2021年3月CCAA注册审核员模拟试题—ISMS信息安全管理体系知识含解析.doc

2021年3月CCAA注册审核员模拟试题—ISMS信息安全管理体系知识

一、单项选择题

1、对于外部方提供的软件包，以下说法正确的是：（）

A、组织的人员可随时对其进行适用性调整

B、应严格限制对软件包的调整以保护软件包的必威体育官网网址性

C、应严格限制对软件包的调整以保护软件包的完整性和可用性

D、以上都不对

2、最高管理者应（）。

A、确保制定ISMS方针

B、制定ISMS目标和计划

C、实施ISMS内部审核

D、主持ISMS管理评审

3、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告

A、8小时内

B、12小时内

C、24小时内

D、48小时内

4、关于信息安全策略，下列说法正确的是（）

A、信息安全策略可以分为上层策略和下层策略

B、信息安全方针是信息安全策略的上层部分

C、信息安全策略必须在体系建设之初确定并发布

D、信息安全策略需要定期或在重大变化时进行评审

5、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）

A、下级管理员无权修改，不可删除

B、下级管理员无权修改，可以删除

C、下级管理员可以修改，可以删除

D、下级管理员可以修改，不可删除

6、信息处理设施的变更管理包括:

A、信息处理设施用途的变更

B、信息处理设施故障部件的更换

C、信息处理设施软件的升级

D、其他选项均正确

7、构成风险的关键因素有（）

A、人、财、物

B、技术、管理和操作

C、资产、威胁和弱点

D、资产、可能性和严重性

8、关于内部审核下面说法不正确的是(）。

A、组织应定义每次审核的审核准则和范围

B、通过内部审核确定ISMS得到有效实施和维护

C、组织应建立、实施和维护一个审核方案

D、组织应确保审核结果报告至管理层

9、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响

A、隔离和迁移

B、评审和测试

C、评审和隔离

D、验证和确认

10、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的必威体育官网网址监督检查对秘密级、机密级信息系统每（）至少进行一次必威体育官网网址检查或系统测评

A、半年

B、1年

C、1,5年

D、2年

11、组织应（）

A、采取过程的规程安全处置不需要的介质

B、采取文件的规程安全处置不需要的介质

C、采取正式的规程安全处置不需要的介质

D、采取制度的规程安全处置不需要的介质

12、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）

A、完整性

B、可用性

C、机密性

D、抗抵赖性

13、创建和更新文件化信息时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

14、下面哪一种属于网络上的被动攻击（）

A、消息篡改

B、伪装

C、拒绝服务

D、流量分析

15、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）

A、识别可能性和影响

B、识别脆弱性和识别后果

C、识别脆弱性和可能性

D、识别脆弱性和影响

16、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+C

E、A+B

17、在认证审核时，一阶段审核是（）

A、是了解受审方ISMS是否正常运行的过程

B、是必须进行的

C、不是必须的过程

D、以上都不准确

18、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。

A、服务水平目标（SLO)

B、恢复点目标（RPO)

C、恢复时间目标（RTO)

D、最长可接受终端时间（MAO)

19、审核发现是指（）

A、审核中观察到的事实

B、审核的不符合项

C、审核中收集到的审核证据对照审核准则评价的结果

D、审核中的观察项

20、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()

A、2019

B、2017

C、2016

D、2021

21、信息系统的变更管理包括（）

A、系统更新的版本控制

B、对变更申请的审核过程

C、变更实施前的正式批准

D、以上全部

22、组织机构在建立和评审ISMS时，应考虑（）

A、风险评估的结果

B、管理方案

C、法律、法规和其它要求

D、A+B

E、A+C

23、依据GB/T22080/ISO/IEC27001的要求，管理者应（）

A、制定ISMS目标和计划

B、实施ISMS管理评审

C、决定接受风险的准则和风险的可接受级别

D、其他选项均不正确

24、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是

A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、建设三级以上信息系统须保证安全子系统同步规