2024年8月信息安全管理体系CCAA审核员考试题目含解析

2024年8月信息安全管理体系CCAA审核员考试题目一、单项选择题1、安全扫描可以实现（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流2、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审3、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项4、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知5、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部6、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力7、信息安全残余风险是（）。A、没有处置完成的风险B、没有评估的风险C、处置之后仍存在的风险D、处置之后没有报告的风险8、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改9、ISMS管理评审的输出应包括（）A、可能影响ISMS的任何变更B、以往风险评估没有充分强调的脆弱点或威胁C、风险评估和风险处理计划的更新D、改进的建议10、对全国密码工作实行统一领导的机构是(）A、中央密码工作领导机构B、国家密码管理部门C、中央国家机关D、全国人大委员会11、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素12、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护 13、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限14、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响15、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是16、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对17、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次18、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督19、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A、组织建立信息安全策略和信息安全目标，并与组织战略方向一致B、确保建立信息安全策略和信息安全目标，并与组织战略方向一致C、领导建立信息安全策略和信息安全目标，并与组织战略方向一致D、沟通建立信息安全策略和信息安全目标，并与组织战略方向一致20、《信息技术服务分类与代码》规定(）属于软件运营服务。A、在线杀毒B、物流信息管理服务平台C、电子商务D、在线娱乐平台21、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4022、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）A、对组织的信息安全管理体系进行变更B、执行信息安全风险评估C、开展内部审核D、开展管理评审23、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审24、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是25、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应26、文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对27、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议28、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对29、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是()A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施B、一旦遭到破坏、数据泄雷，可能严重危害国家安全、国计民生的信息基础设施C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施D、—旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统30、"多级SLA"是一个三层结构，下列哪层不是这样类型SLA的部分？()A、客户级别B、公司级别C、配置级别D、服务级别31、组织应按照本标准的要求（）信息安全管理体系。A、策划、实现、监视、和持续改进B、建立、实施、监视、和持续改进C、建立、实现、维护、和持续改进D、策划、实施、维护、和持续改进32、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险33、关于文件管理下列说法错误的是（）A、文件发布前应得到批准，以确保文件是适宜的B、必要时对文件进行评审、更新并再次批准C、应确保文件保持清晰，易于识别D、作废文件应及时销毁，防止错误使用34、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件35、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复36、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更37、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议,明确安全和保密义务与责任A、安全保密B、安全保护C、安全保障D、安全责任38、已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A、问题B、事件C、错误D、事态39、组织应（），以确信相关过程按计划得到执行。A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度40、信息安全管理中,以下哪一种描述能说明“完整性”（）。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况二、多项选择题41、撤销对信息和信息处理设施的访问权针对的是（）A、组织雇员离职的情况B、组织雇员转岗的情况C、临时任务结束的情况D、员工出差42、对于信息安全方针,（）是GB/T22080-2016标准要求的A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审43、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖44、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致45、GB/T22080-2016/ISO/IEC27001:2013标准可用于（）A、指导组织建立信息安全管理体系B、为组织建立信息安全管理体系提供控制措施的实施指南C、审核员实施审核的依据D、以上都不对46、以下做法正确的是（）A、使用生产系统数据测试时，应先将数据进行脱敏处理B、为强化新员工培训效果，应尽可能使用真实业务案例和数据C、员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致47、“云计算机服务”包括哪几个层面？（）A、PaasB、SaaSC、IaaSD、PIIS48、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训49、以下属于访问控制的是（)。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品査杀病毒50、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格率D、过程中存在偶然波动还是异常波动51、对于信息安全方针,（）是GB/T22080-2016标准要求的(分数:10.00分)A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审52、信息安全管理中，以下属于“按需知悉（need-to-know)”原则的是（）A、根据工作需要仅获得最小的知悉权限B、工作人员仅需要满足工作任务所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围。D、工作范围是可访问的信息53、下面哪一条措施可以防止数据泄漏（)A、数据冗余B、数据加密C、访问控制D、密码系统54、认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备(）A、管理体系的知识B、ISMS监视、测量、分析和评价的知识C、与受审核活动相关的技术知识D、信息安全的知识55、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是（）A、与N签署协议规定服务级别及安全要求B、在对N公司人员服务时，接入M公司的移动电脑事前进行安全扫描C、将多张核心机房门禁卡统一登记在N公司项目组组长名下，由其按需发给进入机房的N公司人员使用D、对N公司带入带出机房的电脑进行检查登记，硬盘和U盘不在此检查登记范围内三、判断题56、破坏、摧毁、控制网络基础设施是网络攻击行为之一。正确错误57、某组织租用第三方数据中心机房托管其IT系统设备，因此认证审核时不必审核计算机机房物理安全的相关内容()正确错误58、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）正确错误59、敏感信息通过网络传输时必须加密处理。（)正确错误60、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。正确错误61、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）正确错误62、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）正确错误63、某互联网服务公司允许员工使用手机APP完成对公司客户的服务请求处理，但手机须安装公司规定的安全控制程序，无论手机是公司配发的或员工私有的。这符合IS0/IEC27001:2013标准A6,2,1的要求。（)正确错误64、测量是确定数值和性质的过程。（）正确错误65、《中华人民共和国网络安全法》中明确，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每两年至少进行一次检测评估。（）正确错误

参考答案一、单项选择题1、C2、D3、C4、D5、B6、B7、C解析:参考GB/T20984-2007信息安全风险评估规范，3,12残余风险是指采取了安全措施后，信息系统仍然可能存在的风险。故选C8、D9、C10、A11、A12、A13、C14、B15、D16、A17、A