2022年第一期CCAA信息安全管理体系质量审核员复习题含解析

2022年第一期CCAA信息安全管理体系质量审核员复习题一、单项选择题1、确定资产的可用性要求须依据（）。A、授权实体的需求B、信息系统的实际性能水平C、组织可支付的经济成本D、最高管理者的决定2、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人3、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析4、信息安全的机密性是指（）A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 5、()属于管理脆弱性的识别对象A、物理环境B、网络结构C、应用系统D、技术管理6、信息安全控制目标是指：（)A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B7、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）A、下级管理员无权修改，不可删除B、下级管理员无权修改，可以删除C、下级管理员可以修改，可以删除D、下级管理员可以修改，不可删除8、下列哪项对于审核报告的描述是错误的?（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对9、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是10、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议11、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准12、不属于公司信息资产的是（）A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对13、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准14、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式15、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析16、末次会议包括（）A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确17、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时18、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对19、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用20、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标21、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次22、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年23、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞24、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。A、人为因素B、自然灾难C、不可抗力D、网络故障25、形成ISMS审核发现时，不需要考虑的是（）A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性26、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限27、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机28、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息A、相关方B、供应商C、顾客D、上级机关29、已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A、问题B、事件C、错误D、事态30、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对31、对保密文件复印件张数核对是确保保密文件的（）A、保密性B、完整性C、可用性D、连续性32、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录33、组织机构在建立和评审ISMS时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其它要求D、A+BE、A+C34、关于访问控制策略，以下不正确的是：（）A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型B、对于多任务访问，一次性赋予全任务权限C、物理区域的管理规定须遵从物理区域的访问控制策D、物理区域访问控制策略应与其中的资产敏感性一致35、关于文件管理下列说法错误的是（）A、文件发布前应得到批准，以确保文件是适宜的B、必要时对文件进行评审、更新并再次批准C、应确保文件保持清晰，易于识别D、作废文件应及时销毁，防止错误使用36、根据《互联网信息服务管理办法》，互联网接入服务提供者应当记录上网用户的(）A、用户帐号、上网时间、访问端口信息B、用户帐户、上网时间、访问内容C、用户帐号、访问IP地址、用户计算机型号D、上网时间、用户帐号、互联网地址37、关于认证人员执业要求，以下说法正确的是:A、注册审核员只能在一个认证机构和一个咨询机构执业B、注册审核员和认证决定人员只能在一个认证机构C、注册审核员只能在一个认证机构执业，非注册的认证决定人员不受此限制D、在咨询机构认专职咨询师的人员，只能在认证机构人兼职认证决定人员38、依据ISO/IEC20000-1:2018,服务目录应()A、描述服务及其结果B、由顾客制定C、是合同的一部分D、是统一所有服务描述的汇总39、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型40、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC40二、多项选择题41、以下属于“关键信息基础设施”的是（）。A、输配电骨干网监控系统B、计算机制造企业IDC供电系统C、髙等院校网络接入设施D、高铁信号控制系统42、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致43、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处理44、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机45、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟46、依据GB/Z20986，确定为重大社会影响的情况包括（）A、涉及到一个或多个城市的大部分地区B、威胁到国家安全C、扰乱社会秩序D、对经济建设设有重大负面影响47、依据《信息技术服务分类与代码》，运行维护服务包括对客户信息系统（）等提供的各种技术支持和管理服务。A、硬件B、软件C、数据D、基础环境48、按覆盖的地理范围进行分类，计算机网络可以分为（）A、局域网B、城域网C、广域网D、区域网49、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估50、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后51、管理评审是为了确保信息安全管理体系持续的（）A、适宜性B、充分性C、有效性D、可靠性52、为确保员工和合同方理解其职责、并适合其角色，在员工任用之前，必须（）A、对其进行试用B、对员工的背景进行适当的验证检查C、在任用条款与合同中指导安全职责D、面试53、关于涉密信息系统的管理，以下说法正确的是：（)A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途54、《中华人民共和国网络安全法》的宗旨是（）A、维护网络间主权B、维按国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益55、信息安全风险分析包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性三、判断题56、组织应适当保留信息安全目标文件化信息。（）正确错误57、容量管理策略可以考虑增加容量或降低容量要求。（）正确错误58、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）正确错误59、IT系統日志信息保存所需的資源不属于容量管理的范围（）正确错误60、组织确定的为规划和运行服务管理体系所必需的外来的文档化信息,应得到适当的识别，并予以控制。（）正确错误61、通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，可以称这种新出现的计算机病毒是原来计算机病毒的变形。正确错误62、客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核（)正确错误63、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）正确错误64、纠正是指为消除已发现的不符合或其他不的原因所采取的措施。（）正确错误65、中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。正确错误

参考答案一、单项选择题1、A解析:资产在可用性上的不同要求，依据授权实体的需求而定，故选A2、C3、C4、B5、D解析:27001附录A12,6，技术方面的脆弱性管理，应及时获取在用的信息系统的技术方面的脆弱性信息，评价组织对这些脆弱性的暴露情况并采取适当的措施来应对相关风险。故选D6、A7、A8、A9、D10、B解析:局域网是指家庭或是办公室，或者其他环境中小型网络。而大型计算机环境是指类似服务器的大型网络。两者本地备份差别主要体现在容错能力上，故选B11、B解析:iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。cnas-cc1702认证规范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms认证的依据，故选B12、C13、A14、D15、C解析:信息分级的目的确保信息按照其对组织的重要程度受到适当水平的保护。对比四个选项，c项更能突出对组织的重要程度，故选C16、C17、A18、C19、A20、D21、D22、A解析:国家秘密的保密期限,除有特殊规定外,绝密级事项不超过三十年,机密级事项不超过二十年,秘密级事项不超过十年23、B24、C25、C26、C27、B28、A29、A30、B解析:so9000-20153,