版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2024年第二期CCAA信息安全管理体系质量审核员考试题目一、单项选择题1、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录2、审核发现是指()A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项3、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()A、2019B、2017C、2016D、20214、GB/T22080-2016中所指资产的价值取决于()A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部5、IT服务中"升级"是()A、服务等级的升级B、问题管理向变更管理升级C、将事件、问题升级为更高职能的人员或部门处理D、事件管理向问题管理升级6、关于入侵检测,以下不正确的是:()A、入侵检测是一个采集知识的过程B、入侵检测指信息安全事件响应过程C、分析反常的使用模式是入侵检测模式之一D、入侵检测包括收集被利用脆弱性发生的时间信息7、下列不属于常用云服务类型的是()A、软件即服务B、邮件即服务C、平台即服务D、基础设施即服务8、依据ISO/IEC20000-1:2018,服务目录应()A、描述服务及其结果B、由顾客制定C、是合同的一部分D、是统一所有服务描述的汇总9、信息系统的变更管理包括()A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部10、信息安全事态、事件和事故的关系是()A、事态一定是事件,事件一定是事故B、事件一定是事故,事故一定是事态C、事态一定是事故,事故一定是事件D、事故一定是事件,事件一定是事态11、第三方认证审核时,对于审核提出的不符合项,审核组应:()A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对12、《信息安全等级保护管理办法》规定,应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每()至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年13、关于认证人员执业要求,以下说法正确的是:A、注册审核员只能在一个认证机构和一个咨询机构执业B、注册审核员和认证决定人员只能在一个认证机构C、注册审核员只能在一个认证机构执业,非注册的认证决定人员不受此限制D、在咨询机构认专职咨询师的人员,只能在认证机构人兼职认证决定人员14、物理安全周边的安全设置应考虑:()A、区域内信息和资产的敏感性分类B、重点考虑计算机机房,而不是办公区或其他功能区C、入侵探测和报警机制D、A+C15、数字签名可以有效对付哪一类信息安全风险?A、非授权的阅读B、盗窃C、非授权的复制D、篡改16、《中华人民共和国密码法》规定了国家秘密的范围和密级,国家秘密的密级分为()。A、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别D、—密、二密、三密、四密四个级别17、文件化信息创建和更新时,组织应确保适当的()A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准18、ISMS文件的多少和详细程度取决于()A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、以上都对19、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级A、3B、4C、5D、620、PKI的主要组成不包括()A、SSLB、CRC、CAD、RA21、按照PDCA思路进行审核,是指()A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对22、不属于计算机病毒防治的策略的是()A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘23、对于外部方提供的软件包,以下说法正确的是:()A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对24、防火墙提供的接入模式不包括()A、透明模式B、混合模式C、网关模式D、旁路接入模式25、对于获准认可的认证机构,认可机构证明()A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力26、关于信息安全策略,下列说法正确的是()A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审27、对于所有拟定的纠正和预防措施,在实施前应通过()过程进行评审。A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B28、《信息技术服务分类与代码》规定()属于软件运营服务。A、在线杀毒B、物流信息管理服务平台C、电子商务D、在线娱乐平台29、服务连续性管理中,恢复时间目标指()A、IT服务复原到正常工作状态的时间B、IT服务复原到约定的最低可用性水平的时间C、关键服务恢复到约定的最低可用性水平的时间D、基础设施服务恢复到约定的可用性的时间30、计算机病毒是计算机系统中一类隐藏在()上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络31、相关方的要求可以包括()A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务32、控制影响信息安全的变更,包括()A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更33、关于投诉处理过程的设计,以下说法正确的是:()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用34、信息安全管理中,关于脆弱性,以下说法正确的是()。A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会35、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述,正确的是()A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时,必须满足该标准的所有要求36、关于信息安全管理体系认证,以下说法正确的是()A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期37、ISO/IEC20000-1:2018标准是依据管理体系高层结构,即()对标准的结构进行调整的A、ISO/IEC导则的一部分综合ISO补充附录B、ISO/IEC导则的一部分综合ISO补充结构层C、ISO/IEC导则的一部分综合ISO补充体质D、ISO/IEC导则的一部分综合ISO补充模型38、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级,采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务,那么,需要首要关注的是()。