2022年第三期信息安全管理体系CCAA审核员模拟试题含解析

2022年第三期信息安全管理体系CCAA审核员模拟试题一、单项选择题1、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意2、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素3、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密4、信息处理设施的变更管理包括:A、信息处理设施用途的变更B、信息处理设施故障部件的更换C、信息处理设施软件的升级D、其他选项均正确5、（）不是每个过程都需要定义的部分A、输出B、资源C、输入D、活动6、信息安全风险的基本要素包括（）A、资产、可能性、影响B、资产、脆弱性、威胁C、可能性、资产、脆弱性D、脆弱性、威胁、后果7、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次8、在认证审核时，一阶段审核是（）A、是了解受审方ISMS是否正常运行的过程B、是必须进行的C、不是必须的过程D、以上都不准确9、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对10、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。A、用户权限B、可被用户访问的资料C、系统是否遭受入侵D、可给予哪些主体访问11、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度12、考虑不同时段的工作负数的差异收费用于(）。A、故障树分析(FTA）B、可用性计划C、服务级别管理D、风险分析和管理法13、关于访问控制策略，以下不正确的是：（）A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型B、对于多任务访问，一次性赋予全任务权限C、物理区域的管理规定须遵从物理区域的访问控制策D、物理区域访问控制策略应与其中的资产敏感性一致14、经过风险处理后遗留的风险是（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险15、()属于管理脆弱性的识别对象A、物理环境B、网络结构C、应用系统D、技术管理16、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV217、以下哪一项不是ITIL所定义的服务生命周期阶段()A、服务转换B、服务退役C、服务设计D、服务战略18、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年19、对保密文件复印件张数核对是确保保密文件的（）A、保密性B、完整性C、可用性D、连续性20、关于内部审核下面说法不正确的是(）。A、组织应定义每次审核的审核准则和范围B、通过内部审核确定ISMS得到有效实施和维护C、组织应建立、实施和维护一个审核方案D、组织应确保审核结果报告至管理层21、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵22、设置防火墙策略是为了(）A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制23、安全扫描可以实现（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流24、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、202125、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是26、为信息系统用户注册时，以下正确的是:（）A、按用户的职能或业务角色设定访问权B、组共享用户ID按组任务的最大权限注册C、预设固定用户ID并留有冗余，以保障可用性D、避免频繁变更用户访问权27、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行28、关于投诉处理过程的设计，以下说法正确的是：（）A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用29、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性30、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C31、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部32、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审33、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准34、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力35、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。A、半年B、1年C、1.5年D、2年36、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件37、组织应定义所有事件的记录和分类、分级、需要时升级、解决和（）A、报告B、沟通C、回复顾客D、正式关闭38、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应39、在发布一个软件升级，修复某个已知错误后，哪个流程能确保配置信息被正确更新（）A、变更管理B、服务级别管理C、配置管理D、发布和部署管理40、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果二、多项选择题41、基础环境运维服务通常包括（）A、机房电力系统B、主机设备C、空调系统D、安防系统42、按覆盖的地理范围进行分类，计算机网络可以分为（）A、局域网B、城域网C、广域网D、区域网43、下列哪些是服务预算与核算管理必须的？