2022年9月CCAA信息安全管理体系质量审核员考试题目含解析.doc

2022年9月CCAA信息安全管理体系质量审核员考试题目

一、单项选择题

1、PKI的主要组成不包括(）

A、SSL

B、CR

C、CA

D、RA

2、关于适用性声明下面描述错误的是(）

A、包含附录A中控制删减的合理性说明

B、不包含未实现的控制

C、包含所有计划的控制

D、包含附录A的控制及其选择的合理性说明

3、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格必威体育官网网址，不得泄露、出售或非法向他人提供。

A、个人信息

B、隐私

C、商业秘密

D、其他选项均正确

4、阐明所取得结果或提供所完成活动的证据的文件是()

A、报告

B、演示

C、记录

D、协议

5、关于信息安全连续性，以下说法正确的是：

A、信息安全连续性即FT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

6、对全国密码工作实行统一领导的机构是(）

A、中央密码工作领导机构

B、国家密码管理部门

C、中央国家机关

D、全国人大委员会

7、风险评价是指（）

A、系统地使用信息来识别风险来源和评估风险

B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程

C、指导和控制一个组织相关风险的协调活动

D、以上都对

8、ISMS文件评审需考虑（）

A、收集信息，以准备审核活动和适当的工作文件

B、请受审核方确认ISMS文件审核报告，并签字

C、确认受审核方文件与标准的符合性,并提出改进意见

D、双方就ISMS文件框架交换不同意见

9、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统

A、报告

B、传递

C、评价

D、测量

10、《中华人民共和国网络安全法》中的三同步要求，以下说法正确的是（）

A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用

D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用

11、IT部门中的所有服务是否都要包含在认证范围以内？（）

A、是的，整个范围的服务都要包含在认证范围之内

B、只有当其都被提供给相同的客户群体时

C、不，该范围可限制为服务的子集

D、取决于该服务为内部提供还是外部提供

12、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

13、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）

A、计算机舞弊

B、欺骗或胁迫

C、计算机偷窃

D、计算机破坏

14、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月

B、检测记录网络运行状态的相关网络日志保存不得少于12月

C、检测记录网络运行状态的相关网络8志保存不得少于6个月

D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月

15、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。

A、人为因素

B、自然灾难

C、不可抗力

D、网络故障

16、数字签名可以有效对付哪一类信息安全风险？

A、非授权的阅读

B、盗窃

C、非授权的复制

D、篡改

17、()是风险管理的重要一环。

A、管理手册

B、适用性声明

C、风险处置计划

D、风险管理程序

18、审核抽样时，可以不考虑的因素是(）

A、场所差异

B、管理评审的结果

C、最高管理者

D、内审的结果

19、容量管理的对象包括（）

A、服务器内存

B、网络通信带宽

C、人力资源

D、以上全部

20、关于容量管理，以下说法不正确的是（）

A、根据业务对系统性能的需求，设置阈值和监视调整机制

B、针对业务关键性，设置资源占用的优先级

C、对于关键业务，通过放宽阈值以避免或减少报警的干扰

D、依据资源使用趋势数据进行容量规划

21、信息安全管理体系是用来确定（)

A、组织的管理效率

B、产品和服务符合有关法律法规程度

C、信息安全管理体系满足审核准则的程度

D、信息安全手册与标准的符合程度

22、下列不属于常用云服务类型的是（)

A、软件即服务

B、邮件即服务

C、平台即服务

D、基础设施即服务

23、根据GB/Z20986《信息安全技术信息安全事件分类分级指南》，对于违法行为的通报批