- 1、本文档共17页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
2021年3月ISMS信息安全管理体系CCAA审核员复习题
一、单项选择题
1、()对于信息安全管理负有责任
A、高级管理层
B、安全管理员
C、IT管理员
D、所有与信息系统有关人员
2、依据GB/T22080/ISO/IEC27001,建立资产清单即:()
A、列明信息生命周期内关联到的资产,明确其对组织业务的关键性
B、完整采用组织的固定资产台账,同时指定资产负责人
C、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
D、A+B
3、ISO/IEC27701是()
A、是一份基于27002的指南性标准
B、是27001和27002的隐私保护方面的扩展
C、是ISMS族以外的标准
D、在隐私保护方面扩展了270001的要求
4、以下哪些可由操作人员执行?()
A、审批变更
B、更改配置文件
C、安装系统软件
D、添加/删除用户
5、在实施技术符合性评审时,以下说法正确的是()
A、技术符合性评审即渗透测试
B、技术符合性评审即漏洞扫描与渗透测试的结合
C、渗透测试和漏洞扫描可以替代风险评估
D、渗透测试和漏洞扫描不可替代风险评估
6、物理安全周边的安全设置应考虑:()
A、区域内信息和资产的敏感性分类
B、重点考虑计算机机房,而不是办公区或其他功能区
C、入侵探测和报警机制
D、A+C
7、风险评价是指()
A、系统地使用信息来识别风险来源和评估风险
B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程
C、指导和控制一个组织相关风险的协调活动
D、以上都对
8、ISO/IEC27001描述的风险分析过程不包括()
A、分析风险发生的原因
B、确定风险级别
C、评估识别的风险发生后,可能导致的潜在后果
D、评估所识别的风险实际发生的可能性
9、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()
A、ISO/IEC27002
B、ISO/IEC27003
C、ISO/IEC27004
D、ISO/IEC27005
10、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?
A、硬件和软件
B、技术和制度
C、管理员和用户
D、物理安全和软件缺陷
11、关于顾客满意,以下说法正确的是:()
A、顾客没有抱怨,表示顾客满意
B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意
C、顾客认为其要求己得到满足,即意味着顾客满意
D、组织认为顾客要求己得到满足,即意味着顾客满意
12、构成风险的关键因素有()
A、人、财、物
B、技术、管理和操作
C、资产、威胁和弱点
D、资产、可能性和严重性
13、进入重要机构时,在门卫处登记属于以下哪种措施?()
A、访问控制
B、身份鉴别
C、审计
D、标记
14、不属于计算机病毒防治的策略的是()
A、确认您手头常备一张真正“干净”的引导盘
B、及时、可靠升级反病毒产品
C、新购置的计算机软件也要进行病毒检测
D、整理磁盘
15、计算机信息系统安全专用产品是指:()
A、用于保护计算机信息系统安全的专用硬件和软件产品
B、按安全加固要求设计的专用计算机
C、安装了专用安全协议的专用计算机
D、特定用途(如高保密)专用的计算机软件和硬件产品
16、《计算机信息系统安全保护条例》中所称计算机信息系统,是指
A、对信息进行采集、加工、存储、传输、检索等处理的人机系统
B、计算机及其相关的设备、设施,不包括软件
C、计算机运算环境的总和,但不含网络
D、一个组织所有计算机的总和,包括未联网的微型计算机
17、GB/T22080-2016中所指资产的价值取决于()
A、资产的价格
B、资产对于业务的敏感程度
C、资产的折损率
D、以上全部
18、组织应()
A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域
B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域
C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域
D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域
19、关于适用性声明下面描述错误的是()
A、包含附录A中控制删减的合理性说明
B、不包含未实现的控制
C、包含所有计划的控制
D、包含附录A的控制及其选择的合理性说明
20、经过风险处理后遗留的风险是()
A、重大风险
B、有条件的接受风险
C、不可接受的风险
D、残余风险
21、关于信息系统登录的管理,以下说法不正确的是()
A、网络安全等级保护中,三级以上系统需采用双重鉴别方式
B、登录失败应提供失败提示信息
C、为提高效率,可选择保存鉴别信息的直接登录方式
D、使用交互式管理确保用户使用优质口令
22、下列措施中不能用于防止非授权访问的是()
A、采取密码技术
B、采用最小授权
C、采用权限复查
D、采用日志记录
23、关于GB/T
您可能关注的文档
- 2024年社区警务规范练习题库.pdf
- 2024年社区警务规范练习题库.docx
- 2024年化工通用技师、高级技师通用理论知识复习资料.pdf
- 2024年化工通用技师、高级技师通用理论知识复习资料.docx
- 2021年3月CCAA国家注册ISMS信息安全管理体系审核员知识复习题含解析.doc
- 2021年3月CCAA国家注册ISMS信息安全管理体系审核员知识考试题目含解析.doc
- 2021年3月CCAA国家注册ISMS信息安全管理体系审核员知识模拟试题含解析.doc
- 2021年3月CCAA国家注册审核员ISMS信息安全管理体系复习题含解析.doc
- 2021年3月CCAA国家注册审核员ISMS信息安全管理体系考试题目含解析.doc
- 2021年3月CCAA国家注册审核员ISMS信息安全管理体系模拟试题含解析.doc
文档评论(0)