2021年第二期CCAA注册审核员模拟试题—ISMS信息安全管理体系含解析.doc

2021年第二期CCAA注册审核员模拟试题—ISMS信息安全管理体系

一、单项选择题

1、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）

A、电力线路调节器

B、电力浪涌保护设备

C、备用的电力供应

D、可中断的电力供应

2、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息

A、相关方

B、供应商

C、顾客

D、上级机关

3、（）属于管理脆弱性的识别对象。

A、物理环境

B、网络结构

C、应用系统

D、技术管理

4、组织应（），以确信相关过程按计划得到执行。

A、处理文件化信息达到必要的程度

B、保持文件化信息达到必要的程度

C、保持文件化信息达到可用的程度

D、产生文件化信息达到必要的程度

5、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的（）。

A、说明

B、声明

C、想法

D、描述

6、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）

A、设备要求和网络要求

B、硬件要求和软件要求

C、物理要求和应用要求

D、技术要求和管理要求

7、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）

A、信息安全方针

B、信息安全目标

C、风险评估过程记录

D、沟通记录

8、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。

A、半年

B、1年

C、1.5年

D、2年

9、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。

A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力

B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力

C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

10、可用性是指（）

A、根据授权实体的要求可访问和利用的特性

B、信息不能被未授权的个人，实体或者过程利用或知悉的特性

C、保护资产的准确和完整的特性

D、反映事物真实情况的程度

11、下列措施中不能用于防止非授权访问的是（）

A、采取密码技术

B、采用最小授权

C、采用权限复查

D、采用日志记录

12、风险处置是（）

A、识别并执行措施来更改风险的过程

B、确定并执行措施来更改风险的过程

C、分析并执行措施来更改风险的过程

D、选择并执行措施来更改风险的过程

13、不属于常见的危险密码是（）

A、跟用户名相同的密码

B、使用生日作为密码

C、只有4位数的密码

D、10位的综合型密码

14、某公司进行风险评估后发现公司的无线网络存在大的安全隐患、为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）

A、风险接受

B、风险规避

C、风险转移

D、风险减缓

15、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

16、完整性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、以上都不对

17、在运行阶段，组织应（）

A、策划信息安全风险处置计划，保留文件化信息

B、实现信息安全风险处置计划，保留文件化信息

C、测量信息安全风险处置计划，保留文件化信息

D、改进信息安全风险处置计划，保留文件化信息

18、风险责任人是指（）

A、具有责任和权限管理一项风险的个人或实体

B、实施风险评估的组织的法人

C、实施风险评估的项目负责人或项目任务责任人

D、信息及信息处理设施的使用者

19、下列说法不正确的是（）

A、残余风险需要获得管理者的批准

B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果

C、所有的信息安全活动都必须记录

D、管理评审至少每年进行一次

20、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序

A、内存

B、软盘

C、存储介质

D、网络

21、我国网络安全等级保护共分几个级别？（）

A、7

B、4

C、5

D、6

22、在实施技术符合性评审时，以下说法正确的是（）

A、技术符合性评审即渗透测试

B、技术符合性评审即漏洞扫描与渗透测试的结合

C、渗透测试和漏洞扫描可以替代风险评估

D、渗透测试和漏洞扫描不可替代风险评估

23、()可用来保护信息的真实性、完整性

A、数字签名

B、恶意代码

C、风险评估

D、容灾和数据备份

24、控制影响信息安全的变更