信息安全审核知识试题
2022年第二期CCAA注册ISMS信息安全管理体系审核员知识模拟试题含解析
2022年第二期CCAA注册ISMS信息安全管理体系审核员知识模拟试题一、单项选择题1、末次会议包括()A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确2、下列哪一种情况下,网络数据管理协议(NDM.P)可用于备份?()A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时3、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。
A、半年B、1年C、1.5年D、2年4、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认5、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()。
A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响6、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程7、审核计划中不包括()。
A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排8、被黑客控制的计算机常被称为()A、蠕虫B、肉鸡C、灰鸽子D、木马9、GB/T22080-2016中所指资产的价值取决于()A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部10、《信息技术安全技术信息安全治理》对应的国际标准号为()A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701411、对于信息安全方针,()是ISO/IEC27001所要求的A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息,不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则,不可变更12、以下哪项不属于脆弱性范畴?()A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯13、关于适用性声明下面描述错误的是()A、包含附录A中控制删减的合理性说明B、不包含未实现的控制C、包含所有计划的控制D、包含附录A的控制及其选择的合理性说明14、根据GB/T22080-2016/ISO/IEC27001:2013标准,以下做法不正确的是()A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性15、容灾的目的和实质是()A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏16、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()A、2019B、2017C、2016D、202117、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份18、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足,即意味着顾客满意19、主动式射频识别卡(RFID)存在哪一种弱点?()A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR20、ISMS管理评审的输出应包括()A、可能影响ISMS的任何变更B、以往风险评估没有充分强调的脆弱点或威胁C、风险评估和风险处理计划的更新D、改进的建议21、关于信息安全策略,下列说法正确的是()A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审22、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动是()。
2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目含解析
2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()A、2019B、2017C、2016D、20212、当发生不符合时,组织应()。
A、对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果B、对不符合做出反应,适用时:采取纠正,以及控制措施:处理后果C、对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果D、对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果3、()是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、TCP/IP协议层次结构由()A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确5、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级A、3B、4C、5D、66、一家投资顾问商定期向客户发送有关经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前,用投资项问商的私钥数字签名邮件D、电子邮件发送前,用投资顾向商的私钥加密邮件7、管理者应()A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行8、管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的处理方式不包括()A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标9、物理安全周边的安全设置应考虑:()A、区域内信息和资产的敏感性分类B、重点考虑计算机机房,而不是办公区或其他功能区C、入侵探测和报警机制D、A+C10、可用性是指()A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人,实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度11、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么中哪一项不是针对该问题的纠正措施?()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、对于较大范围的网络,网络隔离是()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性14、审核抽样时,可以不考虑的因素是()A、场所差异B、管理评审的结果C、最高管理者D、内审的结果15、信息安全管理中,支持性基础设施指:()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部16、构成风险的关键因素有()A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性17、组织应()A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、依据GB/T22080-2016/1SO/1EC.27001:2013标准,不属于第三方服务监视和评审范畴的是()。
