2021年第四期CCAA国家注册审核员复习题—ISMS信息安全管理体系含解析.doc

2021年第四期CCAA国家注册审核员复习题—ISMS信息安全管理体系

一、单项选择题

1、我国网络安全等级保护共分几个级别？（）

A、7

B、4

C、5

D、6

2、描述组织采取适当的控制措施的文档是（）

A、管理手册

B、适用性声明

C、风险处置计划

D、风险评估程序

3、Saas是指(）

A、软件即服务

B、服务平台即月勝

C、服务应用即服务

D、服务瞇即服务

4、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）

A、ISO/IEC27002

B、ISO/IEC27003

C、ISO/IEC27004

D、ISO/IEC27005

5、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）

A、要保护什么样的信息

B、有多少信息要保护

C、为保护这些重要信息需要准备多大的投入

D、不保护这些重要信息,将付出多大的代价

6、下面哪个不是《中华人民共和国密码法》中密码的分类？（）

A、核心密码

B、普通密码

C、国家密码

D、商用密码

7、关于内部审核下面说法不正确的是(）。

A、组织应定义每次审核的审核准则和范围

B、通过内部审核确定ISMS得到有效实施和维护

C、组织应建立、实施和维护一个审核方案

D、组织应确保审核结果报告至管理层

8、ISMS文件的多少和详细程度取决于()

A、组织的规模和活动的类型

B、过程及其相互作用的复杂程度

C、人员的能力

D、以上都对

9、关于GB/T22081标准，以下说法正确的是：（）

A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据

B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据

C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分

D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准

10、保密性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、突体或过程利用或知悉的特性

C、保护信息的准确和完整的特性

D、以上都不対

11、关于访问控制策略，以下不正确的是：（）

A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型

B、对于多任务访问，一次性赋予全任务权限

C、物理区域的管理规定须遵从物理区域的访问控制策

D、物理区域访问控制策略应与其中的资产敏感性一致

12、信息安全管理体系中提到的“资产责任人”是指:（）

A、对资产拥有财产权的人

B、使用资产的人

C、有权限变更资产安全属性的人

D、资产所在部门负责人

13、组织应在相关（）上建立信息安全目标

A、组织环境和相关方要求

B、战略和意思

C、战略和方针

D、职能和层次

14、信息分类方案的目的是（）

A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘

B、划分信息载体所属的职能以便于明确管理责任

C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则

D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

15、第三方认证审核时，对于审核提出的不符合项，审核组应：（）

A、与受审核方共同评审不符合项以确认不符合的条款

B、与受审核方共同评审不符合项以确认不符合事实的准确性

C、与受审核方共同评审不符合以确认不符合的性质

D、以上都对

16、()属于管理脆弱性的识别对象

A、物理环境

B、网络结构

C、应用系统

D、技术管理

17、ISO/IEC27001描述的风险分析过程不包括（）

A、分析风险发生的原因

B、确定风险级别

C、评估识别的风险发生后，可能导致的潜在后果

D、评估所识别的风险实际发生的可能性

18、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式

A、警告

B、罚款

C、没收违法所得

D、吊销许可证

19、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

A、主要结构

B、容错能力

C、网络拓扑

D、局域网协议

20、关于防范恶意软件，以下说法正确的是：（）

A、物理隔断信息系统与互联网的连接即可防范恶意软件

B、安装入侵探测系统即可防范恶意软件

C、建立白名单即可防范恶意软件

D、建立探测、预防和恢复机制以防范恶意软件

21、下列不属于公司信息资产的有

A、客户信息

B、被放置在IDC机房的服务器

C、个人使用的电脑

D、审核记录

22、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）

A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）

B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）

C、在指纹识