《2024年3月信息安全管理体系真题ccaa.docx》由会员分享,可在线阅读,更多相关《2024年3月信息安全管理体系真题ccaa.docx(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2024年3月信息安全管理体系真题单选(每题1.5分)1.根据GB/T29246信息技术 安全技术 信息安全管理体系概述和词汇标准,信息安全管理中的“可用性”是指()。A.根据授权实体的要求可访问和利用的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护资产准确和完整的特性D.反映事物具实情况的程度2.GB/T22080-2016标准中提到的“风险责任者”,是指()。A.有责任和权威来管理风险的人或实体B.发现风险的人或实体C.对风险发生的结果进行负责的人或实体D.风险处置的人员或实体3.组织应按照GB/T22080-2016标准要求()信息安全管理体系。A.策划、实现、监视和持
2、续改进B.建立、实施、监视和持续改进C.建立、实现、维护和持续改进D.策划、实现、维护和持续改进4. GB/T22080-2016标准,所采用的过程方法是()。A.PDCA方法 B.SMART方法 C.SWOT方法D.PPTR方法5.ISO/IEC 27002最新版本为()。 A.2022B.2015 C.2013D.20056.关于ISO/IEC 27004,以下说法正确的是()。A.该标准可以替代GB/T28450B.该标准是信息安全水平的度量标准C.该标准可以替代ISO/IEC 27001中的9.2的要求D.该标准是ISMS管理绩效的度量指南7.在ISO/IEC 27000系列标准中,为
3、组织的信息安全风险管理提供指南的标准是()。 A.ISO/IEC 27002B.ISO/IEC 27003 C.ISO/IEC 27004 D.ISO/IEC 270058.根据GB/T22080-2016标准要求,最高管理层应(),以确保信息安全管理体系符合本标准要求。A.分配职责与权限B.分配岗位与权限C.分配责任与权限D.分配角色与权限9.根据GB/T22080-2016标准,组织应在相关()上建立信息安全目标。A.组织环境和相关方要求B.战略和意图C.战略和方针D.职能和层级10.根据GB/T22080-2016标准的要求,组织()实施风险评估。A.应按计划的时间间隔或当重大变更提出或
4、发生时B.应按计划的时间间隔且当重大变更提出或发生时C.只需在重大变更发生时D.只需按计划的时间间隔11.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”,对此以下说法正确的是()。A.附录A.8可以删减B.附录A.12可以删减C.附录A.14可以删减D.附录A.17可以删减12.根据GB/T 22080-2016标准中控制措施的要求,关于技术脆弱性管理,以下说法正确的是()。A.技术脆弱性应单独管理,与事件管理没有关联B.及时获取在用的信息系统的技术方面的脆弱性信息C.了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险验越小D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相
5、关风险的最佳途径13.根据GB/T22080-2016标准中控制措施的要求,关于资产清单,正确的是()。A.做好资产整理是其基础B.识别信息,以及与信息和信息处理设施相关的其他资产C.识别和完整采用组织的固定资产台账,同时指定资产责任人D.资产价格越高,往往意味着功能越全,因此资产重要性等级就越高14.根据GB/T22080-2016中控制措施的要求,为了确保布缆安全,以下正确的做法是()。A.为了防止干扰,电源电缆宜与通信电缆分开B.使用同一电缆管道铺设电源电缆和通信电缆C.网络电缆采用明线架设,以便于探查故障和维修D.配线盘应尽量放置在公共可访问区域,以便于应急管理15.()不是保护办公室
6、、房间和设施的安全的考虑措施。A.电磁屏蔽B.关键设施的安置避免公众访问的场地C.配置设施以防保密信息被外部可视或可听D.建筑物内侧或外侧以明确标记给出其用途的指示16.投诉受理后收到的每件投诉都应该按照准则进行初步评估,评估的内容不包括()。A.严重程度B.影响程度C.复杂程度D.风险偏好17.根据GB/T 28450信息安全技术信息安全管理体系审核指南标准,ISMS规模的不包括()。A.在组织控制下开展工作的人员总数,以及与ISMS有关的相关方和合同方B.组织的部门数量C.ISMS覆盖的场所数量D.信息系统的数量18.形成ISMS审核发现时,不需要考虑的是()。A.所实施控制措施与适用性声
7、明的符合性B.适用性声明的完备性和合理性C.所实施控制措施的时效性D.所实施控制措施的有效性19.根据GB/T28450标准,ISMS文件评审不包括()。A.信息安全管理手册的充分性B.风险评估报告的合理性C.适用性声明的完备性和合理性D.风险处置计划的完备性20.根据GB/T 29246信息技术 安全技术 信息安全管理体系 概述和词汇标准,信息安全的保密性是指()?A.保护信息准确和完整的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.根据授权实体的要求可访问的特性D.保证信息不被其他人使用21.根据ISO/IEC 27000标准,()为组织提供了信息安全管理体系实施指南。A.I
