




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
2023年第一期ISMS信息安全管理體系CCAA審核員考試題目一、單項選擇題1、信息安全目標(biāo)應(yīng)()A、可測量B、與信息安全方針一致C、適當(dāng)時,對相關(guān)方可用D、定期更新2、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項性能()A、完整性B、可用性C、保密性D、可靠性3、漏洞檢測的方法分為()A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是4、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位,公司文件規(guī)定員工計算機密碼必須6位及以上,那么中哪一項不是針對該問題的糾正措施?()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C、通過域控進行強制管理D、對所有員工進行意識教育5、關(guān)于訪問控制,以下說法正確的是()A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強制訪問控制中,用戶標(biāo)記級別小于文件標(biāo)記級別,即可讀該文件6、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,以下說法不正確的是()A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護7、組織應(yīng)按照本標(biāo)準(zhǔn)的要求()信息安全管理體系。A、策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現(xiàn)、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進8、ISMS管理評審的輸出應(yīng)包括()A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強調(diào)的脆弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進的建議9、可用性是指()A、根據(jù)授權(quán)實體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人,實體或者過程利用或知悉的特性C、保護資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實情況的程度10、關(guān)于信息安全管理體系認(rèn)證,以下說法正確的是()A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機構(gòu)應(yīng)對客戶組織的ISMS至少進行一次完整的內(nèi)部審核D、認(rèn)證機構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期11、Saas是指()A、軟件即服務(wù)B、服務(wù)平臺即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)12、下面哪一種屬于網(wǎng)絡(luò)上的被動攻擊()A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析13、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定,國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行()A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度14、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在()方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議15、關(guān)于防范惡意軟件,以下說法正確的是:()A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件16、()是建立有效的計算機病毒防御體系所需要的技術(shù)措施A、補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻17、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于()A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙18、下列哪一種情況下,網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?()A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時19、根據(jù)GB/T22080-2016中控制措施的要求,不屬于人員招聘的安全要求的是()A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議20、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險評估D、容災(zāi)和數(shù)據(jù)備份21、由認(rèn)可機構(gòu)對認(rèn)證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格,予以承認(rèn)的合格評定活動是()A、認(rèn)證B、認(rèn)可C、審核D、評審22、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是()A、劃分信息載體的不同介質(zhì)以便于儲存和處理,如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類,按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型,如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù),以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析23、訪問控制是確保對資產(chǎn)的訪問,是基于()要求進行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問24、根據(jù)ISO/IEC27001中規(guī)定,在決定講行第二階段審核之間,認(rèn)證機構(gòu)應(yīng)審查第一階段的審核報告,以便為第二階段選擇具有()A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布25、組織應(yīng)在相關(guān)()上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次26、對于外部方提供的軟件包,以下說法正確的是:()A、組織的人員可隨時對其進行適用性調(diào)整B、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護軟件包的保密性C、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護軟件包的完整性和可用性D、以上都不對27、組織應(yīng)()。A、對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級28、一家投資顧問商定期向客戶發(fā)送有關(guān)經(jīng)新聞的電子郵件,如何保證客戶收到資料沒有被修改()A、電子郵件發(fā)送前,用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前,用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前,用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前,用投資顧向商的私鑰加密郵件29、根據(jù)GB/T22080-2016標(biāo)準(zhǔn),審核中下列哪些章節(jié)不能刪減()。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A30、計算機病毒是計算機系統(tǒng)中一類隱藏在()上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)31、過程是指()A、有輸入和輸出的任意活動B、通過使用資源和管理,將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對32、文件初審是評價受審方ISMS文件的描述與審核準(zhǔn)則的()A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對33、《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》對應(yīng)的國際標(biāo)準(zhǔn)號為()A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700534、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是:()A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)35、信息安全管理中,以下哪一種描述能說明“完整性”()。