CCAA - 2017年09月审核知识（改考前）参考答案 - 详解版（48题）

本资料由小桨备考整理，仅供学习参考，非官方发布2017年09月审核知识（改考前）参考答案单选题（共40题，共40分）1.信息安全管理中，变更管理应予以控制的风险包括（）。A.组织架构、业务流程变更的风险B.信息系统配置、物理位置变更的风险C.信息系统新的组件、功能模块发布的风险D.以上全部答案：D2.关于防范恶意软件，以下说法正确的是（）。A.物理隔断信息系统与互联网的连接即可防范恶意软件B.安装入侵深测系统即可防范恶意软件C.建立白名单即可防范恶意软件D.建立探测、预防和恢复机制以防范恶意软件答案：D3.以下不属于可降低信息传输中的信息安全风险的措施是（）。A.规定使用通信设施的限制规定B.使用铠甲线缆以及数据加密C.双路供电以及定期测试备份电机D.记录物理介质运输全程的交接信息答案：C4.依据GB/T2208/ISO/IC27001，不属于第三方服务监视和评审范畴的是（）。A.监视和评审服务级别协议的符合性B.监视和评审服务方人员聘用和考核的流程C.监视和评审服务交付遵从协议规定的安全要求的程度D.监视和评审服务方跟踪处理信息安全事件的能力答案：B5.在进行技术符合性评审时，以下说法正确的是（）。A.技术符合性评审即渗透测试B.技术符合性评审即漏洞扫描和渗透测试的结合C.渗透测试和漏洞扫描可以替代风险评估D.渗透测试和漏洞扫描不可替代风险评估答案：D6.信息系统安全等级分为五级，以下说法正确的是（）。A.二级系统每年进行一次测评，三级系统每年进行二次测评B.四级系统每年进行二次测评，五级系统每年进行一次测评C.三级系统每年进行一次测评，四级系统每年进行二次测评D.二级系统和五级系统不进行测评答案：C7.关于涉密信息系统的管理，以下说法不正确的是（）。A.涉密计算机、存储设备不得接入互联网及其他公共信息网络B.涉密计算机只有采取了适当防护措施才可接入互联网C.涉密信息系统中的安全技术程序和管理程序不得擅自卸裁D.涉密计算机未经安全技术处理不得改作其他用途答案：B8.残余风险是指（）。A.风险评估前，以往活动遗留的风险B.风险评估后，对以往活动遗留的风险的估值C.风险处置后剩余的风险，比可接受风险低D.风险处置后剩余的风险，不一定比可接受风险低答案：D9.信息安全风险（R）计算中涉及脆弱性（V），以下说法正确的是（）。A.脆弱性是资产性质决定的固有的弱点，其赋值不变B.如果当前控制措施有效，资产脆弱性赋值可以降低C.控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系D.只要威胁存在，脆弱性就存在，二者的赋值同向增减答案：B10.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为（）。A.三级B.二级C.四级D.五级答案：A11.关于信息安全管理体系认证，以下说法正确的是（）。A.负责作出认证决定的人员中应至少有一人参与了审核B.负责作出认证决定的人员必须是审核组组长C.负责作出认证决定的人员不应参与审核D.负责作出认证决定的人员应包含参与了预审核的人员答案：C12.关于散布图，以下说法正确的是（）。A.是描述特性值分布区间的网——趋势图B.是描述一对变量关系的图——散布图C.是描述特性随时间变化趋势的图——趋势图D.是描述变量类别分布的图——直方图答案：B13.设置研发内部独立内网是采取（）的控制措施。A.上网流量管控B.行为管理C.敏感系统隔离D.信息交换答案：C14.以下说法不正确的是（）。A.应考虑组织架构与业务目标的变化险评估结果进行再评审B.应考虑以往未充分识别的威胁对风险评估结果进行再评估C.制造部增加的生产场所对信息安全风险无影响D.安全计划应适时更新答案：C15.A公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关（）。A.机房设备面临被盗的风险B.机房设备面临受破坏的风险C.机房设备面临灰尘的风险D.机房设备面临人员误入的风险答案：D16.不属于计算机病毒防治的策略是（）。A.确认您手头常备一张真正“干净的引导盘”B.及时、可靠升级反病毒产品C.新购置的计算机软件也要进行病毒检测D.整理磁盘答案：D17.不属于WEB服务器的安全措施的是（）。A.保证注册帐户的时效性B.删除死帐户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码答案：D18.定期备份和测试信息是指（）。A.每次备份完成时对备份结果进行检查，以确保备份效果B.对系统测试记录进行定期备份C.定期备份，定期对备份数据的完整性和可用性进行测试D.定期检查备份存储介质的容量答案：C19.一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了（）。A.便于针对使用信息处理设施的人员计算工时B.便于探测未经授权的信息处理活动的发生C.确保信息处理的及时性得到控制D.人员异地工作时统一作息时间答案：B20.