版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
2024年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識考試題目一、單項(xiàng)選擇題1、文件化信息指()A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D、對組織有價值的文件2、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是()A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》3、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應(yīng)用網(wǎng)關(guān)C、擴(kuò)展的日志記錄能力D、包交換4、制定信息安全管理體系方針,應(yīng)予以考慮的輸入是()A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部5、經(jīng)過風(fēng)險處理后遺留的風(fēng)險通常稱為()A、重大風(fēng)險B、有條件的接受風(fēng)險C、不可接受的風(fēng)險D、殘余風(fēng)險6、組織應(yīng)()與其意圖相關(guān)的,且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保7、關(guān)于備份,以下說法正確的是()A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求,同機(jī)備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運(yùn)行記錄,不須規(guī)定保存期8、關(guān)于GB/T28450,以下說法正確的是()。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO190119、組織應(yīng)()與其意圖相關(guān)的,且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保10、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是:()A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)11、造成計(jì)算機(jī)系統(tǒng)不安全的因素包括()。A、系統(tǒng)不及時打補(bǔ)丁B、使用弱口令C、連接不加密的無線網(wǎng)絡(luò)D、以上都對12、有關(guān)信息安全管理,風(fēng)險評估的方法比起基線的方法,主要的優(yōu)勢在于它確保()A、不考慮資產(chǎn)的價值,基本水平的保護(hù)都會被實(shí)施B、對所有信息資產(chǎn)保護(hù)都投入相同的資源C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、信息資產(chǎn)過度的保護(hù)13、—個信息安全事件由單個的或一系列的有害或一系列()信息安全事態(tài)組成,它們具有損害業(yè)務(wù)運(yùn)行和威脅信息安全的極大可能性A、已經(jīng)發(fā)生B、可能發(fā)生C、意外D、A+B+C14、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括()A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項(xiàng)都正確15、以下哪個選項(xiàng)不是ISMS第一階段審核的目的()A、獲取對組織信息安全管理體系的了解和認(rèn)識B、了解客戶組織的審核準(zhǔn)備狀態(tài)C、為計(jì)劃2階段審核提供重點(diǎn)D、確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求16、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南17、設(shè)備維護(hù)維修時,應(yīng)考慮的安全措施包括:()A、維護(hù)維修前,按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后,檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部18、容量管理的對象包括()A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部19、安全掃描可以實(shí)現(xiàn)()A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流20、依據(jù)GB/T29246,控制目標(biāo)指描述控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的()。A、說明B、聲明C、想法D、描述21、—家投資顧問商定期向客戶發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件,如何保證客戶收到資料沒有被修改()A、電子郵件發(fā)送前,用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前,用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前,用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前,用投資顧問商的私鑰加密郵件22、關(guān)于信息安全管理中的“脆弱性”,以下正確的是:()A、脆弱性是威脅的一種,可以導(dǎo)致信息安全風(fēng)險B、網(wǎng)絡(luò)中“釣魚”軟件的存在,是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令,是口令管理的脆弱性D、以上全部23、ISMS管理評審的輸出應(yīng)包括()A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅C、風(fēng)險評估和風(fēng)險處理計(jì)劃的更新D、改進(jìn)的建議24、信息安全事態(tài)、事件和事故的關(guān)系是()A、事態(tài)一定是事件,事件一定是事故B、事件一定是事故,事故一定是事態(tài)C、事態(tài)一定是事故,事故一定是事件D、事故一定是事件,事件一定是事態(tài)25、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響?()A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)26、關(guān)于信息安全產(chǎn)品的使用,以下說法正確的是:()A、對于所有的信息系統(tǒng),信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng),己列入信息安全產(chǎn)品認(rèn)征目錄的,應(yīng)取得國家信息安全產(chǎn)品人證機(jī)構(gòu)頒發(fā)的認(rèn)證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng),信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞27、風(fēng)險評價是指()A、系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B、將估算的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程C、指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D、以上都對28、信息安全目標(biāo)應(yīng)()A、可測量B、與信息安全方針一致C、適當(dāng)時,對相關(guān)方可用D、定期更新29、組織應(yīng)()。A、對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級B、對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級C、對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級D、對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級30、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,以下正確的是()。A、檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個月B、檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月,網(wǎng)絡(luò)日志保存不得少于6個月31、ISMS文件評審需考慮()A、收集信息,以準(zhǔn)備審核活動和適當(dāng)?shù)墓ぷ魑募﨎、請受審核方確認(rèn)ISMS文件審核報告,并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見32、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素()。A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程33、以下哪項(xiàng)不屬于脆弱性范疇?()A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣34、可用性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人,實(shí)體或者過程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度35、你所在的組織正在計(jì)劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源,在評估這樣一個軟件產(chǎn)品時最重要的標(biāo)準(zhǔn)是什么?