2021年3月CCAA国家注册审核员复习题—ISMS信息安全管理体系含解析.doc

2021年3月CCAA国家注册审核员复习题—ISMS信息安全管理体系

一、单项选择题

1、文件化信息创建和更新时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

2、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行

A、在客户组织的场所

B、在认证机构以网络访向的形式

C、以远程视频的形式

D、以上都対

3、不属于公司信息资产的是（）

A、客户信息

B、公司旋转在IDC机房的服务器

C、保洁服务

D、以上都不对

4、关于信息安全策略，下列说法正确的是（）

A、信息安全策略可以分为上层策略和下层策

B、信息安全方针是信息安全策略的上层部分

C、信息安全策略必须在体系建设之初确定并发布

D、信息安全策略需要定期或在重大变化时进行评审

5、下列说法不正确的是（）

A、残余风险需要获得管理者的批准

B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果

C、所有的信息安全活动都必须记录

D、管理评审至少每年进行一次

6、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）

A、电力线路调节器

B、电力浪涌保护设备

C、备用的电力供应

D、可中断的电力供应

7、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）

A、计算机舞弊

B、欺骗或胁迫

C、计算机偷窃

D、计算机破坏

8、风险处置计划，应（）

A、获得风险责任人的批准，同时获得对残余风险的批准

B、获得最高管理者的批准，同时获得对残余风险的批准

C、获得风险部门负责人的批准，同时获得对残余风险的批准

D、获得管理者代表的批准，同时获得对残余风险的批准

9、当获得的审核证据表明不能达到审核目的时，申核组长可以（）

A、宣布停止受审核方的生产/服务活动

B、向审核委托方和受审核方报告理中以确定适当的措施

C、宣布取消末次会议

D、以上各项都不可以

10、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()

A、要求员工立即改正

B、对员工进行优质口令设置方法的培训

C、通过域控进行强制管理

D、对所有员工进行意识教育

11、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响

A、隔离和迁移

B、评审和测试

C、评审和隔离

D、验证和确认

12、制定信息安全管理体系方针，应予以考虑的输入是（）

A、业务战略

B、法律法规要求

C、合同要求

D、以上全部

13、在以下认为的恶意攻击行为中，属于主动攻击的是()

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

14、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。

A、人为因素

B、自然灾难

C、不可抗力

D、网络故障

15、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）

A、特密

B、绝密

C、机密

D、秘密

16、口令管理系统应该是（）,并确保优质的口令

A、唯一式

B、交互式

C、专人管理式

D、A+B+C

17、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。

A、服务的可靠性和质量(Qos,qualityofservice)

B、身份的验证方式

C、语音传输的必威体育官网网址

D、数据传输的必威体育官网网址

18、管理体系是实现组织目标的方针、（）、指南和相关资源的框架

A、目标

B、规程

C、文件

D、记录

19、过程是指（）

A、有输入和输出的任意活动

B、通过使用资源和管理，将输入转化为输出的活动

C、所有业务活动的集合

D、以上都不对

20、信息安全管理体系是用来确定（)

A、组织的管理效率

B、产品和服务符合有关法律法规程度

C、信息安全管理体系满足审核准则的程度

D、信息安全手册与标准的符合程度

21、下面哪个不是《中华人民共和国密码法》中密码的分类？（）

A、核心密码

B、普通密码

C、国家密码

D、商用密码

22、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

23、关于适用性声明下面描述错误的是(）

A、包含附录A中控制删减的合理性说明

B、不包含未实现的控制

C、包含所有计划的控制