2021年第三期信息安全管理体系CCAA审核员复习题含解析.doc

2021年第三期信息安全管理体系CCAA审核员复习题

一、单项选择题

1、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果

B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果

C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果

D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果

2、IT服务管理中所指服务目录是：（）

A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致

B、一个服务项目命名清单，不可随意更改

C、一个定义服务内容的企业标准

D、定义IT服务分类的行业或国家标准

3、根据GB/T22080-2016中控制措施的要求，关于技术脆弱性管理，以下说法正确的是：（）

A、技术脆弱性应单独管理，与事件管理没有关联

B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小

C、针对技术脆弱性的补丁安装应按变更管理进行控制

D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径

4、依据GB/T22080，关于职责分离，以下说法正确的是(）

A、信息安全政策的培训者与审计之间的职责分离

B、职责分离的是不同管理层级之间的职责分离

C、信息安全策略的制定者与受益者之间的职责分离

D、职责分离的是不同用户组之间的职责分离

5、风险评估过程一般应包括（）

A、风险识别

B、风险分析

C、风险评价

D、以上全部

6、信息安全管理中，支持性基础设施指：（）

A、供电、通信设施

B、消防、防雷设施

C、空调及新风系统、水气暖供应系统

D、以上全部

7、信息安全风险的基本要素包括（）

A、资产、可能性、影响

B、资产、脆弱性、威胁

C、可能性、资产、脆弱性

D、脆弱性、威胁、后果

8、文件化信息创建和更新时，组织应确保适当的（)

A、对适宜性和有效性的评审和批港

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充业性的评审和批准

9、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）

A、对组织的信息安全管理体系进行变更

B、执行信息安全风险评估

C、开展内部审核

D、开展管理评审

10、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限

B、分配岗位与权限

C、分配责任和权限

D、分配角色和权限

11、下列说法错误的是(）

A、ISO/IEC20000-1:2018标准鼓励组织采用整合的过程方法

B、组织满足ISO/IEC20000-1:2018标准要求，意味着该组织满足其顾客的所有要求

C、组织可以把ISO/IEC20000-1:2018标准作为独立评估的依据

D、组织可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准

12、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行

A、在客户组织的场所

B、在认证机构以网络访问的形式

C、以远程视频的形式

D、以上都对

13、信息安全管理中,以下哪一种描述能说明“完整性”（）。

A、资产与原配置相比不发生缺失的情况

B、资产不发生任何非授权的变更

C、软件或信息资产内容构成与原件相比不发生缺失的情况

D、设备系统的部件和配件不发生缺失的情况

14、GB/T29246标准为组织和个人提供（）

A、建立信息安全管理体系的基础信息

B、信息安全管理体系的介绍

C、ISMS标准族已发布标准的介绍

D、1SMS标准族中使用的所有术语和定义

15、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。

A、识别可能性和影响

B、识别脆弱性和识别后果

C、识别脆弱性和可能性

D、识别脆弱性和影响

16、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态

A、信息安全事态

B、信息安全事件

C、信息安全事故

D、信息安全故障

17、以下关于认证机构的监督要求表述错误的是（）

A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性

B、认证机构的监督方案应由认证机构和客户共同来制定

C、监督审核可以与其他管理体系的审核相结合

D、认证机构应对认证证书的使用进行监督

18、我国网络安全等级保护共分几个级别？（）

A、7

B、4

C、5

D、6

19、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。

A、服务水平目标（SLO)

B、恢复点目标（RPO)

C、恢复时间目标（RTO)

D、最长可接受终端时间（MAO)

20、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）

A、建立信息安全事件管理的责任

B、建