2021年3月CCAA国家注册ISMS信息安全管理体系审核员知识复习题含解析.doc

2021年3月CCAA国家注册ISMS信息安全管理体系审核员知识复习题

一、单项选择题

1、信息安全管理中，关于脆弱性，以下说法正确的是()。

A、组织使用的开源软件不须考虑其技术脆弱性

B、软件开发人员为方便维护留的后门是脆弱性的一种

C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施

D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会

2、依据《中华人民共和国网络安全法》，以下说法不正确的是（）

A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息属于个人信息

B、自然人的身份证号码、电话号码属于个人信息

C、自然人的姓名、住址不属于个人信息

D、自然人的出生日期属于个人信息

3、关于《中华人民共和国必威体育官网网址法》，以下说法正确的是()

A、该法的目的是为了保守国家秘密而定

B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系

C、该法适用于所有组织对其敏感信息的保护

D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护?

4、主动式射频识别卡(RFID)存在哪一种弱点?（）

A、会话被劫持

B、被窃听

C、存在恶意代码

D、被网络钓鱼攻击DR

5、在现场审核结束之前，下列哪项活动不是必须的？（）

A、关于客户组织ISMS与认证要求之间的符合性说明

B、审核现场发现的不符合

C、提供审核报告

D、听取客户对审核发现提出的问题

6、信息安全基本属性是（）。

A、必威体育官网网址性、完整性、可靠性

B、必威体育官网网址性、完整性、可用性

C、可用性、必威体育官网网址性、可能性

D、稳定性、必威体育官网网址性、完整性

7、漏洞检测的方法分为（）

A、静态检测

B、动态测试

C、混合检测

D、以上都是

8、关于访问控制，以下说法正确的是（）

A、防火墙基于源IP地址执行网络访问控制

B、三层交换机基于MAC实施访问控制

C、路由器根据路由表确定最短路径

D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件

9、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

10、关于信息安全策略，下列说法正确的是（）

A、信息安全策略可以分为上层策略和下层策

B、信息安全方针是信息安全策略的上层部分

C、信息安全策略必须在体系建设之初确定并发布

D、信息安全策略需要定期或在重大变化时进行评审

11、对必威体育官网网址文件复印件张数核对是确保必威体育官网网址文件的（）

A、必威体育官网网址性

B、完整性

C、可用性

D、连续性

12、组织应（）

A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域

B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域

C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域

D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域

13、残余风险是指:（）

A、风险评估前，以往活动遗留的风险

B、风险评估后，对以往活动遗留的风险的估值

C、风险处置后剩余的风险，比可接受风险低

D、风险处置后剩余的风险，不一定比可接受风险低

14、进入重要机构时，在门卫处登记属于以下哪种措施？（）

A、访问控制

B、身份鉴别

C、审计

D、标记

15、相关方的要求可以包括（）

A、标准、法规要求和合同义务

B、法律、标准要求和合同义务

C、法律、法规和标准要求和合同义务

D、法律、法规要求和合同义务

16、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）

A、实用程序的使用不在审计范围内

B、建立禁止使用的实用程序清单

C、紧急响应时所使用的实用程序不需要授权

D、建立、授权机制和许可使用的实用程序清单

17、完整性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、以上都不对

18、组织机构在建立和评审ISMS时，应考虑（）

A、风险评估的结果

B、管理方案

C、法律、法规和其它要求

D、A+B

E、A+C

19、《中华人民共和国密码法》规定了国家秘密的范围和密级，国家秘密的密级分为（）。

A、普密、商密两个级别

B、低级和高级两个级别

C、绝密、机密、秘密三个级别

D、—密、二密、三密、四密四个级别

20、关于信息安全管理中的“脆弱性”，以下正确的是：（）

A、脆弱性是威胁的一种，可以导致信息安全风险

B、网络中“钓鱼”软件的存在，是网络的脆弱性

C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性

D、以上全部

21、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?

A、其产品/过程无风险或有低的风险

B、客户的认证准备

C、仅涉及单一的活动过程

D、具有高风险的产品或过程

22、依据GB/T22080-2016/IS0