版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2021年第四期信息安全管理体系CCAA审核员模拟试题一、单项选择题1、在实施技术符合性评审时,以下说法正确的是()A、技术符合性评审即渗透测试B、技术符合性评审即漏洞扫描与渗透测试的结合C、渗透测试和漏洞扫描可以替代风险评估D、渗透测试和漏洞扫描不可替代风险评估2、桌面系统级联状态下,关于上级服务器制定的强制策略,以下说法正确的是()A、下级管理员无权修改,不可删除B、下级管理员无权修改,可以删除C、下级管理员可以修改,可以删除D、下级管理员可以修改,不可删除3、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述,正确的是()A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时,必须满足该标准的所有要求4、当获得的审核证据表明不能达到审核目的时,审核组长可以()A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以5、信息安全管理中,关于脆弱性,以下说法正确的是()。A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会6、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性7、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认8、按照PDCA思路进行审核,是指()A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对9、下列不属于常用云服务类型的是()A、软件即服务B、邮件即服务C、平台即服务D、基础设施即服务10、关于《中华人民共和国网络安全法》中的“三同步”要求,以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用11、物理安全周边的安全设置应考虑:()A、区域内信息和资产的敏感性分类B、重点考虑计算机机房,而不是办公区或其他功能区C、入侵探测和报警机制D、A+C12、防火墙提供的接入模式不包括()A、透明模式B、混合模式C、网关模式D、旁路接入模式13、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的()系统A、报告B、传递C、评价D、测量14、以下哪项不属于脆弱性范畴?()A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯15、关于技术脆弱性管理,以下说法正确的是:()A、技术脆弱性应单独管理,与事件管理没有关联B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径16、阐明所取得结果或提供所完成活动的证据的文件是()A、报告B、演示C、记录D、协议17、以下关于认证机构的监督要求表述错误的是()A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督18、下列管理评审的方式,哪个不满足标准的要求?()A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审19、经过风险处理后遗留的风险是()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险20、信息分级的目的是()A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理21、计算机病毒是计算机系统中一类隐藏在()上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络22、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起()内,认可机构不再接受其注册申请A、2年B、3年C、4年D、5年23、组织应定义所有事件的记录和分类、分级、需要时升级、解决和()A、报告B、沟通C、回复顾客D、正式关闭24、以下关于安全接层协议(SSL)的叙述中,错误的是()A、为TCP/IP连接提供服务器认证B、为TCP/IP连接提供数据加密C、提供数据安全机制D、是一种应用层安全协议25、信息是消除()的东西A、不确定性B、物理特性C、不稳定性D、干扰因素26、第三方认证审核时,对于审核提出的不符合项,审核组应:()A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对27、依据GB/T22080-2016/IS(VIEC27001:2013标准,以下说法正确的是()A、对于进入组织的设备和资产须验证其是否符合安全策略,对于离开组织的设备设施则不须验证B、对于离开组织的设备和资产须验证其合格证,对于进入组织的设备设施则不必验证C、对于离开组织的设备和资产须验证相关授权信息D、对于进入和离开组织的设备和资产,验证携带者身份信息,可替代对设备设施的验证28、组织确定的信息安全管理体系范围应()A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用29、末次会议包括()A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确30、对于获准认可的认证机构,认可机构证明()A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力31、在访问因特网时,为了防止Web网页中恶意代码对自己计算机的损害,可以采取的防范措施是()A、利用SSL访问Web站点B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域C、在浏览器中安装数字证书D、利用IP安全协议访问Web站点32、下列不属于取得认证机构资质应满足条件的是()。A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员33、以下关于认证机构的监督要求表述错误的是()A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督34、在认证审核时,一阶段审核是()A、是了解受审方ISMS是否正常运行的过程B、是必须进行的C、不是必须的过程D、以上都不准确35、对于较大范围的网络,网络隔离是()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对36、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源,在评估这样一个软件产品时最重要的标准是什么?