2021年12月CCAA国家信息安全管理体系质量审核员考试题目含解析.doc

2021年12月CCAA国家信息安全管理体系质量审核员考试题目

一、单项选择题

1、关于备份，以下说法正确的是(）

A、备份介质中的数据应定期进行恢复测试

B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的

C、发现备份介质退化后应考虑数据迁移

D、备份信息不是管理体系运行记录，不须规定保存期

2、在现场审核时，审核组有权自行决定变更的事项是（）。

A、市核人日

B、审核的业务范围

C、审核日期

D、审核组任务调整

3、口令管理系统应该是（）,并确保优质的口令

A、唯一式

B、交互式

C、专人管理式

D、A+B+C

4、关于顾客满意，以下说法正确的是：（）

A、顾客没有抱怨，表示顾客满意

B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意

C、顾客认为其要求已得到满足,即意味着顾客满意

D、组织认为顾客要求已得到满足，即意味着顾客满意

5、下面哪个不是《中华人民共和国密码法》中密码的分类？（）

A、核心密码

B、普通密码

C、国家密码

D、商用密码

6、IT服务管理中所指服务目录是：（）

A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致

B、一个服务项目命名清单，不可随意更改

C、一个定义服务内容的企业标准

D、定义IT服务分类的行业或国家标准

7、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）

A、要保护什么样的信息

B、有多少信息要保护

C、为保护这些重要信息需要准备多大的投入

D、不保护这些重要信息,将付出多大的代价

8、()是风险管理的重要一环。

A、管理手册

B、适用性声明

C、风险处置计划

D、风险管理程序

9、依据GB/T22080-2016标准，符合性要求包括（）

A、知识产权保护

B、公司信息保护

C、个人隐私的保护

D、以上都对

10、变更请求为提出针对服务、（）或IT服务管理体系（ITSMS）的变更建议

A、服务组件

B、服务软件

C、配置项

D、配置管理数据库

11、容量管理的对象包括（）

A、信息系统内存

B、办公室空间和基础设施

C、人力资源

D、以上全部

12、组织确定的信息安全管理体系范围应（）

A、形成文件化信息并可用

B、形成记录并可用

C、形成文件和记录并可用

D、形成程字化信息并可用

13、在实施技术符合性评审时，以下说法正确的是（）

A、技术符合性评审即渗透测试

B、技术符合性评审即漏洞扫描与渗透测试的结合

C、渗透测试和漏洞扫描可以替代风险评估

D、渗透测试和漏洞扫描不可替代风险评估

14、依据《中华人民共和国网络安全法》，以下说法不正确的是（）

A、网络安全应采取必要措施防范对网络的攻击和侵入

B、网络安全措施包括防范对网络的破坏

C、网络安全即采取措施保护信息在网络中传输期间的安全

D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护

15、TCP/IP协议层次结构由（）

A、网络接口层、网络层组成

B、网络接口层、网络层、传输层组成

C、网络接口层、网络层、传输层和应用层组成

D、其他选项均不正确

16、组织应（）。

A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级

B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级

C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级

D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级

17、下列不属于取得认证机构资质应满足条件的是（）。

A、取得法人资格

B、有固定的场所

C、完成足够的客户案例

D、具有足够数量的专职认证人员

18、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请

A、2年

B、3年

C、4年

D、5年

19、关于认证人员执业要求，以下说法正确的是:

A、注册审核员只能在一个认证机构和一个咨询机构执业

B、注册审核员和认证决定人员只能在一个认证机构

C、注册审核员只能在一个认证机构执业，非注册的认证决定人员不受此限制

D、在咨询机构认专职咨询师的人员，只能在认证机构人兼职认证决定人员

20、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）

A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性

B、完整采用组织的固定资产台账，同时指定资产负责人

C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高

D、A+B

21、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监