CCAA - 2020年11月信息安全管理体系真题试卷 - 详解版（80题）

本资料由小桨备考整理，仅供学习参考，非官方发布2020年11月信息安全管理体系真题试卷单选题（共50题，共50分）1.关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）。A.标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B.标准中所表述要求的顺序反映这些要求要实现的顺序C.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D.信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性答案：B2.（）是建立有效的计算机病毒防御体系所需要的技术措施。A.补丁管理系统、网络入侵检测和防火墙B.漏洞扫描、网络入侵检测和防火墙C.漏洞扫描、补丁管理系统和防火墙D.网络入侵检测、防病毒系统和防火墙答案：D3.ISMS管理评审的输出应考虑变更对安全规程和控制措施的影晌，但不包括（）。A.业务要求变更B.合同义务变更C.安全要求的变更D.以上都不对答案：D4.组织应（）。A.对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B.对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C.对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D.对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级答案：C5.《中华人民共和国密码法》规定了国家秘密的范围和密级，国家秘密的密级分为（）。A.普密、商密两个级别B.低级和高级两个级别C.绝密、机密、秘密三个级别D.一密、二密、三密、四密四个级别答案：C6.创建和更新文件化信息时，组织应确保适当的（）。A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准答案：D7.根据GB/T22080-2016/ISO/1EC27001:2013标准，以下做法不正确的是（）。A.保留含有敏感信息的介质的处置记录B.离职人员自主删除敏感信息的即可C.必要时采用多路线路供电D.应定期检查机房空调的有效性答案：B8.下面哪种属于网络上的被动攻击（）。A.消息篡改B.伪装C.拒绝服务D.流量分析答案：D9.当操作系统发生变更时，应对业务的关键应用进行（），以确保对组织的运行和安全没有负面影晌。A.隔离和迁移B.评审和测试C.评审和隔离D.验证和确认答案：B10.（）是风险管理的重要一环。A.管理手册B.适用性声明C.风险处置计划D.风险管理程序答案：C11.风险评价是指（）。A.系统地使用信息来识别风险来源和评估风险B.将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C.指导和控制一个组织相关风险的协调活动D.以上都对答案：B12.关于GB/T22081标准，以下说法正确的是（）。A.提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B.提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C.提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D.提供了信息安全风险评估的依据，是实施ISO/IEC27000的支持性标准答案：B13.TCP/IP协议层次结构由（）。A.网络接口层、网络层组成B.网络接口层、网络层、传输层组成C.网络接口层、网络层、传输层和应用层组成D.其他选项均不正确答案：C14.（）属于管理脆弱性的识别对象。A.物理环境B.网络结构C.应用系统D.技术管理答案：D15.漏洞检测的方法分为（）。A.静态检测B.动态测试C.混合检测D.以上都是答案：D16.GB17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求。A.2B.3C.5D.7答案：C17.风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。A.识别可能性和影晌B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影晌答案：B18.关于容量管理，以下说法不正确的是（）。A.根据业务对系统性能的要求，设置阔值和监视调整机制B.针对业务关键性，设置资源占用的优先级C.对于关键业务，通过放宽阑值以避免或减少报警的干扰D.依据资源使用趋势数据进行容量规划答案：C19.当发现不符合项时，组织应对不符合做出反应，适用时（）。A.采取措施，以控制并予以纠正B.对产生的影响进行处理C.分析产生原因D.建立纠正措施以避免再发生答案：A20.访问控制是指确定（）以及实施访间权限的过程。A.用户权限B.可给予哪些主体访问权利C.可被用户访问的资源D.系统是否遭受入侵答案：B21.风险处置是（）。A.识别并执行措施来更改风险的过程B.确定并执行措施来更改风险的过程C.分析并执行措施来更改风险的过程D.