信息安全知识试题及答案
信息安全知识试题及答案信息安全在现代社会中起着至关重要的作用,保护个人和组织的信息免受恶意攻击是一项迫切需求。
下面是一些关于信息安全的试题及答案,以帮助您更好地了解和提高信息安全意识。
试题一:密码学基础1. 什么是对称加密算法?举例说明。
2. 什么是非对称加密算法?举例说明。
3. 什么是哈希函数?它在信息安全中的应用是什么?4. 什么是加密强度?它与密钥长度有何关系?答案一:1. 对称加密算法是一种使用相同密钥进行加密和解密的算法。
例如,DES(数据加密标准)和AES(高级加密标准)都是对称加密算法。
2. 非对称加密算法使用一对密钥,包括公钥和私钥。
公钥可用于加密,而私钥用于解密。
RSA(Rivest-Shamir-Adleman)和ECC(椭圆曲线密码算法)是非对称加密算法的代表。
3. 哈希函数是将任意长度的输入转换为固定长度输出的一种函数。
在信息安全中,哈希函数常用于验证数据的完整性和生成数字签名。
4. 加密强度是指加密算法抵抗破解攻击的能力。
密钥长度越长,加密强度越高。
因此,加密强度与密钥长度成正比关系。
试题二:网络安全1. 什么是防火墙?它如何保护网络安全?2. 什么是DDoS攻击?如何应对?3. 什么是SQL注入攻击?如何预防?4. 什么是恶意软件?列举几种常见的恶意软件类型。
答案二:1. 防火墙是一种网络安全设备,通过监控和控制网络流量来保护网络安全。
它可以根据事先设定的规则,阻止未经授权的访问和不安全的网络活动。
2. DDoS(分布式拒绝服务)攻击是指通过利用多个计算机或网络设备的攻击源,向目标服务器发送大量的请求,从而使目标服务器过载而无法响应正常请求。
为应对DDoS攻击,可以使用流量清洗、黑洞路由等方法。
3. SQL注入攻击是指攻击者通过向Web应用程序的数据库查询中插入恶意的SQL语句,从而获取数据库的敏感信息或执行未授权的操作。
预防SQL注入攻击的方法包括使用参数化查询、输入验证和限制数据库权限等。
信息安全试题及答案
信息安全试题及答案信息安全是当今社会中至关重要的一项任务,保护个人和组织的信息资产免遭损失和非法获取至关重要。
为了帮助大家深入了解和学习信息安全知识,本文将提供一些常见的信息安全试题及答案。
通过对这些问题的学习和思考,相信您将对信息安全有更全面和深入的理解。
一、选择题1. 下列哪个属于信息安全的“三要素”?A. 机密性、完整性、可用性B. 算法、密钥、加密模式C. 防火墙、入侵检测系统、反病毒软件D. 用户名、密码、验证码答案:A2. 钓鱼攻击的特点是什么?A. 以速度快著称B. 通过调查内部人员获取机密信息C. 通过冒充合法实体欺骗用户D. 利用漏洞攻击系统答案:C3. 下列哪个密码学算法是对称加密算法?A. RSAB. AESC. ECCD. Diffie-Hellman答案:B二、判断题1. 强密码应该包括大小写字母、数字和特殊字符。
答案:对2. 数字证书用于证明一个人的身份是真实的。
答案:对3. 强密码可以完全避免密码破解的风险。
答案:错三、简答题1. 什么是多因素认证?为什么多因素认证比单因素认证更安全?答:多因素认证是指在登录或身份验证过程中,使用多个独立的因素对用户进行验证。
常见的因素包括密码、指纹、手机验证码等。
相比单因素认证,多因素认证引入了额外的验证因素,提高了身份验证的安全性。
即使一个因素被破坏或获取到,其他因素仍然可以起到保护作用,大大减少了被未授权者冒用身份的风险。
2. 请简要介绍一下威胁情报的概念及作用。
答:威胁情报是指通过对恶意活动、攻击方法和攻击者行为的研究和分析,提供有关威胁的相关信息和洞察力。
威胁情报的作用是帮助组织预测和预防可能的攻击,改善主机和网络的防护措施,并能更快地回应和恢复攻击后的情况。
通过对威胁情报的及时获取和分析,组织可以提前采取必要的措施,加强信息安全防护。
四、应用题某公司正在建设一个新的内部网络,该网络将涉及大量重要数据的传输和存储。
作为信息安全专家,请为该网络设计一套完备的安全措施,确保数据的机密性、完整性和可用性。
信息安全审核知识试题
信息安全审核知识试题 Document number:NOCG-YUNOO-BUYTT-UU986-1986UTITSMS审核员考试审核知识试卷201606一、单选题1、对于目标不确定性的影响是()A、风险评估B、风险C、不符合D、风险处置2、管理体系是()A、应用知识和技能获得预期结果的本领的系统B、可引导识别改进的机会或记录良好实践的系统C、对实际位置、组织单元、活动和过程描述的系统D、建立方针和目标并实现这些目标的体系3、审核的特征在于其遵循()A、充分性。
有效性和适宜性B、非营利性C、若干原则D、客观性4、审核员在()应保持客观性A、整个审核过程B、全部审核过程C、完整审核过程D、现场审核过程5、如果审核目标、范围或准则发生变化,应根据()修改审核计划A、顾客建议B、需要C、认可规范 D。
认证程序6、在审核过程中,出现了利益冲突和能力方面的问题,审核组的(规模和组成)可能有必要加以调整。
A、审核员和技术专家B、审核组长和审核员C、规模和组成D、实习审核员7、从审核开始直到审核完成,()都应对审核的实施负责。
A、管理者代表B、审核方案人员C、认证机构D、审核组长8、当审核不可行时,应向审核委托方提出(替代建议)并与受审核方协商一致。
A、合理化建议B、替代建议C、终止建议D、调整建议9、文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的()A、目标和范围B、方针和目标C、方案和计划D、标准和法规10、在编制审核计划时,审核组长不应考虑一下方面()A、适当的抽样技术B、审核组的组成及其整体能力C、审核对组织形成的风险D、企业文化11、对于初次审核和(),审核计划的内容和详略程度可以有所不同A、监督审核。
内部审核和外部审核B、随后的审核、内部审核和外部审核C、监督审核、再认证审核和例外审核D、预审核、一阶段审核和二阶段审核12、如果在审核计划所规定的时间框架内提供的文件(不适宜、不充分),审核组长应告知审核方案管理人员和受审核方A、不适宜、不充分B、不是最新版本C、未经过审批D、不完整、不批准13、观察员应承担由审核委托方和受审核方(约定的)与健康安全相关的义务A、规定的B、法定的C、约定的D、确定的14、只有能够()信息方可作为审核证据。
