2021年6月信息安全管理体系CCAA审核员考试题目含解析.doc

2021年6月信息安全管理体系CCAA审核员考试题目

一、单项选择题

1、组织应（）

A、分离关键的职责及责任范围

B、分离冲突的职责及贵任范围

C、分离重要的职责及责任范围

D、分离关联的职责及责任范围

2、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统

A、报告

B、传递

C、评价

D、测量

3、不属于常见的危险密码是（）

A、跟用户名相同的密码

B、使用生日作为密码

C、只有4位数的密码

D、10位的综合型密码

4、完整性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、以上都不对

5、根据GB/T22080-2016中控制措施的要求，关于技术脆弱性管理，以下说法正确的是：（）

A、技术脆弱性应单独管理，与事件管理没有关联

B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小

C、针对技术脆弱性的补丁安装应按变更管理进行控制

D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径

6、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）

A、所需审核组能力的要求

B、客户组织的准备程度

C、所需能力的审核组成员

D、客户组织的场所分布

7、涉及运行系统验证的审计要求和活动，应（）

A、谨慎地加以规划并取得批准，以便最小化业务过程的中断

B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续

C、谨慎地加以实施并取得批准，以便最小化业务过程的中断

D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续

8、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行

A、在客户组织的场所

B、在认证机构以网络访向的形式

C、以远程视频的形式

D、以上都対

9、下列不属于公司信息资产的有

A、客户信息

B、被放置在IDC机房的服务器

C、个人使用的电脑

D、审核记录

10、组织应按照本标准的要求（）信息安全管理体系。

A、策划、实现、监视、和持续改进

B、建立、实施、监视、和持续改进

C、建立、实现、维护、和持续改进

D、策划、实施、维护、和持续改进

11、信息分级的目的是（）

A、确保信息按照其对组织的重要程度受到适当级别的保护

B、确保信息按照其级别得到适当的保护

C、确保信息得到保护

D、确保信息按照其级别得到处理

12、在认证审核时，一阶段审核是（）

A、是了解受审方ISMS是否正常运行的过程

B、是必须进行的

C、不是必须的过程

D、以上都不准确

13、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述，正确的是（）

A、该标准属于要求类标准

B、该标准属于指南类标准

C、该标准可用于一致性评估

D、组织在建立ISMS时，必须满足该标准的所有要求

14、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响

A、隔离和迀移

B、评审和测试

C、评审和隔离

D、验证和确认

15、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式

A、警告

B、罚款

C、没收违法所得

D、吊销许可证

16、对于外部方提供的软件包，以下说法正确的是：（）

A、组织的人员可随时对其进行适用性调整

B、应严格限制对软件包的调整以保护软件包的保密性

C、应严格限制对软件包的调整以保护软件包的完整性和可用性

D、以上都不对

17、Saas是指(）

A、软件即服务

B、服务平台即月勝

C、服务应用即服务

D、服务瞇即服务

18、容灾的目的和实质是（）

A、数据备份

B、系统的

C、业务连续性管理

D、防止数据被破坏

19、经过风险处理后遗留的风险通常称为（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

20、安全扫描可以实现（）

A、弥补由于认证机制薄弱带来的问题

B、弥补由于协议本身而产生的问题

C、弥补防火墙对内网安全威胁检测不足的问题

D、扫描检测所有的数据包攻击分析所有的数据流

21、最高管理者应（）。

A、确保制定ISMS方针

B、制定ISMS目标和计划

C、实施ISMS内部审核

D、主持ISMS管理评审

22、拒绝服务攻击损害了信息系统哪一项性能（）

A、完整性

B、可用性

C、保密性

D、可靠性

23、以下描述不正确的是（）

A、防范恶意和移动代码的目标是保护软件和信息的完整性

B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生

C、风险分析、风险评价、风险处理的整个过程称为风险管理

D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响

24、《中华人民共和国密