2021年9月信息安全管理体系CCAA审核员复习题含解析.doc

2021年9月信息安全管理体系CCAA审核员复习题

一、单项选择题

1、风险处置计划，应（）

A、获得风险责任人的批准，同时获得对残余风险的批准

B、获得最高管理者的批准，同时获得对残余风险的批准

C、获得风险部门负责人的批准，同时获得对残余风险的批准

D、获得管理者代表的批准，同时获得对残余风险的批准

2、访问控制是指确定（）以及实施访问权限的过程

A、用户权限

B、可给予哪些主体访问权利

C、可被用户访问的资源

D、系统是否遭受入侵

3、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告

A、8小时内

B、12小时内

C、24小时内

D、48小时内

4、关于信息安全策略，下列说法正确的是（）

A、信息安全策略可以分为上层策略和下层策

B、信息安全方针是信息安全策略的上层部分

C、信息安全策略必须在体系建设之初确定并发布

D、信息安全策略需要定期或在重大变化时进行评审

5、在运行阶段，组织应（）

A、策划信息安全风险处置计划，保留文件化信息

B、实现信息安全风险处置计划，保留文件化信息

C、测量信息安全风险处置计划，保留文件化信息

D、改进信息安全风险处置计划，保留文件化信息

6、关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议和保密义务与责任。

A、安全保密

B、安全保护

C、安全保障

D、安全责任

7、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略，以下正确的是（）

A、没有陈述为禁止访问的网络服务，视为允许方问的网络服务

B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接

C、对于允许访问的网络服务，按照规定的授权机制进行授权

D、以上都对

8、关于入侵检测，以下不正确的是：（）

A、入侵检测是一个采集知识的过程

B、入侵检测指信息安全事件响应过程

C、分析反常的使用模式是入侵检测模式之一

D、入侵检测包括收集被利用脆弱性发生的时间信息

9、关于顾客满意，以下说法正确的是：()

A、顾客没有抱怨，表示顾客满意

B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意

C、顾客认为其要求已得到满足，即意味着顾客满意

D、组织认为顾客要求已得到满足，即意味着顾客满意

10、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）

A、恢复全部程序

B、恢复网络设置

C、恢复所有数据

D、恢复整个系统

11、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

12、ISMS管理评审的输出应包括（）

A、可能影响ISMS的任何变更

B、以往风险评估没有充分强调的脆弱点或威胁

C、风险评估和风险处理计划的更新

D、改进的建议

13、ISO/IEC20000-1:2018标准是依据管理体系高层结构，即()对标准的结构进行调整的

A、ISO/IEC导则的一部分综合ISO补充附录

B、ISO/IEC导则的一部分综合ISO补充结构层

C、ISO/IEC导则的一部分综合ISO补充体质

D、ISO/IEC导则的一部分综合ISO补充模型

14、以下关于认证机构的监督要求表述错误的是（）

A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性

B、认证机构的监督方案应由认证机构和客户共同来制定

C、监督审核可以与其他管理体系的审核相结合

D、认证机构应对认证证书的使用进行监督

15、对于获准认可的认证机构，认可机构证明（）

A、认证机构能够开展认证活动

B、其在特定范围内按照标准具有从事认证活动的能力

C、认证机构的每张认证证书都符合要求

D、认证机构具有从事相应认证活动的能力

16、不属于WEB服务器的安全措施的是（）

A、保证注册帐户的时效性

B、删除死帐户

C、强制用户使用不易被破解的密码

D、所有用户使用一次性密码

17、关于防范恶意软件，以下说法正确的是：（）

A、物理隔断信息系统与互联网的连接即可防范恶意软件

B、安装入侵探测系统即可防范恶意软件

C、建立白名单即可防范恶意软件

D、建立探测、预防和恢复机制以防范恶意软件

18、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息

A、相关方

B、供应商

C、顾客

D、上级机关

19、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）

A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值

B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值

C、电子邮件发送前，用投资项问商的私钥数字签名邮件

D