2022年第二期CCAA注册审核员信息安全管理体系考试题目含解析.doc

2022年第二期CCAA注册审核员信息安全管理体系考试题目

一、单项选择题

1、根据GB/T22086-2016的要求，内部审核是为了确保信息安全管理体系()

A、实现和维护的符合性

B、实现和维护的适宜性

C、适宜的实现和维护

D、有效的实现和维护

2、按照PDCA思路进行审核，是指()。

A、按照认可规范中规定的PDCA流程进行审核

B、按照认证机构的PDCA流程进行审核

C、按照受审核区域的信息安全管理活动的PDCA过程进行审核

D、按照检查表策划9PDCA进行审核

3、根据GB/T22080-2016标准，在理解组织及其环境时，组织应确定()。

A、与其意图相关的，且影响其实现信息安全管理能力的外部和内部事项

B、与信息安全方针相关的，且影响其实现信息安全管理能力的内部和外部事项

C、与其战略相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项

D、与其意图相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项

4、某数据中心申请ISMS认证的范围为IDC基础设施服务的提供”，对此以下说法正确的是（）。

A、A.8可以删减

B、A.12可以删减

C、A.14可以删减

D、以上都对

5、信息系统的安全保护等级分为()。

A、三级

B、五级

C、四级

D、二级

6、关于GB17859，以下说法正确的是()。

A、特定的法律法规引用该标准在引用的范围内视为强制性标准

B、这是一份推荐性标准

C、这是一份强制性标准

D、组织选择使用该标准在选择的范围内视为强制性标准

7、关于GB/T22080-2016，以下说法正确的是()。

A、相关方的需求和期望是组织制定信息安全方针的输入

B、实施标准4.1~4.2，须编制“相关方管理程序”，形成文件

C、组织须维护一份相关方及其需求和期望的清单

D、组织应识别的相关方不随ISMS围而变化

8、GB/T29246标准由（）提出并归口。

A、SC27

B、SAC/TC261

C、SC40

D、SAC/TC260

9、对于信息安全方针，（)是GB/T22080-2016标准所要求的。

A、信息安全方针应形成文件化信息并可用

B、信息安全方针文件为公司内部重要信息，不得向外部泄露

C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义

D、信息安全方针是建立信息安全工作的总方向和原则，不可变更

10、以下哪个不是威胁?()

A、错误使用

B、文献缺乏

C、电磁辐射

D、权力滥用

11、根据GB/T22086-2016标准中控制措施的要求，信息安全控制措施不包括（）。

A、安全策略

B、物理和环境安全

C、访问控制

D、安全范围

12、某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于()。

A、风险接受

B、风险规避

C、风险转移

D、风险减缓

13、用户访问某Web站，用户直接采取的安全措施是()。

A、服务器数据备份

B、防火墙过滤数据包

C、用户输入登录口令

D、核心交换机的热备

14、在以下人为的恶意攻击行为中，属于主动攻击的是（）

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

15、GB/T22080/IEC27001:2013标准附录A中有（）个安全域。

A、18

B、16

C、15

D、14

16、根据GB/T25058《信息安全技术网络安全等级保护实施指南》，对等级保护对象实施等级保护的基本流程包括，等级保护对象()阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和定级对象终止阶段。

A、备案与风险评估

B、定级与风险管理

C、定级与风险评估

D、定级与备案

17、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统。

A、测量

B、报告

C、传递

D、评价

18、根据GB/T20986，由于保障信息系统正常运行所必须的外围设施出现故障而导致的信息安全事件是()。

A、其他设备设施故障

B、外围保障设施故障

C、人为破坏事故

D、软硬件自身故障

19、ISMS不-定必须保留的文件化信息有()。

A、适用性声明

B、信息安全风险评估过程记录

C、管理评审结果

D、重要业务系统操作指南

20、根据ISO/IEC27006标准，认证决定应基于审核报告中()对客户ISMS是否通过认证的建议。

A、审核组

B、观察员

C、认证决定人员

D、审核员

21、关于《中华人民共和国网络安全法》中的“三同步要求，以吓说法正确的是（）。

A、指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用

B、建设三级以上信息系统须保证子系统同步规划、同步建设、同步使用

C、建设机密及以上信息系统须保证子系统同步规划、同步建设、同步使用

D、以上