2022年3月信息安全管理体系CCAA审核员复习题含解析.doc

2022年3月信息安全管理体系CCAA审核员复习题

一、单项选择题

1、根据GB/T28450标准，ISMS文件评审不包括()。

A、信息安全管理手册的充分性

B、风险评估报告的合理性

C、适用性声明的完备性和合理性

D、风险处置计划的完备性

2、信息安全管理体系标准族中关于信息安全管理体系建设指南的标准是（）

A、ISO/IEC27003

B、ISO/IEC27004

C、ISO/IEC27005

D、ISO/IEC27002

3、根据GB/T22080-2016标准中控制措施的要求，有关系统软件安全开发策略，可以不考虑下列哪一项内容?()

A、项目里程碑的安全检查点

B、开发项目进度

C、软件开发生命周期中的安全指南

D、开发环境的安全

4、GB/T22080/IEC27001:2013标准附录A中有（）个安全域。

A、18

B、16

C、15

D、14

5、拒绝服务攻击损害了下列哪一种信息安全特性?(）

A、完整性

B、可用性

C、机密性(保密性)

D、可靠性

6、在以下人为的恶意攻击行为中，属于主动攻击的是（）

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

7、根据GB/T22080-2016标准的要求，以下说法正确的是()。

A、潜在事件发生的可能性与后果的和决定了风险的级别

B、潜在事件后果的严重性决定了风险级别

C、潜在事件发生的可能性和后果相乘决定了风险级别

D、已发生事件的后果决定了风险级别

8、根据GB/T22081-2016标准的要求，附录A包含()项控制措施。

A、114

B、139

C、143

D、133

9、以下符合GB/T22080-2016标准A18.1.4条款要求的情况是()。

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据得到保护

D、其他选项均正确

10、某数据中心申请ISMS认证的范围为IDC基础设施服务的提供”，对此以下说法正确的是（）。

A、A.8可以删减

B、A.12可以删减

C、A.14可以删减

D、以上都对

11、根据GB17859《计算机信息系统安全保护等级划分准则》，计算机信息系统安全保护能力分为（）等级。

A、5

B、6

C、3

D、4

12、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件，有关使用单位应当在（）向当地县级以上人民政府公安机关报告。

A、8小时内

B、12小时内

C、24小时内

D、48小时内

13、根据GB/T22086-2016标准中控制措施的要求，信息安全控制措施不包括（）。

A、安全策略

B、物理和环境安全

C、访问控制

D、安全范围

14、根据GB/T22080-2016标准中控制措施的要求，有关安全登陆规程，不能接受的做法是()。

A、在设备上张贴警示通告，说明只有已授权用户才能访问计算机

B、忘记个人口令，暴力破解尝试登陆

C、输入口令时不显示系统或应用标识符，直到登陆过程已成功完成为止

D、在安全登陆期间，不提供对未授权用户有帮助作用的信息

15、关于《中华人民共和国网络安全法》中的“三同步要求，以吓说法正确的是（）。

A、指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用

B、建设三级以上信息系统须保证子系统同步规划、同步建设、同步使用

C、建设机密及以上信息系统须保证子系统同步规划、同步建设、同步使用

D、以上都不对

16、关于GB17859，以下说法正确的是()。

A、特定的法律法规引用该标准在引用的范围内视为强制性标准

B、这是一份推荐性标准

C、这是一份强制性标准

D、组织选择使用该标准在选择的范围内视为强制性标准

17、SaaS指()。

A、软件即服务

B、平台即服务

C、应用即服务

D、基础设施即服务

18、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()

A、识别可能性和影响

B、识别脆弱性和识别后果

C、识别脆弱性和可能性

D、识别脆弱性和影响

19、某公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关?()。

A、机房设备面临被盗的风险

B、机房设备面临受破坏的风险

C、机房设备面临灰尘的风险

D、机房设备面临人员误入的风险

20、关于散布图，以下说法正确的是:()。

A、是描述特性值分布区间的图——趋势图

B、是描述对变量关系的图——敏布图

C、是描述特性随时间变化趋势的图——趋势图

D、是描述变量类别分布的图——直方图

21、某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于()。

A、风险接受

B、风险规避

C、风险转移

D、风险减缓

22、被黑客控制的计算机常被称为（）。

A、