《2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题(含答案).docx》由会员分享,可在线阅读,更多相关《2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题(含答案).docx(11页珍藏版)》请在课桌文档上搜索。
1、2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题(含答案)1 .如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为:()A.二级B.三级C.四级D.五级2 .当访问单位服务器时,响应速度明显减慢时,最有可能受到了哪一种攻*?()A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务3 .中华人民共和国保密法规定了国家秘密的范围和密级,国家秘密的密级分为()。A.低级和高级两个级别B.普密、商密两个级别C.绝密、机密、秘密三个级别D.一密、二密、三密、四密四个级别4 .风险过程中,是需要识别的方面包括资产识别,威胁识别,现有控
2、制措施识别和()A.识别可能性和识别稳定性B.识别脆弱性和识别后果C.识别脆弱性和识别可能性D.识别脆弱性和识别稳定性5 .信息管理体系审核指南规定,ISMS规模不包括()A.组织控制下开展工作的人员总数以及相关方合同方B.组织的部门数量C.覆盖场所的数量D.信息系统的数量6 .信息安全等级保护管理办法规定,应加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。A.半年B.一年C.两年DL5年7 .信息是()A,干扰因素8 .不稳定因素C.物理特性D.不确定性8 .数字签名要预先使用hash函数的原因A.保证密文能准确还原成明文9 .缩小签名的长
3、度C.提高密文的计算速度D.多一道加密工序,使密文更难破解10 以下不是ISMS体系中,利益相关方的对象A.认为自己受到决策影响人和组织B.认为自己影响决策的人和组织C.可能受到决策影响的人和组织D.可能影响决策的人和组织答案:11 .下列哪项不是SSE-CMm的过程()A.工程过程B.保证过程C.分享过程D.设计过程11.管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的管理方式不包括()A.自动恢复其IP至原绑定状态B.断开网络并持续阻断C.弹出提示窗口对其发出警D.锁定键盘鼠标12.GB/T29246标准为组织和个人提供()A.建立信息安全管理体系的基础信息B.
4、信息安全管理体系的介绍C. ISMS标准族已发布标准的介绍D. ISMS标准族中使用的所有术语和定义13.在规划如何达到信息安全目标时,组织应确定OA.要做什么,有什么可用资源,由谁负责,什么时候开始如何测量结果B.要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果C.要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果D.要做什么,有什么可用资源由谁执行什么时候开始,如何评价结果14.下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应15.中华人民共和国网络安全法中要求:网络运营者应当按照网
5、络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()A.1个月B.3个月C.6个月D.12个月16.经过风险处理后遗留的风险通常称为()A.重大风险B.有条件的接受风险C.不可接受的风险D.残余风险17 .下列关于DMZ区的说法错误的是()A.DMZ可以访问内部网络。B.通常DMZ包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等。C.内部网络可以无限制地访问外部网络以及DMZoD.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作。18 .涉及运行
6、系统验证的审计要求和活动,应()A.谨慎地加以规划并取得批准,以便最小化业务过程的中断B.谨慎地加以规划并取得批准,以便最大化保持业务过程的连续C.谨慎地加以实施并取得批准,以便最小化业务过程的中断D.谨慎地加以实施并取得批准,以便最大化保持业务过程的连续19.依据信息安全等级保护管理办法,国家信息安全等级保护坚持()的原则A.自主定级,自主保护B.国家保护部门定级C.国家保护定级,公安部牵头D.公安部定级,自主保护20.信息安全管理措施不包括()A.安全策略B.物理和环境安全C.访问控制D.安全范围21.关于顾客满意,以下说法正确的是:()A.顾客没有抱怨,表示顾客满意B.信息安全事件没有给
