2021年12月信息安全管理体系CCAA审核员复习题含解析.doc

2021年12月信息安全管理体系CCAA审核员复习题

一、单项选择题

1、《信息安全等级保护管理办法》规定，（）级保护时，国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。

A、3

B、2

C、5

D、4

2、不属于WEB服务器的安全措施的是（）

A、保证注册帐户的时效性

B、删除死帐户

C、强制用户使用不易被破解的密码

D、所有用户使用一次性密码

3、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）

A、完整性

B、可用性

C、机密性

D、抗抵赖性

4、确定资产的可用性要求须依据（）。

A、授权实体的需求

B、信息系统的实际性能水平

C、组织可支付的经济成本

D、最高管理者的决定

5、关于文件管理下列说法错误的是（）

A、文件发布前应得到批准，以确保文件是适宜的

B、必要时对文件进行评审、更新并再次批准

C、应确保文件保持清晰，易于识别

D、作废文件应及时销毁，防止错误使用

6、下列哪项不是监督审核的目的？（）

A、验证认证通过的ISMS是否得以持续实现

B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化

C、确认是否持续符合认证要求

D、作出是否换发证书的决定

7、主动式射频识别卡(RFID)存在哪一种弱点?（）

A、会话被劫持

B、被窃听

C、存在恶意代码

D、被网络钓鱼攻击DR

8、信息安全残余风险是（）。

A、没有处置完成的风险

B、没有评估的风险

C、处置之后仍存在的风险

D、处置之后没有报告的风险

9、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。

A、做好资产分类是其基础

B、采用组织固定资产台账即可

C、无需关注资产产权归属者

D、A+B

10、关于信息安全策略，下列说法正确的是（）

A、信息安全策略可以分为上层策略和下层策

B、信息安全方针是信息安全策略的上层部分

C、信息安全策略必须在体系建设之初确定并发布

D、信息安全策略需要定期或在重大变化时进行评审

11、不属于计算机病毒防治的策略的是（）

A、确认您手头常备一张真正“干净”的引导盘

B、及时、可靠升级反病毒产品

C、新购置的计算机软件也要进行病毒检测

D、整理磁盘

12、下面哪一种属于网络上的被动攻击（）

A、消息篡改

B、伪装

C、拒绝服务

D、流量分析

13、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）

A、基本角色的策略

B、基于身份的策略

C、用户向导的策略

D、强制性访问控制策略

14、末次会议包括（）

A、请受审核方确认不符合报告、并签字

B、向审核方递交审核报告

C、双方就审核发现的不同意见进行讨论

D、以上都不准确

15、信息处理设施的变更管理包括:

A、信息处理设施用途的变更

B、信息处理设施故障部件的更换

C、信息处理设施软件的升级

D、其他选项均正确

16、关于系统运行日志，以下说法正确的是：（)

A、系统管理员负责对日志信息进行编辑、保存

B、日志信息文件的保存应纳入容量管理

C、日志管理即系统审计日志管理

D、组织的安全策略应决定系统管理员的活动是否有记入曰志

17、与某个特定配置项相关的项目信息被存储到配置管理数据库，这种项目称为：

A、组件

B、特色

C、属性

D、特性

18、多级SLA是一个三层结构，下列哪层不是这样类型SLA的部分？()

A、客户级别

B、公司级别

C、配置级别

D、服务级别

19、认证机构应确定，ITSMS是否能在缺少()的情况下得到充分审核并予以记录,同时还应详细说明理由。

A、保密性信息

B、远程支持

C、方案策划

D、服务目录

20、阐明所取得结果或提供所完成活动的证据的文件是()

A、报告

B、演示

C、记录

D、协议

21、涉及运行系统验证的审计要求和活动，应（）

A、谨慎地加以规划并取得批准，以便最小化业务过程的中断

B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续

C、谨慎地加以实施并取得批准，以便最小化业务过程的中断

D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续

22、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据数据得到保护

D、以上全部

23、风险责任人是指（）

A、具有责任和权限管理一项风险的个人或实体

B、实施风险评估的组织的法人

C、实施风险评估的项目负责人或项目任务责任人

D、信息及信息处理设施的使用者

24、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）

A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务