信息安全考试题库及答案
信息安全考试题库及答案一、单项选择题(每题2分,共20分)1. 信息安全的三个基本要素是机密性、完整性和______。
A. 可用性B. 可靠性C. 保密性D. 易用性答案:A2. 以下哪项不是信息安全的主要威胁?A. 病毒B. 黑客攻击C. 自然灾害D. 内部泄密答案:C3. 密码学中的对称加密算法是指加密和解密使用同一密钥的加密算法,以下哪个不是对称加密算法?A. AESB. RSAC. DESD. 3DES答案:B4. 以下哪个协议不是用于网络层的安全协议?A. IPsecB. SSL/TLSC. HTTPSD. SSH答案:B5. 在信息安全中,身份认证的目的是确保用户身份的______。
A. 真实性B. 合法性C. 唯一性D. 以上都是答案:D6. 以下哪个选项不是防火墙的功能?A. 访问控制B. 入侵检测C. 数据加密D. 包过滤答案:C7. 以下哪个选项不是数字签名的特点?A. 验证消息的完整性B. 验证消息的来源C. 可以被第三方验证D. 可以被发送者否认答案:D8. 以下哪个选项不是信息安全风险评估的步骤?A. 资产识别B. 威胁识别C. 风险分析D. 风险接受答案:D9. 以下哪个选项不是信息安全管理体系ISO/IEC 27001的标准要求?A. 信息安全政策B. 信息安全组织C. 业务连续性计划D. 员工绩效考核答案:D10. 以下哪个选项不是信息安全培训的内容?A. 安全意识教育B. 操作规程培训C. 应急响应演练D. 产品营销策略答案:D二、多项选择题(每题3分,共15分)1. 以下哪些措施可以提高系统的安全性?A. 定期更新操作系统B. 使用复杂密码C. 安装防病毒软件D. 禁用不必要的服务答案:ABCD2. 以下哪些因素可能影响信息安全?A. 人为因素B. 技术因素C. 管理因素D. 环境因素答案:ABCD3. 以下哪些属于信息安全的基本要求?A. 保密性B. 完整性C. 可用性D. 可审计性答案:ABCD4. 以下哪些是信息安全事故的常见类型?A. 数据泄露B. 系统崩溃C. 服务拒绝D. 恶意软件攻击答案:ABCD5. 以下哪些是信息安全管理体系ISO/IEC 27001的核心组成部分?A. 信息安全政策B. 风险评估C. 信息安全组织D. 业务连续性计划答案:ABCD三、判断题(每题2分,共10分)1. 信息安全仅指保护计算机系统免受攻击。
信息安全试题库及参考答案
信息安全试题库及参考答案信息安全试题库1. 试题:什么是信息安全?简要描述其概念和重要性。
参考答案: 信息安全是保护信息免受未经授权的访问、使用、披露、破坏、修改或者泄露的安全措施和技术。
它涉及保护信息的完整性、可用性和机密性,对于机构和个人来说,信息安全保障了数据的安全性和业务的连续性,尤其在数字化时代更加重要。
2. 试题:列举一些常见的信息安全威胁和攻击方式。
参考答案: 常见的信息安全威胁包括计算机病毒、恶意软件、网络钓鱼、数据泄露、拒绝服务攻击(DDoS)等。
攻击方式主要包括网络攻击、物理攻击、社交工程攻击、应用程序漏洞利用和密码破解等。
3. 试题:什么是防火墙(Firewall)?它在信息安全中起到了什么作用?参考答案: 防火墙是一种用于保护计算机网络免受未经授权访问的安全设备。
它通过检测和过滤进出网络的数据流,根据预定的安全策略允许或阻止数据的传输。
防火墙起到了限制网络访问、保护网络免受恶意攻击、监控网络流量等作用,是信息安全中的重要组成部分。
4. 试题:什么是加密?为什么加密在信息安全中很重要?参考答案: 加密是通过使用密码算法将数据转换成密文的过程,以保护数据的安全性和隐私性。
加密在信息安全中很重要,它可以防止未经授权的访问和数据泄露,确保数据在传输和存储过程中的机密性和完整性。
5. 试题:描述密码学中的对称加密和非对称加密的区别。
参考答案: 对称加密和非对称加密是两种常见的加密算法。
对称加密使用相同的密钥进行加密和解密,速度较快,但存在密钥分发和管理的问题。
非对称加密使用公钥进行加密和私钥进行解密,安全性较高,但速度较慢。
非对称加密可以解决对称加密的密钥管理问题。
信息安全参考答案1. 试题:什么是社交工程攻击?列举一些常见的社交工程攻击手段。
参考答案: 社交工程攻击是利用人们的社交心理,通过与目标进行欺骗、伪装或诱导等手段,获取对方的敏感信息或进行非法操作的攻击方式。
常见的社交工程攻击手段包括钓鱼邮件、钓鱼网站、社交媒体欺诈、伪造身份等。
信息安全试题及答案
信息安全试题及答案一、单项选择题(每题2分,共20分)1. 信息安全的核心目标是保护信息的()。
A. 可用性B. 完整性C. 机密性D. 所有选项答案:D2. 下列哪项不是信息安全的基本属性?A. 机密性B. 可用性C. 完整性D. 易用性答案:D3. 以下哪个协议不是用于数据加密的?A. SSLB. TLSC. SSHD. HTTP答案:D4. 以下哪项技术不是用于防止SQL注入攻击的?A. 参数化查询B. 预编译语句C. 错误信息显示D. 数据清洗答案:C5. 以下哪项不是防火墙的功能?A. 包过滤B. 状态检测C. 应用层代理D. 网络加速答案:D6. 以下哪项不是数字签名的目的?A. 验证消息的完整性B. 验证消息的来源C. 确保消息的机密性D. 提供不可否认性答案:C7. 以下哪项不是VPN(虚拟私人网络)的优势?A. 数据加密B. 访问控制C. 降低带宽成本D. 提高网络速度答案:D8. 以下哪项不是入侵检测系统(IDS)的功能?A. 异常检测B. 误用检测C. 网络监控D. 网络加速答案:D9. 以下哪项不是密码学中的基本概念?A. 对称加密B. 非对称加密C. 哈希函数D. 数据压缩答案:D10. 以下哪项不是信息安全风险评估的目的?A. 识别潜在的安全威胁B. 评估资产的价值C. 确定风险的优先级D. 提供网络加速服务答案:D二、多项选择题(每题3分,共15分)11. 以下哪些是信息安全的基本要素?()A. 机密性B. 完整性C. 可用性D. 可审计性答案:ABCD12. 以下哪些是常见的网络攻击类型?()A. 拒绝服务攻击(DoS)B. 分布式拒绝服务攻击(DDoS)C. 钓鱼攻击D. 社交工程答案:ABCD13. 以下哪些是信息安全策略的组成部分?()A. 物理安全B. 人员安全C. 技术安全D. 法律安全答案:ABCD14. 以下哪些是信息安全管理体系ISO/IEC 27001标准中的关键要素?()A. 信息安全政策B. 风险评估C. 信息安全组织D. 业务连续性管理答案:ABCD15. 以下哪些是密码学中的基本操作?()A. 加密B. 解密C. 哈希D. 压缩答案:ABC三、判断题(每题2分,共10分)16. 信息安全仅关注技术层面的保护措施。
6月信息技术服务管理体系审核员考试试题及答案解析(审核部分)
