2021年6月CCAA信息安全管理体系质量审核员考试题目含解析.doc

2021年6月CCAA信息安全管理体系质量审核员考试题目

一、单项选择题

1、形成ISMS审核发现时，不需要考虑的是（）

A、所实施控制措施与适用性声明的符合性

B、适用性声明的完备性和适宜性

C、所实施控制措施的时效性

D、所实施控制措施的有效性

2、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）

A、电力线路调节器

B、电力浪涌保护设备

C、备用的电力供应

D、可中断的电力供应

3、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）

A、建立信息安全事件管理的责任

B、建立信息安全事件管理规程

C、对信息安全事件进行响应

D、在组织内通报信息安全事件

4、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。

A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力

B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力

C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

5、在形成信息安全管理体系审核发现时，应（）。

A、考虑适用性声明的完备性和可用性

B、考虑适用性声明的完备性和合理性

C、考虑适用性声明的充分性和可用性

D、考虑适用性声明的充分性和合理性

6、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）

A、沟通周期

B、沟通内容

C、沟通时间

D、沟通对象

7、()对于信息安全管理负有责任

A、高级管理层

B、安全管理员

C、IT管理员

D、所有与信息系统有关人员

8、《信息技术服务分类与代码》中的分类分为()级

A、2

B、3

C、4

D、5

9、关于《中华人民共和国保密法》，以下说法正确的是：（）

A、该法的目的是为了保守国家秘密而定

B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系

C、该法适用于所有组织对其敏感信息的保护

D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护

10、信息安全管理体系是用来确定（)

A、组织的管理效率

B、产品和服务符合有关法律法规程度

C、信息安全管理体系满足审核准则的程度

D、信息安全手册与标准的符合程度

11、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?

A、其产品/过程无风险或有低的风险

B、客户的认证准备

C、仅涉及单一的活动过程

D、具有高风险的产品或过程

12、按照PDCA思路进行审核，是指（）

A、按照受审核区域的信息安全管理活动的PDCA过程进行审核

B、按照认证机构的PDCA流程进行审核

C、按照认可规范中规定的PDCA流程进行审核

D、以上都对

13、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。

A、个人信息

B、隐私

C、商业秘密

D、其他选项均正确

14、不属于计算机病毒防治的策略的是（）

A、确认您手头常备一张真正“干净”的引导盘

B、及时、可靠升级反病毒产品

C、新购置的计算机软件也要进行病毒检测

D、整理磁盘

15、多级SLA是一个三层结构，下列哪层不是这样类型SLA的部分？()

A、客户级别

B、公司级别

C、配置级别

D、服务级别

16、漏洞检测的方法分为（）

A、静态检测

B、动态测试

C、混合检测

D、以上都是

17、下列不一定要进行风险评估的是（）

A、发布新的法律法规

B、ISMS最高管理者人员变更

C、ISMS范围内的网络采用新的网络架构

D、计划的时间间隔

18、依据GB/T22080/ISO/IEC27001的要求，管理者应（）

A、制定ISMS目标和计划

B、实施ISMS管理评审

C、决定接受风险的准则和风险的可接受级别

D、其他选项均不正确

19、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息

A、相关方

B、供应商

C、顾客

D、上级机关

20、信息安全管理体系的设计应考虑（）

A、组织的战

B、组织的目标和需求

C、组织的业务过程性质

D、以上全部

21、《信息安全等级保护管理办法》规定，（）级保护时，国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。

A、3

B、2

C、5

D、4

22、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）

A、ISO/IEC27002

B、ISO/IEC27003

C、ISO/IEC27004

D、ISO/IEC27005

23、经过风险处理后遗留的风险通常称为（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

24、关于容量管理，以下说法不正确的是（）

A、根据业务对系统性能的需求，设置阈值和监视调