2021年6月CCAA国家注册审核员考试题目—ISMS信息安全管理体系含解析.doc

2021年6月CCAA国家注册审核员考试题目—ISMS信息安全管理体系

一、单项选择题

1、保密性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、突体或过程利用或知悉的特性

C、保护信息的准确和完整的特性

D、以上都不対

2、下列关于DMZ区的说法错误的是()

A、DMZ可以访问内部网络

B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等

C、内部网络可以无限制地访问夕卜部网络以及DMZ

D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作

3、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

4、ISO/IEC27701是（）

A、是一份基于27002的指南性标准

B、是27001和27002的隐私保护方面的扩展

C、是ISMS族以外的标准

D、在隐私保护方面扩展了270001的要求

5、信息安全管理中，关于脆弱性，以下说法正确的是()。

A、组织使用的开源软件不须考虑其技术脆弱性

B、软件开发人员为方便维护留的后门是脆弱性的一种

C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施

D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会

6、在实施技术符合性评审时，以下说法正确的是（）

A、技术符合性评审即渗透测试

B、技术符合性评审即漏洞扫描与渗透测试的结合

C、渗透测试和漏洞扫描可以替代风险评估

D、渗透测试和漏洞扫描不可替代风险评估

7、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）

A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

B、确保信息按照其对组织的重要程度受到适当水平的保护

C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘

D、划分信息载体所属的职能以便于明确管理责任

8、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统

A、报告

B、传递

C、评价

D、测量

9、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响

A、隔离和迁移

B、评审和测试

C、评审和隔离

D、验证和确认

10、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据数据得到保护

D、以上全部

11、构成风险的关键因素有（）

A、人、财、物

B、技术、管理和操作

C、资产、威胁和弱点

D、资产、可能性和严重性

12、下列哪个选项不属于审核组长的职责?

A、确定审核的需要和目的

B、组织编制现场审核有关的工作文件

C、主持首末次会议和市核组会议

D、代表审核方与受中核方领导进行沟通

13、形成ISMS审核发现时，不需要考虑的是（）

A、所实施控制措施与适用性声明的符合性

B、适用性声明的完备性和适宜性

C、所实施控制措施的时效性

D、所实施控制措施的有效性

14、下列哪项不是监督审核的目的？（）

A、验证认证通过的ISMS是否得以持续实现

B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化

C、确认是否持续符合认证要求

D、作出是否换发证书的决定

15、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。

A、ISMS建立阶段

B、ISMS实施和运行阶段

C、ISMS监视和评审阶段

D、ISMS保持和改进阶段

16、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

17、依据《中华人民共和国网络安全法》，以下说法不正确的是（）

A、网络安全应采取必要措施防范对网络的攻击和侵入

B、网络安全措施包括防范对网络的破坏

C、网络安全即采取措施保护信息在网络中传输期间的安全

D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护

18、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）

A、沟通周期

B、沟通内容

C、沟通时间

D、沟通对象

19、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）

A、需要使用网络附加存储设备(NAS)时

B、不能使用TCP/IP的环境时

C、需要备份旧的备份系统不能处理的文件许可时中先创学

D、要保证跨多个数据卷的备份连续、一致时

20、涉及运行系统