2021年12月CCAA注册ISMS信息安全管理体系审核员知识复习题含解析.doc

2021年12月CCAA注册ISMS信息安全管理体系审核员知识复习题

一、单项选择题

1、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）

A、该标准是指南类标准

B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南

C、该标准给出了ISMS的实施指南

D、该标准的名称是《信息技术安全技术信息安全管理实用规则》

2、组织应在相关（）上建立信息安全目标

A、组织环境和相关方要求

B、战略和意思

C、战略和方针

D、职能和层次

3、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）

A、审查、任用条款和条件

B、管理责任、信息安全意识教育和培训

C、任用终止或变更的责任

D、以上都不对

4、容量管理的对象包括（）

A、信息系统内存

B、办公室空间和基础设施

C、人力资源

D、以上全部

5、构成风险的关键因素有（）

A、人、财、物

B、技术、管理和操作

C、资产、威胁和弱点

D、资产、可能性和严重性

6、审核证据是指（）

A、与审核准则有关的，能够证实的记录、事实陈述或其他信息

B、在审核过程中收集到的所有记录、事实陈述或其他信息

C、一组方针、程序或要求

D、以上都不对

7、风险评价是指（）

A、系统地使用信息来识别风险来源和评估风险

B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程

C、指导和控制一个组织相关风险的协调活动

D、以上都对

8、信息安全基本属性是（）。

A、保密性、完整性、可靠性

B、保密性、完整性、可用性

C、可用性、保密性、可能性

D、稳定性、保密性、完整性

9、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。

A、其产品/过程无风险或有低的风险

B、客户的认证准备

C、仅涉及单一的活动过程

D、具有高风险的产品或过程

10、信息安全目标应()

A、可测量

B、与信息安全方针一致

C、适当时，对相关方可用

D、定期更新

11、组织机构在建立和评审ISMS时，应考虑（）

A、风险评估的结果

B、管理方案

C、法律、法规和其它要求

D、A+B

E、A+C

12、GB/T22080标准中所指资产的价值取决于（）

A、资产的价格

B、资产对于业务的敏感度

C、资产的折损率

D、以上全部

13、以下关于认证机构的监督要求表述错误的是（）

A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性

B、认证机构的监督方案应由认证机构和客户共同来制定

C、监督审核可以与其他管理体系的审核相结合

D、认证机构应对认证证书的使用进行监督

14、造成计算机系统不安全的因素包括（）。

A、系统不及时打补丁

B、使用弱口令

C、连接不加密的无线网络

D、以上都对

15、《信息技术安全技术信息安全治理》对应的国际标准号为（）

A、ISO/IEC27011

B、ISO/IEC27012

C、ISO/IEC27013

D、ISO/IEC27014

16、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()

A、2019

B、2017

C、2016

D、2021

17、()是风险管理的重要一环。

A、管理手册

B、适用性声明

C、风险处置计划

D、风险管理程序

18、计算机信息系统安全专用产品是指：（）

A、用于保护计算机信息系统安全的专用硬件和软件产品

B、按安全加固要求设计的专用计算机

C、安装了专用安全协议的专用计算机

D、特定用途（如高保密）专用的计算机软件和硬件产品

19、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）

A、建立信息安全事件管理的责任

B、建立信息安全事件管理规程

C、对信息安全事件进行响应

D、在组织内通报信息安全事件

20、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）

A、安全接口层(sSL,SecureSocketsLayer〉

B、风险隧道技术(Tunnelling)

C、数字签名

D、风险钓鱼

21、文件初审是评价受审方ISMS文件的描述与审核准则的（）

A、充分性和适宜性

B、有效性和符合性

C、适宜性、充分性和有效性

D、以上都不对

22、ISMS文件的多少和详细程度取决于()

A、组织的规模和活动的类型

B、过程及其相互作用的复杂程度

C、人员的能力

D、以上都对

23、残余风险是指:（）

A、风险评估前，以往活动遗留的风险

B、风险评估后，对以往活动遗留的风险的估值

C、风险处置后剩余的风险，比可接受风险低

D、风险处置后剩余的风险，不一定比可接受风险低

24、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）

A、禁止安装未列入白名单的软件

B、