CCAA信息安全管理体系审核员考试(审核知识与技能)姓名:身份证号:单位名称:考试日期:年月日一、单项选择题(从下面各题选项中选出一个最恰当的答案,并将相应字母填在下表相应位置中。
每题1分,共40分。
)难度按5级划分,1级很容易,答题对的率90%以上,2级较容易,答题对的率80-90%之间,3级中档,答题对的率70-80% ,4级较难,答题对的率50-70%,5级很难,答题对的率50%以下。
答题对的率在30%以下的题不要出。
1.对于目的不拟定性的影响是()。
A.风险评估B.风险C.不符合D.风险处置2.管理体系是()。
A.应用知识和技能获得预期结果的本领的系统B.可引导辨认改善的机会或记录良好实践的系统C.对实际位置、组织单元、活动和过程描述的系统D.建立方针和目的并实现这些目的的体系3.审核的特性在于其遵循()。
A.充足性、有效性和适宜性B.非营利性C.若干原则D.客观性4. 审核员在()应保持客观性。
A.整个审核过程B.所有审核过程C.完整审核过程D.现场审核过程5. 假如审核目的、范围或准则发生变化,应根据()修改审核方案。
A.顾客建议B.需要C.认可规范D.认证程序6. 在审核过程中,出现了利益冲突和能力方面的问题,审核组的()也许有必要加以调整。
A.审核员和技术专家B.审核组长和审核员C.规模和组成D.实习审核员7. 从审核开始直到审核完毕,()都应对审核的实行负责。
A.管理者代表B.审核方案人员C.认证机构D.审核组长8. 当审核不可行时,应向审核委托方提出()并与受审核方协商一致。
A.合理化建议B.替代建议C.终止建议D.调整建议9. 文献评审应考虑受审核方管理体系和组织的规模、性质和复杂限度以及审核的()A.目的和范围B.方针和目的C.方案和计划D.标准和法规10. 在编制审核计划时,审核组长不应考虑以下方面()A.适当的抽样技术B.审核组的组成及其整体能力C.审核对组织形成的风险D.公司文化11. 对于初次审核和(),审核计划的内容和详略限度可以有所不同。
2022年12月ISMS信息安全管理体系CCAA审核员考试题目含解析
2022年12月ISMS信息安全管理体系CCAA审核员考试题目一、单项选择题1、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是:()A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数2、我国网络安全等级保护共分几个级别?()A、7B、4C、5D、63、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A、警告B、罚款C、没收违法所得D、吊销许可证4、对于外部方提供的软件包,以下说法正确的是:()A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对5、对于交接区域的信息安全管理,以下说法正确的是:()A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施,验证携带者身份信息;可替代对设备设施的验证6、最高管理者应()。
A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审7、涉及运行系统验证的审计要求和活动,应()A、谨慎地加以规划并取得批准,以便最小化业务过程的中断B、谨慎地加以规划并取得批准,以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准,以便最小化业务过程的中断D、谨慎地加以实施并取得批准,以便最大化保持业务过程的连续8、残余风险是指:()A、风险评估前,以往活动遗留的风险B、风险评估后,对以往活动遗留的风险的估值C、风险处置后剩余的风险,比可接受风险低D、风险处置后剩余的风险,不一定比可接受风险低9、《信息安全等级保护管理办法》规定,应加强沙密信息系统运行中的保密监督检查。
信息安全考试题库
信息安全考试题库在当今数字化时代,信息安全已经成为了至关重要的议题。
无论是个人的隐私保护,还是企业的商业机密、国家的安全战略,都离不开信息安全的保障。
为了检验和提升大家对信息安全知识的掌握程度,以下为您精心准备了一份信息安全考试题库。
一、单选题1、以下哪种行为不属于信息安全威胁?()A 黑客攻击B 定期更新软件补丁C 网络钓鱼D 恶意软件植入答案:B解析:定期更新软件补丁是增强信息安全的措施,而不是威胁。
黑客攻击、网络钓鱼和恶意软件植入都会对信息系统和数据造成威胁。
2、信息安全中“CIA 三元组”指的是()A 机密性、完整性、可用性B 认证、授权、审计C 控制、监测、评估D 加密、解密、验证答案:A解析:“CIA 三元组”即机密性(Confidentiality)确保信息仅被授权的人员访问;完整性(Integrity)保证信息的准确和完整;可用性(Availability)确保信息和系统在需要时能够正常使用。
3、以下哪种加密算法属于对称加密算法?()A RSAB AESC ECCD SHA答案:B解析:AES(Advanced Encryption Standard)是一种对称加密算法,加密和解密使用相同的密钥。
RSA 和 ECC 是公钥加密算法,SHA 是哈希算法。
4、密码学中,用于验证消息完整性的技术是()A 数字签名B 数字证书C 哈希函数D 对称加密答案:C解析:哈希函数可以将任意长度的消息转换为固定长度的摘要,通过对比摘要来验证消息的完整性。
5、下列哪项不是常见的网络攻击手段?()A SQL 注入B 跨站脚本攻击(XSS)C 网络监听D 定期备份数据答案:D解析:定期备份数据是一种数据保护措施,不是攻击手段。
SQL 注入、XSS 和网络监听都是常见的攻击方式。
二、多选题1、信息安全风险评估的主要步骤包括()A 资产识别B 威胁评估C 脆弱性评估D 风险计算E 风险处理答案:ABCDE解析:资产识别确定需要保护的对象;威胁评估分析可能存在的威胁;脆弱性评估找出系统的弱点;风险计算综合考虑威胁、脆弱性和资产价值得出风险值;风险处理根据风险值采取相应的措施。
信息安全管理体系审核员真题完整版
信息安全管理体系审核员真题HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】ISMS 201409/11一、简答1、内审不符合项完成了30/35,审核员给开了不符合,是否正确?你怎么审核?[参考]不正确。
应作如下审核:(1)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解内审不符合项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正措施是否有效;(2)所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。
(3)评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的控制措施即可。
