2024年3月CCAA审核员统考真题-信息安全管理体系基础

Posted on by

一.单项选择题(从下列每小题列出的四个备选答案中,选出一个最恰当的答案,错选、不选均不得分,每题1.5分,共60分)

1.根据GB/T 29246《信息技术 安全技术 信息安全管理体系概述和词汇》标准,信息安全管理中的“可用性”是指(   )。

(A)根据授权实体的要求可访问和利用的特性

(B)信息不被未授权的个人、实体或过程利用或知悉的特性

(C)保护资产准确和完整的特性

(D)反映事物具实情况的程度

2.ISO/IEC 27002最新版本为(   )。

(A)2022         

(B)2015          

(C)2005        

(D)2013

3.根据GB/T 22080-2016中控制措施的要求,关于技术脆弱性管理,以下正确的是(   )。

(A)技术脆弱性应单独管理,与事件管理没有关联

(B)了解某技术脆弱性的公众范围越广, 该脆弱性对于组织的风险越小

(C)及时获取在用的信息系统的技术方面的脆弱性信息

(D)及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径

4.根据GB/T22080-2016标准中控制措施的要求,关于资产清单,正确的是(   )。

(A)做好资产整理是其基础

(B)识别信息,以及与信息和信息处理设施相关的其他资产

(C)识别和完整采用组织的固定资产台账,同时指定资产责任人

(D)资产价格越高,往往意味着功能越全,因此资产重要性等级就越高

5.根据ISO/IEC 27000标准,(   ) 为组织提供了信息安全管理体系实施指南。

(A)ISO/IEC 27002   

(B)ISO/IEC 27007   

(C)ISO/IEC 27013    

(D)ISO/IEC 27003

6. GB/Z20986《信息安全技术 信息安全事件分类分级指南》规定,未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件是(   ) 。

(A)信息窃取事件    

(B)信息泄漏事件      

(C)信息篡改事件    

(D)信息假冒事件

7.关于信息安全风险评估,以下说法正确的是(   )。

(A)风险评估包括风险管理与风险评价

(B)组织应基于其整体业务活动所在的环境和风险考虑其信息安全管理体系的设计

(C)风险评估过程中各参数的赋值一旦确定 ,不应轻易改变,以维持风险评估的稳定性

(D)如果集团企业的各地分子公司业务性质相同,则针对一个分子公司识别、评价风险即可,其风险评估过程和结果文件其他分子公司可直接采用,以节省重复识别和计算的工作品

8.在物联网中, M2M通常由三部分组成,下面哪项不是其组成部分? (   )

(A)主机部分      

(B)网络部分      

(C)应用部分      

(D)终端部分

9.《信息安全等级保护管理办法》规定(   )级保护时,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强监督、检查。

(A)2           

(B)3            

(C)4               

(D)5

10.根据GB17859《计算机信息系统 安全保护等级划分准则》标准,以下说法错误的是(   ) 。(A)信道是系统内的信息传输路径

(B)访问监控器是监控器主体和客体之间授权访问关系的部件

(C)敏感标记表示主体安全级别并描述主体数据敏感性的一组信息

(D)安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则

11.GB/T22080-2016标准中提到的“风险责任者”,是指(   ) 。

(A)发现风险的人或实体                 

(B)风险处置人员或实体

(C)有责任和权威来管理风险的人或实体   

(D)对风险发生后结果进行负责的人或实体

12.关于ISO/IEC 27004 ,以下说法正确的是(   ) 。

(A)该标准是ISMS管理绩效的度量指南

(B)该标准可以替代GB/T28450

(C)该标准可以替代ISO/IEC27001中的9.2的要求

(D)该标准是信息安全水平的度量标准

13.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供” ,对此以下说法正确的是(   )

(A)附录A.8可以删减               

(B)附录A.12可以删减

(C)附录A.14可以删减              

(D)附录A.17可以删减

14.为了确保布缆安全,以下正确的做法是(   )。

(A)使用同一电缆管道铺设电源电缆和通信电缆

(B)网络电缆采用明线架设,以便于探查故障和维修

(C)配线盘应尽量放置在公共可访问区域,以便于应急管理

(D)为了防止干扰,电源电缆宜与通信电缆分开

15.根据GB/T29246 《信息技术 安全技术 信息安全管理体系概述和词汇》标准,信息安全的保密性是指(   )。

(A)保证信息不被其他人使用

(B)信息不被未授权的个人、实体或过程利用或知悉的特性

(C)根据授权实体的要求可访问的特性

(D)保护信息准确和完整的特性

16.下列关于DMZ区的说法错误的是(   )。

(A)DMZ可以访问内部网络

(B)通常DMZ包含允许来自互联网的通信可进行的设备,如WEB服务器、FTP服务器、 SMTP服务器和DNS服务器

(C)内部网络可以无限制地访问外部网络以及DMZ

(D)有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作

17.在以下人为的恶意攻击行为中,属于主动攻击的是(   ) 。

(A)数据篡改     

(B)数据窃听     

(C)数据流分析       

(D)非法访问

18.(   ) 是建立有效的计算机病毒防御体系所需要的技术措施。

(A)补丁管理系统、网络入侵检测和防火墙

(B)漏洞扫描、网络入侵检测和防火墙

(C)漏洞扫描、补丁管理系统和防火墙

(D)网络入侵检测、防病毒系统和防火墙

19.《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于(   ) 。

(A)1个月         

(B)3个月        

(C)6个月      

(D)12个月

20.《互联网信息服务管理办法》现行有效的版本是哪年发布的? (   )

