2022年9月CCAA信息安全管理体系质量审核员复习题含解析.doc

2022年9月CCAA信息安全管理体系质量审核员复习题

一、单项选择题

1、容量管理的对象包括（）

A、信息系统内存

B、办公室空间和基础设施

C、人力资源

D、以上全部

2、依据GB/T22080/ISO/IEC27001的要求，管理者应（）

A、制定ISMS目标和计划

B、实施ISMS管理评审

C、决定接受风险的准则和风险的可接受级别

D、其他选项均不正确

3、组织应（），以确信相关过程按计划得到执行。

A、处理文件化信息达到必要的程度

B、保持文件化信息达到必要的程度

C、保持文件化信息达到可用的程度

D、产生文件化信息达到必要的程度

4、ISMS文件的多少和详细程度取决于()

A、组织的规模和活动的类型

B、过程及其相互作用的复杂程度

C、人员的能力

D、以上都对

5、多级SLA是一个三层结构，下列哪层不是这样类型SLA的部分？()

A、客户级别

B、公司级别

C、配置级别

D、服务级别

6、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）

A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性

B、完整采用组织的固定资产台账，同时指定资产负责人

C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高

D、A+B

7、PKI的主要组成不包括(）

A、SSL

B、CR

C、CA

D、RA

8、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+C

E、A+B

9、在形成信息安全管理体系审核发现时，应（）。

A、考虑适用性声明的完备性和可用性

B、考虑适用性声明的完备性和合理性

C、考虑适用性声明的充分性和可用性

D、考虑适用性声明的充分性和合理性

10、以下关于安全接层协议(SSL)的叙述中,错误的是(）

A、为TCP/IP连接提供服务器认证

B、为TCP/IP连接提供数据加密

C、提供数据安全机制

D、是一种应用层安全协议

11、下列管理评审的方式，哪个不满足标准的要求?(）

A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审

B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审

C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审

D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审

12、ITIL的必威体育精装版版本是(）

A、ITILV4

B、ITILV3

C、ITILV5

D、ITILV2

13、在安全模式下杀毒最主要的理由是（）

A、安全模式下查杀病速度快

B、安全模式下查杀比较彻底

C、安全模式下查杀不连通网络

D、安全模式下查杀不容易死机

14、关于信息安全管理中的“脆弱性”，以下正确的是:（）

A、脆弱性是威胁的一种，可以导致信息安全风险

B、网络中“钓鱼”软件的存在，是网络的脆弱性

C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性

D、以上全部

15、文件化信息指（）

A、组织创建的文件

B、组织拥有的文件

C、组织要求控制和维护的信息及包含该信息的介质

D、对组织有价值的文件

16、信息安全基本属性是（）。

A、必威体育官网网址性、完整性、可靠性

B、必威体育官网网址性、完整性、可用性

C、可用性、必威体育官网网址性、可能性

D、稳定性、必威体育官网网址性、完整性

17、组织应（）

A、分离关键的职责及责任范围

B、分离冲突的职责及贵任范围

C、分离重要的职责及责任范围

D、分离关联的职责及责任范围

18、关于信息安全产品的使用，以下说法正确的是:（）

A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权

B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书

C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录

D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞

19、下列哪项对于审核报告的描述是错误的?（）

A、主要内容应与末次会议的内容基本一致

B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成

C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方

D、以上都不对

20、以下关于认证机构的监督要求表述错误的是（）

A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性

B、认证机构的监督方案应由认证机构和客户共同来制定

C、监督审核可以与其他管理体系的审核相结合

D、认证机构应对认证证书的使用进行监督

21、下列()不是创建和维护测量要执行的活动。

A、开展测量活动

B、识别当前支持信息需求的安全实践

C、开发和更新测量

D、建立测量文档并确