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況36、防止計算機中信息被竊取的手段不包括()A、用戶識別B、權(quán)限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份37、文件化信息指()A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件38、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為()A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701439、當(dāng)發(fā)生不符合時,組織應(yīng)()。A、對不符合做出處理,及時地:采取糾正,以及控制措施;處理后果B、對不符合做出反應(yīng),適用時:采取糾正,以及控制措施:處理后果C、對不符合做出處理,及時地:采取措施,以控制予以糾正;處理后果D、對不符合做出反應(yīng),適用時:采取措施,以控制予以糾正;處理后果40、關(guān)于GB/T28450,以下說法正確的是()。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO19011二、多項選擇題41、某工程公司意圖采用更為靈活的方式建立息安全管理體系,以下說法不正確的()A、信息安全可以按過程管理,采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項目來管理,原項目管理機制中的風(fēng)險評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估C、公司各類項日的臨時場所存在時間都較短,不必納入ISMS范圍D、工程項目方案因包含設(shè)計圖紙等核心技術(shù)信息,其敏感性等級定義為最高42、信息安全績效的反饋,包括以下哪些方面的趨勢()A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況43、根據(jù)《中華人民共和國密碼法》,密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo),()依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負(fù)責(zé)44、網(wǎng)絡(luò)常見的拓?fù)湫问接校ǎ〢、星型B、環(huán)型C、總線D、樹型45、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是()。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)46、以下屬于信息安全管理體系審核的證據(jù)是:()A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告47、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估,A正確。周期性進行的自評估可以在評估流程上適當(dāng)簡化,重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅,以及系統(tǒng)脆弱性的完整性識別,以便于兩次評估結(jié)果對比,B正確。自評估可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施,C正確。D錯誤,主體錯誤,檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法展開的風(fēng)險評估。本題選ABC48、信息安全管理中,支持性基礎(chǔ)設(shè)施指:()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備49、在信息安全事件管理中,()是所有員工應(yīng)該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件50、以下做法正確的是()A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓(xùn)效果,盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時,其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致51、以下屬于訪問控制的是()。A、開發(fā)人員登錄SVN系統(tǒng),授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒52、管理評審是為了確保信息安全管理體系持續(xù)的()A、適宜性B、充分性C、有效性D、可靠性53、最高管理層應(yīng)通過()活動,證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預(yù)期結(jié)果54、關(guān)于個人信息安全的基本原則,以下正確的是()A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則55、以下屬于訪問控制的是()。A、開發(fā)人員登錄SVN系統(tǒng),授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒三、判斷題56、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補充。()57、審核組可以由一個人組成。()58、容量管理策略可以考慮增加容量或降低容量要求()59、訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。60、實習(xí)審核員可以獨立完成審核任務(wù)。()61、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”,指網(wǎng)絡(luò)服務(wù)提供者,不包括其他類型的網(wǎng)絡(luò)所有者和管理者。()62、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。63、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng),并降低進入該系統(tǒng)的無意錯誤操作導(dǎo)致的影響()64、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。()65、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。
參考答案一、單項選擇題1、B2、B3、D解析:漏洞檢測分為被動檢測(靜態(tài)),主動檢測(動態(tài)),綜合檢測(混合檢測)。故選D4、A5、C6、C解析:網(wǎng)絡(luò)安全法第七十六條,網(wǎng)絡(luò),是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集,存儲,傳輸,交換,處理的系統(tǒng)。網(wǎng)絡(luò)安全,是指通過采取必要措施,防范對網(wǎng)絡(luò)的攻擊,侵入,干擾,破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性,保密性,可用性的能力。故選C7、C8、C9、A10、B11、A12、D解析:主動攻擊會導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生,這類攻擊分篡改,偽造消息數(shù)據(jù)和終端(拒絕服務(wù))。被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改,截取/竊聽是指為未經(jīng)用戶同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽,流量分析,破解弱加密的數(shù)據(jù)流等攻擊方式。故選D13、C解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行許可制度;對非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行備案制度,故選C14、B解析:局域網(wǎng)是指家庭或是辦公室,或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計算機環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯能力上,故選B15、D16、D解析:以上都是建立有效的計算機病毒防御體系所需要的技術(shù)措施,但D選項與病毒防御更相關(guān),故選D17、A18、A19、A20、A21、B22、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當(dāng)水平的保護。對比四個選項,c項更能突出對組織的重要程度,故選C23、D24、C25、D26、D解析:應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護其完整性27、C解析:參考ISO/IEC27
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 汽車二級合同(標(biāo)準(zhǔn)版)
- 電腦買賣需合同(標(biāo)準(zhǔn)版)
- 員工資金借貸合同
- 2025年汽車抵押貸款合同
- 2025年美容院員工福利合同標(biāo)準(zhǔn)版
- 干細胞服務(wù)合同6篇
- 車位租售托管合同(標(biāo)準(zhǔn)版)
- 幼兒園走廊地板施工方案
- 造價咨詢服務(wù)方案評分
- 東莞公路工程施工方案
- 2025貴州黔西南州民政局公益性崗位招聘模擬試卷及答案詳解(典優(yōu))
- 一國兩制課件
- 隔震支座安裝施工方案
- 中藥生物安全培訓(xùn)內(nèi)容課件
- 2024年武漢商學(xué)院公開招聘輔導(dǎo)員筆試題含答案
- 捶草印花課件
- 銀行反電詐培訓(xùn)課件
- tesol考試的樣卷及答案
- DB32-T 5156-2025 零碳園區(qū)建設(shè)指南
- 外周血T細胞分離技術(shù)詳解
- 世界現(xiàn)代設(shè)計簡史-下篇
評論
0/150
提交評論