2021年9月CCAA信息安全管理體系質量審核員考試題目含解析

2021年9月CCAA信息安全管理體系質量審核員考試題目一、單項選擇題1、下列關于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內部網絡B、通常DMZ包含允許來自互聯(lián)網的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內部網絡可以無限制地訪問夕卜部網絡以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作2、在現(xiàn)場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務范圍C、審核日期D、審核組任務調整3、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對4、關于容量管理，以下說法不正確的是（）A、根據業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數(shù)據進行容量規(guī)劃5、依據《中華人民共和國網絡安全法》應予以重點保護的信息基礎設施，指的是()A、一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數(shù)據泄雷，可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數(shù)據泄露，可能危害國家安全、國計民生的信息基礎設施D、—旦遭到破壞、數(shù)據泄露，可能危害國家安全、國計民生、公共利益的網絡系統(tǒng)6、根據ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布7、下列措施中，（）是風險管理的內容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是8、我國網絡安全等級保護共分幾個級別？（）A、7B、4C、5D、69、"多級SLA"是一個三層結構，下列哪層不是這樣類型SLA的部分？()A、客戶級別B、公司級別C、配置級別D、服務級別10、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序11、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性12、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準13、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B14、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數(shù)15、ISMS關鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量16、GB/T22080標準中所指資產的價值取決于（）A、資產的價格B、資產對于業(yè)務的敏感度C、資產的折損率D、以上全部17、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內容監(jiān)控B、安全教育和培訓C、責任追查和懲處D、訪問控制18、TCP/IP協(xié)議層次結構由（）A、網絡接口層、網絡層組成B、網絡接口層、網絡層、傳輸層組成C、網絡接口層、網絡層、傳輸層和應用層組成D、其他選項均不正確19、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業(yè)務戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部20、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4021、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在()向當?shù)乜h民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內22、（）是建立有效的計算機病毒防御體系所需要的技術措施。A、補丁管理系統(tǒng)、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網絡入侵檢測、防病毒系統(tǒng)和防火墻23、依據GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設備和資產須驗證其是否符合安全策略，對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證，對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產，驗證攜帶者身份信息，可替代對設備設施的驗證24、ISO/IEC20000-1:2018標準是依據管理體系高層結構，即()對標準的結構進行調整的A、ISO/IEC導則的一部分綜合ISO補充附錄B、ISO/IEC導則的一部分綜合ISO補充結構層C、ISO/IEC導則的一部分綜合ISO補充體質D、ISO/IEC導則的一部分綜合ISO補充模型25、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?26、關于互聯(lián)網信息服務，以下說法正確的是A、互聯(lián)網服務分為經營性和非經營性兩類，其中經營性互聯(lián)網信息服務應當在電信主管部門備案B、非經營性互聯(lián)網信息服務未取得許可不得進行C、從事經營性互聯(lián)網信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求D、經營性互聯(lián)網服務，是指通過互聯(lián)網向上網用戶無嘗提供具有公開性、共享性信息的服務活動27、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項28、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)29、—家投資顧問商定期向客戶發(fā)送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件30、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對31、關于信息安全產品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統(tǒng)，己列入信息安全產品認征目錄的，應取得國家信息安全產品人證機構頒發(fā)的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞32、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶33、進入重要機構時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記34、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件35、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用36、當操作系統(tǒng)發(fā)生變更時,應對業(yè)務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認37、對全國密碼工作實行統(tǒng)一領導的機構是(）A、中央密碼工作領導機構B、國家密碼管理部門C、中央國家機關D、全國人大委員會38、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結果D、重要業(yè)務系統(tǒng)操作指南39、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對40、根據《中華人民共和國網絡安全法》，關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議,明確安全和保密義務與責任A、安全保密B、安全保護C、安全保障D、安全責任二、多項選擇題41、防范端口掃描、漏洞掃描和網絡監(jiān)聽的措施為(）A、安裝防火墻B、定期更新系統(tǒng)或打補丁C、對網絡上傳輸?shù)男畔⑦M行加密D、關閉一些不常用的端口42、最高管理層應建立信息安全方針,方針應（）A、對相關方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜43、下列描述哪些是正確的(）。A、程序也可以不形成文件B、程序可以形成文件C、程序必須形成文件D、程序就是文件44、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品査殺病毒45、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高46、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中47、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領導，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應用C、服務大局D、分級負責48、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內容C、不符合的原因D、不符合的性質49、網絡常見的拓撲形式有（）A、星型B、環(huán)型C、總線D、樹型50、信息安全管理體系審核應遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法51、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制52、信息安全風險分析包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性53、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求（）A、設定備份策B、定期測試備份介質C、定期備份D、定期測試信息和軟件54、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務技術支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估55、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理三、判斷題56、J031組織對內部供應商應按服務級別管理過程進行管理。（）正確錯誤57、組織應識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）正確錯誤58、對不同類型的風險可以采用不同的風險接受準則，例如，導致對法律法規(guī)不符合的風險可能是不可接受的，但可能允許接受導致違背合同要求的高風險。（）正確錯誤59、中華人民共和國境內的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網的微型計算機的安全保護辦法,另行制定。正確錯誤60、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。正確錯誤61、組織應適當保留信息安全目標文件化信息（）正確錯誤62、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）正確錯誤63、測量是確定數(shù)值和性質的過程。（）正確錯誤64、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）正確錯誤65、某組織在生產系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）正確錯誤

參考答案一、單項選擇題1、A2、D3、D解析:應嚴格限制對軟件包的調整以保護其完整性4、C5、A6、C7、D8、C9、C10、D11、C12、A13、B14、D15、D16、B17、B18、C19、D20、A21、C22、D23、C24、A25、B26、C27、C28、C29、C30、C31、B32、C33、B34、C35、A36、B37、A38、D39、B40、A二、多項選擇題41、A,B,C,