2024年（3月）CCAA第一期考试-信息安全管理体系基础考试真题

一、单项选择题（每题1.5分，共60分）1.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，信息安全管理中的“可用性”是指（）。A.反映事物真实情况的程度B.保护资产准确和完整的特性C.根据授权实体的要求可访问和利用的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性正确答案：C2.GB/T22080-2016标准中提到的“风险责任者”，是指（）。A.发现风险的人或实体B.风险处置人员或实体C.有责任和权威来管理风险的人或实体D.对风险发生后结果进行负责的人或实体正确答案：C3.组织应按照GB/T22080-2016标准的要求（）信息安全管理体系。A.建立、实施、监视和持续改进B.策划、实现、维护和持续改进C.建立、实现、维护和持续改进D.策划、实现、监视和持续改进正确答案：C4.关于GB/T22080-2016标准，所采用的过程方法是（）。A.PDCA法B.PPTR方法C.SWOT方法D.SMART方法正确答案：A5.ISO/IEC27002最新版本为（）。A.2022B.2015C.2005D.2013正确答案：A6.关于ISO/IEC27004，以下说法正确的是（）。A.该标准可以替代GB/T28450B.该标准是信息安全水平的度量标准C.该标准是ISMS管理绩效的度量指南D.该标准可以替代ISO/IEC27001中的9.2的要求正确答案：C7.在ISO/IEC27000系列标准中，为组织的信息安全风险管理提供指南的标准是（）。A.ISO/IEC27004B.ISO/IEC27003C.ISO/IEC27002D.IS0/IEC27005正确答案：D8.根据GB/T22080-2016标准的要求，最高管理层应（），以确保信息安全管理体系符合标准要求。A.分配责任和权限B.分配角色和权限C.分配岗位与权限D.分配职责与权限正确答案：A9.根据GB/T22080-2016标准，组织应在相关（）上建立信息安全目标。A.职能和层次B.战略和意图C.战略和方针D.组织环境和相关方要求正确答案：A10.根据GB/T22080-2016标准的要求，组织（）实施风险评估。A.只需在重大变更发生时B.只需按计划的时间间隔C.应按计划的时间间隔或当重大变更提出或发生时D.应按计划的时间间隔且当重大变更提出或发生时正确答案：C11.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”，对此以下说法正确的是（）。A.附录A.8可以删减B.附录A.17可以删减C.附录A.12可以删减D.附录A.14可以删减正确答案：D12.根据GB/T22080-2016标准中控制措施的要求，关于技术脆弱性管理，以下说法正确的是（）。A.技术脆弱性应单独管理，与事件管理没有关联B.及时获取在用的信息系统的技术方面的脆弱性信息C.了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险验越小D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径正确答案：B13.根据GB/T22080-2016标准中控制措施的要求，关于资产清单，正确的是（）。A.做好资产整理是其基础B.识别信息，以及与信息和信息处理设施相关的其他资产C.识别和完整采用组织的固定资产台账，同时指定资产责任人D.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高正确答案：B14.根据GB/T22080-2016中控制措施的要求，为了确保布缆安全，以下正确的做法是（）。A.为了防止干扰，电源电缆宜与通信电缆分开B.使用同一电缆管道铺设电源电缆和通信电缆C.网络电缆采用明线架设，以便于探查故障和维修D.配线盘应尽量放置在公共可访问区域，以便于应急管理正确答案：A15.（）不是保护办公室、房间和设施的安全的考虑措施。A.电磁屏蔽B.关键设施的安置避免公众访问的场地C.配置设施以防保密信息被外部可视或可听D.建筑物内侧或外侧以明确标记给出其用途的指示正确答案：D16.投诉受理后收到的每件投诉都应该按照准则进行初步评估，评估的内容不包括（）。A.风险偏好B.复杂程度C.影响程度D.严重程度正确答案：A17.根据GB/T28450《信息安全技术信息安全管理体系审核指南》标准，ISMS的规模不包括（）。A.组织的部门数量B.信息系统的数量C.ISMS覆盖的场所数量D.