2022年第二期CCAA注册信息安全管理体系审核员复习题含解析.doc

2022年第二期CCAA注册信息安全管理体系审核员复习题

一、单项选择题

1、根据GB/T22080-2016标准的要求，信息安全管理体系最高管理层确保信息安全管理达到()。

A、预期效果

B、顾客满意

C、法规要求

D、法律要求

2、根据GB/T22080-2016标准中控制措施的要求，有关系统获取、开发和维护过程中的安全问题，以下描述错误的是()

A、运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险

B、系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理

C、系统的获取、开发和维护过程中的安全问题，不仅仅是考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统

D、系统的开发设计，应该越早考虑系统的安全需求越好

3、根据GB/T22080-2016标准中控制措施的要求，有关系统软件安全开发策略，可以不考虑下列哪一项内容?()

A、项目里程碑的安全检查点

B、开发项目进度

C、软件开发生命周期中的安全指南

D、开发环境的安全

4、以下符合GB/T22080-2016标准A18.1.4条款要求的情况是()。

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据得到保护

D、其他选项均正确

5、残余风险是指:()。

A、风险评估前，以往活动遗留的风险

B、风险评估后，对以往活动遗留的风险的估值

C、风险处置后剩余的风险，比可接受风险低

D、风险处置后剩余的风险，不一定比可接受风险低

6、对于信息安全方针，（)是GB/T22080-2016标准所要求的。

A、信息安全方针应形成文件化信息并可用

B、信息安全方针文件为公司内部重要信息，不得向外部泄露

C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义

D、信息安全方针是建立信息安全工作的总方向和原则，不可变更

7、以下不属于描述性统计技术的是()。

A、正态分布

B、散布图

C、帕累托图

D、直方图

8、关于信息安全连续性，以下说法正确的是()。

A、信息安全连续性即IT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

9、在以下人为的恶意攻击行为中，属于主动攻击的是（）

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

10、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件，有关使用单位应当在（）向当地县级以上人民政府公安机关报告。

A、8小时内

B、12小时内

C、24小时内

D、48小时内

11、关于散布图，以下说法正确的是:()。

A、是描述特性值分布区间的图——趋势图

B、是描述对变量关系的图——敏布图

C、是描述特性随时间变化趋势的图——趋势图

D、是描述变量类别分布的图——直方图

12、对于“监控系统”的存取与使用，下列说法正确的是()。

A、监控系统所产生的记录可由用户任意存取

B、应保持时钟同步

C、只有当系统发生异常事件及其他安全相关事件时才需进行监控

D、监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略

13、依据GB/T29246，以()的组合来表示风险的大小。

A、后果和其可能性

B、资产和其可能性

C、资产和其脆弱性

D、后果和其脆弱性

14、根据ISO/IEC27000标准，()为组织提供了信息安全管理体系实施指南。

A、ISO/IEC27002

B、ISO/IEC27007

C、ISO/IEC27013

D、ISO/IEC27003

15、信息安全管理体系标准族中关于信息安全管理体系建设指南的标准是（）

A、ISO/IEC27003

B、ISO/IEC27004

C、ISO/IEC27005

D、ISO/IEC27002

16、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为()。

A、三级

B、二级

C、四级

D、五级

17、根据GB/T20986，由于保障信息系统正常运行所必须的外围设施出现故障而导致的信息安全事件是()。

A、其他设备设施故障

B、外围保障设施故障

C、人为破坏事故

D、软硬件自身故障

18、拒绝服务攻击损害了下列哪一种信息安全特性?(）

A、完整性

B、可用性

C、机密性(保密性)

D、可靠性

19、某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）

A、风险接收

B、风险规避

C、风险转移

D、风险减缓

20、依据GB/T22080,信息的标记应表明:()。

A、相关供应商信息、日期、资产序列号

B、其敏感性和关键性的类别和或等级

C、所属部和批准人