7、顾客造成实质性的损失,就意味着顾客满意C.顾客认为其要求已得到满足,即意味着顾客满意D.组织认为顾客要求已得到满足,即意味着顾客满意22.某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?A.机房设备面临被盗的风险B.机房设备面临受破坏的风险C.机房设备面临灰尘的风险D.机房设备面临人员误入的风险23 .加强网络安全性的最重要的基础措施是()。A.设计有效的网络安全策略B.选择更安全的操作系统C.装杀毒软件D.加强安全教育24 .关于涉密信息系统的管理,以下说法不正确的是:OA.涉密计算机、存储设备不得接入互联网及其他公共信息网络B.涉密计算机只有采取了适当防护措施才可接入互
8、联网C.涉密信息系统中的安全技术程序和管理程序不得擅自卸载D.涉密计算机未经安全技术处理不得改作其他用途25 .对于监控系统”的存取与使用,下列正确的是()A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略26 .在以下认为的恶意攻击行为中,属于主动攻击的是()A.数据篡改B.数据窃听C.数据流分析D.误操作27 .根据GB/T22080-2016标准的要求,组织()实施风险评估A.应按计划的时间间隔或当重大变更提出或发生时B.应按计划的时间间隔且当重大变更提
9、出或发生时C.只需在重大变更发生时D.只需按计划的时间间隔28 .依据GB22080以下说法正确的是A.潜在事件发生的可能性和后果的和,决定了风险级别B.潜在事件发生的可能性和后果相乘,决定了风险级别C.潜在事件后果的严重性决定了风险级别D.已发生事故的后果决定了风险级别29 .ISMS文件的多少和详细程度取决于()A.组织的规模和活动的类型B.过程及其相互作用的复杂程度C.人员的能力D.以上都对30 .依据GB22080说法错误的是A.标准可用于内部外部人员评估组织是否满足信息安全体系要求B.标准规定的要求是通用的,适用于各种类型规模的组织C.标准中所表述的要求顺序反应了这些要求需要实现的顺
10、序D.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中31, 32,33,34,35,36,37,38,39,40单选答案:12345678910BDCBB)ABC11121314151617181920多选题41 .信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。A.可用性B.保密性C.完备性D.完整性。42 .常规控制图主要用于区分O?A.过程处于稳态还是非稳态B.过程能力的大小C.过程加工的不合格品率D.过程中存在偶然波动还是异常波动43 .对风险安全等级三级及以上系统,以下说法正确的是OoA.采用双重身份鉴别机制B.对用户和数据采用安
11、全标记C.系统管理员可任意访问日志记录D.三年开展一次网络安全等级测评工作44 .编写业务恢复策略时,下列那些因素应该考虑A.应急响应小组成员角色职责B.重要业务的恢复优先顺序C.灾备中心的距离D.为生产中心的设备购买保险45 .信息安全保护条例,那些行会受到公安机关处以警告,停业整顿的处罚A.不按照规定时间报告发生的案件B.违反计算机信息安全保护制度,危害计算机系统安全C.违反信息系统国际联网备案制度D.接到公安机关要求改进安全状况要求后,限期内不整改46 .GB22080标准中,有关信息安全绩效的反馈,包括下面那些方面趋势()A.监视和测量结果B.审核结果C.信息安全过程控制D.不符合和纠
12、正措施47 .访问控制包括()A.网络和网络服务的访问控制B.逻辑访问控制C.用户访问控制D.物理访问控制48 .审核方案应考虑的内容包括()A.体系覆盖人数B.体系覆盖场所C. IT平台的数量D. IT平台的数量49.编制ISMS审核计划,充分理解审核方案,计划还需考虑()A.组织资源保障程度B.前期抽样情况和本期抽样原则C.需要的技术和工具准备D.4142431445ABDABCDABABCABCD4647484950ABDACABCDABCD515253545551,52,53,54.55判断题56 .最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。57 .27001标准中关于“网络隔离”得要求,就是“职责分离”的要求在网络安全管理中的具体表现58 .依据GB17859第三级及以上信息系统,需具备强制访问控制的能力,第二级及以下不要求59 .依据中华人民共和国网络安全法,可按照规定,留存相关网络日志不少于3个月;60 .windows防护墙能阻止计算机病毒和蠕虫的侵入,但防火墙不能检测和清除已经感染的计算机病毒6162636465判断答案:56575859606162636465对错对错对