版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2021年第一期CCAA国家信息安全管理体系质量审核员考试题目一、单项选择题1、下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应2、风险责任人是指()A、具有责任和权限管理一项风险的个人或实体B、实施风险评估的组织的法人C、实施风险评估的项目负责人或项目任务责任人D、信息及信息处理设施的使用者3、加密技术可以保护信息的()A、机密性B、完整性C、可用性D、A+B4、在实施技术符合性评审时,以下说法正确的是()A、技术符合性评审即渗透测试B、技术符合性评审即漏洞扫描与渗透测试的结合C、渗透测试和漏洞扫描可以替代风险评估D、渗透测试和漏洞扫描不可替代风险评估5、审核发现是指()A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项6、系统备份与普通数据备份的不同在于,它不仅备份系统屮的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统7、计算机病毒系指_____。A、生物病毒感染B、细菌感染C、被损坏的程序D、特制的具有损坏性的小程序8、关于《中华人民共和国网络安全法》中的“三同步”要求,以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对9、依据GB/T220802016/SO/EC.27001:2013标准,组织应()。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力10、在现场审核结束之前,下列哪项活动不是必须的?()A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题11、容量管理的对象包括()A、服务器内存B、网络通信带宽C、人力资源D、以上全部12、TCP/IP协议层次结构由()A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确13、依据《中华人民共和国网络安全法》,以下说法不正确的是()A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护14、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为()A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求15、变更请求为提出针对服务、()或IT服务管理体系(ITSMS)的变更建议A、服务组件B、服务软件C、配置项D、配置管理数据库16、造成计算机系统不安全的因素包括()。A、系统不及时打补丁B、使用弱口令C、连接不加密的无线网络D、以上都对17、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为:()A、三级B、二级C、四级D、五级18、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素()。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程19、风险评估过程一般应包括()A、风险识别B、风险分析C、风险评价D、以上全部20、信息安全残余风险是()。A、没有处置完成的风险B、没有评估的风险C、处置之后仍存在的风险D、处置之后没有报告的风险21、关于信息安全连续性,以下说法正确的是:A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定22、为确保采用一致和有效的方法对信息安全事件进行管理,下列控制措施哪个不是必须的?()A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件23、在现场审核时,审核组有权自行决定变更的事项是()。A、市核人日B、审核的业务范围C、审核日期D、审核组任务调整24、下面哪个不是《中华人民共和国密码法》中密码的分类?()A、核心密码B、普通密码C、国家密码D、商用密码25、关于系统运行日志,以下说法正确的是:()A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志26、IT服务管理中所指"服务目录"是:()A、一个包含生产环境IT服务信息的结构化文件,应与服务级别协议一致B、一个服务项目命名清单,不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准27、虚拟专用网(VPN)的数据保密性,是通过什么实现的?()A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼28、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作29、经过风险处理后遗留的风险是()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险30、一家投资顾问商定期向客户发送有关经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前,用投资项问商的私钥数字签名邮件D、电子邮件发送前,用投资顾向商的私钥加密邮件31、关于《中华人民共和国保密法》,以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护 32、依据GB/T22080-2016/1SO/1EC.27001:2013标准,不属于第三方服务监视和评审范畴的是()。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力33、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级,采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务,那么,需要首要关注的是()。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密34、容量管理的对象包括()A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部35、组织应()A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质36、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动是()。