8、SO/IEC 27002B.ISO/IEC 27007 C.ISO/IEC 27013 D.ISO/IEC 2700322.GB/Z20986信息安全技术 信息安全事件分类分级指南规定,未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件是()。A.信息窃取事件B.信息泄漏事件C.信息篡改事件D.信息假冒事件23.下列关于DMZ区的说法错误的是()。A.DMZ可以访问内部网络B.通常DMZ包含允许来自互联网的通信可进行的设备,如WEB服务器、FTP服务器、SMTP服务器和DNS服务器C.内部网络可以无限制地访问外部网络以及DMZD.有两个DMZ的防火墙环境的典型策略是主防火墙
9、采用NAT方式工作24.关于顾客满意,以下说法错误的是()。A.顾客满意是指顾客对其期望已被满足程度的感受B.确保规定的顾客要求符合顾客的愿望并得到满足,就能确保顾客很满意C.投诉是一种满意程度低的最常见的表达方式,但没有投诉并不一定表明顾客很满意D.为了实现较高的顾客满意,可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望25.对于“监控系统”的存取与使用,下列说法正确的是()。A.监控系统所产生的记录可由用户任意存取B.应保持时钟同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略26.若通过桌面系统对终端
10、实行IP、MAC绑定,该网络IP地址分配方式应为()。A.静态B.动态C.静态、动态均可D.静态达到50%以上即可27.在以下人为的恶意攻击行为中,属于主动攻击的是()。A.数据篡改B.数据窃听C.非法访问D.数据流分析28.关于信息安全风险评估,以下说法正确的是:()。A.如果集团企业的各地分/子公司业务性质相同,则针对一个分/子公司评价风险即可,其风险评估过程和结果文件其他分/子公司可直接采用,以节省重复识别和计算的工作量B.风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性C.组织应基于其整体业务活动所在的环境和风险考虑其ISMS的设计D.风险评估包括风险管理和风险
11、评价29.在物联网中,M2M通常由三部分组成,下列哪项不是其组成部分()?A.终端部分B.主机部分C.网络部分D.应用部分30.()是建立有效的计算机病毒防御体系所需要的技术措施。A.补丁管理系统、网络入侵检测和防火墙B.漏洞扫描、网络入侵检测和防火墙C.漏洞扫描、补丁管理系统和防火墙D.网络入侵检测、防病毒系统和防火墙31. 中华人民共和国网络安全法中要求:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()。A.1个月B.3个月C.6个月D.12个月32.根据中华人民共和国国家秘密法,
12、国家秘密的最高密级为()。A.特密B.绝密C.机密D.秘密33.根据中华人民共和国保守国家秘密法,国家秘密的保密期限应为:()。A.绝密不超过三十年,机密不超过二十年,秘密不超过十年B.绝密不低于三十年,机密不低于二十年,秘密不低于十年C.绝密不超过二十五年,机密不超过十五年,秘密不超过五年D.绝密不低于二十五年,机密不低于十五年,秘密不低于五年34.根据中华人民共和国密码法,国家对密码实行()管理。A.有效B.统筹C.统一D.分类35.根据信息安全等级保护管理办法,信息系统安全等级分为五级,以下说法正确的是:()。A.二级系统每年进行一次测评,三级系统每年进行二次测评B.四级系统每年进行二次
13、测评,五级系统每年进行一次测评C.三级系统每年进行一次测评,四级系统每年进行二次测评D.二级系统和五级系统不进行测评36.信息安全等级保护管理办法规定,()级保护时,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。A.3B.4C.5D.237.根据GB17859计算机信息系统安全保护等级划分准则标准,以下说法错误的是()。A.信道是系统内的信息传输路径B.访问监控器是监控器主体和客体之间授权访问关系的部件C.敏感标记表示主体安全级别并描述主体数据敏感性的一组信息D.安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则38.互联网信息服务管理办法现行有效的版本是
14、哪年发布的?()A.2011 B.2017 C.2019D.201639.根据互联网信息服务管理办法规定,国家对经营性互联网信息服务实行()。A.国家经营B.地方经营C.许可制度D.备案制度40.网络安全审查办法的制定,是为了()。A.保守国家秘密,维护国家安全和利益B.保障网络安全,维护网络空间主权和国家安全C.确保关键信息基础设施供应链安全,维护国家安全D.规范互联网信息服务活动,促进互联网信息服务健康有序发展多选(每题2分)41.根据GB/T22080-2016,以下()活动是ISMS建立阶段完成的内容。A.确定ISMS的范围和边界B.确定ISMS方针C.确定风险评估方法并实施风险评估D
15、.实施体系文件培训42.根据GB/T29246标准,风险描述的要素包括()。A.脆弱性B.威胁C.可能性D.后果43.信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。A.可用性B.保密性C.完备性D.完整性44.以下属于相关方的是()。A.顾客B.组织内的人员C.供方D.所有者45.依据GB/T22080,经管理层批准,定期评审的信息安全策略包括()。A.信息备份策略B.访问控制策略C.信息传输策略D.密钥管理策略46.根据GB/T22080-2016标准的要求,信息安全方针应()。A.适当时,对相关方可用B.与组织的意图相适宜C.形成文件化信息并可用D.