在策略生命周期中，以下哪个是正确的（）。A.需求分析、制定、发布、推行、审核、废除B.制定、发布、推行、审核、修订、废除C.需求分析、制定、发布、推行、审核、修订D.需求分析、制定、发布、推行、审核、修订、废除答案：D21.以下强健口令的是（）。A.a8mom9y5fub33B.1234C.CnasD.Password答案：A22.（）属于系统威胁。A.不稳定的电力供应B.硬件维护失误C.软件缺乏审计记录D.口令管理机制薄弱答案：A23.防止静态信息被非授权访问和防止动态信息被截取解密是（）。A.数据完整性B.数据可用性C.数据可靠性D.数据保密性答案：D24.下列关于“风险评价准则描述不正确的是（）。A.风险评价准则是评价风险重要程度的依据，不能被改变B.风险评估准则应尽可能在风险管理过程开始制定C.风险评估准则应当与组织的风险管理方针一致D.风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源答案：A25.对于风险管理与组织其他活动的关系，以下陈述正确的是（）。A.风险管理与组织的其他活动可以分离B.风险管理构成组织所有过程整体所必须的一部分C.风险管理可以独立于组织的其他活动D.相对于组织的其他活动，风险管理是附加的一项活动答案：B26.关于文件管理下列说法错误的是（）。A.文件发布前应得到批准，以确保文件是适宜的B.必要时对文件进行评审、更新并再次批准C.应确保文件保持清晰，易于识别D.作废文件应及时销毁，防止错误使用答案：D27.以下哪一项有助于检测入侵者对服务器系统日志的改动（）？A.在另一台服务器镜像该系统日志B.在一块一次写磁盘上同时复制该系统日志C.将保存系统日志的目录设为写保护D.异地保存该系统日志的备份答案：B28.安全管理中经常会采用权限分离的办法防止单个人员权限过高，出现内部人员的违法犯罪行为，“权限分离”属于（）控制措施。A.管理B.检测C.响应D.运行答案：A29.（）不属于必需的灾前预防性措施。A.防火设施B.数据备份C.配置冗余设备D.不间断电源，至少应给服务器等关键设备配备答案：D30.（）最好地描述了数字证书。A.等同于在网络上证明个人和公司身份的身份证B.浏览器的一标准特性，它使得黑客不能得知用户的身份C.网站要求用户使用用户名和密码登陆的安全机制D.伴随在线交易证明购买的收据答案：A31.关于中国认证认可相关活动的监督管理机制，以下说法正确的是（）。A.CNCA对CNAS、CCAA、认证机构依法实施监督管理B.CNCA依法监管CNAS，CNAS依法监管认证机构C.CCAA依法监管认证机构，CNCA依法监管CNASD.CCAA依法监管认证人员，CNAS依法监管认证机构，CNCA依法监管CNAS答案：A32.下述关于安全扫描和安全扫描系统的描述错误的是（）。A.安全扫描在企业部署安全策略中处于非常重要的地位B.安全扫描系统可用于管理和维护信息安全设备的安全C.安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性D.安全扫描系统是把双刃剑答案：C33.下列哪一种情况下，网络数据管理协议（NDMP）可用于备份（）？A.需要使用网络附加存储设备（NAS）时B.不能使用TCP/IP的环境中C.需要备份旧的备份系统不能处理的文件许可时D.要保证跨多个数据卷的备份连续、一致时答案：A34.关于信息系统登录口令的管理，以下做法不正确的是（）。A.必要时，使用密码技术、生物识别等替代口令B.用提示信息告知用户输入的口令是否正确C.确告知用户应遵从的优质口令策略D.适用互动式管理确保用户使用优质口令答案：B35.跨国公司的I$经理打算把现有的虚拟专用网（VPN）升级，采用通道技术使用其支持语音IP电话，（VOIP）服务，那么，需要首要关注的是（）。A.服务的可靠性和质量（Qos，qualityofservice）B.身份的验证方式C.语音传输的保密D.数据传输的保密答案：A36.A公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）。A.所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B.完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C.指纹识别的基础上增加口令保护D.保护非授权用户不可能访问到关键数据答案：A37.下列哪个选项不属于审核组长的职责（）？A.确定审核的需要和目的B.组织编制现场审核有关的工作文件C.主持首末次会议和审核组会议D.代表审核方与受审核方领导进行沟通答案：A38.关于商用密码技术和产品，以下说法不正确的是（）。A.任何组织不得随意进口密码产品，但可以出口商用密码产品B.商用密码技术属于国家秘密C.商用密码是对不涉及国家秘密的内容进行加密保护的产品D.商用密码产品的用户不得转让其使用的商用密码产品答案：A39.关于信息安全管理体系认证，以下说法正确的是（）。A.认证决定人员不宜推翻审核组的正面建议B.