2021年第三期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系含解析.doc

2021年第三期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系

一、单项选择题

1、关于防范恶意软件，以下说法正确的是：（）

A、物理隔断信息系统与互联网的连接即可防范恶意软件

B、安装入侵探测系统即可防范恶意软件

C、建立白名单即可防范恶意软件

D、建立探测、预防和恢复机制以防范恶意软件

2、信息安全管理体系中提到的“资产责任人”是指:（）

A、对资产拥有财产权的人

B、使用资产的人

C、有权限变更资产安全属性的人

D、资产所在部门负责人

3、管理体系是实现组织目标的方针、（）、指南和相关资源的框架

A、目标

B、规程

C、文件

D、记录

4、计算机信息系统安全专用产品是指：（）

A、用于保护计算机信息系统安全的专用硬件和软件产品

B、按安全加固要求设计的专用计算机

C、安装了专用安全协议的专用计算机

D、特定用途（如高保密）专用的计算机软件和硬件产品

5、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。

A、组织建立信息安全策略和信息安全目标，并与组织战略方向一致

B、确保建立信息安全策略和信息安全目标，并与组织战略方向一致

C、领导建立信息安全策略和信息安全目标，并与组织战略方向一致

D、沟通建立信息安全策略和信息安全目标，并与组织战略方向一致

6、（）是建立有效的计算机病毒防御体系所需要的技术措施。

A、补丁管理系统、网络入侵检测和防火墙

B、漏洞扫描、网络入侵检测和防火墙

C、漏洞扫描、补丁管理系统和防火墙

D、网络入侵检测、防病毒系统和防火墙

7、下面哪一种功能不是防火墙的主要功能?

A、协议过滤

B、应用网关

C、扩展的日志记录能力

D、包交换

8、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。

A、服务水平目标（SLO)

B、恢复点目标（RPO)

C、恢复时间目标（RTO)

D、最长可接受终端时间（MAO)

9、对于信息安全方针，（）是ISO/IEC27001所要求的

A、信息安全方针应形成文件

B、信息安全方针文件为公司内部重要信息，不得向外部泄露

C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义

D、信息安全方针是建立信息安全工作的总方向和原则，不可变更

10、关于适用性声明下面描述错误的是(）

A、包含附录A中控制删减的合理性说明

B、不包含未实现的控制

C、包含所有计划的控制

D、包含附录A的控制及其选择的合理性说明

11、下面哪一种属于网络上的被动攻击（）

A、消息篡改

B、伪装

C、拒绝服务

D、流量分析

12、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的（）。

A、说明

B、声明

C、想法

D、描述

13、在以下认为的恶意攻击行为中，属于主动攻击的是()

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

14、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

15、下列那些事情是审核员不必要做的？（）

A、对接触到的客户信息进行保密

B、客观公正的给出审核结论

C、关注客户的喜好

D、尽量使用客户熟悉的表达方式

16、ISMS文件的多少和详细程度取决于()

A、组织的规模和活动的类型

B、过程及其相互作用的复杂程度

C、人员的能力

D、以上都对

17、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)

A、体系覆盖的人数

B、使用的信息系统的数量

C、用户的数量

D、其他选项都正确

18、以下关于认证机构的监督要求表述错误的是（）

A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性

B、认证机构的监督方案应由认证机构和客户共同来制定

C、监督审核可以与其他管理体系的审核相结合

D、认证机构应对认证证书的使用进行监督

19、密码技术不适用于控制下列哪种风险？（）

A、数据在传输中被窃取的风险

B、数据在传输中被篡改的风险

C、数据在传输中被损坏的风险

D、数据被非授权访问的风险

20、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。

A、用户权限

B、可被用户访问的资料

C、系统是否遭受入侵

D、可给予哪些主体访问

21、依据GB/T22080/ISO/IEC27001的要求，管理者应（）

A、制定ISMS目标和计划

B、实施ISMS管理评审

C、决定接受风险的准则和风险的可接受级别

D、其他选项均不正确

22、残余风险是指:（）

A、风险评估前，以往活动遗留的风险

B、风险评估后，对以往活动遗留的风险的估值

C