2021年第三期信息安全管理体系CCAA审核员复习题含解析

2021年第三期信息安全管理体系CCAA审核员复习题一、单项选择题1、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果2、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准3、根据GB/T22080-2016中控制措施的要求，关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径4、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离5、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部6、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部7、信息安全风险的基本要素包括（）A、资产、可能性、影响B、资产、脆弱性、威胁C、可能性、资产、脆弱性D、脆弱性、威胁、后果8、文件化信息创建和更新时，组织应确保适当的（)A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准9、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）A、对组织的信息安全管理体系进行变更B、执行信息安全风险评估C、开展内部审核D、开展管理评审10、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限11、下列说法错误的是(）A、ISO/IEC20000-1:2018标准鼓励组织采用整合的过程方法B、组织满足ISO/IEC20000-1:2018标准要求，意味着该组织满足其顾客的所有要求C、组织可以把ISO/IEC20000-1:2018标准作为独立评估的依据D、组织可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准12、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对13、信息安全管理中,以下哪一种描述能说明“完整性”（）。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况14、GB/T29246标准为组织和个人提供（）A、建立信息安全管理体系的基础信息B、信息安全管理体系的介绍C、ISMS标准族已发布标准的介绍D、1SMS标准族中使用的所有术语和定义15、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响16、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障17、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督18、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、619、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。A、服务水平目标（SLO)B、恢复点目标（RPO)C、恢复时间目标（RTO)D、最长可接受终端时间（MAO)20、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件21、IT服务中"升级"是（）A、服务等级的升级B、问题管理向变更管理升级C、将事件、问题升级为更高职能的人员或部门处理D、事件管理向问题管理升级22、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保23、在运行阶段，组织应（）A、策划信息安全风险处置计划，保留文件化信息B、实现信息安全风险处置计划，保留文件化信息C、测量信息安全风险处置计划，保留文件化信息D、改进信息安全风险处置计划，保留文件化信息24、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析25、《信息技术服务分类与代码》规定(）属于软件运营服务。A、在线杀毒B、物流信息管理服务平台C、电子商务D、在线娱乐平台26、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意27、按照PDCA思路进行审核，是指（）A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对28、涉及运行系统验证的审计要求和活动，应（）A、谨慎地加以规划并取得批准，以便最小化业务过程的中断B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准，以便最小化业务过程的中断D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续29、以下哪一项不是ITIL所定义的服务生命周期阶段()A、服务转换B、服务退役C、服务设计D、服务战略30、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员31、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改32、ITSMS监督审核的目的不包括()A、确认是否持续符合认证要求B、验证认证通过的ITSMS是否得以持续改进C、作出是否换发证书的决定D、验证组织ITSMS的保持是否考虑了组织运作过程的变化33、以下哪些可由操作人员执行？（)A、审批变更B、更改配置文件C、安装系统软件D、添加/删除用户34、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通35、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对36、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制37、制定信息安全管理体系方针，应予以考虑的输入是（）A、业务战略B、法律法规要求C、合同要求D、以上全部38、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C39、ISO/IEC20000J标准的范围声明是很重要的，因为()A、它定义了管理体系根据什么予以认证B、它详细描述了所有已被认证的公司C、它详细描述了所有已被认耐砂D、它确定了哪些流程已超出了范围40、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定二、多项选择题41、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A、省B、自治区C、直辖市D、特别行政区42、计算机信息系統的安全保护，应保障;（）A、计算机及相关和配套设备的安全B、设施(含网络)的安全C、运行坏境的安全D、计算机功能的正常发挥43、关于审核方案，以下说法正确的是A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核C、中核方案即年度内部审梭计划D、审核方案是审核计划的输入44、关于云计算服务中的的安全，以下说法不正确的是（）。A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则45、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致46、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A、确保将信息安全管理体系要求整合到组织过程中B、确保信息安全管理体系所需资源可用C、确保支持相关人员为信息安全管理体系的有效性做出贡献D、确保信息安全管理体系达到预期结果47、管理评审是为了确保信息安全管理体系持续的（）A、适宜性B、充分性C、有效性D、可靠性48、访问控制包括()A、网络和网络服务的访问控制B、逻辑访问控制C、用户访问控制D、物理访问控制49、根据《中华人民共和国保守国家秘密法》，下列属于国家秘密的是（）。A、国家事务重大决策中的秘密事项B、国民经济和社会发展中的秘密事项C、科学技术中的秘密事项D、国防建设和武装力量活动中的秘密事项50、信息安全绩效的反馈，包括以下哪些方面的趋势（）A、不符合和纠正措施B、监视测量的结果C、审核结果D、信息安全方针完成情况51、影响审核时间安排的因素包括（)A、ITSMS的范围大小B、场所的数量C、认证机构审核人员的能力D、认证机构审核人员的数量52、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后53、撤销对信息和信息处理设施的访问权针对的是（）A、组织雇员离职的情况B、组织雇员转岗的情况C、临时任务结束的情况D、员工出差54、不同组织的ISMS文件的详略程度取决于（）A、文件编写人员的态度和能力B、组织的规模和活动的类型C、人员的能力D、管理系统的复杂程度55、按覆盖的地理范围进行分类，计算机网络可以分为（）A、局域网B、城域网C、广域网D、区域网三、判断题56、记录可提供符合信息安全管理体系要求和有效运行的证据。（）正确错误57、容量管理策略可以考虑增加容量或降低容量要求（）正确错误58、“资产清单”包含与信息生命周期有关的资产，与信息的创建、处理、存储、传输、删除和销毁无关联的资产不在“资产清单”的范围内。（）正确错误59、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）正确错误60、测量是确定数值和性质的过程。（）正确错误61、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）正确错误62、不同组织有关信息安全管理体系文件化信息的详略程度应基本相同。（）正确错误63、某组织在生产系统上安装升级包前制定了回退计划，这符合GB/T22080-2016/ISO/IEC27001:2013标准A12,5,1条款的要求（）正确错误64、组织的内外部相关方要求属于组织的内部和外部事项”（）正确错误65、组织应持续改进信息安全管理体系的适宜性、充分性和有效性。（）正确错误

参考答案一、单项选择题1、D2、A3、C4、B5、D6、D7、B8、D9、B10、C11、B12、A13、B14、D15、B解析:27005信息安全风险管理8,2,,1风险识别，包括资产识别，威胁识别，现有控制措施识别，脆弱性识别，后果识别。故选B16、A17、B18、C19、C20、D21、C22、A23、B24、C解析:信息分级的目的确保信息按照其对组织的重要程度受到适当水平的保护。对比四个选项，c项更能突出对组织的重要程度，故选C25、A26、C27、A28、A29、B30、C31、D32、C33、C34、A35、B36、B