2022年12月信息安全管理体系CCAA审核员复习题含解析.doc

2022年12月信息安全管理体系CCAA审核员复习题

一、单项选择题

1、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统。

A、测量

B、报告

C、传递

D、评价

2、根据GB/T22080-2016标准中控制措施的要求，应根据法律、法规、规章、合同和业务要求，确保对记录进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。是()的条款的要求。

A、A13.2.3

B、A18.1.3

C、A9.4.1

D、A7.5.3

3、根据GB/T28450标准，ISMS文件评审不包括()。

A、信息安全管理手册的充分性

B、风险评估报告的合理性

C、适用性声明的完备性和合理性

D、风险处置计划的完备性

4、在信息安全技术中，涉及信息系统灾难恢复，其中“恢复点目标”指()?

A、史难发生后，信息系统或业务功能从停顿到必须恢复的时间

B、灾难发生后，信息系统或业务功能项恢复的范围

C、灾难发生后，系统和数据必须恢复到的时间点要求

D、灾难发生后，关键数据能被复原的范围

5、某公司财务管理数据职能提供给授权的用户，安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉，这样就可以确保数据的哪个方面的安全性得到保障。()

A、保密性

B、完整性

C、可用性

D、稳定性

6、某公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关?()。

A、机房设备面临被盗的风险

B、机房设备面临受破坏的风险

C、机房设备面临灰尘的风险

D、机房设备面临人员误入的风险

7、根据GB/T22080-2016标准中控制措施的要求，有关系统获取、开发和维护过程中的安全问题，以下描述错误的是()

A、运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险

B、系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理

C、系统的获取、开发和维护过程中的安全问题，不仅仅是考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统

D、系统的开发设计，应该越早考虑系统的安全需求越好

8、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件，有关使用单位应当在（）向当地县级以上人民政府公安机关报告。

A、8小时内

B、12小时内

C、24小时内

D、48小时内

9、根据GB/T22080-2016标准，审核中下列哪些章节不能删减()。

A、1-10

B、4-10

C、4-7和9-10

D、4-10和附录A

10、某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于()。

A、风险接受

B、风险规避

C、风险转移

D、风险减缓

11、根据GB/T22080-2016标准的要求，相关方的要求可能包括()。

A、标准、法规要求和合同义务

B、法律、标准要求和合同义务

C、法律、法规要求和合同义务

D、法律、法规和标准要求和合同义务

12、以下符合GB/T22080-2016标准A18.1.4条款要求的情况是()。

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据得到保护

D、其他选项均正确

13、关于密码技术，以下哪项属于非对称密码技术?（）

A、RSA

B、DES

C、3DES

D、AES

14、ISMS不-定必须保留的文件化信息有()。

A、适用性声明

B、信息安全风险评估过程记录

C、管理评审结果

D、重要业务系统操作指南

15、根据GB17859《计算机信息系统安全保护等级划分准则》，计算机信息系统安全保护能力分为（）等级。

A、5

B、6

C、3

D、4

16、关于信息安全连续性，以下说法正确的是()。

A、信息安全连续性即IT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

17、根据GB/T22080-2016,应按照既定的备份策略，对（）进行备份，并定期测试。

A、信息、软件和系统镜像

B、信息、软件和数据镜像

C、数据、信息和软件

D、数据、信息和系统镜像

18、依据GB/T29246，以()的组合来表示风险的大小。

A、后果和其可能性

B、资产和其可能性

C、资产和其脆弱性

D、后果和其脆弱性

19、信息安全管理体系标准族中关于信息安全管理体系建设指南的标准是（）

A、ISO/IEC27003

B、ISO/IEC27004

C、ISO/IEC27005

D、ISO/IEC27002

20、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为()。

A、三级

B、二级

C、四级

D、五级

2