2021年第二期CCAA注册审核员复习题—ISMS信息安全管理体系含解析.doc

2021年第二期CCAA注册审核员复习题—ISMS信息安全管理体系

一、单项选择题

1、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）

A、不考虑资产的价值，基本水平的保护都会被实施

B、对所有信息资产保护都投入相同的资源

C、对信息资产实施适当水平的保护

D、信息资产过度的保护

2、审核发现是指（）

A、审核中观察到的事实

B、审核的不符合项

C、审核中收集到的审核证据对照审核准则评价的结果

D、审核中的观察项

3、关于备份，以下说法正确的是(）

A、备份介质中的数据应定期进行恢复测试

B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的

C、发现备份介质退化后应考虑数据迁移

D、备份信息不是管理体系运行记录，不须规定保存期

4、下列不一定要进行风险评估的是（）

A、发布新的法律法规

B、ISMS最高管理者人员变更

C、ISMS范围内的网络采用新的网络架构

D、计划的时间间隔

5、对于交接区域的信息安全管理，以下说法正确的是:（）

A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证

B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证

C、对于进入和离开组织的设备设施均须检查验证

D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证

6、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）

A、恢复全部程序

B、恢复网络设置

C、恢复所有数据

D、恢复整个系统

7、下列哪项对于审核报告的描述是错误的?（）

A、主要内容应与末次会议的内容基本一致

B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成

C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方

D、以上都不对

8、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）

A、ISO/IEC27002

B、ISO/IEC27003

C、ISO/IEC27004

D、ISO/IEC27005

9、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求

A、2

B、3

C、5

D、7

10、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）

A、审查、任用条款和条件

B、管理责任、信息安全意识教育和培训

C、任用终止或变更的责任

D、以上都不对

11、依据GB/T22080,网络隔离指的是(）

A、不同网络运营商之间的隔离

B、不同用户组之间的隔离

C、内网与外网的隔离

D、信息服务，用户及信息系统

12、关于系统运行日志，以下说法正确的是：（)

A、系统管理员负责对日志信息进行编辑、保存

B、日志信息文件的保存应纳入容量管理

C、日志管理即系统审计日志管理

D、组织的安全策略应决定系统管理员的活动是否有记入曰志

13、()可用来保护信息的真实性、完整性

A、数字签名

B、恶意代码

C、风险评估

D、容灾和数据备份

14、当发现不符合项时，组织应对不符合做出反应，适用时（）。

A、采取措施，以控制并予以纠正

B、对产生的影响进行处理

C、分析产生原因

D、建立纠正措施以避免再发生

15、关于顾客满意，以下说法正确的是：（）

A、顾客没有抱怨，表示顾客满意

B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意

C、顾客认为其要求已得到满足,即意味着顾客满意

D、组织认为顾客要求已得到满足，即意味着顾客满意

16、关于《中华人民共和国必威体育官网网址法》，以下说法正确的是：（）

A、该法的目的是为了保守国家秘密而定

B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系

C、该法适用于所有组织对其敏感信息的保护

D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护

17、信息是消除（）的东西

A、不确定性

B、物理特性

C、不稳定性

D、干扰因素

18、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)

A、体系覆盖的人数

B、使用的信息系统的数量

C、用户的数量

D、其他选项都正确

19、信息安全控制目标是指：（)

A、对实施信息安全控制措施拟实现的结果的描述

B、组织的信息安全策略集的描述

C、组织实施信息安全管理体系的总体宗旨和方向

D、A+B

20、对于获准认可的认证机构，认可机构证明（）

A、认证机构能够开展认证活动

B、其在特定范围内按照标准具有从事认证活动的能力

C、认证机构的每张认证证书都符合要求

D、认证机构具有从事相应认证活动的能力

21、系统备份与普通数据备份的不同在于，它不仅备份系统屮的数据，还备份系统中安装的应用