()A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價36、信息安全殘余風(fēng)險是()。A、沒有處置完成的風(fēng)險B、沒有評估的風(fēng)險C、處置之后仍存在的風(fēng)險D、處置之后沒有報告的風(fēng)險37、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于,它不僅備份系統(tǒng)中的數(shù)據(jù),還備份系統(tǒng)中安裝的應(yīng)用程序,數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息,以便迅速()A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)38、最高管理者應(yīng)()。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計(jì)劃C、實(shí)施ISMS內(nèi)部審核D、主持ISMS管理評審39、《信息安全等級保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對秘密級、機(jī)密級信息系統(tǒng)每()至少進(jìn)行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年40、對于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu),認(rèn)可機(jī)構(gòu)證明()A、認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動的能力二、多項(xiàng)選擇題41、某工程公司意圖采用更為靈活的方式建立息安全管理體系,以下說法不正確的()A、信息安全可以按過程管理,采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項(xiàng)目來管理,原項(xiàng)目管理機(jī)制中的風(fēng)險評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估C、公司各類項(xiàng)日的臨時場所存在時間都較短,不必納入ISMS范圍D、工程項(xiàng)目方案因包含設(shè)計(jì)圖紙等核心技術(shù)信息,其敏感性等級定義為最高42、信息安全管理中,以下屬于“按需知悉(need-to-know)”原則的是()A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息,僅在必要時才可擴(kuò)大范圍。D、工作范圍是可訪問的信息43、審核計(jì)劃中應(yīng)包括()A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排44、ISO/IEC27000,以下說法正確的是()A、ISMS族包含闡述要求的標(biāo)準(zhǔn)B、ISMS族包含闡述通用概論的標(biāo)準(zhǔn)C、ISMS族包含特定行業(yè)概述的標(biāo)準(zhǔn)D、ISMS族包含闡述ISMS概述和詞匯的標(biāo)準(zhǔn)45、信息安全管理中,支持性基礎(chǔ)設(shè)施指:()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備46、組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動是A、審核準(zhǔn)備B、第一階段審核C、第二階段審核D、認(rèn)證決定47、以下()活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評審D、采取糾正措施48、以下做法正確的是()A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果,應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時,其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致49、關(guān)于按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求,以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后50、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù),應(yīng)當(dāng)向()電信管理機(jī)構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)51、風(fēng)險評估過程中威脅的分類一般應(yīng)包括()A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴52、在開展信息安全績效和ISMS有效性評價時,組織應(yīng)確定()A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員53、以下屬于訪問控制的是()。A、開發(fā)人員登錄SVN系統(tǒng),授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒54、信息安全風(fēng)險分析包括()A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后,可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實(shí)際發(fā)生的可能性55、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù),以下不正確的做法是()A、公司使用微信群發(fā)布,申請借貸的會員背景姿料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息三、判斷題56、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。()57、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性()58、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一()59、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的()60、考慮了組織所實(shí)施的活動,即可確定組織信息安全管理體系范圍。()61、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。()62、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸檢索等處理的人機(jī)系統(tǒng)()63、風(fēng)險處置計(jì)劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的接受和批準(zhǔn)。64、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定()65、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”()
參考答案一、單項(xiàng)選擇題1、C2、D3、D4、D5、D6、A7、A8、A9、A10、D11、D12、C13、C解析:信息安全事件,指一個或一系列意外或不期望的信息安全事態(tài)組成,他們極有可能損害業(yè)務(wù)運(yùn)行并威脅信息安全。故選C14、D15、D16、D17、D18、D19、C20、B解析:參考27000,控制目標(biāo)指,描述實(shí)施控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的聲明。故選B21、C
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- DB51T 1466-2012 馬尾松二元立木材積表、單木出材率表
- DB51T 826-2011 芋生產(chǎn)技術(shù)規(guī)程
- 粘土蒙脫石生產(chǎn)加工項(xiàng)目可行性研究報告
- 新建螺母劈開器項(xiàng)目立項(xiàng)申請報告
- c 銀行課課程設(shè)計(jì)
- (投資方案)制磚機(jī)械項(xiàng)目可行性研究報告
- 2024年電子零售物流協(xié)同合同6篇
- 2024-2030年新版中國銀剛絨項(xiàng)目可行性研究報告
- 2024-2030年數(shù)碼產(chǎn)品設(shè)計(jì)公司技術(shù)改造及擴(kuò)產(chǎn)項(xiàng)目可行性研究報告
- 2024-2030年撰寫:中國車用ABS合金項(xiàng)目風(fēng)險評估報告
- 寵物鮮食品牌設(shè)計(jì)開題報告
- 感動中國人物錢七虎
- 咨詢心理學(xué)專題題庫
- 物業(yè)小區(qū)物業(yè)服務(wù)費(fèi)三方監(jiān)管實(shí)施方案
- 刺猬養(yǎng)殖研究報告-中國刺猬養(yǎng)殖行業(yè)市場分析及發(fā)展前景研究報告2024年
- 機(jī)械原理課程設(shè)計(jì)-高位自卸汽車的設(shè)計(jì)
- 水廠工程工藝管道及設(shè)備安裝工程施工方案與技術(shù)措施
- 《社會網(wǎng)絡(luò)分析法》課件
- 國開電大可編程控制器應(yīng)用實(shí)訓(xùn)形考任務(wù)1實(shí)訓(xùn)報告
- 初中語文部編版九年級上冊期末綜合性學(xué)習(xí)專項(xiàng)練習(xí)(2022秋)(附參考答案和解析)
- 縮句完整版本
評論
0/150
提交評論