CCAA - 2022年7月信息安全管理体系 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布2022年7月信息安全管理体系单选题（共40题，共80分）1.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为（）。A.三级B.二级C.四级D.六级答案：A2.当访间单位服务器时，晌应速度明显减漫时、最有可能受到了哪一种攻击？A.特洛伊木马B.地址散骗C.缓冲区溢出D.拒绝服务答案：D3.《中华人民共和国保密法》规定国家秘密的范围和密级，国家秘密的密级分为（）。A.普密、商密两个级别B.低级和高级两个级别C.绝密、机密、秘密三个级别D.一密、二密、三密、四密四个级别答案：C4.风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。A.识别可能性和影晌B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影晌答案：B5.信息管理体系审核指南规定，ISMS规模不包括（）。A.组织控制下开展工作的人员总数以及相关合同方B.组织的部门数量C.覆盖场所的数量D.信息系统的数量答案：B6.《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行一次保密检查或者系统测评。A.半年B.1年C.1.5年D.2年答案：D7.信息是消除（）的东西。A.不确定性B.物理特性C.不稳定性D.干扰因素答案：A8.数字签名要预先使用hash函数的原因（）。A.保证密文能准确还原成明文B.缩小签名的长度C.提高密文的计算速度D.多一道加密工序，使密文更难破解答案：A9.以下不是ISMS体系中，利益相关方的对象：（）A.认为自己受到决策影晌人和组织B.认为自己影响决策的人和组织C.可能受到决策影晌的人和组织D.可能影晌决策的人和组织答案：B10.下列哪项不是SSE-CMM的过程（）。A.工程过程B.保证过程C.风险过程D.设计过程答案：D11.管理员通过桌面系统下发IP/MAC绑定策略后，终端用户修改IP地址，对其的管理方式不包括（）。A.自动恢复其IP至原绑定状态B.断开网络并持续阻断C.弹出提示窗口对其发出警告D.锁定键盘鼠标答案：D12.GB/T29246标准为组织和个人提供（）。A.建立信息安全管理体系的基础信息B.信息安全管理体系的介绍C.ISMS标准族已发布标准的介绍D.ISMS标准族中使用的所有术语和定义答案：D13.在规划如何达到信息安全目标时，组织应确定（）。A.要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B.要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C.要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D.要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果答案：C14.下面哪一种环境控制措施可以保护计算机不受短期停电影晌（）?A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应答案：D15.《中华人民共和国网络安全法》中要求：网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于（）。A.1个月B.3个月C.6个月D.12个月答案：C16.经过风险处理后遗留的风险通常称为（）。A.重大风险B.有条件的接受风险C.不可接受的风险D.残余风险答案：D17.下列关于DMZ区的说法错误的是（）。A.DMZ可以访间内部网络B.通常DMZ包含允许来自互联网的通信可进行的设备，如WEB服务器、FTP服务器、SMTP服务器和DNS服务器C.内部网络可以无限制地访问外部网络以及DMZD.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作答案：A18.涉及运行系统验证的审计要求和活动，应（）。A.谨滇地加以规划并取得批准，以便最小化业务过程的中断B.谨滇地加以规划并取得批准，以便最大化保持业务过程的连续C.谨慎地加以实施并取得批准，以便最小化业务过程的中断D.