CCAA - 2019年11月信息安全管理体系真题试卷 - 详解版（80题）

本资料由小桨备考整理，仅供学习参考，非官方发布2019年11月信息安全管理体系真题试卷单选题（共50题，共50分）1.容量管理的对象包括（）。A.服务器内存B.网络通信宽带C.人力资源D.以上全部答案：D2.（）可用来保护信息的真实性、完整性。A.数字签名B.恶意代码C.风险评估D.容灾和数据备份答案：A3.保密协议或不泄露协议至少应包括：（）。A.组织和员工双方的信息安全职责和责任B.员工的信息安全职责和责任C.组织的信息安全职责和责任D.纪律处罚规定答案：A4.信息安全管理体系中提到的“资产责任人”是指（）。A.对资产拥有财产权的人B.使用资产的人C.有权限变更资产安全属性的人D.资产所在部门负责人答案：C5.一家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到的资料没有被修改？（）A.电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B.电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C.电子邮件发送前，用投资顾问商的私钥数字签名邮件D.电子邮件发送前，用投资顾问商的私钥加密邮件答案：C6.（）是指系统、服务或网络的一种可识别的状态的发生，他可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态。A.信息安全事态B.信息安全事件C.信息安全事故D.信息安全故障答案：A7.依据GB/T22080/ISO/IEC27001，关于网络服务的访问控制策略，以下正确的是（）。A.没有陈述为禁止访问的网络服务，视为允许访问的网络服务B.对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C.对于允许访问的网络服务，按照规定的授权机制进行授权D.以上都对答案：C8.当发生不符合时，组织应（）。A.对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果；B.对不符合做出反应，适用时：采取纠正，以及控制措施；处理后果；C.对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果；D.对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果；答案：D9.关于入侵检测，以下不正确的是：（）。A.入侵检测是一个采集知识的过程B.入侵检测指信息安全事件响应过程C.分析反常的使用模式是入侵检测模式之一D.入侵检测包括收集被利用脆弱性发生的时间信息答案：B10.当获得的审核证据表明不能达到审核目的时，审核组长可以（）。A.宣布停止受审核方的生产／服务活动B.向审核委托方和受审核方报告理由以确定适当的措施C.宣布取消末次会议D.以上各项都不可以答案：B11.最高管理层应（），以确保信息安全管理体系符合本标准要求。A.分配职责与权限B.分配岗位与权限C.分配责任与权限D.分配角色与权限答案：C12.下列不属于取得认证机构资质应满足条件的是（）。A.取得法人资格B.有固定的场所C.完成足够的客户案例D.具有足够数量的专职认证人员答案：C13.GB/T22080标准中所指资产的价值取决于（）。A.资产的价格B.资产对于业务的敏感度C.资产的折损率D.以上全部答案：B14.拒绝服务攻击损害了信息系统哪一项性能？（）。A.完整性B.可用性C.机密性D.可靠性答案：B15.描述组织采取适当的控制措施的文档是（）。A.管理手册B.适用性声明C.风险处置计划D.风险评估程序答案：B16.第三方认证审核时，对于审核提出的不符合项，审核组应（）。A.与受审核方共同评审不符合项以确认不符合的条款B.与受审核方共同评审不符合项以确认不符合事实的准确性C.与受审核方共同评审不符合项以确认不符合的性质D.以上都对答案：B17.关于《中华人民共和国网络安全法》中的“三同步“要求，以下说法正确的是（）。A.指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用B.建设三级以上信息系统须保证子系统同步规划、同步建设、同步使用C.建设机密及以上信息系统须保证子系统同步规划、同步建设、同步使用D.以上都不对答案：A18.关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）。A.该标准是指南类标准B.该标准中给出了ISO/IEC27001附录A中所有控制措施的应用指南C.该标准给出了ISMS的实施指南D.该标准的名称是《信息技术安全技术信息安全管理实用规则》答案：D19.对于较大范围的网络，网络隔离是：（）。A.可以降低成本B.可以降低不同用户组之间非授权访问的风险C.必须物理隔离和必须禁止无线网络D.以上都对答案：B20.设施维护维修时，应考虑的安全措施包括（）。A.维护维修前，按规定程序处理或清除其中的信息B.维护维修后，检查是否有未授权的新增功能C.敏感部件进行物理销毁而不予送修D.以上全部答案：D21.《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行一次保密检查或者系统测评。A.半年B.1年C.1.5年D.2年答案：D22.风险评估过程一般应包括（）。A.风险识别B.风险分析C.风险评价D.以上全部答案：D23.关于顾客满意，以下说法正确的是：（）。A.