2022年6月CCAA信息安全管理体系质量审核员复习题含解析

2022年6月CCAA信息安全管理体系质量审核员复习题一、单项选择题1、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素2、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段3、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制4、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改5、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划6、在访问因特网时，为了防止Web网页中恶意代码对自己计算机的损害，可以采取的防范措施是(）A、利用SSL访问Web站点B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域C、在浏览器中安装数字证书D、利用IP安全协议访问Web站点7、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应8、关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径9、运行SMS和服务所裾的资源包括()A、人员、技术、信息和资产B、人员、技术、材料和资金C、人员、技术、信息和资金D、人员、资产、信息和资金10、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改11、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定12、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件13、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力14、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）A、对组织的信息安全管理体系进行变更B、执行信息安全风险评估C、开展内部审核D、开展管理评审15、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是16、抵御电子邮箱入侵措施中，不正确的是（）A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器17、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时18、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应19、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求己得到满足，即意味着顾客满意D、组织认为顾客要求己得到满足，即意味着顾客满意20、进入重要机构时，在门卫处登记属于以下哪种措施？（）A、访问控制B、身份鉴别C、审计D、标记21、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部22、以下哪些可由操作人员执行？（)A、审批变更B、更改配置文件C、安装系统软件D、添加/删除用户23、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护 24、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确25、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更26、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙27、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B28、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认29、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的（）。A、说明B、声明C、想法D、描述30、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改31、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度32、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务33、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南34、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程35、组织确定的信息安全管理体系范围应（）A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用36、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対37、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险38、认证机构应确定，ITSMS是否能在缺少()的情况下得到充分审核并予以记录,同时还应详细说明理由。A、保密性信息B、远程支持C、方案策划D、服务目录39、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏40、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录二、多项选择题41、《信息安全等级保护管理办法》的分级是依据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对（）的危害程度等因素确定。A、公民、法人和其他组织的合法权益B、公共利益C、国家安全D、社会秩序42、ISO/IEC27001标准要求以下哪些过程要形成文件化的信息？（)A、信息安全方针B、信息安全风险处置过程C、沟通记录D、信息安全目标43、组织建立的信息安全目标，应（）A、是可测量的B、与信息安方针一致C、得到沟通D、适当时更新44、某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）A、行车监控系统B、行车路线信息C、押运人员个人信息D、押运人员用枪支45、关于个人信息安全的基本原则，以下正确的是（）A、目的明确原则B、最少够用原则C、同意和选择原则D、公开透明原则46、关于“不可否认性”，以下说法正确的是（）A、数字签名是实现“不可否认性”的有效技术手段B、身份认证是实现“不可否认性”的重要环节C、数字时间戳是“不可否认性”的关键属性D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性47、依据GB/Z20986,信息安全事件包括（)A、信息破坏事件B、设备设施故障C、信息泄露事件D、计算机病毒事件48、以下做法正确的是（）A、使用生产系统数据测试时，应先将数据进行脱敏处理B、为强化新员工培训效果，应尽可能使用真实业务案例和数据C、员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致49、为确保员工和合同方理解其职责、并适合其角色，在员工任用之前，必须（）A、对其进行试用B、对员工的背景进行适当的验证检查C、在任用条款与合同中指导安全职责D、面试50、下列哪项属于《认证机构管理办法》中规定的设立认证机构应具备的条件？（）A、具有固定的办公场所和必备设施B、注册资本不得少于人民币600万元C、具有10名以上相应领域的专职认证人员D、具有符合认证认可要求的管理制度51、下列哪些是SSL支持的内容类型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data52、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A、省B、自治区C、直辖市D、特别行政区53、关于涉密信息系统的管理，以下说法正确的是：（)A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途54、某工程公司意图采用更为灵活的方式建立息安全管理体系，以下说法不正确的（）A、信息安全可以按过程管理，采用这种方法时不必再编制资产清单B、信息安全可以按项目来管理，原项目管理机制中的风险评估可替代GC/T22080-2016/I.SO/IED27001:2013标准中的风险评估C、公司各类项日的临时场所存在时间都较短，不必纳入ISMS范围D、工程项目方案因包含设计图纸等核心技术信息，其敏感性等级定义为最高55、下面哪一条措施可以防止数据泄漏（)A、数据冗余B、数据加密C、访问控制D、密码系统三、判断题56、最高管理层应确保方针得到建立（）正确错误57、《中华人民共和国网络安全法》是2017年1月1日起实施的。（）正确错误58、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）正确错误59、组织确定的为规划和运行服务管理体系所必需的外来的文档化信息,应得到适当的识别，并予以控制。（）正确错误60、组织的业务连续性策略即其信息安全连续性策略。正确错误61、记录可提供符合信息安全管理体系要求和有效运行的证据。（）正确错误62、组织的内外部相关方要求属于组织的内部和外部事项”（）正确错误63、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。正确错误64、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）正确错误65、敏感信息通过网络传输时必须加密处理。（)正确错误

参考答案一、单项选择题1、B2、C3、B解析:网络和网络服务的访问，应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。cd选项错误，必须是已授权用户才可访问。A选项错误，在家登录，不符合安全访问控制策略。故选B4、D5、C6、B7、D8、C9、C10、D11、D12、C13、B14、B15、D16、D17、A18、D解析:短期停电即电力中断，故选D。可中断的电力供应19、C20、B21、D22、C23、A24、D25、B26、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D27、D28、B29、B解析:参考27000，控制目标指，描述实施控制的实施结果所要达到的目标的声明。故选B30、D解析:数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性并保护数据，防止被人（例如接收者）进行伪造，篡改或是抵赖。故选D31、A32、D33、D34、D解析:风险处置，是指选择并且执行措施来更改风险的过程。故选D35、A36、A37、C38、A39、B40、D二、多项选择题41、A,B,C,D42、A,B,D43、A,B,C,D44、A,