2021年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目含解析.doc

2021年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目

一、单项选择题

1、信息安全管理体系的设计应考虑（）

A、组织的战

B、组织的目标和需求

C、组织的业务过程性质

D、以上全部

2、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。

A、做好资产分类是其基础

B、采用组织固定资产台账即可

C、无需关注资产产权归属者

D、A+B

3、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告

A、8小时内

B、12小时内

C、24小时内

D、48小时内

4、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

5、构成风险的关键因素有（）

A、人、财、物

B、技术、管理和操作

C、资产、威胁和弱点

D、资产、可能性和严重性

6、下列措施中不能用于防止非授权访问的是（）

A、采取密码技术

B、采用最小授权

C、采用权限复查

D、采用日志记录

7、（）是建立有效的计算机病毒防御体系所需要的技术措施

A、补丁管理系统、网络入侵检测和防火墙

B、漏洞扫描、网络入侵检测和防火墙

C、漏洞扫描、补丁管理系统和防火墙

D、网络入侵检测、防病毒系统和防火墙

8、信息安全控制目标是指：（)

A、对实施信息安全控制措施拟实现的结果的描述

B、组织的信息安全策略集的描述

C、组织实施信息安全管理体系的总体宗旨和方向

D、A+B

9、经过风险处理后遗留的风险通常称为（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

10、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。

A、服务的可靠性和质量(Qos,qualityofservice)

B、身份的验证方式

C、语音传输的保密

D、数据传输的保密

11、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()

A、国家经营

B、地方经营

C、备案制度

D、许可制度

12、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）

A、基本角色的策略

B、基于身份的策略

C、用户向导的策略

D、强制性访问控制策略

13、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+C

E、A+B

14、审核证据是指（）

A、与审核准则有关的，能够证实的记录、事实陈述或其他信息

B、在审核过程中收集到的所有记录、事实陈述或其他信息

C、一组方针、程序或要求

D、以上都不对

15、组织应（）

A、分离关键的职责及责任范围

B、分离冲突的职责及贵任范围

C、分离重要的职责及责任范围

D、分离关联的职责及责任范围

16、对全国密码工作实行统一领导的机构是(）

A、中央密码工作领导机构

B、国家密码管理部门

C、中央国家机关

D、全国人大委员会

17、管理者应（）

A、制定ISMS方针

B、制定ISMS目标和专划

C、实施ISMS内部审核

D、确保ISMS管理评审的执行

18、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

19、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）

A、设备要求和网络要求

B、硬件要求和软件要求

C、物理要求和应用要求

D、技术要求和管理要求

20、以下不属于信息安全事态或事件的是：

A、服务、设备或设施的丢失

B、系统故障或超负载

C、物理安全要求的违规

D、安全策略变更的临时通知

21、对于较大范围的网络，网络隔离是：（）

A、可以降低成本

B、可以降低不同用户组之间非授权访问的风险

C、必须物理隔离和必须禁止无线网络

D、以上都对

22、在认证审核时，一阶段审核是（）

A、是了解受审方ISMS是否正常运行的过程

B、是必须进行的

C、不是必须的过程

D、以上都不准确

23、下列哪项不是监督审核的目的？（）

A、验证认证通过的ISMS是否得以持续实现

B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化

C、确认是否持续符合认证要求

D、做出是否换发证书的决定

24、计算机病毒系指_____。

A、生物病毒感染

B、细菌感染

C、被损坏的程序

D、特制的具有损