2024年第二期CCAA信息安全管理体系质量审核员复习题含解析

2024年第二期CCAA信息安全管理体系质量审核员复习题一、单项选择题1、ISO/IEC20000-1:2018标准是依据管理体系高层结构，即()对标准的结构进行调整的A、ISO/IEC导则的一部分综合ISO补充附录B、ISO/IEC导则的一部分综合ISO补充结构层C、ISO/IEC导则的一部分综合ISO补充体质D、ISO/IEC导则的一部分综合ISO补充模型2、末次会议包括（）A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确3、《信息技术服务分类与代码》规定(）属于软件运营服务。A、在线杀毒B、物流信息管理服务平台C、电子商务D、在线娱乐平台4、以下哪些可由操作人员执行？（)A、审批变更B、更改配置文件C、安装系统软件D、添加/删除用户5、以下哪个选项不是ISMS第一阶段审核的目的（）A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求6、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果7、下列管理评审的方式，哪个不满足标准的要求?(）A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审8、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换9、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是()A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施B、一旦遭到破坏、数据泄雷，可能严重危害国家安全、国计民生的信息基础设施C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施D、—旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统10、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A、2年B、3年C、4年D、5年11、关于投诉处理过程的设计，以下说法正确的是：()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用12、在发布一个软件升级，修复某个已知错误后，哪个流程能确保配置信息被正确更新（）A、变更管理B、服务级别管理C、配置管理D、发布和部署管理13、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏14、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性15、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定16、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准17、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审18、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A、组织建立信息安全策略和信息安全目标，并与组织战略方向一致B、确保建立信息安全策略和信息安全目标，并与组织战略方向一致C、领导建立信息安全策略和信息安全目标，并与组织战略方向一致D、沟通建立信息安全策略和信息安全目标，并与组织战略方向一致19、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果20、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度21、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙22、依据《中华人民共和国网络安全法》，以下正确的是（）。A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月23、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次24、文件化信息创建和更新时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准25、对保密文件复印件张数核对是确保保密文件的（）A、保密性B、完整性C、可用性D、连续性26、组织应（）A、分离关键的职责及责任范围B、分离冲突的职责及贵任范围C、分离重要的职责及责任范围D、分离关联的职责及责任范围27、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作28、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以29、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型30、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员31、()是风险管理的重要一环。A、管理手册B、适用性声明C、风险处置计划D、风险管理程序32、GB/T29246标准为组织和个人提供（）A、建立信息安全管理体系的基础信息B、信息安全管理体系的介绍C、ISMS标准族已发布标准的介绍D、1SMS标准族中使用的所有术语和定义33、按照PDCA思路进行审核，是指（）A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对34、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统35、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志36、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响37、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保38、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价39、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的（）。A、说明B、声明C、想法D、描述40、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性二、多项选择题41、信息安全绩效的反馈，包括以下哪些方面的趋势（）A、不符合和纠正措施B、监视测量的结果C、审核结果D、信息安全方针完成情况42、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移43、投诉处理过程应包括：（）A、投诉受理、跟踪和告知B、投诉初步评审、投诉调查C、投诉响应、沟通决定D、投诉终止44、关于云计算服务中的的安全，以下说法不正确的是（）。A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则45、第二阶段审核中，应重点审核被审核单位的（）。A、最高管理者的领导力B、与信息安全有关的风险C、基于风险评估和风险处置过程D、ISMS有效性46、以下属于“关键信息基础设施”的是（）。A、输配电骨干网监控系统B、计算机制造企业IDC供电系统C、髙等院校网络接入设施D、高铁信号控制系统47、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖48、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动49、为确保员工和合同方理解其职责、并适合其角色，在员工任用之前，必须（）A、对其进行试用B、对员工的背景进行适当的验证检查C、在任用条款与合同中指导安全职责D、面试50、关于审核委托方，以下说法正确的是（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核51、信息安全管理体系审核组的能力包括:（）A、信息安全事件处理方法和业务连续性的知识B、有关有形和无形资产及其影响分析的知识C、风险管理过程和方法的知识D、信息安全管理体系的控制措施及其实施的知识52、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估53、对风险安全等级三级及以上系统，以下说法正确的是（）。A、采用双重身份鉴别机制B、对用户和数据采用安全标记C、系统管理员可任意访问日志记录D、三年开展一次网络安全等级测评工作54、设计一个信息安全风险管理工具，应包括如下模块（）。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程55、以下说法不正确的是（）A、信息安全管理体系审核是信息系统审计的一种B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估三、判断题56、当需要时，组织可设计控制，或识别来自任何来源的控制。（）正确错误57、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统，并降低进入该系统的无意错误操作导致的影响（）正确错误58、某组织租用第三方数据中心机房托管其IT系统设备，因此认证审核时不必审核计算机机房物理安全的相关内容()正确错误59、记录可提供符合信息安全管理体系要求和有效运行的证据。（）正确错误60、纠正是指为消除已发现的不符合或其他不的原因所采取的措施。（）正确错误61、最高管理层应确保方针得到建立（）正确错误62、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）正确错误63、不同组织有关信息安全管理体系文件化信息的详细程度应基本相同（）正确错误64、破坏、摧毁、控制网络基础设施是网络攻击行为之一。正确错误65、J020相关方可以是组织内部也可以是组织外部的。(）正确错误

参考答案一、单项选择题1、A2、C3、A4、C5、D6、D7、A8、D9、A10、D11、A12、C13、B14、B解析:引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序15、A16、A17、D18、B19、C20、A21、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D22、C23、D24、D25、A26、B解析:根据GB/T22080-2016标准A6,1,2原文：应分离冲突的职责及其贵任范围，以减少未授权或无意的修改或者不当使用组织资产的机会27、B28、B29、A30、C31、C解析:参考iso/iec27005，风险管理包括风险评估，风险处置，风险接受，风险沟通，风险监视和风险评审。因此风险处置计划是风险管理的重要一环，故选C32、D33、A34、D35、B36、B37、A解析:理解组织及其环境38、D39、B解析:参考27000，控制目标指，描述实施控制的实施结果所要达到的目标的声明。故选B40、C二、多项选择题41、A,B,C42、A,D43、A