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密39、在以下认为的恶意攻击行为中,属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改40、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为:()A、三级B、二级C、四级D、五级二、多项选择题41、关于审核方案,以下说法正确的是A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核C、中核方案即年度内部审梭计划D、审核方案是审核计划的输入42、信息安全管理体系审核应遵循的原则包括:()A、诚实守信B、保密性C、基于风险D、基于事实的决策方法43、关于涉密信息系统的管理,以下说法正确的是:()A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途44、防范端口扫描、漏洞扫描和网络监听的措施为()A、安装防火墙B、定期更新系统或打补丁C、对网络上传输的信息进行加密D、关闭一些不常用的端口45、信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。A、可用性B、机密性C、完备性D、完整性46、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类47、下列有关涉密信息系统说法正确的是()A、涉密信息系统经单位保密工作机构测试后即可投入使用B、涉密信息系统投入运行前应当经过国家保密行政管理部门审批C、涉密计算机重装操作系统后可降为非涉密计算机使用D、未经单位信息管理部门批准不得自行重装操作系统48、以下属于信息安全管理体系审核的证据是:()A、信息系统运行监控中心显示的实时资源占用数据B、信息系统的阈值列表C、数据恢复测试的日志D、信息系统漏洞测试分析报告49、管理评审的输入应包括()。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果50、以下属于信息安全管理体系审核证据的是()A、信息系统的阈值列表B、信息系统运行监控中心显示的实时资源占用数据C、数据恢复测试的日志D、信息系统漏洞测试分析报告51、以下属于访问控制的是()。A、开发人员登录SVN系统,授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品査杀病毒52、根据《中华人民共和国保守国家秘密法》,下列属于国家秘密的是()。A、国家事务重大决策中的秘密事项B、国民经济和社会发展中的秘密事项C、科学技术中的秘密事项D、国防建设和武装力量活动中的秘密事项53、移动设备策略宜考虑()A、移动设备注册B、恶意软件防范C、访问控制D、物理保护要求54、按覆盖的地理范围进行分类,计算机网络可以分为()A、局域网B、城域网C、广域网D、区域网55、ISO/IEC27000,以下说法正确的是()A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准三、判断题56、《中华人民共和国网络安全法》是2017年1月1日开始实施的()正确错误57、不同组织有关信息安全管理体系文件化信息的详略程度应基本相同。()正确错误58、在来自可信站点电子邮件中输入个人或财务信息是安全的。()正确错误59、容量管理策略可以考虑增加容量或降低容量要求()正确错误60、流量监控能够有效实现对敏感数据的过滤()正确错误61、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。正确错误62、信息安全风险准则包括风险接受准则和风险评价准则。()正确错误63、GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准()正确错误64、访问控制列表指由主体以及主体对客体的访问权限所组成列表。正确错误65、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。()正确错误
参考答案一、单项选择题1、D2、C3、D4、B5、C6、B7、B8、A9、D10、D11、B12、D13、B14、D15、D解析:数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性并保护数据,防止被人(例如接收者)进行伪造,篡改或是抵赖。故选D16、C解析:《中华人民共和国保守国家秘密法》第十条,国家秘密的密级分为绝密,机密,秘密三级17、D18、D19、C20、B21、A22、D23、D解析:应严格限制对软件包的调整以保护其完整性24、D25、B26、D27、B28、A29、C30、C31、D32、B33、A34、B35、B36、B37、A38、A39、D40、A二、多项选择题41、B,D42、B,C43、A,C,D44、A,B,C,D45、A,B,D46、
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年网络安全培训六月方案
- 心理健康教育一年级下册期末大盘点
- 集中作业安全指南讲解
- 肢体抖动原因分析
- 2026年企业品牌合作与推广方案
- 《速度计算与图像分析精讲|教师备课专用》
- 《趣味学阿卡贝拉|让课堂告别枯燥 爱上学习》
- 23.3 四分位数与箱线图+23.4数据的方差(能力提升)(解析版)
- 26年独居老人心理干预培训
- 《英语记忆力训练|方法多样科学记忆策略》
- 2025国家电力投资集团有限公司产业审计中心主任选聘2人笔试历年常考点试题专练附带答案详解
- 2026年高考(江西卷)政治试题及答案
- 2026年国开电大机械CAD-CAM形考试卷含完整答案详解【夺冠系列】
- 科研处内部控制制度
- 酒店安全事故案例培训
- 2026上半年安徽事业单位联考合肥高新区管委会招聘45人备考题库有答案详解
- 2026山东新高考:历史重点基础知识点归纳
- 【《涡流发生器抑制边界层分离的原理分析综述》2300字】
- 绿色建筑施工验收方案
- DB32∕T 5212-2025 泵站远程集控少人值守技术规范
- 2025美国心脏协会和美国儿科学会新生儿复苏、儿童基础生命支持和儿童高级生命支持指南更新解读
评论
0/150
提交评论