2021年3月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识含解析.doc

2021年3月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识

一、单项选择题

1、文件化信息指（）

A、组织创建的文件

B、组织拥有的文件

C、组织要求控制和维护的信息及包含该信息的介质

D、对组织有价值的文件

2、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。

A、半年

B、1年

C、1.5年

D、2年

3、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据数据得到保护

D、以上全部

4、文件初审是评价受审方ISMS文件的描述与审核准则的（）

A、充分性和适宜性

B、有效性和符合性

C、适宜性、充分性和有效性

D、以上都不对

5、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）

A、三级

B、二级

C、四级

D、五级

6、按照PDCA思路进行审核，是指（）

A、按照受审核区域的信息安全管理活动的PDCA过程进行审核

B、按照认证机构的PDCA流程进行审核

C、按照认可规范中规定的PDCA流程进行审核

D、以上都对

7、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。

A、半年

B、1年

C、1.5年

D、2年

8、下列哪项不是监督审核的目的？（）

A、验证认证通过的ISMS是否得以持续实现

B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化

C、确认是否持续符合认证要求

D、做出是否换发证书的决定

9、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求

A、2

B、3

C、5

D、7

10、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。

A、用户权限

B、可被用户访问的资料

C、系统是否遭受入侵

D、可给予哪些主体访问

11、以下不属于信息安全事态或事件的是：

A、服务、设备或设施的丢失

B、系统故障或超负载

C、物理安全要求的违规

D、安全策略变更的临时通知

12、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行

A、在客户组织的场所

B、在认证机构以网络访向的形式

C、以远程视频的形式

D、以上都対

13、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

14、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）

A、信息安全方针

B、信息安全目标

C、风险评估过程记录

D、沟通记录

15、组织应在相关（）上建立信息安全目标

A、组织环境和相关方要求

B、战略和意思

C、战略和方针

D、职能和层次

16、在认证审核时，一阶段审核是（）

A、是了解受审方ISMS是否正常运行的过程

B、是必须进行的

C、不是必须的过程

D、以上都不准确

17、关于信息安全连续性，以下说法正确的是（）

A、信息安全连续性即IT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

18、信息安全控制目标是指：（)

A、对实施信息安全控制措施拟实现的结果的描述

B、组织的信息安全策略集的描述

C、组织实施信息安全管理体系的总体宗旨和方向

D、A+B

19、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）

A、ISO/IEC27002

B、ISO/IEC27003

C、ISO/IEC27004

D、ISO/IEC27005

20、相关方的要求可以包括（）

A、标准、法规要求和合同义务

B、法律、标准要求和合同义务

C、法律、法规和标准要求和合同义务

D、法律、法规要求和合同义务

21、关于投诉处理过程的设计，以下说法正确的是：()

A、投诉处理过程应易于所有投诉者使用

B、投诉处理过程应易于所有投诉响应者使用

C、投诉处理过程应易于所有投诉处理者使用

D、投诉处理过程应易于为投诉处理付费的投诉者使用

22、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）

A、对组织的信息安全管理体系进行变更

B、执行信息安全风险评估

C、开展内部审核