2021年6月CCAA注册审核员复习题—ISMS信息安全管理体系知识含解析.doc

2021年6月CCAA注册审核员复习题—ISMS信息安全管理体系知识

一、单项选择题

1、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求

A、2

B、3

C、5

D、7

2、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是

A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用

C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用

D、以上都不对

3、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）

A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证

B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证

C、对于离开组织的设备和资产须验证相关授权信息

D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证

4、组织应（）。

A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级

B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级

C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级

D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级

5、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）

A、参加信息安全培训

B、背景调査

C、安全技能与岗位要求匹配的评估

D、签署保密协议

6、我国网络安全等级保护共分几个级别？（）

A、7

B、4

C、5

D、6

7、下列哪项对于审核报告的描述是错误的?（）

A、主要内容应与末次会议的内容基本一致

B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成

C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方

D、以上都不对

8、关于适用性声明下面描述错误的是(）

A、包含附录A中控制删减的合理性说明

B、不包含未实现的控制

C、包含所有计划的控制

D、包含附录A的控制及其选择的合理性说明

9、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？

A、硬件和软件

B、技术和制度

C、管理员和用户

D、物理安全和软件缺陷

10、下列说法不正确的是（）

A、残余风险需要获得管理者的批准

B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果

C、所有的信息安全活动都必须记录

D、管理评审至少每年进行一次

11、关于访问控制，以下说法正确的是（）

A、防火墙基于源IP地址执行网络访问控制

B、三层交换机基于MAC实施访问控制

C、路由器根据路由表确定最短路径

D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件

12、不属于常见的危险密码是（）

A、跟用户名相同的密码

B、使用生日作为密码

C、只有4位数的密码

D、10位的综合型密码

13、《计算机信息系统安全保护条例》中所称计算机信息系统，是指

A、对信息进行采集、加工、存储、传输、检索等处理的人机系统

B、计算机及其相关的设备、设施，不包括软件

C、计算机运算环境的总和，但不含网络

D、一个组织所有计算机的总和，包括未联网的微型计算机

14、PKI的主要组成不包括(）

A、SSL

B、CR

C、CA

D、RA

15、对于外部方提供的软件包，以下说法正确的是：（）

A、组织的人员可随时对其进行适用性调整

B、应严格限制对软件包的调整以保护软件包的保密性

C、应严格限制对软件包的调整以保护软件包的完整性和可用性

D、以上都不对

16、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

17、以下哪项不属于脆弱性范畴？（）

A、黑客攻击

B、操作系统漏洞

C、应用程序BUG

D、人员的不良操作习惯

18、下列哪项不是监督审核的目的？（）

A、验证认证通过的ISMS是否得以持续实现

B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化

C、确认是否持续符合认证要求

D、作出是否换发证书的决定

19、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）

A、下级管理员无权修改，不可删除

B、下级管理员无权修改，可以删除

C、下级管理员可以修改，可以删除

D、下级管理员可以修