（）A、服务计费B、服务实际成本C、服务成本预算D、监视成本44、评价信息安全风险，包括（）A、将风险分析的结果与信息安全风险准则进行比较B、确定风险的控制措施C、为风险处置排序以分析风险的优先级D、计算风险大小45、关键信息基础设施包括三大部分，分别是（）。A、关键基础设施B、基础信息网络C、重要信息系统D、重要互联网应用系统46、根据《中华人民共和国保守国家秘密法》，下列属于国家秘密的是（）。A、国家事务重大决策中的秘密事项B、国民经济和社会发展中的秘密事项C、科学技术中的秘密事项D、国防建设和武装力量活动中的秘密事项47、关于鉴别信息保护，正确的是（）A、使用QQ传递鉴别信息B、对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息C、鉴别信息宜加密保存D、鉴别信息的保护可作为任用条件或条款的内容48、在信息安全事件管理中，（）是员工应该完成的活动。A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件49、《中华人民共和国网络安全法》是为了保障网络安全,（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益50、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A、省B、自治区C、直辖市D、特别行政区51、防范端口扫描、漏洞扫描和网络监听的措施为(）A、安装防火墙B、定期更新系统或打补丁C、对网络上传输的信息进行加密D、关闭一些不常用的端口52、在IT服务管理中，"部署"活动包括：（）A、实施变更B、对变更的影响进行评估C、将服务组件迁移到生产环境D、将经测试的软件包转移到生产环境53、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖54、计算机信息系統的安全保护，应保障;（）A、计算机及相关和配套设备的安全B、设施(含网络)的安全C、运行坏境的安全D、计算机功能的正常发挥55、某金融服务公司为其个人注册会员提供了借資金和貸款服务，以下不正确的做法是（）A、公司使用微信群发布，申请借贷的会員背景姿料、借贷额度等进行讨论评审B、公司使用微信群发布公司内部投资策略文件C、公司要求所有员工签署NDA,不得泄露会员背景及具体借贷项目信息D、公司要求员工不得向朋友圏转化其微信群会讨论的信息三、判断题56、纠正是指为消除已发现的不符合或其他不的原因所采取的措施。（）正确错误57、J031组织对内部供应商应按服务级别管理过程进行管理。（）正确错误58、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。（）正确错误59、RSA是一种对称加密算法。（）正确错误60、容量管理策略可以考虑增加容量或降低容量要求（）正确错误61、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。（）正确错误62、当需要时，组织可设计控制，或识别来自任何来源的控制。（）正确错误63、敏感标记表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感标记作为强制访问控制决策的依据（）。正确错误64、实习审核员可以独立完成审核任务。（）正确错误65、中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。正确错误

参考答案一、单项选择题1、C2、B3、A4、D解析:信息处理设施，任何的信息处理系统，服务或基础设施，或其安装的物理位置，abc选项均属于信息处理设施变更管理范畴，故选D5、B6、B7、A8、B9、B解析:so9000-20153,4,1过程，利用输入产生输出的相互关联或相互作用的一组活动。故选B10、D11、C解析:《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度，故选C12、B13、B14、D15、D解析:27001附录A12,6，技术方面的脆弱性管理，应及时获取在用的信息系统的技术方面的脆弱性信息，评价组织对这些脆弱性的暴露情况并采取适当的措施来应对相关风险。故选D16、A17、B18、D19、A20、C21、A解析:访问控制，确保对资产的访问是基于业务和安全要求进行授权和限制的手段。A表述更为全面，B,C选项过于细化，故选A22、A23、C24、D25、D解析:漏洞检测分为被动检测（静态），主动检测（动态），综合检测（混合检测）。故选D26、A27、A28、A解析:质量管理顾客满意组织处理投诉指南1范围，投诉处理过程为投诉者提供一个开放，有效，方便的投诉程序，故选A29、A30、C解析:信息安全事件，指一个或一系列意外或不期望的信息安全事态组成，他们极有可能损害业务运行并威胁信息安全。故选C31、D32、D33、A34、B35、D36、C37、D38、D解析:短期停电即电力中断，故选D。可中断的电力供应39、C40、C二、多项选择题41、A,C,D42、A,B,C43、B,C,D44、A,C45、B,C,D46、A,B,C,D解析:所有选项均符合，本题选ABCD47、B,C,D解析:参考27002,9,2,4用户的秘密鉴别信息管理，B、C、D均正确，同时该控制中，还包含：建立一些规程，以在提供一个新的、代替的或临时的秘密鉴别信息之前，验证用户身份；在系统或软件安装后，应改变提供商的默认秘密鉴别信息；应以安全的方式将临时秘密鉴别信息提供给用户；应避免使用外部防火未受保护的（明文）电子邮件。综上