版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2022年第二期信息安全管理体系CCAA审核员考试题目一、单项选择题1、当发现不符合项时,组织应对不符合做出反应,适用时()。A、采取措施,以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生2、对于交接区域的信息安全管理,以下说法正确的是:()A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施,验证携带者身份信息;可替代对设备设施的验证3、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括()A、沟通周期B、沟通内容C、沟通时间D、沟通对象4、GB/T29246标准为组织和个人提供()A、建立信息安全管理体系的基础信息B、信息安全管理体系的介绍C、ISMS标准族已发布标准的介绍D、1SMS标准族中使用的所有术语和定义5、局域网环境下与大型计算机环境下的本地备份方式在()方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议6、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保7、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认8、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通9、ISO/IEC27701是()A、是一份基于27002的指南性标准B、是27001和27002的隐私保护方面的扩展C、是ISMS族以外的标准D、在隐私保护方面扩展了270001的要求10、下列说法错误的是()A、ISO/IEC20000-1:2018标准鼓励组织采用整合的过程方法B、组织满足ISO/IEC20000-1:2018标准要求,意味着该组织满足其顾客的所有要求C、组织可以把ISO/IEC20000-1:2018标准作为独立评估的依据D、组织可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准11、以下关于认证机构的监督要求表述错误的是()A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督12、《中华人民共和国网络安全法》中的"三同步"要求,以下说法正确的是()A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用13、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是()A、认证范围内员工的个人隐私数据得到保护B、认证范围内涉及顾客的个人隐私数据得到保护C、认证范围内涉及相关方的个人隐私数据数据得到保护D、以上全部14、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动是()。A、认证B、认可C、审核D、评审15、不属于计算机病毒防治的策略的是()A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘16、组织应()。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级17、在现场审核时,审核组有权自行决定变更的事项是()。A、市核人日B、审核的业务范围C、审核日期D、审核组任务调整18、—家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前,用投资顾问商的私钥数字签名邮件D、电子邮件发送前,用投资顾问商的私钥加密邮件19、根据GB/T22080-2016标准的要求,组织()实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔20、信息安全管理中,支持性基础设施指:()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部21、容量管理的对象包括()A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部22、关于入侵检测,以下不正确的是:()A、入侵检测是一个采集知识的过程B、入侵检测指信息安全事件响应过程C、分析反常的使用模式是入侵检测模式之一D、入侵检测包括收集被利用脆弱性发生的时间信息23、虚拟专用网(VPN)的数据保密性,是通过什么实现的?()A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼24、依据GB/T220802016/SO/EC.27001:2013标准,组织应()。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力25、为确保采用一致和有效的方法对信息安全事件进行管理,下列控制措施哪个不是必须的?()A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件26、对于较大范围的网络,网络隔离是()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对27、《信息技术服务分类与代码》中的分类分为()级A、2B、3C、4D、528、信息系统的变更管理包括()A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部29、阐明所取得结果或提供所完成活动的证据的文件是()A、报告B、演示C、记录D、协议30、下列不属于取得认证机构资质应满足条件的是()。A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员31、关于信息安全管理体系认证,以下说法正确的是:A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员32、经过风险处理后遗留的风险是()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险33、信息安全管理体系是用来确定()A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度34、防火墙提供的接入模式不包括()A、透明模式B、混合模式C、网关模式D、旁路接入模式35、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对36、根据GB/T22080-2016中控制措施的要求,关于技术脆弱性管理,以下说法正确的是:()A、技术脆弱性应单独管理,与事件管理没有关联B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径37、不属于WEB服务器的安全措施的是()A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码38、在以下认为的恶意攻击行为中,属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改39、()属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理40、关于GB/T22081标准,以下说法正确的是:()A、提供了选择控制措施的指南,可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南,是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据,是实施ISCVIEC27000的支持性标准二、多项选择题41、为控制文件化信息,适用时,组织应强调以下哪些活动?