2021年12月ISMS信息安全管理体系CCAA审核员考试题目含解析.doc

2021年12月ISMS信息安全管理体系CCAA审核员考试题目

一、单项选择题

1、设备维护维修时，应考虑的安全措施包括：（）

A、维护维修前，按规定程序处理或清除其中的信息

B、维护维修后，检查是否有未授权的新增功能

C、敏感部件进行物理销毁而不予送修

D、以上全部

2、保密协议或不泄露协议至少应包括：（）

A、组织和员工双方的信息安全职责和责任

B、员工的信息安全职责和责任

C、组织的信息安全职责和责任

D、纪律处罚规定

3、计算机病毒系指_____。

A、生物病毒感染

B、细菌感染

C、被损坏的程序

D、特制的具有损坏性的小程序

4、()是风险管理的重要一环。

A、管理手册

B、适用性声明

C、风险处置计划

D、风险管理程序

5、关于顾客满意，以下说法正确的是：（）

A、顾客没有抱怨，表示顾客满意

B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意

C、顾客认为其要求已得到满足,即意味着顾客满意

D、组织认为顾客要求已得到满足，即意味着顾客满意

6、创建和更新文件化信息时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

7、涉及运行系统验证的审计要求和活动，应（）

A、谨慎地加以规划并取得批准，以便最小化业务过程的中断

B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续

C、谨慎地加以实施并取得批准，以便最小化业务过程的中断

D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续

8、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）

A、沟通周期

B、沟通内容

C、沟通时间

D、沟通对象

9、关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议和保密义务与责任。

A、安全保密

B、安全保护

C、安全保障

D、安全责任

10、对于信息安全方针，（）是ISO/IEC27001所要求的

A、信息安全方针应形成文件

B、信息安全方针文件为公司内部重要信息，不得向外部泄露

C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义

D、信息安全方针是建立信息安全工作的总方向和原则，不可变更

11、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响，但不包括（）

A、业务要求变更

B、合同义务变更

C、安全要求的变更

D、以上都不对

12、信息安全目标应()

A、可测量

B、与信息安全方针一致

C、适当时，对相关方可用

D、定期更新

13、某公司进行风险评估后发现公司的无线网络存在大的安全隐患、为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）

A、风险接受

B、风险规避

C、风险转移

D、风险减缓

14、防火墙提供的接入模式不包括(）

A、透明模式

B、混合模式

C、网关模式

D、旁路接入模式

15、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。

A、4-10

B、1-10

C、4-7和9-10

D、4-10和附录A

16、审核证据是指（）

A、与审核准则有关的，能够证实的记录、事实陈述或其他信息

B、在审核过程中收集到的所有记录、事实陈述或其他信息

C、一组方针、程序或要求

D、以上都不对

17、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统

A、报告

B、传递

C、评价

D、测量

18、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

19、访问控制是指确定（）以及实施访问权限的过程

A、用户权限

B、可给予哪些主体访问权利

C、可被用户访问的资源

D、系统是否遭受入侵

20、相关方的要求可以包括（）

A、标准、法规要求和合同义务

B、法律、标准要求和合同义务

C、法律、法规和标准要求和合同义务

D、法律、法规要求和合同义务

21、依据《中华人民共和国网络安全法》，以下说法不正确的是（）

A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息属于个人信息

B、自然人的身份证号码、电话号码属于个人信息

C、自然人的姓名、住址不属于个人信息

D、自然人的出生日期属于个人信息

22、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）

A、要保护什么样的信息

B、有多少信息要保护

C、为保护这些重要信息需要准备多大的投入

D、不保护这些重要信息,将付出多大的代价

23、关于容量管理，以下说法不正确的是（）

A、根据业务对系统性能的需求，设置阈值和监视调整机制

B、针对业务关键性，设置资源占用的优先级

C、对于关键业务，通过