综上,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措施适宜。
2、在人力资源部查看网管培训记录,负责人说证书在本人手里,培训是外包的,成绩从那里要,要来后一看都合格,就结束了审核,对吗?[参考]不对。
应按照标准GB/T 22080-2008条款培训、意识和能力的要求进行如下审核:(1)询问相关人员,了解是否有网管岗位说明书或相关职责、角色的文件?(2)查阅网管职责相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经验、技术和应用能力方面的评价要求,以及相关的培训规程及评价方法;(3)查阅网管培训记录,是否符合岗位能力要求和培训规程的规定要求?(4)了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价,是否保持记录?(5)如果岗位能力经评价不能满足要求时,组织是否按规定要求采取适当的措施,以保证岗位人员的能力要求。
二、案例分析1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的。
A 组织场所外的设备安全应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险2、某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都是正版。
信息安全管理体系审核知识考试题
ITSMS审核员考试审核知识试卷201706一、单选题1、某制造企业A的关键工序由唯一的一台自动控制系统设备完成,该设备系统的运维外包给了一家小型私营公司B,一下哪项是ISO/IEC 20000:2011的要求?()(A) A与B应签署运维合同或协议,运维合同或协议应考虑A的客户合同以及生产运行要求制定服务内容和指标。
(B) A与B应签署运维合同或协议,由采购部门维护B在A公司合格供应商名录中的地位。
(C) B声称能做到随叫随到,此情景下运维合同或协议可以省略(D)由B完全负责管控,A不必干涉2、投诉处理过程的有关信息的形式应()(A)不使任何被投诉者处于不利地位(B)不使任何投诉者处于不利地位(C)不使任何外包方处于不利地位(D) IT服务方组织根据情况决定是否向投诉者披露3、某银行信用卡呼叫中心为了提高效率,制定了与每一业务对应的“标准话述”,供坐席人员应答客户关于信用卡使用的问题时使用,依据ISO/IEC20000-1:2011,这些“标准话述”的的维护和更新对应()(A)事件管理的职责(B)问题管理的职责(C)服务设计的职责(D)服务转换的职责4、以下属于单点故障的情况是()(A)巡检时发现的唯一故障(B)所有服务器使用一台UPS为供电,数据中心仅有此一台UPS(C)所有的IT设备使用一条专线联网,由于带宽资源充足故未构建其他线路(D)(B)+(C)5、服务连续性管理中,恢复时间目标指()(A) IT服务复原到正常工作状态的时间(B) IT服务复原到约定的最低可用性水平的时间(C)关键服务恢复到约定的最低可用性水平的时间(D)基础设施服务恢复到约定的可用性水平的时间6、对于个人信息的使用,除法律法规另有规定外,应()(A)得到个人信息主体的同意并按约定时间及时删除(B)得到个人信息主体所在组织的同意,不须告知个人信息主体。
(C)个人信息持有者自行决定管理措施,不须告知个人信息主体。
(D)得到个人信息主体的同意并尽可能长时间保存。
信息安全核查制度考试题
一、选择题(每题2分,共20分)1. 以下哪项不属于信息安全的基本原则?A. 完整性B. 可用性C. 保密性D. 可控性2. 信息安全事件的分类不包括以下哪项?A. 网络攻击B. 系统漏洞C. 自然灾害D. 内部人员违规3. 以下哪种加密算法属于对称加密?A. RSAB. AESC. DESD. SHA-2564. 以下哪项不是信息安全核查的主要内容?A. 系统安全配置B. 用户权限管理C. 数据备份与恢复D. 项目进度管理5. 信息安全核查的目的是什么?A. 检查系统漏洞B. 评估信息安全风险C. 保障信息系统稳定运行D. 以上都是6. 信息安全核查的主要方法不包括以下哪项?A. 文档审查B. 技术检测C. 现场核查D. 用户访谈7. 信息安全核查报告的主要内容不包括以下哪项?A. 核查范围B. 核查方法C. 核查结果D. 项目预算8. 信息安全核查的周期一般为多久?A. 每季度B. 每半年C. 每年D. 按需核查9. 信息安全核查的组织者一般为以下哪个部门?A. IT部门B. 信息安全部门C. 法务部门D. 以上都是10. 以下哪种行为不属于信息安全核查的范围?A. 系统安全配置B. 用户权限管理C. 网络设备管理D. 项目进度管理二、判断题(每题2分,共10分)1. 信息安全核查是对信息安全风险的全面评估。
()2. 信息安全核查报告应当对核查结果进行详细描述,并提出相应的改进建议。
()3. 信息安全核查可以完全消除信息安全风险。
()4. 信息安全核查应当遵循“预防为主、防治结合”的原则。
()5. 信息安全核查应当定期进行,以确保信息系统安全稳定运行。
()三、简答题(每题5分,共25分)1. 简述信息安全核查的目的和意义。
2. 简述信息安全核查的主要内容。
3. 简述信息安全核查的方法。
4. 简述信息安全核查报告的主要内容。
5. 简述信息安全核查的周期和范围。
四、论述题(10分)论述信息安全核查在保障信息系统安全稳定运行中的重要作用。
2023年3月CCAA注册ISMS信息安全管理体系审核员知识考试题目含解析
2023年3月CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、关于信息安全策略,下列说法正确的是()A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审2、可用性是指()A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人,实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度3、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对4、下列措施中,()是风险管理的内容。
A、识别风险B、风险优先级评价C、风险处置D、以上都是5、从计算机安全的角度看,下面哪一种情况是社交工程的一个直接例子?()A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏6、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源,在评估这样一个软件产品时最重要的标准是什么?()A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价7、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
