2021年6月CCAA国家注册审核员复习题—ISMS信息安全管理体系含解析.doc

2021年6月CCAA国家注册审核员复习题—ISMS信息安全管理体系

一、单项选择题

1、关于《中华人民共和国必威体育官网网址法》，以下说法正确的是()

A、该法的目的是为了保守国家秘密而定

B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系

C、该法适用于所有组织对其敏感信息的保护

D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护?

2、不属于WEB服务器的安全措施的是（）

A、保证注册帐户的时效性

B、删除死帐户

C、强制用户使用不易被破解的密码

D、所有用户使用一次性密码

3、防火墙提供的接入模式不包括(）

A、透明模式

B、混合模式

C、网关模式

D、旁路接入模式

4、风险评价是指（）

A、系统地使用信息来识别风险来源和评估风险

B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程

C、指导和控制一个组织相关风险的协调活动

D、以上都对

5、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的必威体育官网网址监督检查对秘密级、机密级信息系统每（）至少进行一次必威体育官网网址检查或系统测评。

A、半年

B、1年

C、1.5年

D、2年

6、()可用来保护信息的真实性、完整性

A、数字签名

B、恶意代码

C、风险评估

D、容灾和数据备份

7、以下关于认证机构的监督要求表述错误的是（）

A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性

B、认证机构的监督方案应由认证机构和客户共同来制定

C、监督审核可以与其他管理体系的审核相结合

D、认证机构应对认证证书的使用进行监督

8、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是

A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用

C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用

D、以上都不对

9、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）

A、基本角色的策略

B、基于身份的策略

C、用户向导的策略

D、强制性访问控制策略

10、在实施技术符合性评审时，以下说法正确的是（）

A、技术符合性评审即渗透测试

B、技术符合性评审即漏洞扫描与渗透测试的结合

C、渗透测试和漏洞扫描可以替代风险评估

D、渗透测试和漏洞扫描不可替代风险评估

11、审核发现是指（）

A、审核中观察到的事实

B、审核的不符合项

C、审核中收集到的审核证据对照审核准则评价的结果

D、审核中的观察项

12、关于信息安全管理中的“脆弱性”，以下正确的是:（）

A、脆弱性是威胁的一种，可以导致信息安全风险

B、网络中“钓鱼”软件的存在，是网络的脆弱性

C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性

D、以上全部

13、关于容量管理，以下说法不正确的是（）

A、根据业务对系统性能的需求，设置阈值和监视调整机制

B、针对业务关键性，设置资源占用的优先级

C、对于关键业务，通过放宽阈值以避免或减少报警的干扰

D、依据资源使用趋势数据进行容量规划

14、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

15、按照PDCA思路进行审核，是指（）

A、按照受审核区域的信息安全管理活动的PDCA过程进行审核

B、按照认证机构的PDCA流程进行审核

C、按照认可规范中规定的PDCA流程进行审核

D、以上都对

16、以下描述不正确的是（）

A、防范恶意和移动代码的目标是保护软件和信息的完整性

B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生

C、风险分析、风险评价、风险处理的整个过程称为风险管理

D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响

17、信息系统的变更管理包括（）

A、系统更新的版本控制

B、对变更申请的审核过程

C、变更实施前的正式批准

D、以上全部

18、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)

A、体系覆盖的人数

B、使用的信息系统的数量

C、用户的数量

D、其他选项都正确

19、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?

A、其产品/过程无风险或有低的风险

B、客户的认证准备

C、仅涉及单一的活动过程

D、具有高风险的产品或过程

20、文件化信息创建和更新时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的