2023年10月信息安全管理體系CCAA審核員模擬試題含解析_第1頁
2023年10月信息安全管理體系CCAA審核員模擬試題含解析_第2頁
2023年10月信息安全管理體系CCAA審核員模擬試題含解析_第3頁
2023年10月信息安全管理體系CCAA審核員模擬試題含解析_第4頁
2023年10月信息安全管理體系CCAA審核員模擬試題含解析_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

2023年10月信息安全管理體系CCAA審核員模擬試題一、單項選擇題1、ISO/IEC20000J標(biāo)準(zhǔn)的范圍聲明是很重要的,因為()A、它定義了管理體系根據(jù)什么予以認(rèn)證B、它詳細(xì)描述了所有已被認(rèn)證的公司C、它詳細(xì)描述了所有已被認(rèn)耐砂D、它確定了哪些流程已超出了范圍2、組織應(yīng)()與其意圖相關(guān)的,且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保3、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性4、不屬于公司信息資產(chǎn)的是()A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對5、信息安全基本屬性是()。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性6、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù),視為允許方問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù),默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù),按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對7、信息安全目標(biāo)應(yīng)()A、可測量B、與信息安全方針一致C、適當(dāng)時,對相關(guān)方可用D、定期更新8、安全區(qū)域通常的防護(hù)措施有()A、公司前臺的電腦顯示器背對來訪者B、進(jìn)出公司的訪客須在門衛(wèi)處進(jìn)行登記C、重點機(jī)房安裝有門禁系統(tǒng)D、以上全部9、《信息技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于()對信息系統(tǒng)物理破壞而導(dǎo)致的信息安全事件。A、網(wǎng)絡(luò)攻擊B、不可抗力C、自然災(zāi)害D、人為因素10、風(fēng)險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、()。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響11、關(guān)于信息安全連續(xù)性,以下說法正確的是()A、信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定12、變更請求為提出針對服務(wù)、()或IT服務(wù)管理體系(ITSMS)的變更建議A、服務(wù)組件B、服務(wù)軟件C、配置項D、配置管理數(shù)據(jù)庫13、管理者應(yīng)()A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行14、對于外部方提供的軟件包,以下說法正確的是:()A、組織的人員可隨時對其進(jìn)行適用性調(diào)整B、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的保密性C、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D、以上都不對15、()對于信息安全管理負(fù)有責(zé)任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員16、審核發(fā)現(xiàn)是指()A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D、審核中的觀察項17、有關(guān)信息安全管理,風(fēng)險評估的方法比起基線的方法,主要的優(yōu)勢在于它確保()A、不考慮資產(chǎn)的價值,基本水平的保護(hù)都會被實施B、對所有信息資產(chǎn)保護(hù)都投入相同的資源C、對信息資產(chǎn)實施適當(dāng)水平的保護(hù)D、信息資產(chǎn)過度的保護(hù)18、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級,采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù),那么,需要首要關(guān)注的是()。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋C蹹、數(shù)據(jù)傳輸?shù)谋C?9、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括()A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象20、相關(guān)方的要求可以包括()A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)21、關(guān)于投訴處理過程的設(shè)計,以下說法正確的是:()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費(fèi)的投訴者使用22、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護(hù)措施的失效,或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障23、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險?A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改24、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級,國家秘密的密級分為()。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機(jī)密、秘密三個級別D、—密、二密、三密、四密四個級別25、計算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指:()A、用于保護(hù)計算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機(jī)C、安裝了專用安全協(xié)議的專用計算機(jī)D、特定用途(如高保密)專用的計算機(jī)軟件和硬件產(chǎn)品26、第三方認(rèn)證審核時,對于審核提出的不符合項,審核組應(yīng):()A、與受審核方共同評審不符合項以確認(rèn)不符合的條款B、與受審核方共同評審不符合項以確認(rèn)不符合事實的準(zhǔn)確性C、與受審核方共同評審不符合以確認(rèn)不符合的性質(zhì)D、以上都對27、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評審范疇的是()。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力28、ISMS文件的多少和詳細(xì)程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對29、風(fēng)險評估過程一般應(yīng)包括()A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、以上全部30、由認(rèn)可機(jī)構(gòu)對認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實驗室以及從事評審、審核等認(rèn)證活動人員的能力和執(zhí)業(yè)資格,予以承認(rèn)的合格評定活動是()。