2021年3月CCAA注册审核员考试题目—ISMS信息安全管理体系知识含解析.doc

2021年3月CCAA注册审核员考试题目—ISMS信息安全管理体系知识

一、单项选择题

1、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评

A、半年

B、1年

C、1,5年

D、2年

2、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)

A、体系覆盖的人数

B、使用的信息系统的数量

C、用户的数量

D、其他选项都正确

3、GB/T22080标准中所指资产的价值取决于（）

A、资产的价格

B、资产对于业务的敏感度

C、资产的折损率

D、以上全部

4、不属于公司信息资产的是（）

A、客户信息

B、公司旋转在IDC机房的服务器

C、保洁服务

D、以上都不对

5、当获得的审核证据表明不能达到审核目的时，审核组长可以（）

A、宣布停止受审核方的生产/服务活动

B、向审核委托方和受审核方报告理由以确定适当的措施

C、宣布取消末次会议

D、以上都不可以

6、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）

A、要保护什么样的信息

B、有多少信息要保护

C、为保护这些重要信息需要准备多大的投入

D、不保护这些重要信息,将付出多大的代价

7、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）

A、静态

B、动态

C、均可

D、静态达到50%以上即可

8、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

9、关于信息系统登录口令的管理，以下做法不正确的是：()

A、必要时，使用密码技术、生物识等替代口令

B、用提示信息告知用户输入的口令是否正确

C、明确告知用户应遵从的优质口令策略

D、使用互动式管理确保用户使用优质口令

10、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）

A、ISO/IEC27002

B、ISO/IEC27003

C、ISO/IEC27004

D、ISO/IEC27005

11、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响

A、隔离和迀移

B、评审和测试

C、评审和隔离

D、验证和确认

12、下面哪一种属于网络上的被动攻击（）

A、消息篡改

B、伪装

C、拒绝服务

D、流量分析

13、保密协议或不泄露协议至少应包括：（）

A、组织和员工双方的信息安全职责和责任

B、员工的信息安全职责和责任

C、组织的信息安全职责和责任

D、纪律处罚规定

14、计算机信息系统安全专用产品是指：（）

A、用于保护计算机信息系统安全的专用硬件和软件产品

B、按安全加固要求设计的专用计算机

C、安装了专用安全协议的专用计算机

D、特定用途（如高保密）专用的计算机软件和硬件产品

15、下列不属于公司信息资产的有

A、客户信息

B、被放置在IDC机房的服务器

C、个人使用的电脑

D、审核记录

16、《中华人民共和国密码法》规定了国家秘密的范围和密级，国家秘密的密级分为（）。

A、普密、商密两个级别

B、低级和高级两个级别

C、绝密、机密、秘密三个级别

D、—密、二密、三密、四密四个级别

17、关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议和保密义务与责任。

A、安全保密

B、安全保护

C、安全保障

D、安全责任

18、设置防火墙策略是为了(）

A、进行访问控制

B、进行病毒防范

C、进行邮件内容过滤

D、进行流量控制

19、()属于管理脆弱性的识别对象

A、物理环境

B、网络结构

C、应用系统

D、技术管理

20、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。

A、认证

B、认可

C、审核

D、评审

21、可用性是指（）

A、根据授权实体的要求可访问和利用的特性

B、信息不能被未授权的个人，实体或者过程利用或知悉的特性

C、保护资产的准确和完整的特性

D、反映事物真实情况的程度

22、在以下认为的恶意攻击行为中，属于主动攻击的是()

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

23、关于信息安全连续性，以下说法正确的是（）

A、信息安全连续性即IT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

24、安全区域通常的防护措施有（）