2024年3月信息安全管理体系CCAA审核员复习题含解析

2024年3月信息安全管理体系CCAA审核员复习题一、单项选择题1、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对2、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录3、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC404、进入重要机构时，在门卫处登记属于以下哪种措施？（）A、访问控制B、身份鉴别C、审计D、标记5、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、66、信息安全的机密性是指（）A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 7、信息安全管理中，关于脆弱性，以下说法正确的是()。A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会8、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件,有关使用单位应当在（）向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内9、下列不属于取得认证机构资质应满足条件的是（）。A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员10、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞11、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对12、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障13、ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。A、有效策划与保持持续改进B、有效实施与运行持续改进C、有效实施与保持持续改进D、有效策划与运行持续改进14、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应15、对保密文件复印件张数核对是确保保密文件的（）A、保密性B、完整性C、可用性D、连续性16、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录17、信息安全管理中,以下哪一种描述能说明“完整性”（）。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况18、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保19、风险责任人是指（）A、具有责任和权限管理一项风险的个人或实体B、实施风险评估的组织的法人C、实施风险评估的项目负责人或项目任务责任人D、信息及信息处理设施的使用者20、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果21、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对22、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果23、与某个特定配置项相关的项目信息被存储到配置管理数据库，这种项目称为：A、组件B、特色C、属性D、特性24、在访问因特网时，为了防止Web网页中恶意代码对自己计算机的损害，可以采取的防范措施是(）A、利用SSL访问Web站点B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域C、在浏览器中安装数字证书D、利用IP安全协议访问Web站点25、关于《中华人民共和国保密法》，以下说法正确的是：（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护26、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告A、8小时内B、12小时内C、24小时内D、48小时内27、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵28、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果29、ISO/IEC20000J标准的范围声明是很重要的，因为()A、它定义了管理体系根据什么予以认证B、它详细描述了所有已被认证的公司C、它详细描述了所有已被认耐砂D、它确定了哪些流程已超出了范围30、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力31、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议32、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标33、《信息安全等级保护管理办法》规定，（）级保护时，国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。A、3B、2C、5D、434、组织应按照本标准的要求（）信息安全管理体系。A、策划、实现、监视、和持续改进B、建立、实施、监视、和持续改进C、建立、实现、维护、和持续改进D、策划、实施、维护、和持续改进35、GB/T22080-2016中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部36、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务37、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次38、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络39、经过风险处理后遗留的风险是（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险40、ISO/IEC20000-1的最新版是()版A、2018B、2005C、2020D、2011二、多项选择题41、当满足（）时，可考虑使用基于抽样的方法对多场所进行审核A、所有的场所在相同信息安全管理体系中,这些场所被集中管理和审核B、所有的场所在相同信息安全管理体系中,这些场所被分别管理和审核C、所有场所包括在客户组织的内部信息安全管理体系审核方案中D、所有场所包括在客户组织的信息安全管理体系管理评审方案中42、按覆盖的地理范围进行分类，计算机网络可以分为（）A、局域网B、城域网C、广域网D、区域网43、关于云计算服务中的的安全，以下说法不正确的是（）。A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则44、下列有关涉密信息系统说法正确的是（）A、涉密信息系统经单位保密工作机构测试后即可投入使用B、涉密信息系统投入运行前应当经过国家保密行政管理部门审批C、涉密计算机重装操作系统后可降为非涉密计算机使用D、未经单位信息管理部门批准不得自行重装操作系统45、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动46、设计一个信息安全风险管理工具，应包括如下模块（）。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程47、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处理48、评价信息安全风险，包括（）A、将风险分析的结果与信息安全风险准则进行比较B、确定风险的控制措施C、为风险处置排序以分析风险的优先级D、计算风险大小49、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致50、第二阶段审核中，应重点审核被审核单位的（）。A、最高管理者的领导力B、与信息安全有关的风险C、基于风险评估和风险处置过程D、ISMS有效性51、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类52、《中华人民共和国网络安全法》是为了保障网络安全,（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益53、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训54、在开展信息安全绩效和ISMS有效性评价时，组织应确定（）A、监视、测量、分析和评价的过程B、适用的监视、测量、分析和评价的方法C、需要被监视和测量的内容D、监视、测量、分析和评价的执行人员55、某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）A、行车监控系统B、行车路线信息C、押运人员个人信息D、押运人员用枪支三、判断题56、利用生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别。正确错误57、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。正确错误58、风险源是指那些可能导致消极后果或积极后果的因素和危害的来源。（）正确错误59、J031组织对内部供应商应按服务级别管理过程进行管理。（）正确错误60、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。（）正确错误61、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）正确错误62、J020相关方可以是组织内部也可以是组织外部的。(）正确错误63、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）正确错误64、《中华人民共和国网络安全法》是2017年1月1日开始实施的（）正确错误65、GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准（）正确错误

参考答案一、单项选择题1、A2、D3、A4、B5、C6、B7、B8、C9、C10、B11、C12、A13、B14、D解析:短期停电即电力中断，故选D。可中断的电力供应15、A16、B17、B18、A19、A20、D21、A22、C23、C24、B25、A26、C27、A解析:访问控制，确保对资产的访