2022年12月CCAA信息安全管理体系质量审核员模拟试题含解析

2022年12月CCAA信息安全管理体系质量审核员模拟试题一、单项选择题1、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求A、2B、3C、5D、72、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议3、关于信息安全连续性，以下说法正确的是：A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定4、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是5、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证C、对于离开组织的设备和资产须验证相关授权信息D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证6、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议,明确安全和保密义务与责任A、安全保密B、安全保护C、安全保障D、安全责任7、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对8、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划9、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果10、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项11、末次会议包括（）A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确12、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准13、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B14、关于适用性声明下面描述错误的是(）A、包含附录A中控制删减的合理性说明B、不包含未实现的控制C、包含所有计划的控制D、包含附录A的控制及其选择的合理性说明15、《计算机信息系统安全保护条例》中所称计算机信息系统，是指A、对信息进行采集、加工、存储、传输、检索等处理的人机系统B、计算机及其相关的设备、设施，不包括软件C、计算机运算环境的总和，但不含网络D、一个组织所有计算机的总和，包括未联网的微型计算机16、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C17、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式18、不属于计算机病毒防治的策略的是（）A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘19、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护 20、（）不是每个过程都需要定义的部分A、输出B、资源C、输入D、活动21、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏22、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改23、依据GB/T22080/ISO/IEC27001中控制措施的要求，关于网络服务的访问控制策略,以下正确的是()A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制24、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年25、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更26、对保密文件复印件张数核对是确保保密文件的（）A、保密性B、完整性C、可用性D、连续性27、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人28、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理29、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏30、在发布一个软件升级，修复某个已知错误后，哪个流程能确保配置信息被正确更新（）A、变更管理B、服务级别管理C、配置管理D、发布和部署管理31、下列()不是创建和维护测量要执行的活动。A、开展测量活动B、识别当前支持信息需求的安全实践C、开发和更新测量D、建立测量文档并确定实施优先级32、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对33、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析34、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》35、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议36、关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径37、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D、数据备份38、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意39、根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是（）A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性40、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果二、多项选择题41、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训42、关于鉴别信息保护，正确的是（）A、使用QQ传递鉴别信息B、对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息C、鉴别信息宜加密保存D、鉴别信息的保护可作为任用条件或条款的内容43、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机44、信息安全风险分析包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性45、ISO/IEC27000,以下说法正确的是（）A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准46、审核计划中应包括（）A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排47、操作系统的基本功能有(）A、存储管理B、文件管理C、设备管理D、处理器管理48、依据《信息技术服务分类与代码》，运行维护服务包括对客户信息系统（）等提供的各种技术支持和管理服务。A、硬件B、软件C、数据D、基础环境49、下列哪些是SSL支持的内容类型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data50、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟51、以下属于访问控制的是（）。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品查杀病毒52、以下属于访问控制的是（)。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品査杀病毒53、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类54、关于审核委托方，以下说法正确的是（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核55、某工程公司意图采用更为灵活的方式建立息安全管理体系，以下说法不正确的（）A、信息安全可以按过程管理，采用这种方法时不必再编制资产清单B、信息安全可以按项目来管理，原项目管理机制中的风险评估可替代GC/T22080-2016/I.SO/IED27001:2013标准中的风险评估C、公司各类项日的临时场所存在时间都较短，不必纳入ISMS范围D、工程项目方案因包含设计图纸等核心技术信息，其敏感性等级定义为最高三、判断题56、ISO/IEC27006是ISO/IEC17021的相关要求的补充。(）正确错误57、ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。(）正确错误58、组织应适当保留信息安全目标文件化信息（）正确错误59、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）正确错误60、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）正确错误61、J020相关方可以是组织内部也可以是组织外部的。(）正确错误62、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）正确错误63、不同组织有关信息安全管理体系文件化信息的详细程度应基本相同（）正确错误64、审核方案应包括审核所需的资源，例如交通和食宿。（）正确错误65、计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统（）正确错误

参考答案一、单项选择题1、C解析:《计算机信息系统安全保护等级划分准则》规定了计算机系统安全保护能力的五个等级2、A3、B4、D5、C6、A7、B8、C9、D10、C11、C12、A13、A14、B15、A16、D17、D18、D19、A20、B21、B22、D23、B24、D25、B26、A27、C28、D29、B30、C31、D32、A33、C34、D35、B解析:局域网是指家庭或是办公室，或者其他环境中小型网络。而大型计算机环境是指类似服务器的大型网络。两者本地备份差别主要体现在容错能力上，故选B36、C37、D38、C39、B40、C二、多项选择题41、A,B,C42、B,C,D解析:参考27002,9,2,4用户的秘密鉴别信息管理，B、C、D均正确，同时该控制中，还包含：建立一些规程，以在提供一个新的、代替的或临时的秘密鉴别信息之前，验证用户身份；在系统或软件安装后，应改变提供商的默认秘密鉴别信息；应以安全的方式将临时秘密鉴别信息提供给用户；应避免使用外部防火未受保护的（明文）电子邮件。综上本题选BCD43、A,B44、B,C,D45、A,B,C,D46、B,C,D解析:参考gb/t19011-2013,6,3,2,2审核计划包括：a)审核目标；b)审核范围；c)审核准则和引用文件；d)实施审核活动的地点、日期、预期的时间和期限，包括与受审核方管理者的会议；e)使用的审核方法，包括所需的审核抽样的范围，以获得足够的审核证据，适用时还包括抽样方案的设计；f)审核组成员、向导和观