù)中的的安全,以下說法不正確的是()。A、服務(wù)提供方提供身份鑒別能力,云服務(wù)客戶自己定義并實(shí)施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力,并定義和實(shí)施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力,服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力,并定義和實(shí)施身份鑒別準(zhǔn)則47、管理評審的輸入應(yīng)包括()。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果48、以下屬于訪問控制的是()。A、開發(fā)人員登錄SVN系統(tǒng),授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒49、關(guān)于審核方案,以下說法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入50、某組織在酒店組織召開內(nèi)容敏感的會議,根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn),以下說法正確的是()A、會議開始前及持續(xù)期間開啟干擾機(jī),這符合A11,2的要求B、進(jìn)入會議室人員被要求手機(jī)不得帶入,這符合A11,1的要求C、對于可進(jìn)入會議室提供茶水服務(wù)的酒店服務(wù)生進(jìn)行篩選,這符合A11,1的要求D、要求參會人員在散會時(shí)將紙質(zhì)會議資料留下由服務(wù)生統(tǒng)一回收,這符合A8,3的要求51、設(shè)計(jì)一個(gè)信息安全風(fēng)險(xiǎn)管理工具,應(yīng)包括如下模塊()。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風(fēng)險(xiǎn)趨勢分析D、信息安全事件管理流程52、以下()活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評審D、采取糾正措施53、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分,分別是()。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)54、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是()A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時(shí)任務(wù)結(jié)束的情況D、員工出差55、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),應(yīng)保障()A、計(jì)算機(jī)及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運(yùn)行環(huán)境安全D、計(jì)算機(jī)功能和正常發(fā)揮三、判斷題56、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定()57、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù),這樣才能保證安全。()58、創(chuàng)建和更新文件化信息時(shí),組織應(yīng)確保對其適宜性和充分性進(jìn)行評審和批準(zhǔn)。59、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。()60、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個(gè)等級,這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。()61、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。62、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的()63、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。64、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動,證實(shí)對信息安全管理體系的領(lǐng)導(dǎo)和承諾。()65、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息()
參考答案一、單項(xiàng)選擇題1、D2、C3、B4、D5、D6、A7、C8、A9、A10、B11、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準(zhǔn)則進(jìn)行評價(jià)的結(jié)果,故選C12、A13、C14、D15、B16、A解析:訪問控制,確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面,B,C選項(xiàng)過于細(xì)化,故選A17、A18、A19、D20、A解析:信息安全方針應(yīng):(1)形成文件化信息并可用;(2)在組織內(nèi)得到溝通;(3)適當(dāng)時(shí),對相關(guān)方可用。故選A21、B22、D23
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 物業(yè)服務(wù)合同風(fēng)險(xiǎn)防范措施
- 關(guān)于培訓(xùn)加盟合同(標(biāo)準(zhǔn)版)
- 汽車二級合同(標(biāo)準(zhǔn)版)
- 電腦買賣需合同(標(biāo)準(zhǔn)版)
- 員工資金借貸合同
- 2025年汽車抵押貸款合同
- 2025年美容院員工福利合同標(biāo)準(zhǔn)版
- 干細(xì)胞服務(wù)合同6篇
- 車位租售托管合同(標(biāo)準(zhǔn)版)
- 幼兒園走廊地板施工方案
- 2025貴州黔西南州民政局公益性崗位招聘模擬試卷及答案詳解(典優(yōu))
- 一國兩制課件
- 隔震支座安裝施工方案
- 中藥生物安全培訓(xùn)內(nèi)容課件
- 2024年武漢商學(xué)院公開招聘輔導(dǎo)員筆試題含答案
- 捶草印花課件
- 銀行反電詐培訓(xùn)課件
- tesol考試的樣卷及答案
- DB32-T 5156-2025 零碳園區(qū)建設(shè)指南
- 外周血T細(xì)胞分離技術(shù)詳解
- 世界現(xiàn)代設(shè)計(jì)簡史-下篇
評論
0/150
提交評論