2021年第三期CCAA注册审核员复习题—ISMS信息安全管理体系含解析.doc

2021年第三期CCAA注册审核员复习题—ISMS信息安全管理体系

一、单项选择题

1、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。

A、用户权限

B、可被用户访问的资料

C、系统是否遭受入侵

D、可给予哪些主体访问

2、关于备份，以下说法正确的是(）

A、备份介质中的数据应定期进行恢复测试

B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的

C、发现备份介质退化后应考虑数据迁移

D、备份信息不是管理体系运行记录，不须规定保存期

3、组织应（），以确信相关过程按计划得到执行。

A、处理文件化信息达到必要的程度

B、保持文件化信息达到必要的程度

C、保持文件化信息达到可用的程度

D、产生文件化信息达到必要的程度

4、某公司进行风险评估后发现公司的无线网络存在大的安全隐患、为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）

A、风险接受

B、风险规避

C、风险转移

D、风险减缓

5、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）

A、要保护什么样的信息

B、有多少信息要保护

C、为保护这些重要信息需要准备多大的投入

D、不保护这些重要信息,将付出多大的代价

6、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）

A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值

B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值

C、电子邮件发送前，用投资项问商的私钥数字签名邮件

D、电子邮件发送前，用投资顾向商的私钥加密邮件

7、下面哪个不是典型的软件开发模型？（）

A、变换型

B、渐增型

C、瀑布型

D、结构型

8、信息安全管理中，关于脆弱性，以下说法正确的是()。

A、组织使用的开源软件不须考虑其技术脆弱性

B、软件开发人员为方便维护留的后门是脆弱性的一种

C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施

D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会

9、信息安全风险的基本要素包括（）

A、资产、可能性、影响

B、资产、脆弱性、威胁

C、可能性、资产、脆弱性

D、脆弱性、威胁、后果

10、国家秘密的必威体育官网网址期限应为:（）

A、绝密不超过三十年，机密不超过二十年，秘密不超过十年

B、绝密不低于三十年，机密不低于二十年，秘密不低于十年

C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年

D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年

11、对必威体育官网网址文件复印件张数核对是确保必威体育官网网址文件的（）

A、必威体育官网网址性

B、完整性

C、可用性

D、连续性

12、()是风险管理的重要一环。

A、管理手册

B、适用性声明

C、风险处置计划

D、风险管理程序

13、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）

A、沟通周期

B、沟通内容

C、沟通时间

D、沟通对象

14、加密技术可以保护信息的(）

A、机密性

B、完整性

C、可用性

D、A+B

15、数字签名可以有效对付哪一类信息安全风险？

A、非授权的阅读

B、盗窃

C、非授权的复制

D、篡改

16、关于信息安全连续性，以下说法正确的是（）

A、信息安全连续性即IT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

17、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

18、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）

A、信息安全方针

B、信息安全目标

C、风险评估过程记录

D、沟通记录

19、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）

A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求

B、标准中所表述要求的顺序反映了这些要求要实现的顺序

C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中

D、信息安全管理体系通过应用风险管理过程来保持信息的必威体育官网网址性、完整性和可用性

20、文件化信息创建和更新时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

21、风险评价是指（）

A、系统