A、确定B、制定C、落实D、确保8、访问控制是确保对资产的访问,是基于()要求进行授权和限制的手段。
A、用户权限B、可被用户访问的资料C、系统是否遭受入侵D、可给予哪些主体访问9、()对于信息安全管理负有责任A、高级管理层B、安全管理员C、IT管理员D、所有与信息系统有关人员10、口令管理系统应该是(),并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C11、监督、检查、指导计算机信息系统安全保护工作是()对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、()是建立有效的计算机病毒防御体系所需要的技术措施。
2023年10月CCAA国家注册ISMS信息安全管理体系审核员知识考试题目含解析
2023年10月CCAA国家注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、在安全模式下杀毒最主要的理由是()A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机2、依据《中华人民共和国网络安全法》,以下正确的是()。
A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月,网络日志保存不得少于6个月3、在每天下午5点使计算机结束时断开终端的连接属于()A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗4、密码技术不适用于控制下列哪种风险?()A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险5、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程6、保密协议或不泄露协议至少应包括:()A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定7、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作8、某公司计划升级现有的所有PC机,使其用户可以使用指纹识别登录系统,访问关键数据实施时需要()A、所有受信的PC机用户履行的登记、注册手续(或称为:初始化手续)B、完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险)C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据9、信息安全管理中,关于脆弱性,以下说法正确的是()。
2023年信息安全审核知识试题
ITSMS审核员考试审核知识试卷202306一、单项选择题1、对于目旳不确定性旳影响是()A、风险评估B、风险C、不符合D、风险处置2、管理体系是()A、应用知识和技能获得预期成果旳本领旳系统B、可引导识别改善旳机会或记录良好实践旳系统C、对实际位置、组织单元、活动和过程描述旳系统D、建立方针和目旳并实现这些目旳旳体系3、审核旳特性在于其遵照()A、充足性。
有效性和合适性B、非营利性C、若干原则D、客观性4、审核员在()应保持客观性A、整个审核过程B、所有审核过程C、完整审核过程D、现场审核过程5、假如审核目旳、范围或准则发生变化,应根据()修改审核计划A、顾客提议B、需要C、承认规范 D。
认证程序6、在审核过程中,出现了利益冲突和能力方面旳问题,审核组旳(规模和构成)也许有必要加以调整。
A、审核员和技术专家B、审核组长和审核员C、规模和构成D、实习审核员7、从审核开始直到审核完毕,()都应对审核旳实行负责。
A、管理者代表B、审核方案人员C、认证机构D、审核组长8、当审核不可行时,应向审核委托方提出(替代提议)并与受审核方协商一致。
A、合理化提议B、替代提议C、终止提议D、调整提议9、文献评审应考虑受审核方管理体系和组织旳规模、性质和复杂程度以及审核旳()A、目旳和范围B、方针和目旳C、方案和计划D、原则和法规10、在编制审核计划时,审核组长不应考虑一下方面()A、合适旳抽样技术B、审核组旳构成及其整体能力C、审查对组织形成旳风险D、企业文化11、对于初次审核和(),审核计划旳内容和详略程度可以有所不一样A、监督审核。
内部审核和外部审核B、随即旳审核、内部审核和外部审核C、监督审核、再认证审核和例外审核D、预审核、一阶段审核和二阶段审核12、假如在审核计划所规定旳时间框架内提供旳文献(不合适、不充足),审核组长应告知审核方案管理人员和受审核方A、不合适、不充足B、不是最新版本C、未通过审批D、不完整、不一样意13、观测员应承担由审核委托方和受审核方(约定旳)与健康安全有关旳义务A、规定旳B、法定旳C、约定旳D、确定旳14、只有可以()信息方可作为审核证据。
信息技术安全审核员考试
选择题信息安全风险评估的基本要素包括()A. 资产、可能性、影响B. 资产、脆弱性、威胁C. 可能性、资产、脆弱性答案:B当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A. 隔离和迁移B. 评审和测试C. 评审和隔离D. 验证和确认答案:B信息安全管理体系(ISMS)中,关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的()系统A. 报告B. 传递C. 评价D. 测量答案:D以下关于SSL协议的说法正确的是()A. SSL协议主要用于解密机制B. SSL协议主要用于加密机制C. SSL协议与数据完整性无关D. SSL协议无法保护用户隐私答案:B填空题信息安全风险评估的要素包括资产、威胁和脆弱性。
网络入侵检测系统可以检测外部黑客的攻击行为以及内部攻击者的操作行为。
计算机病毒是一种能够侵入计算机系统并复制传播的程序。
ISO/IEC 27001是国际公认的信息安全管理体系标准。
数据备份是防止数据丢失的重要手段之一。
简答题简述信息安全风险评估的流程信息安全风险评估的流程主要包括以下几个步骤:确定评估范围和目标、收集资产信息、识别威胁和脆弱性、评估风险(包括可能性和影响)、制定风险处理计划、监控和评审风险评估过程。
描述防火墙的主要功能和作用防火墙的主要功能和作用包括:过滤进出网络的数据包,阻止未经授权的访问;设置访问控制策略,保护内部网络免受外部攻击;监控网络流量,记录和分析安全事件;通过NAT(网络地址转换)隐藏内部网络结构,增强网络安全性。
为什么需要定期更新操作系统和应用程序的补丁?定期更新操作系统和应用程序的补丁是为了修复已知的漏洞和安全问题,防止黑客利用这些漏洞进行攻击。
随着技术的发展,新的安全威胁不断出现,而补丁更新是保持系统安全性的重要手段之一。
简述什么是计算机病毒,并给出预防措施计算机病毒是一种能够侵入计算机系统并复制传播的程序,它会破坏数据、干扰计算机运行或窃取敏感信息。