(A)2011           

(B)2017           

(C)2019          

(D)2016

21.组织应按照GB/T22080-2016标准的要求(   )信息安全管理体系。

(A)建立、实施、监视和持续改进      

(B)策划、实现、维护和持续改进

(C)建立、实现、维护和持续改进      

(D)策划、实现、监视和持续改进

22.在ISO/IEC27000系列标准中 ,为组织的信息安全风险管理提供指南的标准是(   ) 。

(A)ISO/IEC 27004   

(B)ISO/IEC 27003   

(C)ISO/IEC 27002   

(D)IS0/IEC 27005

23.根据GB/T22080-2016标准的要求,组织(   )实施风险评估。

(A)应按计划的时间间隔或当重大变更提出或发生时

(B)应按计划的时间间隔且当重大变更提出或发生时

(C)只需在重大变更发生时

(D)只需按计划的时间间隔

24.(   )不是保护办公室、房间和设施的安全的考虑措施。

(A)电磁屏蔽

(B)关键设施的安置避免公众访问的场地

(C)配置设施以防保密信息被外部可视或可听

(D)建筑物内侧或外侧以明确标记给出其用途的指示

25.根据GB/T 28450标准, ISMS文件评审不包括(   ) 。

(A)信息安全管理手册的充分性         

(B)风险评估报告的合理性

(C)适用性声明的完备性和合理性       

(D)风险处置计划的完备性

26.关于顾客满意以下说法错误的是(   ) 。

(A)顾客满意是指顾客对其期望已被满足程度的感受

(B)确保规定的顾客要求符合顾客的愿望并得到满足,就能确保顾客很满意

(C)投诉是一种满意程度低的最常见的表达方式,但没有投诉并不一定表明顾客很满意

(D)为了实现较高的顾客满意,可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望

27.若通过桌面系统对终端实行IP、MAC绑定,该网络IP地址分配方式应为(   )。

(A)静态        

(B)动态      

(C)均可       

(D)静态达到50%以上即可

28.根据《中华人民共和国保守国家秘密法》,国家秘密的最高密级为(   ) 。[1 .5分]

(A)特密        

(B)秘密      

(C)绝密       

(D)机密

29.信息系统安全等级分为五级,以下说法正确的是: (   )。

(A)二级系统每年进行一次测评,三级系统每年进行二次测评

(B)四级系统每年进行二次测评,五级系统每年进行一次测评

(C)三级系统每年进行一次测评,四级系统每年进行二次测评

(D)二级系统和五级系统不进行测评

30.国家对经营性互联网信息服务实行(   )。

(A)备案制度              

(B)许可制度

(C)行政监管制度          

(D)备案与行政监管相结合的管理制度

31.GB/T22080-2016标准所采用的过程方法是 (   ) 。

(A)PDCA方法   

(B)SMART方法    

(C)SWOT方法     

(D)PPTR方法

32.最高管理层应(   )以确保信息安全管理体系符合本标准要求。

(A)分配职责与权限             

(B)分配岗位与权限

(C)分配责任和权限             

(D)分配角色和权限

33.组织应在相关(   )上建立信息安全目标。

(A)组织环境和相关方要求      

(B)战略和意识

(C)战略和方针                

(D)职能和层次

34.投诉受理后收到的每件投诉都应该按照准则进行初步评估,评估的内容不包括(   )。

(A)影响程度    

(B)严重程度     

(C)风险偏好     

(D)复杂程度

35.根据GB/T28450 《信息安全技术信息安全管理体系审核指南》标准, ISMS规模不包括(   ) 。

(A)在组织控制下开展工作的人员总数,以及与ISMS有关的相关方和合同方

(B)组织的部门数量

(C)覆盖场所的数量

(D)信息系统的数量

36.形成ISMS审核发现时,不需要考虑的是(   ) 。

(A)所实施控制措施与适用性声明的符合性    

(B)适用性声明的完备性和合理性

(C)所实施控制措施的时效性               

(D)所实施控制措施的有效性

37.对于“监控系统”的存取与使用,下列正确的是(   )。

(A)监控系统所产生的记录可由用户任意存取

(B)计算机系统时钟应予以同步

(C)只有当系统发生异常事件及其他安全相关事件时才需进行监控

(D)监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略

38.国家秘密的保密期限应为: (   )。

(A)绝密不超过三十年,机密不超过二十年,秘密不超过十年

(B)绝密不低于三十年,机密不低于二十年,秘密不低于十年

(C)绝密不超过二十五年,机密不超过十五年,秘密不超过五年

(D)绝密不低于二十五年,机密不低于十五年,秘密不低于五年

39.根据《中华人民共和国密码法》,国家对密码实行(   )管理。

(A)分类     

(B)有效      

(C)统筹     

(D)统一

40.《网络安全审查办法》的制定,为了(   )。

(A)保守国家秘密,维护国家安全和利益

(B)保障网络安全,维护网络空间主权和国家安全

(C)确保关键信息基础设施供应链安全,维护国家安全

(D)规范互联网信息服务活动,促进互联网信息服务健康有序发展

二.多项选择题(从下列每小题列出的四个备选答案中,选出两个或两个以上最恰当的答案,错选.多选.少选或不选均不得分,每题2分,共30分)