选择并执行措施来更改风险的过程答案：D22.关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议，明确安全和保密义务与责任。A.安全保密B.安全保护C.安全保障D.安全责任答案：A23.对于信息安全方针，（）是ISO/IEC27001所要求的。A.信息安全方针应形成文件B.信息安全方针文件为公司内部重要信息，不得向外部泄露C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D.信息安全方针是建立信息安全工作的总方向和原则，不可变更答案：A24.关于投诉处理过程的设计，以下说法正确的是：（）。A.投诉处理过程应易于所有投诉者使用B.投诉处理过程应易于所有投诉晌应者使用C.投诉处理过程应易于所有投诉处理者使用D.投诉处理过程应易于为投诉处理付费的投诉者使用答案：A25.依据GB/T29246，控制目标指，描述实施控制的实施结果所要达到的目标的（）。A.说明B.声明C.想法D.描述答案：B26.关于信息安全管理中的＂脆弱性”，以下正确的是（）。A.脆弱性是威胁的一种，可以导致信息安全风险B.网络中＂钓鱼“软件的存在，是网络的脆弱性C.允许使用：“1234“这样容易记忆的口令，是口令管理的脆弱性D.以上全部答案：C27.过程是指（）。A.有输入和输出的任意活动B.通过使用资源和管理，将输入转化为输出的活动C.所有业务活动的集合D.以上都不对答案：B28.关于信息系统登录的管理以下说法不正确的是（）。A.网络安全等级保护中，三级以上系绕需采用双重鉴别方式B.登录失败应提供失败揭示信息C.为提高效率，可选择保存鉴别信息的直接登录方式D.使用交互式管理确保用户使用优质口令答案：C29.根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。A.国家经营B.地方经营C.许可制度D.备案制度答案：C30.审核发现是指（）。A.审核中观察到的事实B.审核的不符合项C.审核中收集到的审核证据对照审核准则评价的结果D.审核中的观察项答案：C31.确定资产的可用性要求须依据（）。A.授权实体的需求B.信息系统的实际性能水平C.组织可支付的经济成本D.最高管理层的决定答案：A32.关于信息安全管理体系认证，以下说法正确的是：（）。A.负责作出认证决定的人员中应至少有一人参与审核B.负责作出认证决定的人员必须是审核组组长C.负责作出认证决定的人员不应参与审核D.负责作出认证决定的人员应包含参与了预审核的人员答案：C33.监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责。A.电信管理机构B.公安机关C.国家安全机关D.国家保密局答案：B34.数字签名可以有效对付哪一类信息安全风险（）？A.非授权的阅读B.盗窃C.非授权的复制D.篡改答案：D35.信息安全残余风险是（）。A.没有处置完成的风险B.没有评估的风险C.处置之后仍存在的风险D.处置之后没有报告的风险答案：C36.局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。A.主要结构B.容错能力C.网络拓扑D.局城网协议答案：B37.下列措施中不能用于防止非授权访问的是（）。A.采取密码技术B.采用最小授权C.采用权限复查D.采用日志记录答案：D38.下面哪一种环境控制措施可以保护计算机不受短期停电影晌（）?A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应答案：D39.信息安全基本属性是（）。A.保密性、完整性、可靠性B.保密性、完整性、可用性C.可用性、保密性、可能性D.稳定性、保密性、完整性答案：B40.下列哪项不是监督审核的目的？（）A.验证认证通过的ISMS是否得以持续实现B.验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C.确认是否持续符合认证要求D.作出是否换发证书的决定答案：D41.依据GB/T22080，信息分类方案的目的是（）。A.划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B.划分信息载体所属的职能以便于明确管理责任C.划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析答案：C42.一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成。它们具有损害业务运行和威胁信息安全的极大可能性。A.已经发生B.可能发生C.意外D.A+B+C答案：C43.信息处理设施的变更管理包括：（）。A.信息处理设施用途的变更B.信息处理设施故障部件的更换C.信息处理设施软件的升级D.其他选项均正确答案：D44.依据《中华人民共和国网络安全法》以下说法不正确的是（）。A.网络安全应采取必要措施防范对网络的攻击和侵入B.网络安全措施包括防范对网络的破坏C.网络安全即采取措施保护信息在网络中传输中的安全D.网络安全包括对信息收集、存储、传输、交换、处理系统的保护答案：C45.在根据规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A.其产品／过程无风险或有低的风险B.客户的认证准备C.