2021年第四期CCAA注册审核员ISMS信息安全管理体系复习题含解析.doc

2021年第四期CCAA注册审核员ISMS信息安全管理体系复习题

一、单项选择题

1、信息安全基本属性是（）。

A、保密性、完整性、可靠性

B、保密性、完整性、可用性

C、可用性、保密性、可能性

D、稳定性、保密性、完整性

2、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）

A、三级

B、二级

C、四级

D、五级

3、当发现不符合项时，组织应对不符合做出反应，适用时（）。

A、采取措施，以控制并予以纠正

B、对产生的影响进行处理

C、分析产生原因

D、建立纠正措施以避免再发生

4、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+C

E、A+B

5、主动式射频识别卡(RFID)存在哪一种弱点?（）

A、会话被劫持

B、被窃听

C、存在恶意代码

D、被网络钓鱼攻击DR

6、过程是指（）

A、有输入和输出的任意活动

B、通过使用资源和管理，将输入转化为输出的活动

C、所有业务活动的集合

D、以上都不对

7、我国网络安全等级保护共分几个级别？（）

A、7

B、4

C、5

D、6

8、当获得的审核证据表明不能达到审核目的时，审核组长可以（）

A、宣布停止受审核方的生产/服务活动

B、向审核委托方和受审核方报告理由以确定适当的措施

C、宣布取消末次会议

D、以上都不可以

9、造成计算机系统不安全的因素包括（）。

A、系统不及时打补丁

B、使用弱口令

C、连接不加密的无线网络

D、以上都对

10、依据GB/T22080,网络隔离指的是(）

A、不同网络运营商之间的隔离

B、不同用户组之间的隔离

C、内网与外网的隔离

D、信息服务，用户及信息系统

11、确定资产的可用性要求须依据（）。

A、授权实体的需求

B、信息系统的实际性能水平

C、组织可支付的经济成本

D、最高管理者的决定

12、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。

A、识别可能性和影响

B、识别脆弱性和识别后果

C、识别脆弱性和可能性

D、识别脆弱性和影响

13、关于信息安全管理中的“脆弱性”，以下正确的是:（）

A、脆弱性是威胁的一种，可以导致信息安全风险

B、网络中“钓鱼”软件的存在，是网络的脆弱性

C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性

D、以上全部

14、经过风险处理后遗留的风险通常称为（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

15、()属于管理脆弱性的识别对象

A、物理环境

B、网络结构

C、应用系统

D、技术管理

16、下列关于DMZ区的说法错误的是()

A、DMZ可以访问内部网络

B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等

C、内部网络可以无限制地访问夕卜部网络以及DMZ

D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作

17、下列哪项对于审核报告的描述是错误的？（）

A、主要内容应与末次会议的内容基本一致

B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成

C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方

D、以上都不对

18、经过风险处理后遗留的风险是（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

19、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。

A、ISMS建立阶段

B、ISMS实施和运行阶段

C、ISMS监视和评审阶段

D、ISMS保持和改进阶段

20、审核发现是指（）

A、审核中观察到的事实

B、审核的不符合项

C、审核中收集到的审核证据对照审核准则评价的结果

D、审核中的观察项

21、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）

A、对组织的信息安全管理体系进行变更

B、执行信息安全风险评估

C、开展内部审核

D、开展管理评审

22、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。

A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力

B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力

C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

23、TCP/IP协议层次结构由（）

A、网络接口层、网络层组成

B、网络接口层、网络层、传输层组成

C、网络接口层、网络层、传输层和应用层组成

D、其他选项均不正确

24、关于互联网信息服务，以下说法正确的是

A、互联网服务分为经营性和非经营性两类，其中