顾客没有抱怨，表示顾客满意B.信息安全事件没有给顾客造成实质性的损失，就意昧着顾客满意C.顾客认为其要求已得到满足，即意昧着顾客满意D.组织认为顾客要求已得到满足，即意昧着顾客满意答案：C24.关于访问控制，以下说法正确的是（）。A.防火墙基于源IP地址执行网络访问控制B.三层交换机基于MAC实施访间控制C.路由器根据路由表确定最短路径D.强制访问控制中，用户标记级别小于文件标记级别，即可读该文件答案：C25.对于获准认可的认证机构，认可机构证明（）。A.认证机构能够开展认证活动B.其在特定范围内按照标准具有从事认证活动的能力C.认证机构的每张认证证书都符合要求D.认证机构具有从事相应认证活动的能力答案：B26.关于信息安全策略，下列说法正确的是（）。A.信息安全策略可以分为上层策略和下层策略B.信息安全方针是信息安全策略的上层部分C.信息安全策略必须在体系建设之初确定并发布D.信息安全策略需要定期或在重大变化时进行评审答案：D27.经过风险处理后遗留的风险通常称为（）。A.重大风险B.有条件的接受风险C.不可接受的风险D.残余风险答案：D28.关于技术脆弱性管理，以下说法正确的是：（）。A.技术脆弱性应单独管理，与事件管理没有关联B.了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C.针对技术脆弱性的补丁安装应按变更管理进行控制D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径答案：C29.关于文件管理下列说法错误的是（）。A.文件发布前应得到批准，以确保文件是适宜的B.必要时对文件进行评审、更新并再次批准C.应确保文件保持清晰，易于识别D.作废文件应及时销毁，防止错误使用答案：D30.物理安全周边的安全设施应考虑：（）。A.区域内信息和资产的敏感性分类B.重点考虑计算机机房，而不是办公区或其他功能区C.入侵探测和报警机制D.A+C答案：D31.在形成信息安全管理体系审核发现时，应（）。A.考虑适用性声明的完备性和可用性B.考虑适用性声明的完备性和合理性C.考虑适用性声明的充分性和可用性D.考虑适用性声明的充分性和合理性答案：B32.关于信息安全连续性，以下说法正确的是（）。A.信息安全连续性即IT设备运行的连续性B.信息安全连续性应是组织业务连续性的一部分C.信息处理设施的冗余即两个或多个服务器互备D.信息安全连续性指标由IT系统的性能决定答案：B33.安全扫描可以实现（）。A.弥补由于认证机制薄弱带来的间题B.弥补由于协议本身而产生的问题C.弥补防火墙对内网安全威胁检测不足的问题D.扫描检测所有的数据包供给分析所有的数据流答案：C34.进入重要机构时，在门卫处登记属于以下哪种措施？（）A.访间控制B.身份鉴别C.审计D.标记答案：B35.某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访间关键数据。实施时需要（）。A.所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B.完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C.在指纹识别的基础上增加口令保护D.保护非授权用户不可能访问到关键数据答案：A36.我国网络安全等级保护共分几个级别？（）A.7B.4C.5D.6答案：C37.完整性是指（）。A.根据授权实体的要求可访问的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护资产准确和完整的特性D.以上都不对答案：C38.信息安全控制目标是指（）。A.对实施信息安全控制措施拟实现的结果的描述B.组织的信息安全策略集的描述C.组织实施信息安全管理体系的总体宗旨和方向D.A+B答案：A39.信息系统的变更管理包括（）。A.系统更新的版本控制B.对变更申请的审核过程C.变更实施前的正式批准D.以上全部答案：D40.以下不属于信息安全事态或事件的是：（）。A.服务、设备或设施的丢失B.系统故障或超负载C.物理安全要求的违规D.安全策略变更的临时通知答案：D41.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为（）。A.三级B.二级C.四级D.六级答案：A42.下列哪项对于审核报告的描述是错误的？（）A.主要内容应与末次会议的内容基本一致B.在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C.正式的审核报告由组长将报告交给认证／审核机构审核后，由委托方将报告的副本转给受审核方D.以上都不对答案：C43.组织应（）。A.分离关键的职责及责任范围B.分离冲突的职责及责任范围C.分离重要的职责及责任范围D.分离关联的职责及责任范围答案：B44.下列措施中，（）是风险管理的内容。A.识别风险B.风险优先级评价C.风险处置D.以上都是答案：D45.以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）。A.禁止安装未列入白名单的软件B.禁止使用通过互联网下载的免费软件C.禁止安装未经验证的软件包D.禁止软件安装超出许可权证规定的最大用户数答案：D46.在现场审核结束之前，下列哪项活动不是必须的？（）A.关于客户组织ISMS与认证要求之间的符合性说明B.审核现场发现的不符合C.提供审核报告D.盺取客户对审核发现提出的问题答案：C47.最高管理者应（）。A.确保制定ISMS方针B.制定ISMS目标和计划C.实施ISMS内部审核D.