2022年第四期CCAA信息安全管理体系质量审核员复习题含解析

2022年第四期CCAA信息安全管理体系质量审核员复习题一、单项选择题1、依据《中华人民共和国网络安全法》，以下正确的是（）。A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月2、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部3、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是()A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施B、一旦遭到破坏、数据泄雷，可能严重危害国家安全、国计民生的信息基础设施C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施D、—旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统4、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复5、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段6、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请A、2年B、3年C、4年D、5年7、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险8、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力9、当获得的审核证据表明不能达到审核目的时，申核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理中以确定适当的措施C、宣布取消末次会议D、以上各项都不可以10、ISO/IEC20000J标准的范围声明是很重要的，因为()A、它定义了管理体系根据什么予以认证B、它详细描述了所有已被认证的公司C、它详细描述了所有已被认耐砂D、它确定了哪些流程已超出了范围11、()属于管理脆弱性的识别对象A、物理环境B、网络结构C、应用系统D、技术管理12、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。A、认证B、认可C、审核D、评审13、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定14、组织应（）。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级15、信息系统的变更管理包括（）A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部16、信息安全事态、事件和事故的关系是（）A、事态一定是事件，事件一定是事故B、事件一定是事故，事故一定是事态C、事态一定是事故，事故一定是事件D、事故一定是事件，事件一定是事态17、IT部门中的所有服务是否都要包含在认证范围以内？（）A、是的，整个范围的服务都要包含在认证范围之内B、只有当其都被提供给相同的客户群体时C、不，该范围可限制为服务的子集D、取决于该服务为内部提供还是外部提供18、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力19、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次20、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A、静态B、动态C、均可D、静态达到50%以上即可21、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次22、（）不是每个过程都需要定义的部分A、输出B、资源C、输入D、活动23、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督24、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响25、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是26、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対27、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份28、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗29、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型30、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离31、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作32、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对33、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果34、IT服务中"升级"是（）A、服务等级的升级B、问题管理向变更管理升级C、将事件、问题升级为更高职能的人员或部门处理D、事件管理向问题管理升级35、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录36、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络37、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南38、信息安全控制目标是指：（)A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B39、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确40、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）A、对组织的信息安全管理体系进行变更B、执行信息安全风险评估C、开展内部审核D、开展管理评审二、多项选择题41、关于审核委托方，以下说法正确的是（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核42、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后43、访问控制包括()A、网络和网络服务的访问控制B、逻辑访问控制C、用户访问控制D、物理访问控制44、风险处置的可选措施包括（）。A、风险识别B、风险分析C、风险转移D、风险减缓45、依据《信息技术服务分类与代码》，运行维护服务包括对客户信息系统（）等提供的各种技术支持和管理服务。A、硬件B、软件C、数据D、基础环境46、对于组织在风险处置过程中所选的控制措施，以下说法正确的是（）A、将所有风险都必须被降低至可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下，有意识、客观地接受风险D、规避风险47、在未得到授权的前提下，以下属于信息安全“攻击”的是:（）A、盗取、暴露、交更资产的行为B、破坏或使资产失去预期功能的行为C、访问,使用资产行为D、监视和获取资产使用状态信息的行为48、某组织在酒店组织召开内容敏感的会议，根据GB/T22080-2016/ISO/IEC27001:2013标准，以下说法正确的是（）A、会议开始前及持续期间开启干扰机，这符合A11,2的要求B、进入会议室人员被要求手机不得带入，这符合A11,1的要求C、对于可进入会议室提供茶水服务的酒店服务生进行筛选，这符合A11,1的要求D、要求参会人员在散会时将纸质会议资料留下由服务生统一回收，这符合A8,3的要求49、针对敏感应用系统安全，以下正确的做法是（）。A、用户尝试登录失败时，明确提示其用户名错误或口令错误B、登录之后，不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限50、在IT服务管理中，"部署"活动包括：（）A、实施变更B、对变更的影响进行评估C、将服务组件迁移到生产环境D、将经测试的软件包转移到生产环境51、根据《中华人民共和国保守国家秘密法》，下列属于国家秘密的是（）。A、国家事务重大决策中的秘密事项B、国民经济和社会发展中的秘密事项C、科学技术中的秘密事项D、国防建设和武装力量活动中的秘密事项52、下列哪项属于《认证机构管理办法》中规定的设立认证机构应具备的条件？（）A、具有固定的办公场所和必备设施B、注册资本不得少于人民币600万元C、具有10名以上相应领域的专职认证人员D、具有符合认证认可要求的管理制度53、下列哪些是SSL支持的内容类型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data54、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核55、认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备(）A、管理体系的知识B、ISMS监视、测量、分析和评价的知识C、与受审核活动相关的技术知识D、信息安全的知识三、判断题56、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺正确错误57、IT系統日志信息保存所需的資源不属于容量管理的范围（）正确错误58、“资产清单”包含与信息生命周期有关的资产，与信息的创建、处理、存储、传输、删除和销毁无关联的资产不在“资产清单”的范围内。（）正确错误59、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）正确错误60、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）正确错误61、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）正确错误62、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）正确错误63、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）正确错误64、组织应持续改进信息安全管理体系的适宜性、充分性和有效性（）正确错误65、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）正确错误

参考答案一、单项选择题1、C2、B3、A4、C5、C6、D7、C8、B9、B10、D11、D解析:27001附录A12,6，技术方面的脆弱性管理，应及时获取在用的信息系统的技术方面的脆弱性信息，评价组织对这些脆弱性的暴露情况并采取适当的措施来应对相关风险。故选D12、B13、A14、C解析:参考ISO/IEC27001：2013附录A8,2信息分级，信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级15、D16、D17、C18、B19、D