谨滇地加以实施并取得批准，以便最大化保持业务过程的连续答案：A19.国家信息安全等级保护采取（）。A.自主定级、自主保护原则B.国家保密部门定级、自主保护原则C.公安部门定级、自主保护原则D.国家保密部门定级、公安部门监督保护的原则答案：A20.信息安全管理措施不包括（）。A.安全策略B.物理和环境安全C.访间控制D.安全范围答案：D21.关于顾客满意，以下说法正确的是：（）。A.顾客没有抱怨，表示顾客满意B.信息安全事件没有给顾客造成实质性的损失，就意昧着顾客满意C.顾客认为其要求已得到满足，即意昧着顾客满意D.组织认为顾客要求已得到满足，即意昧着顾客满意答案：C22.某公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关？（）。A.机房设备面临被盗的风险B.机房设备面佃受破坏的风险C.机房设备面临灰尘的风险D.机房设备面佃人员误入的风险答案：D23.加强网络安全性的最重要的基础措施是（）。A.设计有效的网络安全策略B.选择更安全的操作系统C.安装杀毒软件D.加强安全教育答案：A24.关于涉密信息系统的管理，以下说法不正确的是：（）。A.涉密计算机，存储设备不得接入互联网及其他公共信息网络B.涉密计算机只有采取了适当防护措施才可接入互联网C.涉密信息系统中的安全技术程序和管理程序不得擅自卸载D.涉密计算机未经安全技术处理不得改作其他用途答案：B25.对于“监控系统”的存取与使用，下列正确的是（）。A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予以同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影晌系统效能，因此可以予以暂时省略答案：B26.在以下人为的恶意攻击行为中，属于主动攻击的是（）。A.数据窃听B.误操作C.数据流分析D.数据篡改答案：D27.组织（）实施风险评估。A.应按计划的时间间隔或当重大变更提出或发生时B.应按计划的时间间隔且当重大变更提出或发生时C.只需在重大变更发生时D.只需按计划的时间间隔答案：A28.依据GB22080标准，以下说法正确的是（）。A.潜在事件发生的可能性和后果的和，决定了风险级别B.潜在事件发生的可能性和后果相乘决定了风险级别C.潜在事件后果的严重性决定了风险级别D.已发生事故的后果决定了风险级别答案：B29.ISMS文件的多少和详细程度取决于（）。A.组织的规模和活动的类型B.过程及其相互作用的复杂程度C.人员的能力D.以上都对答案：D30.依据GB22080说法错误的是（）。A.标准可用于内部外部人员评估组织是否满足信息安全体系要求B.标准规定的要求是通用的，适用于各种类型规模的组织C.标准中所表述的要求顺序反应了这些要求需要实现的顺序D.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中答案：C31.不属于计算机病毒防治的策略是（）。A.确认你手头常备一张真正“干净＂的引导盘B.及时、可靠升级反病毒产品C.新购置的计算机软件也要进行病毒检测D.整理磁盘答案：D32.以下哪些可由橾作人员执行？（）。A.审批变更B.更改配置文件C.安装系统软件D.添加／删除用户答案：D33.《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）。A.ISO/IEC27002B.ISO/IEC27003C.ISO/IEC27004D.ISO/IEC27005答案：B34.信息安全管理体系审核将各行业领域分为几大领域？（）A.6B.4C.5D.3答案：B35.下列说法不正确的是（）。A.残余风险需要获得风险责任人的批准B.适用性声明需要包含必要的控制及其选择的合理性说明C.所有的信息安全活动都必须有记录D.组织控制下的员工应了解信息安全方针答案：C36.（）是风险管理的重要一环。A.管理手册B.适用性声明C.风险处置计划D.风险管理程序答案：C37.某公司财务管理数据职能提供给授权的用户，安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉，这样就可以确保数据的哪个方面的安全性得到保障。（）A.保密性B.完整性C.可用性D.稳定性答案：A38.以下不属于描述性统计技术的是（）。A.正态分布B.散布图C.帕累托图D.直方图答案：A39.