2021年第四期信息安全管理体系CCAA审核员复习题含解析

2021年第四期信息安全管理体系CCAA审核员复习题一、单项选择题1、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知2、信息安全管理中,以下哪一种描述能说明“完整性”（）。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况3、下列不属于常用云服务类型的是（)A、软件即服务B、邮件即服务C、平台即服务D、基础设施即服务4、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是()A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施B、一旦遭到破坏、数据泄雷，可能严重危害国家安全、国计民生的信息基础设施C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施D、—旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统5、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部6、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。A、4-10B、1-10C、4-7和9-10D、4-10和附录A7、依据GB/T22080/ISO/IEC27001的要求，管理者应（）A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确8、在现场审核时，审核组有权自行决定变更的事项是（）。A、市核人日B、审核的业务范围C、审核日期D、审核组任务调整9、下列不一定要进行风险评估的是（）A、发布新的法律法规B、ISMS最高管理者人员变更C、ISMS范围内的网络采用新的网络架构D、计划的时间间隔10、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审11、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度12、在形成信息安全管理体系审核发现时，应（）。A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性13、依据《中华人民共和国网络安全法》，以下正确的是（）。A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月14、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对15、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对16、下面哪个不是《中华人民共和国密码法》中密码的分类？（）A、核心密码B、普通密码C、国家密码D、商用密码17、在实施技术符合性评审时，以下说法正确的是（）A、技术符合性评审即渗透测试B、技术符合性评审即漏洞扫描与渗透测试的结合C、渗透测试和漏洞扫描可以替代风险评估D、渗透测试和漏洞扫描不可替代风险评估18、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南19、关于防范恶意软件，以下说法正确的是：（）A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件20、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密21、认证机构应确定，ITSMS是否能在缺少()的情况下得到充分审核并予以记录,同时还应详细说明理由。A、保密性信息B、远程支持C、方案策划D、服务目录22、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对23、关于《中华人民共和国保密法》，以下说法正确的是：（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护24、组织应（）A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质25、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。A、做好资产分类是其基础B、采用组织固定资产台账即可C、无需关注资产产权归属者D、A+B26、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应27、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏28、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵29、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以30、GB/T22080-2016中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部31、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限32、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换33、根据GB/Z20986《信息安全技术信息安全事件分类分级指南》，对于违法行为的通报批评处罚，属于行政处罚中的（）A、资格罚B、人身自由罚C、财产罚D、声誉罚34、安全扫描可以实现（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流35、审核计划中不包括（）。A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排36、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议,明确安全和保密义务与责任A、安全保密B、安全保护C、安全保障D、安全责任37、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。A、认证B、认可C、审核D、评审38、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项39、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离40、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年二、多项选择题41、关于目标，下列说法正确的是（）A、目标现的结果B、沟通记录C、目标可以采用不同方式进行表示，例如：操作准则D、目标可以是不同层次的，例如组织、项目和产品42、根据《中华人民共和国密码法》，密码工作坚持总体国家安全观,遵循统一领导，(）依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责43、依据IS020000-6:2017以下可构成减少ITSMS初审人日的因素包括（)A、已获得的认证在最近12个月内对其至少实施了一次审核B、拟认证的范围已获得ISO/IEC27001证书C、已获得其他认证的范围大于拟认证的范围D、拟认证的范围与获得ISMS证书范围等同44、含有高等级敏感信息的设备的处置可采取（）A、格式化处理B、采取使原始信息不可获取的技术破坏或删除C、多次的写覆盖D、彻底破坏45、管理评审的输出应包括（）A、与持续改进机会相关的决定B、变更信息安全管理体系的任何需求C、相关方的反馈D、信息安全方针执行情况46、关于云计算服务中的的安全，以下说法不正确的是（）。A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则47、IS0/IEC27000系列标准主要包括哪几类标准？()A、要求类B、应用类C、指南类D、术语类48、在开展信息安全绩效和ISMS有效性评价时，组织应确定（）A、监视、测量、分析和评价的过程B、适用的监视、测量、分析和评价的方法C、需要被监视和测量的内容D、监视、测量、分析和评价的执行人员49、在IT服务管理中，"部署"活动包括：（）A、实施变更B、对变更的影响进行评估C、将服务组件迁移到生产环境D、将经测试的软件包转移到生产环境50、针对敏感应用系统安全，以下正确的做法是（）。A、用户尝试登录失败时，明确提示其用户名错误或口令错误B、登录之后，不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限51、关键信息基础设施包括三大部分，分别是（）。A、关键基础设施B、基础信息网络C、重要信息系统D、重要互联网应用系统52、认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备(）A、管理体系的知识B、ISMS监视、测量、分析和评价的知识C、与受审核活动相关的技术知识D、信息安全的知识53、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施54、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移55、计算机信息系统的安全保护，应保障（）A、计算机及相关配套设施的安全B、网络安全C、运行环境安全D、计算机功能和正常发挥三、判断题56、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）正确错误57、ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。(）正确错误58、较低的恢复时间目标会有更长的中断时间。（）正确错误59、创建和更新文件化信息时，组织应确保对其适宜性和充分性进行评审和批准。正确错误60、破坏、摧毁、控制网络基础设施是网络攻击行为之一。正确错误61、纠正是指为消除己发现的不符合或其他不期望情况的原因所采取的措施。（）正确错误62、考虑了组织所实施的活动，即可确定组织信息安全管理体系范围。正确错误63、信息安全风险准则包括风险接受准则和风险评价准则。（）正确错误64、不同组织有关信息安全管理体系文件化信息的详细程度应基本相同（）正确错误65、《中华人民共和国网络安全法》是2017年1月1日起实施的。（）正确错误

参考答案一、单项选择题1、D2、B3、B4、A5、D6、A7、D解析:信息安全目标及其实现规划，组织应在相关职能和层级上建立信息安全目标，A项错误。B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性，和有效性。而管理评审的实施执行者是组织，因此B表述不准确。C项，27001,5.1.2组织应建立并维护信息安全风险准则，包括风险接受准则和信息安全风险评估实施准则。而非最高管理者，因此C错误，综上故选D8、D9、D10、D11、D12、B13、C14、B15、A16、C17、D18、D19、D20、A21、A22、A23、A24、C25、A26、D解析:短期停电即电力中断，故选D。可中断的电力供应27、B28、