2021年12月CCAA国家注册审核员模拟试题—ISMS信息安全管理体系含解析.doc

2021年12月CCAA国家注册审核员模拟试题—ISMS信息安全管理体系

一、单项选择题

1、组织机构在建立和评审ISMS时，应考虑（）

A、风险评估的结果

B、管理方案

C、法律、法规和其它要求

D、A+B

E、A+C

2、应定期评审信息系统与组织的（）的符合性。

A、信息安全目标和标准

B、信息安全方针和策

C、信息安全策略和制度

D、信息安全策略和标准

3、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性

B、完整性

C、机密性

D、可用性

4、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）

A、ISO/IECJTC1SC27

B、ISO/IECJTC13C40

C、ISO/IECTC27

D、ISO/IECTC40

5、构成风险的关键因素有（）

A、人、财、物

B、技术、管理和操作

C、资产、威胁和弱点

D、资产、可能性和严重性

6、依据GB/T22080，关于职责分离，以下说法正确的是(）

A、信息安全政策的培训者与审计之间的职责分离

B、职责分离的是不同管理层级之间的职责分离

C、信息安全策略的制定者与受益者之间的职责分离

D、职责分离的是不同用户组之间的职责分离

7、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）

A、所需审核组能力的要求

B、客户组织的准备程度

C、所需能力的审核组成员

D、客户组织的场所分布

8、（）是建立有效的计算机病毒防御体系所需要的技术措施。

A、补丁管理系统、网络入侵检测和防火墙

B、漏洞扫描、网络入侵检测和防火墙

C、漏洞扫描、补丁管理系统和防火墙

D、网络入侵检测、防病毒系统和防火墙

9、拒绝服务攻击损害了信息系统哪一项性能（）

A、完整性

B、可用性

C、必威体育官网网址性

D、可靠性

10、关于访问控制策略，以下不正确的是：（）

A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型

B、对于多任务访问，一次性赋予全任务权限

C、物理区域的管理规定须遵从物理区域的访问控制策

D、物理区域访问控制策略应与其中的资产敏感性一致

11、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请

A、2年

B、3年

C、4年

D、5年

12、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？

A、硬件和软件

B、技术和制度

C、管理员和用户

D、物理安全和软件缺陷

13、对于信息安全方针，（）是ISO/IEC27001所要求的

A、信息安全方针应形成文件

B、信息安全方针文件为公司内部重要信息，不得向外部泄露

C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义

D、信息安全方针是建立信息安全工作的总方向和原则，不可变更

14、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限

B、分配岗位与权限

C、分配责任与权限

D、分配角色和权限

15、最高管理者应（）。

A、确保制定ISMS方针

B、制定ISMS目标和计划

C、实施ISMS内部审核

D、主持ISMS管理评审

16、下面哪个不是《中华人民共和国密码法》中密码的分类？（）

A、核心密码

B、普通密码

C、国家密码

D、商用密码

17、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+C

E、A+B

18、GB/T22080标准中所指资产的价值取决于（）

A、资产的价格

B、资产对于业务的敏感度

C、资产的折损率

D、以上全部

19、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）

A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值

B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值

C、电子邮件发送前，用投资顾问商的私钥数字签名邮件

D、电子邮件发送前，用投资顾问商的私钥加密邮件

20、关于信息安全连续性，以下说法正确的是：

A、信息安全连续性即FT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

21、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

22、文件化信息创建和更新时，组织应确保适当的（