2021年第四期信息安全管理体系CCAA审核员考试题目含解析.doc

2021年第四期信息安全管理体系CCAA审核员考试题目

一、单项选择题

1、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）

A、自动恢复其IP至原绑定状态

B、断开网络并持续阻断

C、弹出提示街口对其发出警告

D、锁定键盘鼠标

2、信息安全风险的基本要素包括（）

A、资产、可能性、影响

B、资产、脆弱性、威胁

C、可能性、资产、脆弱性

D、脆弱性、威胁、后果

3、（）属于管理脆弱性的识别对象。

A、物理环境

B、网络结构

C、应用系统

D、技术管理

4、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响

A、隔离和迀移

B、评审和测试

C、评审和隔离

D、验证和确认

5、关于信息系统登录口令的管理，以下做法不正确的是：()

A、必要时，使用密码技术、生物识等替代口令

B、用提示信息告知用户输入的口令是否正确

C、明确告知用户应遵从的优质口令策略

D、使用互动式管理确保用户使用优质口令

6、运行SMS和服务所裾的资源包括()

A、人员、技术、信息和资产

B、人员、技术、材料和资金

C、人员、技术、信息和资金

D、人员、资产、信息和资金

7、控制影响信息安全的变更，包括（)

A、组织、业务活动、信息及处理设施和系统变更

B、组织、业务过程、信息处理设施和系统变更

C、组织、业务过程、信息及处理设施和系统变更

D、组织、业务活动、信息处理设施和系统变更

8、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行

A、在客户组织的场所

B、在认证机构以网络访问的形式

C、以远程视频的形式

D、以上都对

9、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+C

E、A+B

10、关于《中华人民共和国保密法》，以下说法正确的是()

A、该法的目的是为了保守国家秘密而定

B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系

C、该法适用于所有组织对其敏感信息的保护

D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护?

11、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统

A、报告

B、传递

C、评价

D、测量

12、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息

A、相关方

B、供应商

C、顾客

D、上级机关

13、下列哪项对于审核报告的描述是错误的？（）

A、主要内容应与末次会议的内容基本一致

B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成

C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方

D、以上都不对

14、文件化信息指（）

A、组织创建的文件

B、组织拥有的文件

C、组织要求控制和维护的信息及包含该信息的介质

D、对组织有价值的文件

15、对于较大范围的网络，网络隔离是：（）

A、可以降低成本

B、可以降低不同用户组之间非授权访问的风险

C、必须物理隔离和必须禁止无线网络

D、以上都对

16、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序

A、内存

B、软盘

C、存储介质

D、网络

17、（）是问题管理流程中最后的环节

A、将任何与变更请求下相关的传递给问题管理

B、关闭

C、问题回顾

D、问题记录

18、关于信息安全产品的使用，以下说法正确的是:（）

A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权

B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书

C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录

D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞

19、当获得的审核证据表明不能达到审核目的时，审核组长可以（）

A、宣布停止受审核方的生产/服务活动

B、向审核委托方和受审核方报告理由以确定适当的措施

C、宣布取消末次会议

D、以上都不可以

20、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）

A、计算机舞弊

B、欺骗或胁迫

C、计算机偷窃

D、计算机破坏

21、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

22、()可用来保护信息的真实性、完整性

A、数字签名

B、恶意代码

C、风险评估

D、容灾和数据备份

23、对于交接区域的信息安全管理，以下说法正确的是:（）

A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证

B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必