A、认证B、认可C、审核D、评审37、《信息安全管理体系审核指南》中规定,ISMS的规模不包括()A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确38、以下哪个选项不是ISMS第一阶段审核的目的()A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求39、桌面系统级联状态下,关于上级服务器制定的强制策略,以下说法正确的是()A、下级管理员无权修改,不可删除B、下级管理员无权修改,可以删除C、下级管理员可以修改,可以删除D、下级管理员可以修改,不可删除40、关于信息安全管理中的“脆弱性”,以下正确的是:()A、脆弱性是威胁的一种,可以导致信息安全风险B、网络中“钓鱼”软件的存在,是网络的脆弱性C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性D、以上全部二、多项选择题41、风险处置的可选措施包括()。A、风险识别B、风险分析C、风险转移D、风险减缓42、下列哪些是服务预算与核算管理必须的?()A、服务计费B、服务实际成本C、服务成本预算D、监视成本43、最高管理层应建立信息安全方针,方针应()A、对相关方可用B、包括对持续改进ISMS的承诺C、包括信息安全目标D、与组织意图相适宜44、针对敏感应用系统安全,以下正确的做法是()。A、用户尝试登录失败时,明确提示其用户名错误或口令错误B、登录之后,不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限45、《中华人民共和国网络安全法》的宗旨是()A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益46、常规控制图主要用于区分()A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格率D、过程中存在偶然波动还是异常波动47、下列属于“开发安全”活动的是()。A、应规范用户修改软件包,必须的修改应严格管制B、应用系统若有变更,应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序48、在IT服务管理中,"部署"活动包括:()A、实施变更B、对变更的影响进行评估C、将服务组件迁移到生产环境D、将经测试的软件包转移到生产环境49、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是()A、与N签署协议规定服务级别及安全要求B、在对N公司人员服务时,接入M公司的移动电脑事前进行安全扫描C、将多张核心机房门禁卡统一登记在N公司项目组组长名下,由其按需发给进入机房的N公司人员使用D、对N公司带入带出机房的电脑进行检查登记,硬盘和U盘不在此检查登记范围内50、信息安全管理中,以下属于“按需知悉(need-to-know)”原则的是()A、根据工作需要仅获得最小的知悉权限B、工作人员仅需要满足工作任务所需要的信息C、工作人员在满足工作任务所需要的信息,仅在必要时才可扩大范围。D、工作范围是可访问的信息51、关于“不可否认性”,以下说法正确的是()A、数字签名是实现“不可否认性”的有效技术手段B、身份认证是实现“不可否认性”的重要环节C、数字时间戳是“不可否认性”的关键属性D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性52、《中华人民共和国网络安全法》的宗旨是()A、维护网络间主权B、维按国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益53、信息安全管理中,以下属于"按需知悉(need-to-know)原则的是()A、根据工作需要仅获得最小的知悉权限B、工作人员仅让满足工作所需要的信息C、工作人员在满足工作任务所需要的信息,仅在必要时才可扩大范围D、得到管理者批准的信息是可访问的信息54、下列有关涉密信息系统说法正确的是()A、涉密信息系统经单位保密工作机构测试后即可投入使用B、涉密信息系统投入运行前应当经过国家保密行政管理部门审批C、涉密计算机重装操作系统后可降为非涉密计算机使用D、未经单位信息管理部门批准不得自行重装操作系统55、计算机信息系统的安全保护,应保障()A、计算机及相关配套设施的安全B、网络安全C、运行环境安全D、计算机功能和正常发挥三、判断题56、最高管理层应通过“确保持续改进”活动,证实对信息安全管理体系的领导和承诺。()正确错误57、RSA是一种对称加密算法。()正确错误58、纠正是指为消除己发现的不符合或其他不期望情况的原因所采取的措施。()正确错误59、信息安全风险准则包括风险接受准则和风险评价准则。()正确错误60、破坏、摧毁、控制网络基础设施是网络攻击行为之一。正确错误61、最高管理层应确保方针得到建立()正确错误62、完全备份就是对全部数据库数据进行备份。()正确错误63、IT系统日志保存所需的资源不属于容量管理的范围。()正确错误64、J031组织对内部供应商应按服务级别管理过程进行管理。()正确错误65、组织ISMS的相关方的需求和期望由组织战略决策层的决定()正确错误
参考答案一、单项选择题1、D解析:短期停电即电力中断,故选D。可中断的电力供应2、A3、D4、D5、C6、D7、D8、A9、C10、C11、D12、C13、C解析:网络安全法第七十六条,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集,存储,传输,交换,处理的系统。网络安全,是指通过采取必要措施,防范对网络的攻击,侵入,干扰,破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年乡村医师培训考试试题及答案
- 安全培训统一考试试题及答案
- 道路绿化工程施工方案
- 2026年蚂蚁物流考试题及答案
- 2026年社区网格员隐患业务笔试考试题库及参考答案
- 2026年思政考点期末题库及答案
- 2026年经典诗歌试题及答案
- 2026年管理学基础试题库及答案
- 2026年(完整版)新版保安员考试试题含完整附答案
- 2026年档案知识竞赛复习试题有答案
- 2025初中英语词汇3500词汇表
- 2025及未来5年中国美味汉堡市场调查、数据监测研究报告
- 2025比亚迪供应商审核自查表
- 教科版(2024)三年级上册科学全册教案
- 医院培训课件:《脑卒中的识别与急救》
- 小学科学课程标准教师考试理论部分参考试题及答案
- 护理中医技术临床应用与规范化管理
- 导热油锅炉管理制度
- 思想道德与法治2023年版电子版教材-1
- 沥青拌合站综合应急预案
- 计算机平面设计专业介绍
评论
0/150
提交评论