2021年12月信息安全管理体系CCAA审核员模拟试题含解析.doc

2021年12月信息安全管理体系CCAA审核员模拟试题

一、单项选择题

1、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）

A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务

B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接

C、对于允许访问的网络服务，按照规定的授权机制进行授权

D、以上都对

2、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。

A、服务的可靠性和质量(Qos,qualityofservice)

B、身份的验证方式

C、语音传输的保密

D、数据传输的保密

3、关于防范恶意软件，以下说法正确的是：（）

A、物理隔断信息系统与互联网的连接即可防范恶意软件

B、安装入侵探测系统即可防范恶意软件

C、建立白名单即可防范恶意软件

D、建立探测、预防和恢复机制以防范恶意软件

4、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。

A、内容监控

B、安全教育和培训

C、责任追查和惩处

D、访问控制

5、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响

A、隔离和迁移

B、评审和测试

C、评审和隔离

D、验证和确认

6、信息安全风险的基本要素包括（）

A、资产、可能性、影响

B、资产、脆弱性、威胁

C、可能性、资产、脆弱性

D、脆弱性、威胁、后果

7、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。

A、组织建立信息安全策略和信息安全目标，并与组织战略方向一致

B、确保建立信息安全策略和信息安全目标，并与组织战略方向一致

C、领导建立信息安全策略和信息安全目标，并与组织战略方向一致

D、沟通建立信息安全策略和信息安全目标，并与组织战略方向一致

8、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()

A、国家经营

B、地方经营

C、备案制度

D、许可制度

9、以下说法不正确的是(）

A、应考虑组织架构与业务目标的变化的风险评估进行再评审

B、应考虑以往未充分识别的威胁对风险评估结果进行再评估

C、制造部增加的生产场所对信息安全风险无影响

D、安全计划应适时更新

10、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据数据得到保护

D、以上全部

11、信息安全事态、事件和事故的关系是（）

A、事态一定是事件，事件一定是事故

B、事件一定是事故，事故一定是事态

C、事态一定是事故，事故一定是事件

D、事故一定是事件，事件一定是事态

12、管理体系是实现组织目标的方针、（）、指南和相关资源的框架

A、目标

B、规程

C、文件

D、记录

13、服务连续性管理中,恢复时间目标指（）

A、IT服务复原到正常工作状态的时间

B、IT服务复原到约定的最低可用性水平的时间

C、关键服务恢复到约定的最低可用性水平的时间

D、基础设施服务恢复到约定的可用性的时间

14、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。

A、ISMS建立阶段

B、ISMS实施和运行阶段

C、ISMS监视和评审阶段

D、ISMS保持和改进阶段

15、最高管理者应（）。

A、确保制定ISMS方针

B、制定ISMS目标和计划

C、实施ISMS内部审核

D、主持ISMS管理评审

16、以下哪一项不是ITIL所定义的服务生命周期阶段()

A、服务转换

B、服务退役

C、服务设计

D、服务战略

17、PKI的主要组成不包括(）

A、SSL

B、CR

C、CA

D、RA

18、对于获准认可的认证机构，认可机构证明（）

A、认证机构能够开展认证活动

B、其在特定范围内按照标准具有从事认证活动的能力

C、认证机构的每张认证证书都符合要求

D、认证机构具有从事相应认证活动的能力

19、GB/T22080标准中所指资产的价值取决于（）

A、资产的价格

B、资产对于业务的敏感度

C、资产的折损率

D、以上全部

20、组织应定义所有事件的记录和分类、分级、需要时升级、解决和（）

A、报告

B、沟通

C、回复顾客

D、正式关闭

21、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）

A、参加信息安全培训

B、背景调査

C、安全技能与岗位要求匹配的评估

D、签署保密协议

22、关于访问控制，以下说法正确的是（）

A、防火墙基于源IP地址执行网络访问控制

B、三层交换机基于MAC实施访问控制

C、