2022年3月CCAA信息安全管理体系质量审核员考试题目含解析.doc

2022年3月CCAA信息安全管理体系质量审核员考试题目

一、单项选择题

1、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述，正确的是（）

A、该标准属于要求类标准

B、该标准属于指南类标准

C、该标准可用于一致性评估

D、组织在建立ISMS时，必须满足该标准的所有要求

2、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。

A、人为因素

B、自然灾难

C、不可抗力

D、网络故障

3、ISMS管理评审的输出应包括（）

A、可能影响ISMS的任何变更

B、以往风险评估没有充分强调的脆弱点或威胁

C、风险评估和风险处理计划的更新

D、改进的建议

4、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）

A、不考虑资产的价值，基本水平的保护都会被实施

B、对所有信息资产保护都投入相同的资源

C、对信息资产实施适当水平的保护

D、信息资产过度的保护

5、信息安全风险的基本要素包括（）

A、资产、可能性、影响

B、资产、脆弱性、威胁

C、可能性、资产、脆弱性

D、脆弱性、威胁、后果

6、在形成信息安全管理体系审核发现时，应（）。

A、考虑适用性声明的完备性和可用性

B、考虑适用性声明的完备性和合理性

C、考虑适用性声明的充分性和可用性

D、考虑适用性声明的充分性和合理性

7、IT服务管理中所指服务目录是：（）

A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致

B、一个服务项目命名清单，不可随意更改

C、一个定义服务内容的企业标准

D、定义IT服务分类的行业或国家标准

8、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。

A、用户权限

B、可被用户访问的资料

C、系统是否遭受入侵

D、可给予哪些主体访问

9、组织应（）

A、分离关键的职责及责任范围

B、分离冲突的职责及贵任范围

C、分离重要的职责及责任范围

D、分离关联的职责及责任范围

10、组织机构在建立和评审ISMS时，应考虑（）

A、风险评估的结果

B、管理方案

C、法律、法规和其它要求

D、A+B

E、A+C

11、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性

B、完整性

C、机密性

D、可用性

12、国家秘密的必威体育官网网址期限应为:（）

A、绝密不超过三十年，机密不超过二十年，秘密不超过十年

B、绝密不低于三十年，机密不低于二十年，秘密不低于十年

C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年

D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年

13、信息安全管理体系中提到的“资产责任人”是指:（）

A、对资产拥有财产权的人

B、使用资产的人

C、有权限变更资产安全属性的人

D、资产所在部门负责人

14、根据GB/T22080-2016标准的要求，组织（）实施风险评估

A、应按计划的时间间隔或当重大变更提出或发生时

B、应按计划的时间间隔且当重大变更提出或发生时

C、只需在重大变更发生时

D、只需按计划的时间间隔

15、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。

A、内容监控

B、安全教育和培训

C、责任追查和惩处

D、访问控制

16、（）是建立有效的计算机病毒防御体系所需要的技术措施

A、补丁管理系统、网络入侵检测和防火墙

B、漏洞扫描、网络入侵检测和防火墙

C、漏洞扫描、补丁管理系统和防火墙

D、网络入侵检测、防病毒系统和防火墙

17、TCP/IP协议层次结构由（）

A、网络接口层、网络层组成

B、网络接口层、网络层、传输层组成

C、网络接口层、网络层、传输层和应用层组成

D、其他选项均不正确

18、对于外部方提供的软件包，以下说法正确的是：（）

A、组织的人员可随时对其进行适用性调整

B、应严格限制对软件包的调整以保护软件包的必威体育官网网址性

C、应严格限制对软件包的调整以保护软件包的完整性和可用性

D、以上都不对

19、根据GB/Z20986《信息安全技术信息安全事件分类分级指南》，对于违法行为的通报批评处罚，属于行政处罚中的（）

A、资格罚

B、人身自由罚

C、财产罚

D、声誉罚

20、《信息技术服务分类与代码》中的分类分为()级

A、2

B、3

C、4

D、5

21、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+C

E、A+B

22、关于防范恶意软件，以下说法正确的是：（）

A、物理隔断信息系统与互联网的连接即可防范恶意软件

B、安装入侵探测系统即可防范恶意软件

C、建立白名单即可防范恶意软件

D、建立探测、预防和恢复机制以防范恶意软件

23、形成ISMS审核发现时，不需要考虑的是（）