()A、分发,访问,检索和使用B、存储和保护,包括保持可读性C、控制变更(例如版本控制)D、保留和处理42、关于“信息安全连续性”,以下正确的做法包括:()A、人员、设备、设施、场所等的冗余配置B、定期或实时进行数据备份C、考虑业务关键性确定恢复优先顺序和目标D、有保障信息安全连续性水平的过程和程序文件43、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是()A、与N签署协议规定服务级别及安全要求B、在对N公司人员服务时,接入M公司的移动电脑事前进行安全扫描C、将多张核心机房门禁卡统一登记在N公司项目组组长名下,由其按需发给进入机房的N公司人员使用D、对N公司带入带出机房的电脑进行检查登记,硬盘和U盘不在此检查登记范围内44、管理评审的输入应包括()。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果45、在设计和应用安全区域工作规程时,宜考虑()A、基于“须知”原则,员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权,不宜允许携带摄影、视频或其他记录设备,例如移动设备中的相机46、对风险安全等级三级及以上系统,以下说法正确的是()。A、采用双重身份鉴别机制B、对用户和数据采用安全标记C、系统管理员可任意访问日志记录D、三年开展一次网络安全等级测评工作47、不同组织的ISMS文件的详略程度取决于()A、文件编写人员的态度和能力B、组织的规模和活动的类型C、人员的能力D、管理系统的复杂程度48、关于审核委托方,以下说法正确的是()A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核49、下列哪些属于网络攻击事件()A、钓鱼攻击B、后门攻击事件C、社会工程攻击D、DOS攻击50、设计一个信息安全风险管理工具,应包括如下模块()。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程51、按覆盖的地理范围进行分类,计算机网络可以分为()A、局域网B、城域网C、广域网D、区域网52、信息安全管理体系范围和边界的确定依据包括()A、业务B、组织C、物理D、资产和技术53、下列哪些是SSL支持的内容类型?()A、chang_cipher_specB、alertC、handshakleD、applicatlon_data54、下列说法正确的是()A、残余风险需要获得风险责任人的批准B、适用性声明需要包含必要的控制及其选择的合理性说明C、所有的信息安全活动都必须有记录D、组织控制下的员工应了解信息安全方针55、组织建立的信息安全目标,应()A、是可测量的B、与信息安方针一致C、得到沟通D、适当时更新三、判断题56、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()正确错误57、敏感标记表示客体安全级别并描述客体数据敏感性的一组信息,可信计算机中把敏感标记作为强制访问控制决策的依据()。正确错误58、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()正确错误59、对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险。()正确错误60、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者。()正确错误61、组织使用云盘设施服务时,GB/T22080-2016/IS0/IEC27001:2013中A12,3,1条款可以删减。()正确错误62、《中华人民共和国网络安全法》是2017年1月1日开始实施的()正确错误63、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。()正确错误64、组织ISMS的相关方的需求和期望由组织战略决策层的决定()正确错误65、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。()正确错误
参考答案一、单项选择题1、A解析:参考2700110,1当发生不符合时,组织应:对不符合做出反应,适用时:(1)采取措施,以控制并予以纠正(2)处理后果。故选A2、C3、A4、D5、B解析:局域网是指家庭或是办公室,或者其他环境中小型网络。而大型计算机环境是指类似服务器的大型网络。两者本地备份差别主要体现在容错能力上,故选B6、A7、B解析:2700214,2,3运行平台变更后对应用的技术评审,当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。故选B8、A9、B10、B11、B12、A13、D14、B15、D16、C解析:参考ISO/IEC27001:2013附录A8,2信息分级,信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级17、D18、C19、A20、D21、D22、B23、B24、C25、D26、B27、B28、D29、C30、C31、C32、D33、C34、D35、A36、C37、D38、D39、D40、B解析:iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考,或作为组织在实现通用信息安全控制时的指南。cnas-cc1702认证规范性引用文件有cnas-cc01:2015,iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms认证的依据,故选B二、多项选择题41、A,B,C,D解析:270017,5,3文件化信息的控制,信息安全管理体系及本标准要求的文件化信息应得到控制,以确保:在需要的时间和地点,是可用的和适宜使用的;得到充分的保护(如避免保密性损失,不恰当使用,完整性受损失等)。为控制文件化信息,适用时,组织应强调下列活动:1,分发、访问、检索和使用;2,存储和保护,包括保持可读性;3,控制变更(如版本控制);4,保留和处置。综上,本题选ABCD42、A,B,C,D43、A,B44、A,B,C45、A,B46、A,B47、B,C,D48、B,C,D解析:gb/t19011-2013管理体系审核指南3,6审核委托方是要求审核的组织或人员,3,7受审核方是被审核的组织。对于内部审核,审核委托方可以是受审核方或审核方案管理人员;对于外部审核,可以是监管机构、合同方或潜在用户。A错误,认证审核的委托方是认证类结构,而非受审核方。49、A,B,D
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026北京协和医院药剂科合同制药剂员(调剂岗)招聘笔试题库附参考答案详解【满分必刷】
- 先期教育算力基础设施容器化
- 防疫消防安全试题及答案
- 敦煌医学期末考试题及答案
- 信息技术试题简答模板及答案
- 新疆考电工证试题及答案
- 2026山东滨州市邹平市码头镇所属事业单位第二批就业见习招募5人参考题库附参考答案详解【研优卷】
- 2026福建厦门市集美区新村小学产假顶岗教师招聘1人备考题库及答案详解(名校卷)
- 2026广东广州中医药大学动物实验中心招聘自聘合同制工作人员1人参考题库及答案详解【历年真题】
- 2026年甘肃省张掖市直事业单位引进高层次人才11人(第二批)备考题库【易错题】附答案详解
- UL498标准中文版-2019插头插座UL标准中文版
- 八年级英语教研组工作总结
- 《电脑城里的鼠精灵》说课稿
- 部编版七年级下册历史期末复习知识点提纲
- 农民工 合同模板
- PiCCO-监测技术操作管理
- DL-T5153-2014火力发电厂厂用电设计技术规程
- TCEA 0050-2023 电梯导轨型钢
- 客户之声(VOC)收集与应用
- 突发性耳聋教学查房
- 2021新苏教版小学科学四年级下册教学与实验计划
评论
0/150
提交评论