认证决定人员不宜推翻审核组的负面建议C.认证决定人员宜与审核组长协商做出认证决定D.认证决定人员宜与受审核方协商做出认证决定答案：B40.表示客体安全级别并描述客体敏感性的一组信息，是（）。A.敏感性标记，是可信计算机基中强制访问控制决策的依据B.关键性标记，是可信目计算机基中强制访问控制决策的依据C.关键性等级标记，是信息资产分类分级的依据D.敏感性标记，是表明访问者安全权限级别答案：A多选题（共5题，共5分）41.审核计划中应涵盖（）。A.本次及其后续审核的时间安排B.审核准则C.审核组成员及分工D.审核的日程安排答案：BCD42.（）是ISMS关键成功因素。A.用于评价信息安全管理执行情况和改进反馈建议的测量系统B.信息安全方针。目标和与目标保持一致的活动C.有效的业务连续性管理方法D.有效的信息安全事件管理过程答案：ABCD43.以下做法正确的是（）A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实业务案例和数据C.员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D.信息系统管理域内所有的终端启动屏幕保护时间应一致答案：AD44.某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块，为方便各项目组讨论，公司创建了一个sharefolder，在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是（）。A.各项目人员访问该sharefolder需要得到授权B.获得sharefolder访问权者可访问该目录下所有子文件夹C.IT人员与各项目负责人共同定期评审sharefolder访问权D.IT人员不定期删除sharefolder数据以释放容量，此活动是容量管理，游戏开发人员不参与答案：AC45.一个安全的网络系统具有的特点是（）。A.保持各种数据的机密B.保持所有信息、数据及系统中各种程序的完整性和准确性C.保证合法访问者的访问和接受正常的服务D.保证网络在任何时刻都有很高的传输速度答案：ABC主观题（共3题，共3分）46.列举密码系统必须具备的三个安全规则。参考答案1.机密性：加密系统在信息的传送中提供一个或一系列密钥来把信息通球密码运算译成密文，使信息不会被非预期的人员所读取，只有发送者和接收者应该知晓此信息的内容。完整性：数据在传送过程中不应被破坏，收到的信宿数据与信源数据是一致的。认证性：加密系统应该提供数字签名技术来使接收信息用户验证是谁发送的信息，确定信息是否被第三者篡改。只要密钥还未泄露或与别人共享，发送者就不能否认他发送的数据。47.简述安全策略体系所包含的内容。参考答案一个合理的信息安全策略体系可以包括三个不同层次的策略文档：1、总体安全策略阐述了指导性的战略纲领性文件，阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容。2、针对特定问题的具体策略，阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容。例如针对Internet访问操作、计算机和网络病毒放置、口令的使用和管理等特定问题，制定有针对性的安全策略。48.某公司为国家相关部门指定的敏感票据印刷企业。审核员在现场巡查时发现，公司制版车间的一张办公桌上散放着工作号为111字9、10、11号的三份《票据生产通知单》，通知单中分别详细列出了三种票据的制版工艺要求。审核员问道这是谁的办公桌时，车间主任回答说，这是制版工艺师的办公桌，他今天请假了，没来上班。审核员观察到，制版车间与其他车间共处一个较大的生产厂房内，在上班时间各车间是互通的。参考答案不符合GB/T22080-2016中A11.2.9的要求；不符合标准内容；应针对纸质和可移动存储介质，采取清理桌面策略；应针对信息处理设施，采用清理屏幕策略。不符合事实；无标准答案，详见考生答题内容。49.某财务外包公司办公作业现场员工正在使用的标准版金蝶财务软件为客户进行记账服务，其默认帐号是manage，不需要每次进系统时重新输入，业务主管解释说：由于没有外人，为了工作方便，所以，我们把登录口令也省掉了，不需要每次进系统前输入口令。参考答案：不符合GB/T22080-2016中A9.4.2条款要求。不符合标准内容：当访问控制策略要求时，应通过安全登录规程控制对系统和应用的访问。不符合事实：无标准答案，详见考生答题内容。50.审核员在某公司计算机房审核时，遇到机房技术人员以及管理人员在忙于解决供电线路故障造成的业务系统服务器运行中断的问题，审核员观察到，当技术人员准备将供电切换到ups电池组供电时，发现该电池组不能正常启动、输出，而别一组备份电池组也不知道什么时候坏了，于是管理人员决定到邻近公司与其协商看能否连接他们的备用电机，先解决应急问题。审核员问到上一次检查电池组是什么时候，技术人员回答说，从购买到现在很多年了，从来没有管过，这些电池组都是从最好的厂家买的