16、与组织内外相关方全面进行沟通47.根据GB/T 22080-2016标准的要求,下列说法正确的是()。A.组织控制下的员工应了解信息安全方针B.适用性声明需要包含必要的控制及其选择的合理性说明C.残余风险需要获得风险责任人的批准D.保留有关信息安全风险处置过程的文件化信息提交回答48.移动设备策略宜考虑()。A.移动设备注册B.恶意软件防范C.访问控制D.物理保护要求49.根据GB/T 22080-2016标准的要求,管理评审是为了确保信息安全管理体系持续的()。A.适宜性B.充分性C.有效性D.符合性50.针对系统和应用访问控制,以下做法不正确的是()。A.对于数据库系统审计人员开放不限时权
17、限B.登录之后,不活动超过规定时间强制使其退出登录C.对于修改系统核心业务运行数据的操作限定操作时间D.用户尝试登录失败时,明确提示其用户名错误或口令错误51.对于组织在风险处置过程中所选的控制措施,以下说法正确()。A.将所有风险都必须被降低到可接受的级别B.可以将风险转移C.在满足公司策略和方针条件下,有意识、客观地接受风险D.规避风险52.根据ISO/IEC 27005标准,风险处置的可选措施包括()。A.风险识别B.风险分析C.风险转移D.风险减缓53.认证机构应有验证审核组成员背景经验,特定培训或情况的准则,以确保审核组至少具备()。A.管理体系的知识B.ISMS监视、测量、分析和评
18、价的知识C.与受审核活动相关的技术知识D.信息安全的知识54.可用于信息安全风险分析的方法包括()。A.场景分析法B.攻击路径分析法(ATA)C.失效模式分析法(FMEA)D.危害分析与关键控制点(HACCP)55.中华人民共和国网络安全法适用于在中华人民共和国境内()网络,以及网络安全的监督管理。A.建设B.运营C.维护D.使用判断(每题1分)56.2008年6月19日,全国信息安全标准化技术委员会等同采用ISO/IEC 27001:2005信息安全管理体系要求,仅有编辑性修改。()正确错误57.IS0/IEC 27018标准是信息技术 安全技术 作为(PII)处理者在公有云中保护个人身份信
19、息PII的实践规范。()正确错误58.信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()正确错误 59.ISO/IEC 27006是对提供信息安全管理体系审核和认证的机构的要求。()正确错误 60.组织使用云平台服务(Paas),GB/T22080-2016标准中的A.12.5的要求可以删减。()正确错误 61.某信用卡制造企业为接收银行信用卡数据的服务器配置了单独的路由和防火墙,这符合GB/T22080-2016标准附录A.13.1.3条款的要求。()正确错误62.较低的恢复时间目标会有更长的中断时间。()正确错误63.白名单方案规定邮件接收者只接收自己所信赖的邮件发
20、送者所发送过来的邮件。()正确错误64.信息系统中的“单点故障”指仅由一个故障点,因此属于较低风险等级的事件。()正确错误65.计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。()正确错误答案1A2A3C4A5A6D7D8C9D10A11C12B13B14A15D16D17B18C19A20B21D22C23A24B25B26A27A28C29B30D31C32B33A34D35C36B37C38A39C40C41AB42CD43ABD44ABCD45ABCD46ABC47ABCD48ABCD49ABC50AD51BD52CD53ABCD54ABC55ABCD56575859606162636465