2023年第二期月ISMS信息安全管理体系CCAA审核员考试题目含解析
2023年第二期月ISMS信息安全管理体系CCAA审核员考试题目一、单项选择题1、审核计划中不包括()。
A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排2、关于《中华人民共和国保密法》,以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护3、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括()A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都不对4、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略,以下正确的是()A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制5、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略,以下正确的是()A、没有陈述为禁止访问的网络服务,视为允许方问的网络服务B、对于允许访问的网络服务,默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务,按照规定的授权机制进行授权D、以上都对6、容灾的目的和实质是()A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏7、创建和更新文件化信息时,组织应确保适当的()A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准8、不属于公司信息资产的是()A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对9、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足,即意味着顾客满意10、依据GB/T22080,网络隔离指的是()A、不同网络运营商之间的隔离B、不同用户组之间的隔离C、内网与外网的隔离D、信息服务,用户及信息系统11、组织应()A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质12、相关方的要求可以包括()A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务13、形成ISMS审核发现时,不需要考虑的是()A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性14、下面哪一种属于网络上的被动攻击()A、消息篡改B、伪装C、拒绝服务D、流量分析15、关于投诉处理过程的设计,以下说法正确的是:()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用16、以下哪项不属于脆弱性范畴?()A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯17、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ITSMS审核员考试审核知识试卷201606一、单选题1、对于目标不确定性的影响是()A、风险评估B、风险C、不符合D、风险处置2、管理体系是()A、应用知识和技能获得预期结果的本领的系统B、可引导识别改进的机会或记录良好实践的系统C、对实际位置、组织单元、活动和过程描述的系统D、建立方针和目标并实现这些目标的体系3、审核的特征在于其遵循()A、充分性。
有效性和适宜性B、非营利性C、若干原则D、客观性4、审核员在()应保持客观性A、整个审核过程B、全部审核过程C、完整审核过程D、现场审核过程5、如果审核目标、范围或准则发生变化,应根据()修改审核计划A、顾客建议B、需要C、认可规范 D。
认证程序6、在审核过程中,出现了利益冲突和能力方面的问题,审核组的(规模和组成)可能有必要加以调整。
A、审核员和技术专家B、审核组长和审核员C、规模和组成D、实习审核员7、从审核开始直到审核完成,()都应对审核的实施负责。
A、管理者代表B、审核方案人员C、认证机构D、审核组长8、当审核不可行时,应向审核委托方提出(替代建议)并与受审核方协商一致。
A、合理化建议B、替代建议C、终止建议D、调整建议9、文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的()A、目标和范围B、方针和目标C、方案和计划D、标准和法规10、在编制审核计划时,审核组长不应考虑一下方面()A、适当的抽样技术B、审核组的组成及其整体能力C、审核对组织形成的风险D、企业文化11、对于初次审核和(),审核计划的内容和详略程度可以有所不同A、监督审核。
内部审核和外部审核B、随后的审核、内部审核和外部审核C、监督审核、再认证审核和例外审核D、预审核、一阶段审核和二阶段审核12、如果在审核计划所规定的时间框架内提供的文件(不适宜、不充分),审核组长应告知审核方案管理人员和受审核方A、不适宜、不充分B、不是最新版本C、未经过审批D、不完整、不批准13、观察员应承担由审核委托方和受审核方(约定的)与健康安全相关的义务A、规定的B、法定的C、约定的D、确定的14、只有能够()信息方可作为审核证据。
A、确定的B、验证的C、证实的D、可追溯的15、当审核计划有规定时,具体的审核发现应包括具有()、改进机会以及对受审核方的建议A、证据支持的审核证据B、可以验证的记录或事实陈述C、经过确认的审核记录D、证据支持的符合事项和良好实践16、如果审核计划中有规定,审核结论可提出改进的()或今后审核活动的()A、建议。
建议B、方法。
方法C、途径。
途径D、步骤。
