2021年6月CCAA注册审核员模拟试题—ISMS信息安全管理体系知识含解析.doc

2021年6月CCAA注册审核员模拟试题—ISMS信息安全管理体系知识

一、单项选择题

1、对于交接区域的信息安全管理，以下说法正确的是:（）

A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证

B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证

C、对于进入和离开组织的设备设施均须检查验证

D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证

2、残余风险是指:（）

A、风险评估前，以往活动遗留的风险

B、风险评估后，对以往活动遗留的风险的估值

C、风险处置后剩余的风险，比可接受风险低

D、风险处置后剩余的风险，不一定比可接受风险低

3、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()

A、要求员工立即改正

B、对员工进行优质口令设置方法的培训

C、通过域控进行强制管理

D、对所有员工进行意识教育

4、关于投诉处理过程的设计，以下说法正确的是：()

A、投诉处理过程应易于所有投诉者使用

B、投诉处理过程应易于所有投诉响应者使用

C、投诉处理过程应易于所有投诉处理者使用

D、投诉处理过程应易于为投诉处理付费的投诉者使用

5、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。

A、半年

B、1年

C、1.5年

D、2年

6、设备维护维修时，应考虑的安全措施包括：（）

A、维护维修前，按规定程序处理或清除其中的信息

B、维护维修后，检查是否有未授权的新增功能

C、敏感部件进行物理销毁而不予送修

D、以上全部

7、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性

A、已经发生

B、可能发生

C、意外

D、A+B+C

8、关于适用性声明下面描述错误的是(）

A、包含附录A中控制删减的合理性说明

B、不包含未实现的控制

C、包含所有计划的控制

D、包含附录A的控制及其选择的合理性说明

9、ISMS管理评审的输出应包括（）

A、可能影响ISMS的任何变更

B、以往风险评估没有充分强调的脆弱点或威胁

C、风险评估和风险处理计划的更新

D、改进的建议

10、经过风险处理后遗留的风险通常称为（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

11、关于防范恶意软件，以下说法正确的是：（）

A、物理隔断信息系统与互联网的连接即可防范恶意软件

B、安装入侵探测系统即可防范恶意软件

C、建立白名单即可防范恶意软件

D、建立探测、预防和恢复机制以防范恶意软件

12、信息系统的变更管理包括（）

A、系统更新的版本控制

B、对变更申请的审核过程

C、变更实施前的正式批准

D、以上全部

13、密码技术不适用于控制下列哪种风险？（）

A、数据在传输中被窃取的风险

B、数据在传输中被篡改的风险

C、数据在传输中被损坏的风险

D、数据被非授权访问的风险

14、信息安全控制目标是指：（)

A、对实施信息安全控制措施拟实现的结果的描述

B、组织的信息安全策略集的描述

C、组织实施信息安全管理体系的总体宗旨和方向

D、A+B

15、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）

A、认证

B、认可

C、审核

D、评审

16、创建和更新文件化信息时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

17、组织应（）

A、采取过程的规程安全处置不需要的介质

B、采取文件的规程安全处置不需要的介质

C、采取正式的规程安全处置不需要的介质

D、采取制度的规程安全处置不需要的介质

18、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?

A、其产品/过程无风险或有低的风险

B、客户的认证准备

C、仅涉及单一的活动过程

D、具有高风险的产品或过程

19、组织应（）

A、分离关键的职责及责任范围

B、分离冲突的职责及贵任范围

C、分离重要的职责及责任范围

D、分离关联的职责及责任范围

20、依据GB/T22080/ISO/IEC27001中控制措施的要求，关于网络服务的访问控制策略,以下正确的是()

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

21、为确保采用一致和有效的方法对信息安全事件进行管理，