2024年3月CCAA国家信息安全管理体系质量审核员考试题目含解析_第1页
2024年3月CCAA国家信息安全管理体系质量审核员考试题目含解析_第2页
2024年3月CCAA国家信息安全管理体系质量审核员考试题目含解析_第3页
2024年3月CCAA国家信息安全管理体系质量审核员考试题目含解析_第4页
2024年3月CCAA国家信息安全管理体系质量审核员考试题目含解析_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2024年3月CCAA国家信息安全管理体系质量审核员考试题目一、单项选择题1、根据GB/T22080-2016中控制措施的要求,关于技术脆弱性管理,以下说法正确的是:()A、技术脆弱性应单独管理,与事件管理没有关联B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径2、—个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C3、主动式射频识别卡(RFID)存在哪一种弱点?()A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR4、我国网络安全等级保护共分几个级别?()A、7B、4C、5D、65、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于()对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素6、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统7、关于互联网信息服务,以下说法正确的是A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务,是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动8、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全方针的违反或控制措施的失效,或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障9、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保10、IT服务中"升级"是()A、服务等级的升级B、问题管理向变更管理升级C、将事件、问题升级为更高职能的人员或部门处理D、事件管理向问题管理升级11、《中华人民共和国密码法》规定了国家秘密的范围和密级,国家秘密的密级分为()。A、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别D、—密、二密、三密、四密四个级别12、风险评价是指()A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对13、根据GB/Z20986《信息安全技术信息安全事件分类分级指南》,对于违法行为的通报批评处罚,属于行政处罚中的()A、资格罚B、人身自由罚C、财产罚D、声誉罚14、对于信息安全方针,()是ISO/IEC27001所要求的A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息,不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则,不可变更15、容灾的目的和实质是()A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏16、关于信息安全策略,下列说法正确的是()A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审17、末次会议包括()A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确18、最高管理者应()。A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审19、加密技术可以保护信息的()A、机密性B、完整性C、可用性D、A+B20、管理者应()A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行21、不属于计算机病毒防治的策略的是()A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘22、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为:()A、三级B、二级C、四级D、五级23、对于所有拟定的纠正和预防措施,在实施前应通过()过程进行评审。A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B24、对于可能超越系统和应用控制的实用程序,以下做法正确的是()A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单25、保密性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対26、以下描述不正确的是()A、防范恶意和移动代码的目标是保护软件和信息的完整性B、纠正措施的目的是为了消除不符合的原因,防止不符合的再发生C、风险分析、风险评价、风险处理的整个过程称为风险管理D、控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响27、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()A、认证B、认可C、审核D、评审28、当发生不符合时,组织应()。A、对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果B、对不符合做出反应,适用时:采取纠正,以及控制措施:处理后果C、对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果D、对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果29、关于入侵检测,以下不正确的是:()A、入侵检测是一个采集知识的过程B、入侵检测指信息安全事件响应过程C、分析反常的使用模式是入侵检测模式之一D、入侵检测包括收集被利用脆弱性发生的时间信息30、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份31、不属于WEB服务器的安全措施的是()A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码32、风险评估过程一般应包括()A、风险识别B、风险分析C、风险评价D、以上全部33、在形成信息安全管理体系审核发现时,应()。A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性34、依据《中华人民共和国网络安全法》,以下说法不正确的是()A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护35、ISMS文件的多少和详细程度取于A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C36、风险评价是指()A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对37、创建和更新文件化信息时,组织应确保适当的()A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准38、关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订()协议和保密义务与责任。A、安全保密B、安全保护C、安全保障D、安全责任39、相关方的要求可以包括()A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务40、关于内部审核下面说法不正确的是()。A、组织应定义每次审核的审核准则和范围B、通过内部审核确定ISMS得到有效实施和维护C、组织应建立、实施和维护一个审核方案D、组织应确保审核结果报告至管理层二、多项选择题41、“云计算服务”包括哪几个层面?A、PaasB、SaasC、laasD、PII.S42、依据GB/T22080,经管理层批准,定期评审的信息安全策略包括()A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略43、管理评审的输出应包括()A、与持续改进机会相关的决定B、变更信息安全管理体系的任何需求C、相关方的反馈D、信息安全方针执行情况44、关于审核方案,以下说法正确的是A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核C、中核方案即年度内部审梭计划D、审核方案是审核计划的输入45、以下()活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施46、信息安全管理体系审核应遵循的原则包括:()A、诚实守信B、保密性C、基于风险D、基于事实的决策方法47、以下属于“信息处理设施”的是()A、信息处理系统B、信息处理相关的服务C、与信息处理相关的设备D、安置信息处理设备的物理场所与设施48、按覆盖的地理范围进行分类,计算机网络可以分为()A、局域网B、城域网C、广域网D、区域网49、管理评审的输出包括()A、管理评审报告B、持续改进机会相关决定C、管理评审会议纪要D、变更信息的安全管理体系任何需求50、GB/T22080-2016/ISO/IEC27001:2013标准中A12,3,1条款要求()A、设定备份策B、定期测试备份介质C、定期备份D、定期测试信息和软件51、以下属于信息安全管理体系审核证据的是()A、信息系统的阈值列表B、信息系统运行监控中心显示的实时资源占用数据C、数据恢复测试的日志D、信息系统漏洞测试分析报告52、网络常见的拓扑形式有()A、星型B、环型C、总线D、树型53、针对敏感应用系统安全,以下正确的做法是()。A、用户尝试登录失败时,明确提示其用户名错误或口令错误B、登录之后,不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限54、关于按照相关国家标准强制性要求进行安全合格认证的要求,以下正确的选项是()A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后55、根据《中华人民共和国密码法》,密码工作坚持总体国家安全观,遵循统一领导,()依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责三、判断题56、J031组织对内部供应商应按服务级别管理过程进行管理。()正确错误57、计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统()正确错误58、组织的业务连续性策略即其信息安全连续性策略。正确错误59、完全备份就是对全部数据库数据进行备份。()正确错误60、组织应持续改进信息安全管理体系的适宜性、充分性和有效性。()正确错误61、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者。()正确错误62、最高管理层应通过“确保持续改进”活动,证实对信息安全管理体系的领导和承诺。()正确错误63、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()正确错误64、GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准()正确错误65、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统,并降低进入该系统的无意错误操作导致的影响()正确错误

参考答案一、单项选择题1、C2、C解析:信息安全事件,指一个或一系列意外或不期望的信息安全事态组成,他们极有可能损害业务运行并威胁信息安全。故选C3、B4、C5、B6、D7、C8、A9、A10、C11、C解析:《中华人民共和国保守国家秘密法》第十条,国家秘密的密级分为绝密,机密,秘密三级12、B13、D14、A解析:信息安全方针应:(1)形成文件化信息并可用;(2)在组织内得到沟通;(3)适当时,对相关方可用。故选A15、C16、D17、C18、D19、D20、A21、D22、A23、B24、D25、B26、D27、B28、D29、B30、A31、D32、D33、B34、C解析:网络安全法第七十六条,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集,存储,传输,交换,处理的系统。网络安全,是指通过采取必要措施,防范对网络的攻击,侵入,干扰,破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性,保密性,可用性的能力。故选C35、D36、B37、D解析:27001,7,5,2创建和更新,创建和更新文件化信息时,组织应确保适当的标识和描述;格式和介质;对适宜性和充分性的评审和批准38、A解析:《中华人民共和国网络安全法》第36条,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。故选A39、D40、C二、多项选择题41、A,B,C解析:云计算可以认为包括以下几个层次的服务:基础设施即服务(I.aaS

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论