41.以下属于相关方的是(   )。

(A)组织内的人员    

(B)供方     

(C)顾客      

(D)所有者

42.对于组织在风险处置过程中所选的控制措施,以下说法正确的是(   )。

(A)将所有风险都必须被降低至可接受的级别

(B)可以将风险转移

(C)在满足公司策略和方针条件下,有意识、客观地接受风险

(D)规避风险

43.《中华人民共和国网络安全法》适用于在中华人民共和国境内(   )网络,以及网络安全的监督管理。

(A)建设      

(B)运营       

(C)维护        

(D)使用

44.针对系统和应用访问控制 ,以下做法不正确的是(   ) 。

(A)对于数据库系统审计人员开放不限时权限

(B)登录之后,不活动超过规定时间强制使其退出登录

(C)对于修改系统核心业务运行数据的操作限定操作时间

(D)用户尝试登录失败时,明确提示其用户名错误或口令错误

45.以下(   )活动是ISMS建立阶段应完成的内容。

(A)确定ISMS的范围和边界              

(B)确定ISMS方针

(C)确定风险评估方法和实施             

(D)实施体系文件培训

46.根据GB/T 22080 ,经管理层批准,定期评审的信息安全策略包括(   )。

(A)密钥管理策略                       

(B)信息备份策略

(C)访问控制策略                       

(D)信息传输策略

47.根据ISO/IEC 27005标准,风险处置的可选措施包括(   ) 。

(A)风险识别     

(B)风险分析      

(C)风险转移       

(D)风险减缓

48.信息安全是保证信息的(   ) ,另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。

(A)可用性       

(B)保密性        

(C)完备性         

(D)完整性

49.根据GB/T22080-2016标准的要求,管理评审是为了确保信息安全管理体系持续的(   )。 [2

(A)适宜性       

(B)充分性         

(C)有效性       

(D)符合性

50.根据GB/T29246标准,风险描述的要素包括(   ) 。

(A)可能性       

(B)后果          

(C)脆弱性       

(D)威胁

51.根据GB/T 22080-2016标准的要求,下列说法正确的是(   ) 。

(A)残余风险需要获得风险责任人的批准

(B)适用性声明需要包含必要的控制及其选择的合理性说明

(C)保留有关信息安全风险处置过程的文件化信息

(D)组织控制下的员工应了解信息安全方针

52.认证机构应有验证审核组成员背景经验,特定培训或情况的准则,以确保审核组至少具备(   ) 。

(A)管理体系的知识            

(B)ISMS监视、测量、分析和评价的知识

(C)信息安全的知识            

(D)与受审核活动相关的技术知识

53.可于信息安全风险分析的方法包括(   )。

(A)场景分析法                       

(B)ATA (攻击路径分析)法

(C)FMEA (失效模式分析)法            

(D)HACCP (危害分析与关键控制点)法

54.移动设备策略宜考虑(   )。

(A)访问控制                  

(B)恶意软件防范

(C)物理保护要求              

(D)移动设备注册

55.根据GB/T 22080-2016标准的要求,信息安全方针应(   )。

(A)适当时,对相关方可用            

(B)与组织的意图相适宜

(C)形成文件化信息并可用           

(D)与组织内外相关方全面进行沟通

三.判断题(判断下列各题,正确的写√,错误的写×,每题1分,共10分)

56.ISO/IEC27006是对提供信息安全管理体系审核和认证的机构的要求。(   )

57.某信用卡制造企业为接收银行信用卡数据的服务器配置了单独的路由和防火墙,这符合GB/T22080-2016标准附录A.13.1.3条款的要求。(   )

58.白名单方案规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。(   )

59.计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。(   )

60. 2008年6月19日,全国信息安全标准化技术委员会等同采用ISO/IEC27001:2005《信息安全管理体系要求》,仅有编辑性修改。(   )

61.信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。(   )

62.组织使用云平台服务( PaaS )时, GB/T22080-2016标准中的A.12.5的要求可以删减。(   )

63.较低的恢复时间目标会有更长的中断时间。(   )

64.信息系统中的“单点故障”指仅有一个故障点,因此属于较低风险等级的事件。(   )

65. ISO/IEC27018标准是信息技术、安全技术作为PI处理者在公有云中保护个人身份信息(PII )的实践规范。 (   )

需要获取参考答案

可扫码添加客服老师微信