2022年12月信息安全管理体系CCAA审核员考试题目含解析.doc

2022年12月信息安全管理体系CCAA审核员考试题目

一、单项选择题

1、用户访问某Web站，用户直接采取的安全措施是()。

A、服务器数据备份

B、防火墙过滤数据包

C、用户输入登录口令

D、核心交换机的热备

2、根据GB/T22080-2016标准中控制措施的要求，应根据法律、法规、规章、合同和业务要求，确保对记录进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。是()的条款的要求。

A、A13.2.3

B、A18.1.3

C、A9.4.1

D、A7.5.3

3、根据GB/T29246，信息处理设施不包括()。

A、信息系统

B、系统和设施安置的物理场所

C、人及文档

D、服务和基础设施

4、根据GB/T22080-2016标准的要求，相关方的要求可能包括()。

A、标准、法规要求和合同义务

B、法律、标准要求和合同义务

C、法律、法规要求和合同义务

D、法律、法规和标准要求和合同义务

5、根据《中华人民共和国计算机信息系统安全保护条例》，计算机犯罪是指行为人通过()所实施的危害(）安全以及其他严重危害社会的并应当处以刑罚的行为。

A、数据库操作计算机信息系统

B、计算机操作计算机信息系统

C、数据库操作管理信息系统

D、计算机操作应用信息系统

6、按照PDCA思路进行审核，是指()。

A、按照认可规范中规定的PDCA流程进行审核

B、按照认证机构的PDCA流程进行审核

C、按照受审核区域的信息安全管理活动的PDCA过程进行审核

D、按照检查表策划9PDCA进行审核

7、关于GB/T22080-2016，以下说法正确的是()。

A、相关方的需求和期望是组织制定信息安全方针的输入

B、实施标准4.1~4.2，须编制“相关方管理程序”，形成文件

C、组织须维护一份相关方及其需求和期望的清单

D、组织应识别的相关方不随ISMS围而变化

8、对于获准认可的认证机构，认可机构证明()

A、认证机构能够开展认证活动

B、其在特定范围内按照标准具有从事认证活动的能力

C、认证机构的每张认证证书都符合要求

D、认证机构具有从事相应认证活动的能力

9、根据GB/T20986，由于保障信息系统正常运行所必须的外围设施出现故障而导致的信息安全事件是()。

A、其他设备设施故障

B、外围保障设施故障

C、人为破坏事故

D、软硬件自身故障

10、《信息安全等级保护管理办法》规定的5级是信息系统受到破坏后会对（）造成严重损害。

A、国家安全

B、公共利益

C、公民、法人和其他组织的合法权益

D、社会秩序

11、在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）。

A、客户组织的准备程度

B、所需能力的审核组成员

C、所需审核组能力的要求

D、客户组织的场所分布

12、根据GB/T22080-2016标准中控制措施的要求，有关安全登陆规程，不能接受的做法是()。

A、在设备上张贴警示通告，说明只有已授权用户才能访问计算机

B、忘记个人口令，暴力破解尝试登陆

C、输入口令时不显示系统或应用标识符，直到登陆过程已成功完成为止

D、在安全登陆期间，不提供对未授权用户有帮助作用的信息

13、某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）

A、风险接收

B、风险规避

C、风险转移

D、风险减缓

14、关于散布图，以下说法正确的是:()。

A、是描述特性值分布区间的图——趋势图

B、是描述对变量关系的图——敏布图

C、是描述特性随时间变化趋势的图——趋势图

D、是描述变量类别分布的图——直方图

15、某种网络安全威胁是通过非法手段对数据进行恶意修改，这种安全威胁属于()。

A、窃听数据

B、破坏数据完整性

C、破坏数据可用性

D、物理安全威胁

16、某数据中心申请ISMS认证的范围为IDC基础设施服务的提供”，对此以下说法正确的是（）。

A、A.8可以删减

B、A.12可以删减

C、A.14可以删减

D、以上都对

17、以下符合GB/T22080-2016标准A18.1.4条款要求的情况是()。

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据得到保护

D、其他选项均正确

18、有关信息安全管理，风险评估的方法比起基线的方法，其主要的优势在于确保（）

A、不考虑资产的价值，基本水平的保护都会被实施

B、对所有信息资产保护都投入相同的资源

C、对信息资产实施适当水平的保护

D、信息资产过度的保护

19、ISO/IEC27701是（）

A、ISO/IEC27001和ISO/IEC27002在隐私保护方面的扩展

B、是ISMS族以外的标准

C、在隐私保护方面扩展了ISO