()A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价37、关于系统运行日志,以下说法正确的是:()A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志38、构成风险的关键因素有()A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性39、依据GB/T22080-2016标准,符合性要求包括()A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对40、建立ISMS体系的目的,是为了充分保护信息资产并给予()信息A、相关方B、供应商C、顾客D、上级机关二、多项选择题41、ISO/IEC27000,以下说法正确的是()A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准42、关于审核委托方,以下说法正确的是:()A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核43、下列哪些是服务预算与核算管理必须的?()A、服务计费B、服务实际成本C、服务成本预算D、监视成本44、以下()活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施45、信息安全管理体系审核应遵循的原则包括:()A、诚实守信B、保密性C、基于风险D、基于事实的决策方法46、关于“不可否认性”,以下说法正确的是()A、数字签名是实现“不可否认性”的有效技术手段B、身份认证是实现“不可否认性”的重要环节C、数字时间戳是“不可否认性”的关键属性D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性47、以下()活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施48、网络常见的拓扑形式有()A、星型B、环型C、总线型D、树型49、依据GB/T22080,经管理层批准,定期评审的信息安全策略包括()A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略50、以下说法不正确的是()A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷,并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了51、关于涉密信息系统的管理,以下说法正确的是:()A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途52、以下()活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训53、最高管理层应建立信息安全方针,方针应()A、对相关方可用B、包括对持续改进ISMS的承诺C、包括信息安全目标D、与组织意图相适宜54、关于审核委托方,以下说法正确的是:()A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核55、下列有关涉密信息系统说法正确的是()A、涉密信息系统经单位保密工作机构测试后即可投入使用B、涉密信息系统投入运行前应当经过国家保密行政管理部门审批C、涉密计算机重装操作系统后可降为非涉密计算机使用D、未经单位信息管理部门批准不得自行重装操作系统三、判断题56、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()正确错误57、容量管理策略可以考虑增加容量或降低容量要求()正确错误58、GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准()正确错误59、拒绝服务器攻击包括消耗目标服务器的可用资源或消耗网络的有效带宽正确错误60、审核组长在末次会议中应该对受审核方是否通过认证给出结论。()正确错误61、组织应持续改进信息安全管理体系的适宜性、充分性和有效性。()正确错误62、组织应适当保留信息安全目标文件化信息。()正确错误63、信息系统中的“单点故障”指仅有一个故障点,因此属于较低风险等级的事件。()正确错误64、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者。()正确错误65、组织确定的为规划和运行服务管理体系所必需的外来的文档化信息,应得到适当的识别,并予以控制。()正确错误
参考答案一、单项选择题1、D2、A3、B4、B5、B6、C7、B8、A9、B10、A11、D12、D13、D14、A15、C16、C17、B18、A19、D20、A21、C22、D23、D24、D25、A26、B27、C28、A29、C30、B31、B32、C33、B34、B35、B36、D37、B38、C39、D40、A二、多项选择题41、A,B,C,D42、B,C,D43、B,C,D44、B,C45、B,C46、A,B,C,D47、B,C48、A,B,C,D49、A,B,C,D50、A,C51、A,C,D52、A,B,C53、A,B,C,D54、B,C,D55、B,D三、判断题56、错误解析:题干
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年职业发展路径测试题及晋升规划
- 2026年3Dmax建筑模型渲染图
- 2026年新型建筑材料市场趋势:装配式建筑、绿色建材与低碳混凝土
- 2026年自媒体矩阵账号搭建与流量变现路径
- 新媒体运营从0到1:爆款内容创作与数据分析
- 2026年半导体芯片短缺背景下的供应链韧性评估与重构
- 2026年数据可视化大屏设计案例与Echarts配置
- 养老机构老年人营养状况评估与膳食指导
- 2026年工作投入度量表
- 智能电网通信网络信息安全防护体系构建
- 减震器知识培训课件图片
- 初中全英文数学试卷
- 航天禁(限)用工艺目录(2021版)-发文稿(公开)
- 新版苏教版六年级数学下册全册教案
- 2021新安全生产法解读
- 2024年广东清远市国有资产经营有限公司招聘笔试参考题库含答案解析
- 现场应急救护知识讲座老年人课件
- 上海交通大学学生生存手册
- 电力建设工程变电工程竣工结算书(示范文本)
- 炼金术化学与哲学教学课件
- 紫苏子、炒紫苏子生产工艺规程
评论
0/150
提交评论