2021年9月CCAA注册审核员ISMS信息安全管理体系模拟试题含解析.doc

2021年9月CCAA注册审核员ISMS信息安全管理体系模拟试题

一、单项选择题

1、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一

A、电信管理机构

B、公安机关

C、国家安全机关

D、国家保密局

2、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?

A、其产品/过程无风险或有低的风险

B、客户的认证准备

C、仅涉及单一的活动过程

D、具有高风险的产品或过程

3、风险处置是（）

A、识别并执行措施来更改风险的过程

B、确定并执行措施来更改风险的过程

C、分析并执行措施来更改风险的过程

D、选择并执行措施来更改风险的过程

4、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）

A、该标准是指南类标准

B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南

C、该标准给出了ISMS的实施指南

D、该标准的名称是《信息技术安全技术信息安全管理实用规则》

5、信息分类方案的目的是（）

A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘

B、划分信息载体所属的职能以便于明确管理责任

C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则

D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

6、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？

A、硬件和软件

B、技术和制度

C、管理员和用户

D、物理安全和软件缺陷

7、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

8、ISMS文件评审需考虑（）

A、收集信息，以准备审核活动和适当的工作文件

B、请受审核方确认ISMS文件审核报告，并签字

C、确认受审核方文件与标准的符合性,并提出改进意见

D、双方就ISMS文件框架交换不同意见

9、物理安全周边的安全设置应考虑：（）

A、区域内信息和资产的敏感性分类

B、重点考虑计算机机房，而不是办公区或其他功能区

C、入侵探测和报警机制

D、A+C

10、ISO/IEC27701是（）

A、是一份基于27002的指南性标准

B、是27001和27002的隐私保护方面的扩展

C、是ISMS族以外的标准

D、在隐私保护方面扩展了270001的要求

11、信息安全目标应()

A、可测量

B、与信息安全方针一致

C、适当时，对相关方可用

D、定期更新

12、审核计划中不包括（）。

A、本次及其后续审核的时间安排

B、审核准则

C、审核组成员及分工

D、审核的日程安排

13、下列关于DMZ区的说法错误的是()

A、DMZ可以访问内部网络

B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等

C、内部网络可以无限制地访问夕卜部网络以及DMZ

D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作

14、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行

A、在客户组织的场所

B、在认证机构以网络访问的形式

C、以远程视频的形式

D、以上都对

15、关于信息安全连续性，以下说法正确的是：

A、信息安全连续性即FT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

16、下列哪个选项不属于审核组长的职责?

A、确定审核的需要和目的

B、组织编制现场审核有关的工作文件

C、主持首末次会议和市核组会议

D、代表审核方与受中核方领导进行沟通

17、确定资产的可用性要求须依据（）。

A、授权实体的需求

B、信息系统的实际性能水平

C、组织可支付的经济成本

D、最高管理者的决定

18、下列说法不正确的是（）

A、残余风险需要获得管理者的批准

B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果

C、所有的信息安全活动都必须记录

D、管理评审至少每年进行一次

19、在信息安全管理体系审核时，应遵循（）原则。

A、保密性和基于准则的

B、保密性和基于风险的

C、最小特权原则最小特权原则是信息系统安全的最基本原则

D、建立阻塞点原则阻塞点就是在网络系统对外连接通道内，可以被系统管理人员进行监控的连接控制点。

20、完整性是指()

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、保护资产保密和可用的特性

21、下面哪个不是典型的软件开发模型？（）

A、变换型

B、渐增型

C、瀑布型

D、结构型