A、認(rèn)證B、認(rèn)可C、審核D、評審31、信息安全管理體系是用來確定()A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊與標(biāo)準(zhǔn)的符合程度32、關(guān)于容量管理,以下說法不正確的是()A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求,設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對業(yè)務(wù)關(guān)鍵性,設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù),通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃33、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險?A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改34、某公司進(jìn)行風(fēng)險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患、為了處置這個風(fēng)險,公司不再提供無線網(wǎng)絡(luò)用于辦公,這種處置方式屬于()A、風(fēng)險接受B、風(fēng)險規(guī)避C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩35、末次會議包括()A、請受審核方確認(rèn)不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、以上都不準(zhǔn)確36、依據(jù)GB/T22080/ISO/IEC27001的要求,管理者應(yīng)()A、制定ISMS目標(biāo)和計劃B、實施ISMS管理評審C、決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別D、其他選項均不正確37、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是()A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》38、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求,以下說法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機(jī)密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對39、服務(wù)連續(xù)性管理中,恢復(fù)時間目標(biāo)指()A、IT服務(wù)復(fù)原到正常工作狀態(tài)的時間B、IT服務(wù)復(fù)原到約定的最低可用性水平的時間C、關(guān)鍵服務(wù)恢復(fù)到約定的最低可用性水平的時間D、基礎(chǔ)設(shè)施服務(wù)恢復(fù)到約定的可用性的時間40、信息安全管理中,支持性基礎(chǔ)設(shè)施指:()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部二、多項選擇題41、組織在風(fēng)險處置過程中所選的控制措施需()A、將所有風(fēng)險都必須被降低到可接受的級別B、可以將風(fēng)險轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識、客觀地接受風(fēng)險D、規(guī)避風(fēng)險42、管理評審的輸入應(yīng)包括()。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果43、下列哪些屬于網(wǎng)絡(luò)攻擊事件()A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊44、管理評審是為了確保信息安全管理體系持續(xù)的()A、適宜性B、充分性C、有效性D、可靠性45、風(fēng)險評估過程一般應(yīng)包括()A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、風(fēng)險處置46、認(rèn)證機(jī)構(gòu)應(yīng)有驗證審核組成員背景經(jīng)驗,特定培訓(xùn)或情況的準(zhǔn)則,以確保審核組至少具備()A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識47、在開展信息安全績效和ISMS有效性評價時,組織應(yīng)確定()A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員48、以下屬于訪問控制的是()。A、開發(fā)人員登錄SVN系統(tǒng),授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒49、信息安全方針應(yīng)()A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時,對相關(guān)方可用50、按覆蓋的地理范圍進(jìn)行分類,計算機(jī)網(wǎng)絡(luò)可以分為()A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)51、風(fēng)險評估過程中威脅的分類一般應(yīng)包括()A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴52、投訴處理過程應(yīng)包括:()A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止53、下面哪一條措施可以防止數(shù)據(jù)泄漏()A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)54、在IT服務(wù)管理中,"部署"活動包括:()A、實施變更B、對變更的影響進(jìn)行評估C、將服務(wù)組件遷移到生產(chǎn)環(huán)境D、將經(jīng)測試的軟件包轉(zhuǎn)移到生產(chǎn)環(huán)境55、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊,為方便各項目組討論,公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是()A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量,此活動是容量管理,游戲開發(fā)人員不參與三、判斷題56、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日起實施的。()正確錯誤57、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描,因此不再進(jìn)行其他形式的信息安全風(fēng)險評估,這在認(rèn)證審核時是可接受的()正確錯誤58、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng),并降低進(jìn)入該系統(tǒng)的無意錯誤操作導(dǎo)致的影響()正確錯誤59、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。正確錯誤60、創(chuàng)建和更新文件化信息時,組織應(yīng)確保對其適宜性和充分性進(jìn)行評審和批準(zhǔn)。正確錯誤61、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。()正確錯誤62、組織確定的為規(guī)劃和運(yùn)行服務(wù)管理體系所必需的外來的文檔化信息,應(yīng)得到適當(dāng)?shù)淖R別,并予以控制。()正確錯誤63、審核組長在末次會議中應(yīng)該對受審核方是否通過認(rèn)證給出結(jié)論。()正確錯誤64、《中華人民共和國網(wǎng)絡(luò)安全法》中明確,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每兩年至少進(jìn)行一次檢測評估。()正確錯誤65、計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸檢索等處理的人機(jī)系統(tǒng)()正確錯誤

參考答案一、單項選擇題1、D2、A解析:理解組織及其環(huán)境3、C4、C5、B解析:270002,19信息安全,保持信息的保密性,完整性,可用性。故選B6、C7、B8、D9、B10、B解析:27005信息安全風(fēng)險管理8,2,,1風(fēng)險識別,包括資產(chǎn)識別,威脅識別,現(xiàn)有控制措施識別,脆弱性識別,后果識別。故選B11、B12、A13、A14、D解析:應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)其完整性15、D16、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準(zhǔn)則進(jìn)行評價的結(jié)果,故選C17、C18、A19、A20、D21、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍,投訴處理過程為投訴者提供一個開放,有效,方便的投訴程序,故選A22、A23、D24、C解析:《中華人民共和國保守國家秘密法》第十條,國家秘密的密級分為絕密,機(jī)密,秘密三級25、A26、B27、B28、D29、D30、B31、C32、C33、D解析:數(shù)字簽名就是附加在數(shù)據(jù)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論