在组织控制下开展工作的人员总数，以及与ISMS有关的相关方和合同方正确答案：A18.形成ISMS审核发现时，不需要考虑的是（）。A.所实施控制措施的有效性B.所实施控制措施的时效性C.适用性声明的完备性和合理性D.所实施控制措施与适用性声明的符合性正确答案：B19.根据GB/T28450标准，ISMS文件评审不包括（）。A.风险处置计划的完备性B.风险评估报告的合理性C.适用性声明的完备性和合理性D.信息安全管理手册的充分性正确答案：D20.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，信息安全的保密性是指（）。A.保证信息不被其他人使用B.保护信息准确和完整的特性C.根据授权实体的要求可访问的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性正确答案：D21.根据ISO/IEC27000标准，（）为组织提供了信息安全管理体系实施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27003D.ISO/IEC27013正确答案：C22.GB/Z20986《信息安全技术信息安全事件分类分级指南》规定，未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件是（）。A.信息窃取事件B.信息泄漏事件C.信息算改事件D.信息假冒事件正确答案：C23.下列关于DMZ区的说法错误的是（）。A.DMZ可以访问内部网络B.内部网络可以无限制地访问外部网络以及DMZC.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作D.通常DMZ包含允许来自互联网的通信可进入的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等正确答案：A24.关于顾客满意以下说法错误的是（）。A.顾客满意是指顾客对其期望已被满足程度的感受B.确保规定的顾客要求符合顾客的愿望并得到满足，就能确保顾客很满意C.投诉是一种满意程度低的最常见的表达方式，但没有投诉并不一定表明顾客很满意D.为了实现较高的顾客满意，可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望正确答案：A25.关于“监控系统”的存取与使用，下列说法正确的是（）。A.应保持时钟同步B.监控系统所产生的记录可由用户任意存取C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略正确答案：A26.若通过桌面系统对终端实行引IP、MAC绑定，该网络IP地址分配方式应为（）。A.动态B.静态C.静态、动态均可D.静态达到50%以上即可正确答案：B27.在以下认为的恶意攻击行为中，属于主动攻击的是（）。A.数据篡改B.数据窃听C.非法访问D.数据流分析正确答案：A28.关于信息安全风险评估，以下说法正确的是（）。A.风险评估包括风险管理与风险评价B.组织应基于其整体业务活动所在的环境和风险考虑其信息安全管理体系的设计C.风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性D.如果集团企业的各地分子公司业务性质相同，则针对一个分子公司识别、评价风险即可，其风险评估过程和结果文件其他分子公司可直接采用，以节省重复识别和计算的工作品正确答案：B29.在物联网中，M2M通常由三部分组成，下面哪项不是其组成部分？（）A.主机部分B.网络部分C.应用部分D.终端部分正确答案：A30.（）是建立有效的计算机病毒防御体系所需要的技术措施。A.漏洞扫描、网络入侵检测和防火墙B.漏洞扫描、补丁管理系统和防火墙C.网络入侵检测、防病毒系统和防火墙D.补丁管理系统、网络入侵检测和防火墙正确答案：B31.《中华人民共和国网络安全法》要求网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于（）。A.6个月B.1个月C.3个月D.12个月正确答案：A32.根据《中华人民共和国保守国家秘密法》，国家秘密的最高密级为（）。A.秘密B.机密C.特密D.绝密正确答案：D33.根据《中华人民共和国保守国家秘密法》，国家秘密的保密期限应为（）。A.绝密不低于三十年，机密不低于二十年，秘密不低于十年B.绝密不超过三十年，机密不超过二十年，秘密不超过十年C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年正确答案：B34.根据《中华人民共和国密码法》，国家对密码实行（）管理。