2022年第二期CCAA注册审核员信息安全管理体系复习题含解析.doc

2022年第二期CCAA注册审核员信息安全管理体系复习题

一、单项选择题

1、在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）。

A、客户组织的准备程度

B、所需能力的审核组成员

C、所需审核组能力的要求

D、客户组织的场所分布

2、在信息安全技术中，涉及信息系统灾难恢复，其中“恢复点目标”指()?

A、史难发生后，信息系统或业务功能从停顿到必须恢复的时间

B、灾难发生后，信息系统或业务功能项恢复的范围

C、灾难发生后，系统和数据必须恢复到的时间点要求

D、灾难发生后，关键数据能被复原的范围

3、TCP/IP协议层次结构由()。

A、网络接口层、网络层组成

B、网络接口层、网络层、传输层组成

C、网络接口层、网络层、传输层和应用层组成

D、其他选项均不正确

4、对于“监控系统”的存取与使用，下列说法正确的是()。

A、监控系统所产生的记录可由用户任意存取

B、应保持时钟同步

C、只有当系统发生异常事件及其他安全相关事件时才需进行监控

D、监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略

5、根据GB/T22080-2016标准中控制措施的要求，应根据法律、法规、规章、合同和业务要求，确保对记录进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。是()的条款的要求。

A、A13.2.3

B、A18.1.3

C、A9.4.1

D、A7.5.3

6、为了达到组织灾难恢复的要求，备份时间间隔不能超过()

A、服务水平目标(SLO)

B、恢复点目标(RPO)

C、恢复时间目标(RTO)

D、最长可接受终端时间(MAO)

7、以下不属于描述性统计技术的是()。

A、正态分布

B、散布图

C、帕累托图

D、直方图

8、根据GB/T22080-2016标准中控制措施的要求，应按计划的时间间隔或在重大变化发生时，对组织的信息安全管理方法及其实现进行的（）

A、内部评审

B、第三方评审

C、系统评审

D、独立评审

9、GB/T29246标准由（）提出并归口。

A、SC27

B、SAC/TC261

C、SC40

D、SAC/TC260

10、关于GB/T22080-2016，以下说法正确的是()。

A、相关方的需求和期望是组织制定信息安全方针的输入

B、实施标准4.1~4.2，须编制“相关方管理程序”，形成文件

C、组织须维护一份相关方及其需求和期望的清单

D、组织应识别的相关方不随ISMS围而变化

11、根据GB/T22086-2016的要求，内部审核是为了确保信息安全管理体系()

A、实现和维护的符合性

B、实现和维护的适宜性

C、适宜的实现和维护

D、有效的实现和维护

12、根据GB/T29246，信息处理设施不包括()。

A、信息系统

B、系统和设施安置的物理场所

C、人及文档

D、服务和基础设施

13、被黑客控制的计算机常被称为（）。

A、蠕虫

B、肉鸡

C、灰鸽子

D、木马

14、某公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关?()。

A、机房设备面临被盗的风险

B、机房设备面临受破坏的风险

C、机房设备面临灰尘的风险

D、机房设备面临人员误入的风险

15、SaaS指()。

A、软件即服务

B、平台即服务

C、应用即服务

D、基础设施即服务

16、风险偏好是组织寻求或保留风险的()。

A、行动

B、计划

C、意愿

D、批复

17、以下哪个不是威胁?()

A、错误使用

B、文献缺乏

C、电磁辐射

D、权力滥用

18、残余风险是指:()。

A、风险评估前，以往活动遗留的风险

B、风险评估后，对以往活动遗留的风险的估值

C、风险处置后剩余的风险，比可接受风险低

D、风险处置后剩余的风险，不一定比可接受风险低

19、信息系统的安全保护等级分为()。

A、三级

B、五级

C、四级

D、二级

20、根据GB/T22080-2016标准中控制措施的要求，有关系统获取、开发和维护过程中的安全问题，以下描述错误的是()

A、运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险

B、系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理

C、系统的获取、开发和维护过程中的安全问题，不仅仅是考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统

D、系统的开发设计，应该越早考虑系统的安全需求越好

21、根据《互联网信息服务管理办法》，以下哪个说法是错误的?()

A、互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号

B、互联网信息服务提供者变更服务项目、网站网址等事项的，应当提前30日向原审核、发证或者备案机关办理变更手续

C、非经营性互联网信息服务提供者可以从事有偿服务

D、互联网信息服务提供者应当按照经许可或者备案的项目提供服务，