2021年第一期CCAA信息安全管理体系质量审核员考试题目含解析.doc

2021年第一期CCAA信息安全管理体系质量审核员考试题目

一、单项选择题

1、（）属于管理脆弱性的识别对象。

A、物理环境

B、网络结构

C、应用系统

D、技术管理

2、依据《中华人民共和国网络安全法》，以下说法不正确的是（）

A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息属于个人信息

B、自然人的身份证号码、电话号码属于个人信息

C、自然人的姓名、住址不属于个人信息

D、自然人的出生日期属于个人信息

3、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响，但不包括（）

A、业务要求变更

B、合同义务变更

C、安全要求的变更

D、以上都不对

4、涉及运行系统验证的审计要求和活动，应（）

A、谨慎地加以规划并取得批准，以便最小化业务过程的中断

B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续

C、谨慎地加以实施并取得批准，以便最小化业务过程的中断

D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续

5、物理安全周边的安全设置应考虑：（）

A、区域内信息和资产的敏感性分类

B、重点考虑计算机机房，而不是办公区或其他功能区

C、入侵探测和报警机制

D、A+C

6、IT部门中的所有服务是否都要包含在认证范围以内？（）

A、是的，整个范围的服务都要包含在认证范围之内

B、只有当其都被提供给相同的客户群体时

C、不，该范围可限制为服务的子集

D、取决于该服务为内部提供还是外部提供

7、下列哪项对于审核报告的描述是错误的?（）

A、主要内容应与末次会议的内容基本一致

B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成

C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方

D、以上都不对

8、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）

A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘

B、划分信息载体所属的职能以便于明确管理责任

C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则

D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

9、ITSMS监督审核的目的不包括()

A、确认是否持续符合认证要求

B、验证认证通过的ITSMS是否得以持续改进

C、作出是否换发证书的决定

D、验证组织ITSMS的保持是否考虑了组织运作过程的变化

10、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告

A、8小时内

B、12小时内

C、24小时内

D、48小时内

11、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。

A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力

B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力

C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

12、创建和更新文件化信息时，组织应确保适当的（）。

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

13、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）

A、认证

B、认可

C、审核

D、评审

14、《信息安全等级保护管理办法》规定，（）级保护时，国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。

A、3

B、2

C、5

D、4

15、风险责任人是指（）

A、具有责任和权限管理一项风险的个人或实体

B、实施风险评估的组织的法人

C、实施风险评估的项目负责人或项目任务责任人

D、信息及信息处理设施的使用者

16、信息安全管理中，关于脆弱性，以下说法正确的是()。

A、组织使用的开源软件不须考虑其技术脆弱性

B、软件开发人员为方便维护留的后门是脆弱性的一种

C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施

D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会

17、服务连续性管理中,恢复时间目标指（）

A、IT服务复原到正常工作状态的时间

B、IT服务复原到约定的最低可用性水平的时间

C、关键服务恢复到约定的最低可用性水平的时间

D、基础设施服务恢复到约定的可用性的时间

18、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）

A、要保护什么样的信息

B、有多少信息要保护

C、为保护这些重要信息需要准备多大的投入