2021年第四期CCAA注册ISMS信息安全管理体系审核员知识考试题目含解析.doc

2021年第四期CCAA注册ISMS信息安全管理体系审核员知识考试题目

一、单项选择题

1、信息安全残余风险是（）。

A、没有处置完成的风险

B、没有评估的风险

C、处置之后仍存在的风险

D、处置之后没有报告的风险

2、实施管理评审的目的是为确保信息安全管理体系的（）

A、充分性

B、适宜性

C、有效性

D、以上都是

3、风险评价是指（）

A、系统地使用信息来识别风险来源和评估风险

B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程

C、指导和控制一个组织相关风险的协调活动

D、以上都对

4、虚拟专用网(VPN)的数据必威体育官网网址性，是通过什么实现的?（）

A、安全接口层(sSL,SecureSocketsLayer〉

B、风险隧道技术(Tunnelling)

C、数字签名

D、风险钓鱼

5、不属于常见的危险密码是（）

A、跟用户名相同的密码

B、使用生日作为密码

C、只有4位数的密码

D、10位的综合型密码

6、下列不一定要进行风险评估的是（）

A、发布新的法律法规

B、ISMS最高管理者人员变更

C、ISMS范围内的网络采用新的网络架构

D、计划的时间间隔

7、关于顾客满意，以下说法正确的是：（）

A、顾客没有抱怨，表示顾客满意

B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意

C、顾客认为其要求己得到满足，即意味着顾客满意

D、组织认为顾客要求己得到满足，即意味着顾客满意

8、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）

A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务

B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接

C、对于允许访问的网络服务，按照规定的授权机制进行授权

D、以上都对

9、下面哪个不是《中华人民共和国密码法》中密码的分类？（）

A、核心密码

B、普通密码

C、国家密码

D、商用密码

10、在认证审核时，一阶段审核是（）

A、是了解受审方ISMS是否正常运行的过程

B、是必须进行的

C、不是必须的过程

D、以上都不准确

11、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）

A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值

B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值

C、电子邮件发送前，用投资项问商的私钥数字签名邮件

D、电子邮件发送前，用投资顾向商的私钥加密邮件

12、关于内部审核下面说法不正确的是(）。

A、组织应定义每次审核的审核准则和范围

B、通过内部审核确定ISMS得到有效实施和维护

C、组织应建立、实施和维护一个审核方案

D、组织应确保审核结果报告至管理层

13、关于投诉处理过程的设计，以下说法正确的是：（）

A、投诉处理过程应易于所有投诉者使用

B、投诉处理过程应易于所有投诉响应者使用

C、投诉处理过程应易于所有投诉处理者使用

D、投诉处理过程应易于为投诉处理付费的投诉者使用

14、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）

A、ISO/IEC27002

B、ISO/IEC27003

C、ISO/IEC27004

D、ISO/IEC27005

15、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的必威体育官网网址监督检查对秘密级、机密级信息系统每（）至少进行一次必威体育官网网址检查或系统测评。

A、半年

B、1年

C、1.5年

D、2年

16、进入重要机构时，在门卫处登记属于以下哪种措施？（）

A、访问控制

B、身份鉴别

C、审计

D、标记

17、PKI的主要组成不包括(）

A、SSL

B、CR

C、CA

D、RA

18、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。

A、认证

B、认可

C、审核

D、评审

19、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）

A、基本角色的策略

B、基于身份的策略

C、用户向导的策略

D、强制性访问控制策略

20、以下哪项不属于脆弱性范畴？（）

A、黑客攻击

B、操作系统漏洞

C、应用程序BUG

D、人员的不良操作习惯

21、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）

A、特密

B、绝密

C、机密

D、秘密

22、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。

A、做好资产分类是其基础

B、采用组织固定资产台账即可

C、无需关注资产产权归属者

D、A+B

23、经过风险处理后遗留的风险是（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

24、关于GB/T22080-2016/ISO/IEC27001:2013标