仅涉及单一的活动过程D.具有高风险的产品或过程答案：D46.依据GB/T22080/ISO/IEC27001关于网络服务的访问控制策略，以下正确的是（）。A.网络管理员可以通过Internet在家里远程登录、维护核心交换机B.应关闭服务器上不需要的网络服务C.可以通过防病毒产品实现对内部用户的网络访问控制D.可以通过常规防火墙实现对内部用户访问外部网络的访问控制答案：B47.以下对GB/T22081-2016/ISO/IEC27002:2013标准的描述，正确的是（）。A.该标准属于要求类标准B.该标准属于指南类标准C.该标准可用于一致性评估D.组织在建立ISMS时，必须满足该标准的所有要求答案：B48.组织应（）与其意图相关的，且影晌其实现信息安全管理体系预期结果能力的外部和内部事项。A.确定B.制定C.落实D.确保答案：A49.依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。A.个人信息B.隐私C.商业秘密D.其他选项均正确答案：D50.依据GB/T22080/ISO/IEC27001的要求，管理者应（）。A.制定ISMS目标和计划B.实施ISMS管理评审C.决定接受风险的准则和风险的可接受级别D.其他选项均不正确答案：D多选题（共20题，共40分）51.关于鉴别信息保护，正确的是（）。A.使用QQ传递鉴别信息B.对新创建的用户，要在初始时提供给他们一个安全的临时秘密鉴别信息，并首次使用时强制改变C.鉴别信息宜加密保存，临时秘密鉴别信息宜对个人而言是唯一的、不可猜测的D.鉴别信息的保护声明可作为任用条件或条款的内容答案：BCD52.以下属于访间控制的是（）。A.开发人员登录SVN系统，授予其与职责相相匹配的访问权限B.防火墙基于IP过滤数据包C.核心交换机根据IP控制对不同VLAN间的访问D.病毒产品查杀病毒答案：AC53.风险评估过程一般应包括（）。A.风险识别B.风险分析C.风险评价D.风险处置答案：ABC54.设计一个信息安全风险管理工具，应包括如下模块（）。A.资产识别与分析B.漏洞识别与分析C.风险趋势分析D.信息安全事件管理流程答案：ABCD55.某金融服务公司为其个人注册会员提供了借资和贷款服务，以下不正确的做法是（）。A.公司使用微信群会议，对申请借贷的会员背景资料、借贷额度等进行讨论评审B.公司使用微信群发布公司内部投资策略文件C.公司要求所有员工签署NDA，不得泄露会员背景及具体借贷项目信息D.公司要求员工不得向朋友圈转发其微信群会议上讨论的信息答案：AB56.撤销对信息和信息处理设施的访间权，针对的是（）。A.组织雇员离职的清况B.组织雇员转岗的清况C.临时任务结束的清况D.员工出差答案：ABC57.根据《中华人民共和国保守国家秘密法》，下列属于国家秘密的是（）。A.国家事务重大决策中的秘密事项B.国民经济和社会发展中的秘密事项C.科学技术中的秘密事项D.国防建设和武装力量活动中的秘密事项答案：ABCD58.关于审核委托方，以下说法正确的是：（）。A.认证审核的委托方即受审核方B.受审核方是第一方审核的委托方C.受审核方的行政上级作为委托方时是第二方审核D.组织对其外包服务提供方的审核是第二方审核答案：BD59.在信息安全事件管理中，（）是所有员工应该完成的活动。A.报告安全方面的漏洞或弱点B.对漏洞进行修补C.发现并报告安全事件D.发现立即处理安全事件答案：AC60.下列属于“开发安全”活动的是（）。A.应规范用户修改软件包，必须的修改应严格管制B.应用系统若有变更，应进行适当审核与测试C.软件应尽量采用自行开发避免外包或采购D.软件的采购应注意其是否内藏隐密通道及特洛伊木马程序答案：AD61.风险评估过程中威胁的分类一般应包括（）。A.软硬件故障、物理环境影晌B.无作为或操作失误、管理不到位、越权或滥用C.网络攻击、物理攻击D.泄密、篡改、抵赖答案：ABCD62.审核计划中应包括（）。A.本次及其后续审核的时间安排B.审核准则C.审核组成员及分工D.审核的日程安排答案：BCD63.下列说法正确的是（）。A.残余风险需要获得风险责任人的批准B.适用性声明需要包含必要的控制及其选择的合理性说明C.所有的信息安全活动都必须有记录D.组织控制下的员工应了解信息安全方针答案：ABD64.关于信息安全风险自评估，下列选项正确的是（）。A.是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B.周期性的自评估可以在评估流程上适当简化C.可由发起方实施或委托风险评估服务技术支持方实施D.由信息系统上级管理部门组织的风险评估答案：ABC65.为控制文件化信息，适用时，组织应强调以下哪些活动？（）A.分发，访间，检索和使用B.存储和保护，包括保持可读性C.控制变更（例如版本控制）D.保留和处理答案：ABCD66.以下属于“关键信息基础设施＂的是（）。A.输配电骨干网监控系统B.计算机制造企业IDC供电系统C.高等院校网络接入设施D.高铁信号控制系统答案：ABCD67.《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活功，提高产品、服务的（）促进经济和社会的发展。A.质量B.数量C.管理水平D.竞争力答案：AC68.以下做法正确的是（）。A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实的业务案例和数据C.