主持ISMS管理评审答案：D48.依据GB/T22080-2016/ISO/IEC27001:2013标准，不属于第三方服务监视和评审范畴的是：（）。A.监视和评审服务级别协议的符合性B.监视和评审服务方人员聘用和考核的流程C.监视和评审服务交付遵从协议规定的安全要求的程度D.监视和评审服务方踉踪处理信息安全事件的能力答案：B49.依据《中华人民共和国网络安全法》，以下说法不正确的是（）。A.以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息属于个人信息B.自然人的身份证号码、电话号码属于个人信息C.自然人的姓名、住址不属于个人信息D.自然人的出生日期属于个人信息答案：C50.依据GB/T22080-2016/ISO/IEC27001:2013标准，以下关于资产清单正确的是（）。A.做好资产分类是基础B.采用组织固定资产台账即可C.无需关注资产产权归属者D.A+B答案：A多选题（共20题，共40分）51.管理评审的输入应包括（）。A.相关方的反馈B.不符合和纠正措施C.信息安全目标完成情况D.业务连续性演练结果答案：ABC52.某组织在酒店组织召开内容敏感的会议，根据GB/T22080-2016/ISO/IEC27001:2013标准，以下说法正确的是（）。A.会议开始前及持续期间开启干扰机，这符合A.11.2要求B.进入会议室人员被要求手机不得带入，这符合A.11.1的要求C.对于可进入会议室提供茶水服务的酒店服务生进行筛选，这符合A.11.1的要求D.要求参会人员在散会时将纸质会议资料留下由服务生统一收回，这符合A.8.3的要求答案：CD53.以下（）活动是ISMS监视预评审阶段需完成的内容。A.实施培训和意识教育计划B.实施ISMS内容审核C.实施ISMS管理评审D.采取纠正措施答案：BC54.不同组织的ISMS文件的详略程度取决于（）。A.文件编写人员的态度和能力B.组织的规模和活动的类型C.人员的能力D.管理系统的复杂程度答案：BCD55.第二阶段审核中，应重点审核被审核单位的（）。A.最高管理者的领导力B.与信息安全有关的风险C.基于风险评估和风险处置过程D.ISMS有效性答案：ABCD56.GB/T22080-2016/ISO/IEC27001:2013标准可用于（）。A.指导组织建立信息安全管理体系B.为组织建立信息安全管理体系提供控制措施的实施指南C.审核员实施审核的依据D.以上都不对答案：AC57.公司M将信息系统外包给公司N,以下符合GB/T22080-2016标准要求的做法是（）。A.与N签署协议规定服务级别及安全要求B.在对N公司人员服务时，投入M公司的移动电脑事前进行安全扫描C.将多张核心机房门禁卡统一登记在N公司项目组组长名下，由其按需发给进入机房的N公司人员使用D.对N公司带入带出机房的电脑进行检查登记，硬盘和U盘不在此检查登记范围内答案：AB58.计算机信息系统的安全保护，应保障：（）。A.计算机及相关和配套设备的安全B.设施（含网络）的安全C.运行环境的安全D.计算机功能的正常发挥答案：ABCD59.对于风险安全等级三级及以上系统，以下说法正确的是（）。A.采用双重身份鉴别机制B.对用户和数据采用安全标记C.系统管理员可任意访问日志记录D.三年开展一次网络安全等级测评工作答案：AB60.《中华人民共和国网络安全法》的宗旨是（）。A.维护网络空间主权B.维护国家安全C.维护社会公共利益D.保护公民、法人和其他组织的合法权益答案：ABCD61.风险处置的可选措施包括（）。A.风险识别B.风险分析C.风险转移D.风险减缓答案：CD62.以下说法正确的是（）。A.顾客不投诉表示顾客满意了B.监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C.顾客满意测评只能通过第三方机构来实施D.顾客不投诉并不意昧着顾客满意了答案：BD63.关于涉密信息系统的管理，以下说法正确的是：（）。A.涉密计算机、存储设备不得接入互联网及其他公共信息网络B.涉密计算机只有采取了适当防护措施才可接入互联网C.涉密信息系统中的安全技术程序和管理程序不得擅自卸载D.涉密计算机未经安全技术处理不得改作其他用途答案：ACD64.关于云计算服务中的安全，以下说法不正确的是（）。A.服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B.服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C.云服务客户提供身份鉴别能力，服务提供方定义并实施身份鉴别准则D.云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则答案：ABD65.关于审核委托方，以下说法正确的是：（）。A.认证审核的委托方即受审核方B.受审核方是第一方审核的委托方C.受审核方的行政上级作为委托方时是第二方审核D.组织对其外包服务提供方的审核是第二方审核答案：BD66.组织建立的信息安全目标，应（）。A.是可测量的B.与信息安全方针一致C.得到沟通D.适当时更新答案：ABCD67.下面哪一条措施可以防止数据泄露（）。A.数据冗余B.数据加密C.访间控制D.密码系统答案：BCD68.关于审核发现，以下说法正确的是：（）。A.审核发现是收集的审核证据对照审核准则进行评价的结果B.审核发现包括正面的和负面的发现C.审核发现是审核结论的输入D.审核发现是制定审核准则的依据答案：ABC69.“云计算服务”包括哪几个层面？（）A.PaaSB.SaasC.laaSD.PIIS答案