步骤17、对于另一些情况,例如内部审核,末次会议(),只是沟通审核发现和审核结论A、可以不举行B、必须举行C、可以不太正式D、可以不以会议形式18、审核的完成()A、当所有策划的审核活动已经执行或出现于审核委托方约定的情形时(例如出现了妨碍完成审核计划的非预期情形),审核即告完成B、当受审核方获得认证证书时,审核即告完成C、当审核组长提交审核报告时,审核即告完成D、当受审核方不符合项整改完成后,审核即告完成19、从审核中获得的()应作为受审核组织的管理体系的持续改进过程的输入A、整改措施B、不符合项C、合理化建议D、经验教训20、审核员应在从事审核活动时展现()A、职业素养B、知识技能C、专业技能D、文化素养21、ITSMS认证机构应确保客户组织通过其()以及其他适用的方面清晰界定其ITSMS的范围和边界A、所提供的服务、交付服务的地点、服务提供所用的技术B、组织单元、所提供的服务、交付服务的地点、服务提供所用的技术C、针对每个客户组织建立审核方案,并对审核方案进行管理D、宜说明拟在审核中使用的远程审核技术22、适用时,客户组织应在递交认证申请时指明()在ITSMS范围内的服务活动A、完全不包含B、不包含C、部分包含D、不完全包含23、ITSMS认证机构宜根据已获证客户组织ITSMS的变化对已有的能力需求分析结果进行审查和必要的()A、升级B、更新C、修订D、变换24、远程审核技术,例如,电话会议、网络会议、基于网络的互动式沟通和()访问ITSMS 文件和(或)ITSMS过程等方式A、远程通信B、VPN技术C、电子邮件D、远程电子25、计算机机房应当符合国家标准和国家有关规定()A、不得在计算机机房附近施工B、获得许可方可在计算机将附近施工C、在计算机机房附近施工,应做好安全防护D、在计算机机房附近施工,不得危害计算机信息系统地安全26、在规定时刻或规定时间段内,部件或服务执行要求功能的能力是()A、连续性B、可用性C、基线D、发布27、服务提供方与客户之间签署的、描述服务和约定服务级别的协议是()A、CMDBB、OLAC、SLAD、MTTR28、在进入实际运行环境之前,新服务或变更的服务应由()进行验收A、相关方B、供应商C、顾客D、服务提供方29、与相应服务级别()一起提供的整体服务范围,应有相关方进行协商并记录A、目标和工作量特征B、计划和工作量特征C、方案和指标特性D、水平和指标特性30、可用性和服务连续性的需求应包括(),以及系统部件的端对端可用性A、联系人清单和配置管理数据库B、所有的连续性测试C、不可用性D、访问权和响应次数31、服务提供方应监视并报告预算的支出,(),从而管理支出A、评审财务成本B、评审财务预报C、有效的财务控制和授权D、通过变更管理过程来对服务财务变更进行评估和标准32、所有正式的服务投诉应由服务提供方进行(),并调查原因,采取措施,予以报告并正式关闭A、记录B、确认C、评估D、分析33、应及时通知()有关他们所报告的事件或服务请求的进展情况A.服务提供方 B、维修方 C、相关方 D、客户34、配置管理应提供识别、控制与追踪服务和基础设施的()版本的机制A、可识别组件B、配置项C、可识别部件 C、系统35、应()变更记录,以检查变更的增长程度、频繁重现的类型、呈现的趋势和其他相关信息A、不定期分析B、定期分析C、及时分析D、根据需求分析36、数字签名包括()A、签署过程B、签署和验证两个过程C、验证过程D、以上答案都不对37、信息系统安全等级保护是指()A、对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护B、对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理C、对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的细信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级相应和处置D、对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中发生的信息安全事件分等级相应和处置38、有时候我们需要暂时离开计算机,但经常又会忘记了锁定系统时,可以设置()口令A、CMOSB、系统账户登录C、锁屏锁定D、锁定39、若word文件设置的是“修改文件时的密码”,那么打开该文档时若不输入密码,就会()A、以普通方式打开文档,允许对文件修改B、不能打开文档C、不断出现提示框,直到用户输入正确密码为止D、以只读的方式打开文档40、选择操作系统输入法可按下列哪个组合键()A、Ctel+ShiftB、Ctrl+AltC、Ctrl+空格键D、Shift+Alt二、多选题41、审核计划应包括或涉及下列内容()A、审核范围,包括受审核的组织单元、职能单元以及过程B、实施审核活动的地点、日期、预期的时间和期限,包括与受审核方管理者的会议C、未审核的关键区域配置适当的资源D、确保策划的审核活动能够实施42、首次会议的目的是()A、确认所有有关方(例如受审核方、审核组)对审核计划的安排达成一致B、介绍审核组成员C、确保所策划的审核活动能够实施D、针对实现审核目标的不确定因素而采取的特定措施43、服务提供方应实施服务管理计划,以管理并交付服务,包括()A、角色和职责的分配B、团队的管理,例如,补充并培养适当的人员,对人员的连续性进行管理C、整个组织的改进或多个过程的改进D、包括服务台的服务运行组在内的团队的管理44、服务提供方应与企业对()和硬件的发布进行策划A、组件B、服务C、软件D、系统45、TCP/IP层次结构有哪些组成?()A、链路层B、应用层C、网络层和网络接口层D、传输层三、阐述题46、审核员在项目部查看了去年的时间管理记录共20项,其中有17项已经按照程序要求,进行了业务影响分析、分类、更新、升级、解决和正式关闭。
但有3项时间没有正式关闭,审核员据此开了不符合项,并结束了此项的审核。
这样的审核是否符合要求?为什么?如果您去审核,您会怎么做?不符合要求。
审核员未了解3项时间管理记录没有正式关闭的原因和状态。
应该检查管理程序对时间管理关闭的要求,检查是否按程序要求进行相应和关闭,如3项记录在正常处理流程中不应开具不符合,应该抽样3~5份处理记录,检查是否根据管理程序要求的步骤、时间、程序进行了关闭或处理,检查相关文件信息。
47、审核员在审核上一次的内部审核报告时,发现这次内审开了10项不符合项,其中有3项不符合的受审核部门未签字确认。
就同迎审人员对这3项未确认的不符合项如何处理。
迎审人员说:最近项目很忙,,没有来得及处置,等忙完这一阵子就对这3项不符合项进行分析原因、制定纠正措施。
他这样处置,您认为是否遗漏了哪些内容?这样处置使得内部审核工作没有完成,3个不符合项未确认和处置,不能发布审核报告。
不符合项的确认应该在内审末次会议进行,随后应该进行纠正和跟踪,所有不符合处置完成后才能发布内部审核报告四、案例分析48、审核员到某公司进行ITSMS评审。
公司的配置管理数据库中记录的一台交换机的型号为SRW208-K9-CN 8口百兆,审核员查看了交换机配置表,发现最新配置为SF300-24(SRW224G4)24口百兆,系统管理员说因为端口不够用,所以更换了交换机,当时到等到下次做配置审计时才修改配置管理数据库中的该配置项的信息。
不符合条款:9.1“应管理CMDB以确保其可靠性和准确性”不符合项严重程度:一般不符合49、审核员从网络管理员那里了解到,文件服务器在最近一个月的每个星期五早上都会非预期的自动重启,网络管理员解释说不清楚原因,对业务影响不大,也就没必要采取进一步的措施。
不符合项事实:查文件服务器每周五早上定期自动重启,但未能识别问题及其根本原因,并提出问题的解决方案。
不符合条款:8.3 “服务提供方应分析事件和问题的数据和趋势以识别根本原因和潜在的预防措施”不符合项严重程度:一般不符合50、审核员审核某公司时,从系统管理员那里了解到,上个月该公司将OA系统由3.0版升级到了4.0版,但查阅文档发现,只有发布计划,没有对该发布项进行测试。