2021年12月CCAA注册审核员复习题—ISMS信息安全管理体系知识含解析.doc

2021年12月CCAA注册审核员复习题—ISMS信息安全管理体系知识

一、单项选择题

1、访问控制是指确定（）以及实施访问权限的过程

A、用户权限

B、可给予哪些主体访问权利

C、可被用户访问的资源

D、系统是否遭受入侵

2、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）

A、电力线路调节器

B、电力浪涌保护设备

C、备用的电力供应

D、可中断的电力供应

3、关于容量管理，以下说法不正确的是（）

A、根据业务对系统性能的需求，设置阈值和监视调整机制

B、针对业务关键性，设置资源占用的优先级

C、对于关键业务，通过放宽阈值以避免或减少报警的干扰

D、依据资源使用趋势数据进行容量规划

4、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评

A、半年

B、1年

C、1,5年

D、2年

5、组织确定的信息安全管理体系范围应（）

A、形成文件化信息并可用

B、形成记录并可用

C、形成文件和记录并可用

D、形成程字化信息并可用

6、下列哪个选项不属于审核组长的职责?

A、确定审核的需要和目的

B、组织编制现场审核有关的工作文件

C、主持首末次会议和市核组会议

D、代表审核方与受中核方领导进行沟通

7、在形成信息安全管理体系审核发现时，应（）。

A、考虑适用性声明的完备性和可用性

B、考虑适用性声明的完备性和合理性

C、考虑适用性声明的充分性和可用性

D、考虑适用性声明的充分性和合理性

8、安全扫描可以实现（）

A、弥补由于认证机制薄弱带来的问题

B、弥补由于协议本身而产生的问题

C、弥补防火墙对内网安全威胁检测不足的问题

D、扫描检测所有的数据包攻击分析所有的数据流

9、保密性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、突体或过程利用或知悉的特性

C、保护信息的准确和完整的特性

D、以上都不対

10、关于信息安全管理体系认证，以下说法正确的是（）

A、认证决定人员不宜推翻审核组的正面结论

B、认证决定人员不宜推翻审核组的负面结论

C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核

D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期

11、管理者应（）

A、制定ISMS方针

B、制定ISMS目标和专划

C、实施ISMS内部审核

D、确保ISMS管理评审的执行

12、文件化信息创建和更新时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

13、关于信息安全管理中的“脆弱性”，以下正确的是：（）

A、脆弱性是威胁的一种，可以导致信息安全风险

B、网络中“钓鱼”软件的存在，是网络的脆弱性

C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性

D、以上全部

14、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）

A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘

B、划分信息载体所属的职能以便于明确管理责任

C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则

D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

15、关于GB/T28450,以下说法正确的是(）。

A、增加了ISMS的审核指导

B、与ISO19011一致

C、与ISO/IEC27000一致

D、等同采用了ISO19011

16、()是风险管理的重要一环。

A、管理手册

B、适用性声明

C、风险处置计划

D、风险管理程序

17、对全国密码工作实行统一领导的机构是(）

A、中央密码工作领导机构

B、国家密码管理部门

C、中央国家机关

D、全国人大委员会

18、以下描述不正确的是（）

A、防范恶意和移动代码的目标是保护软件和信息的完整性

B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生

C、风险分析、风险评价、风险处理的整个过程称为风险管理

D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响

19、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是

A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用

D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用

20、（）是建立有效的计算机病毒防御体系所需要的技术措施

A、补丁管理系统、网络入侵检测和防火墙

B、漏洞扫描、网络入侵检测和防火