A.分类B.有效C.统筹D.统一正确答案：A35.根据《信息安全等级保护管理办法》，信息系统安全等级分为五级，以下说法正确的是（）。A.二级系统和五级系统不进行测评B.二级系统每年进行一次测评，三级系统每年进行二次测评C.三级系统每年进行一次测评，四级系统每年进行二次测评D.四级系统每年进行二次测评，五级系统每季度进行一次测评正确答案：C36.《信息安全等级保护管理办法》规定（）级保护时，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。A.2B.3C.4D.5正确答案：C37.根据GB17859《计算机信息系统安全保护等级划分准则》标准，以下说法错误的是（）。A.信道是系统内的信息传输路径B.访问监控器是监控器主体和客体之间授权访问关系的部件C.敏感标记表示主体安全级别并描述主体数据敏感性的一组信息D.安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则正确答案：C38.《互联网信息服务管理办法》现行有效的版本是哪年发布的？（）A.2011B.2017C.2019D.2016正确答案：A39.《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。A.许可制度B.地方经营C.国家经营D.备案制度正确答案：A40.《网络安全审查办法》的制定，是为了（）。A.保守国家秘密，维护国家安全和利益B.保障网络安全，维护网络空间主权和国家安全C.确保关键信息基础设施供应链安全，维护国家安全D.规范互联网信息服务活动，促进互联网信息服务健康有序发展正确答案：B二、多项选择题（每题2分，共30分，错选、多选、漏选均不得分）41.以下（）活动是ISMS建立阶段应完成的内容。A.确定ISMS方针B.实施体系文件培训C.确定ISMS的范围和边界D.确定风险评估方法和实施正确答案：AC42.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，风险描述的要素包括（）。A.后果B.威胁C.脆弱性D.可能性正确答案：AD43.信息安全是保证信息的（），另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A.可用性B.机密性C.完备性D.完整性正确答案：ABD44.以下属于相关方的是（）。A.顾客B.供方C.所有者D.组织内的人员正确答案：ABCD45.依据GB/T22080-2016，经管理层批准，定期评审的信息安全策略包括（）。A.信息备份策略B.访问控制策略C.信息传输策略D.密钥管理策略正确答案：ABCD47.根据GB/T22080-2016标准的要求，下列说法正确的是（）。A.残余风险需要获得风险责任人的批准B.组织控制下的员工应了解信息安全方针C.保留有关信息安全风险处置过程的文件化信息D.适用性声明需要包含必要的控制及其选择的合理性说明正确答案：ABCD48.移动设备策略宜考虑（）。A.访问控制B.移动设备注册C.恶意软件防范D.物理保护要求正确答案：ABCD49.根据GB/T22080-2016标准的要求，管理评审是为了确保信息安全管理体系持续的（）。A.充分性B.符合性C.有效性D.适宜性正确答案：ACD50.针对系统和应用访问控制，以下做法不正确的是（）。A.对于数据库系统审计人员开放不限时权限B.登录之后，不活动超过规定时间强制使其退出登录C.对于修改系统核心业务运行数据的操作限定操作时间D.用户尝试登录失败时，明确提示其用户名错误或口令错误正确答案：AD51.对于组织在风险处置过程中所选的控制措施，以下说法正确的是（）。A.规避风险B.可以将风险转移C.所有风险都必须被降低到可接受的级别D.在满足公司策略和方针条件下，有意识、客观地接受风险正确答案：AB52.风险处置的可选措施包括（）。A.风险识别B.风险分析C.风险转移D.风险减缓正确答案：CD52.风险处置的可选措施包括（）。A.风险识别B.风险分析C.风险转移D.风险减缓正确答案：CD53.认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备（）。A.信息安全的知识B.管理体系的知识C.与受审核活动相关的技术知识D.ISMS监视、测量、分析和评价的知识正确答案：ABCD54.可用于信息安全风险分析的方法包括（）。A.场景分析法B.ATA（攻击路径分析）法C.FMEA（失效模式分析）法C.HACCP（危害分析与关键控制点）法正确答案：AD55.《中华人民共和国网络安全法》适用于在中华人民共和国境内（）网络，以及网