2021年9月CCAA信息安全管理体系质量审核员复习题含解析

2021年9月CCAA信息安全管理体系质量审核员复习题一、单项选择题1、ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。A、有效策划与保持持续改进B、有效实施与运行持续改进C、有效实施与保持持续改进D、有效策划与运行持续改进2、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段3、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局4、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。A、人为因素B、自然灾难C、不可抗力D、网络故障5、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密6、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对7、()是风险管理的重要一环。A、管理手册B、适用性声明C、风险处置计划D、风险管理程序8、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析9、关于入侵检测，以下不正确的是：（）A、入侵检测是一个采集知识的过程B、入侵检测指信息安全事件响应过程C、分析反常的使用模式是入侵检测模式之一D、入侵检测包括收集被利用脆弱性发生的时间信息10、ISO/IEC20000-1的最新版是()版A、2018B、2005C、2020D、201111、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对12、在形成信息安全管理体系审核发现时，应（）。A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性13、进入重要机构时，在门卫处登记属于以下哪种措施？（）A、访问控制B、身份鉴别C、审计D、标记14、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低15、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用16、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划17、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求18、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议,明确安全和保密义务与责任A、安全保密B、安全保护C、安全保障D、安全责任19、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件20、关于信息安全管理中的“脆弱性”，以下正确的是：（）A、脆弱性是威胁的一种，可以导致信息安全风险B、网络中“钓鱼”软件的存在，是网络的脆弱性C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D、以上全部21、《信息安全等级保护管理办法》规定，（）级保护时，国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。A、3B、2C、5D、422、关于信息安全管理中的“脆弱性”，以下正确的是:（）A、脆弱性是威胁的一种，可以导致信息安全风险B、网络中“钓鱼”软件的存在，是网络的脆弱性C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D、以上全部23、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知24、在运行阶段，组织应（）A、策划信息安全风险处置计划，保留文件化信息B、实现信息安全风险处置计划，保留文件化信息C、测量信息安全风险处置计划，保留文件化信息D、改进信息安全风险处置计划，保留文件化信息25、关于信息系统登录的管理，以下说法不正确的是（）A、网络安全等级保护中，三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率，可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令26、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。A、认证B、认可C、审核D、评审27、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力28、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、629、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼30、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准31、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务32、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。A、用户权限B、可被用户访问的资料C、系统是否遭受入侵D、可给予哪些主体访问33、下列不属于常用云服务类型的是（)A、软件即服务B、邮件即服务C、平台即服务D、基础设施即服务34、系统备份与普通数据备份的不同在于，它不仅备份系统屮的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统35、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保36、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时37、关于认证人员执业要求，以下说法正确的是:A、注册审核员只能在一个认证机构和一个咨询机构执业B、注册审核员和认证决定人员只能在一个认证机构C、注册审核员只能在一个认证机构执业，非注册的认证决定人员不受此限制D、在咨询机构认专职咨询师的人员，只能在认证机构人兼职认证决定人员38、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件,有关使用单位应当在（）向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内39、与某个特定配置项相关的项目信息被存储到配置管理数据库，这种项目称为：A、组件B、特色C、属性D、特性40、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》二、多项选择题41、组织建立的信息安全目标，应（）。A、是可测量的B、与信息安全方针一致C、得到沟通D、适当时更新42、关于审核委托方，以下说法正确的是（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核43、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块，为方便各项目组讨论，公司创建了一个sharefolder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是（）A、各项目人员访问该sharefolder需要得到授权B、获得sharefolder访问权者可访问该目录下所有子文件夹C、IT人员与各项目负责人共同定期评审sharefolder访问权D、H人员不定期删除sharefolder数据以释放容量，此活动是容量管理，游戏开发人员不参与44、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟45、信息安全管理体系范围和边界的确定依据包括（）A、业务B、组织C、物理D、资产和技术46、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核47、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训48、信息安全方针应（）A、形成文件化信息并可用B、与组织内外相关方全面进行沟通C、确保符合组织的战略方针D、适当时，对相关方可用49、计算机信息系統的安全保护，应保障;（）A、计算机及相关和配套设备的安全B、设施(含网络)的安全C、运行坏境的安全D、计算机功能的正常发挥50、关于个人信息安全的基本原则，以下正确的是（）A、目的明确原则B、最少够用原则C、同意和选择原则D、公开透明原则51、《信息安全等级保护管理办法》的分级是依据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对（）的危害程度等因素确定。A、公民、法人和其他组织的合法权益B、公共利益C、国家安全D、社会秩序52、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移53、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动54、信息安全是保证信息的(),另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A、可用性B、机密性C、完备性D、完整性55、在信息安全事件管理中，（）是员工应该完成的活动。A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件三、判断题56、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）正确错误57、较低的恢复时间目标会有更长的中断时间。（）正确错误58、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统，并降低进入该系统的无意错误操作导致的影响（）正确错误59、组织确定的为规划和运行服务管理体系所必需的外来的文档化信息,应得到适当的识别，并予以控制。（）正确错误60、利用生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别。正确错误61、审核组可以由一个人组成。（）正确错误62、组织的内外部相关方要求属于组织的内部和外部事项”（）正确错误63、记录可提供符合信息安全管理体系要求和有效运行的证据。（）正确错误64、不同组织有关信息安全管理体系文件化信息的详细程度应基本相同（）正确错误65、ISO/IEC27006是ISO/IEC17021的相关要求的补充。(）正确错误

参考答案一、单项选择题1、B2、C3、B4、C5、B6、A7、C解析:参考iso/iec27005，风险管理包括风险评估，风险处置，风险接受，风险沟通，风险监视和风险评审。因此风