文件化信息创建和更新时，组织应确保适当的（）。A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准答案：D40.关于GB17859,以下说法正确的是（）。A.特定的法律法规引用该标准在引用的范围内视为强制性标准B.这是一份推荐性标准C.这是一份强制性标准D.组织选择使用该标准在选择的范围内视为强制性标准答案：A多选题（共15题，共30分）41.信息安全是保证信息的（），另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A.可用性B.保密性C.方便性D.完整性答案：ABD42.常规控制图主要用于区分（）。A.过程处于稳态还是非稳态B.过程能力的大小C.过程加工的不合格品率D.过程中存在的偶然波动还是异常波动答案：AD43.对于风险安全等级三级及以上系统，以下说法正确的是（）。A.采用双重身份鉴别机制B.对用户和数据采用安全标记C.系统管理员可任意访问日志记录D.三年开展一次网络安全等级测评工作答案：AB44.编写业务恢复策略时，下列哪些因素应该考虑（）。A.应急晌应小组成员角色职责B.重要业务的恢复优先顺序C.灾备中心的距离D.为生产中心的设备购买保险答案：ABC45.信息安全保护条例哪些行为受到公安机关处以警告，停业整顿的处罚（）。A.不按照规定时间报告发生的案件B.违反计算机信息安全保护制度，危害计算机系统安全C.违反信息系统国际联网备案制度D.接到公安机关要求改进安全状况要求后，限期内不整改答案：ABCD46.GB/T22080标准中，有关信息安全绩效的反馈，包括下面哪些方面趋势（）。A.监视和测量结果B.审核结果C.信息安全过程控制D.不符合和纠正措施答案：ABD47.访问控制包括（）。A.网络和网络服务的访问控制B.逻辑访问控制C.用户访问控制D.物理访问控制答案：BD48.审核方案应考虑的内容包括（）。A.体系覆盖人数B.体系覆盖场所C.IT平台的数量D.特权用户数量答案：ABCD49.编制ISMS审核计划，充分理解审核方案，计划还需考虑（）。A.组织资源保障程度B.前期抽样情况和本期抽样原则C.需要的技术和工具准备D.人员派遣要求答案：ABCD50.网络攻击的方式包括（）。A.信息搜集B.信息窃取C.系统利用D.资源损耗答案：ABCD51.对公有云服务商，属于其安全职责的是（）。A.有责任为租户提供日志和监控数据B.需无偿为租户提供漏洞扫描报告C.对租户高等数据，不应使用外籍人员充当系统管理员D.当租户退出云服务时，有责任清除租户数据答案：ABCD52.根据GB/T22080-2016中控制措施要求，应（）反映组织信息保护需要的保密性或不泄露协议的要求。A.文件化B.定期评审C.识别D.签订答案：ABC53.根据GB/T29246,以下说法正确的是（）。A.ISMS族包含阐述要求的标准B.ISMS族包含特定行业概述的标准C.ISMS族包含闸述通用概述的标准D.ISMS族包含阐述ISMS概述和词汇的标准答案：ABCD54.根据GB/T22080-2016标准中控制措施的要求，有关资产管理的叙述，正确的是（）。A.应制定资产清单并进行维护B.信息分类与相关保护控制措施应考虑企业共享或限制信息的需求C.所有主要的信息资产应由高级管理人员负责保管D.应制订一套与组织采用的分类方式相同的信息标识和处理流程答案：ABD55.根据GB/Z20986,信息安全事件分为有害程序事件、网络攻击事件、（）和其他信息安全事件等。A.计算机病毒事件B.信息破坏事件C.设备设施故障D.信息泄露事件答案：BC判断题（共10题，共10分）56.最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。（）A.正确B.错误答案：A57.27001标准中关于“网络隔离＂的要求，就是“职责分离＂的要求在网络安全管理中的具体表现（）。A.正确B.错误答案：B58.依据GB17859第三级及以上信息系统，需具备强制访问控制的能力，第二级及以下不要求。（）A.正确B.错误答案：A59.依据《中华人民共和国网络安全法》可按照规定，留存相关网络日志不少于3个月（）。A.正确B.错误答案：B60.windows防火墙能阻止计算机病毒和蠕虫的侵入，但防火墙不能检测和清除已经感染的计算机病毒。（）A.正确B.错误答案：A61.记录可提供符合信息安全管理体系要求和有效运行的证据。（）A.正确B.错