2024年第二期CCAA国家信息安全管理体系质量审核员复习题含解析.doc

2024年第二期CCAA国家信息安全管理体系质量审核员复习题

一、单项选择题

1、（）不是每个过程都需要定义的部分

A、输出

B、资源

C、输入

D、活动

2、下列措施中不能用于防止非授权访问的是（）

A、采取密码技术

B、采用最小授权

C、采用权限复查

D、采用日志记录

3、涉及运行系统验证的审计要求和活动，应（）

A、谨慎地加以规划并取得批准，以便最小化业务过程的中断

B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续

C、谨慎地加以实施并取得批准，以便最小化业务过程的中断

D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续

4、系统备份与普通数据备份的不同在于，它不仅备份系统屮的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。

A、恢复全部程序

B、恢复网络设置

C、恢复所有数据

D、恢复整个系统

5、关于技术脆弱性管理，以下说法正确的是：（）

A、技术脆弱性应单独管理，与事件管理没有关联

B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小

C、针对技术脆弱性的补丁安装应按变更管理进行控制

D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径

6、防火墙提供的接入模式不包括(）

A、透明模式

B、混合模式

C、网关模式

D、旁路接入模式

7、对于较大范围的网络，网络隔离是：（）

A、可以降低成本

B、可以降低不同用户组之间非授权访问的风险

C、必须物理隔离和必须禁止无线网络

D、以上都对

8、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响

A、隔离和迁移

B、评审和测试

C、评审和隔离

D、验证和确认

9、信息安全管理体系是用来确定（)

A、组织的管理效率

B、产品和服务符合有关法律法规程度

C、信息安全管理体系满足审核准则的程度

D、信息安全手册与标准的符合程度

10、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限

B、分配岗位与权限

C、分配责任与权限

D、分配角色和权限

11、风险处置是（）

A、识别并执行措施来更改风险的过程

B、确定并执行措施来更改风险的过程

C、分析并执行措施来更改风险的过程

D、选择并执行措施来更改风险的过程

12、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()

A、国家经营

B、地方经营

C、备案制度

D、许可制度

13、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。

A、个人信息

B、隐私

C、商业秘密

D、其他选项均正确

14、根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是（）

A、保留含有敏感信息的介质的处置记录

B、离职人员自主删除敏感信息的即可

C、必要时采用多路线路供电

D、应定期检查机房空调的有效性

15、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

A、主要结构

B、容错能力

C、网络拓扑

D、局域网协议

16、根据《互联网信息服务管理办法》，互联网接入服务提供者应当记录上网用户的(）

A、用户帐号、上网时间、访问端口信息

B、用户帐户、上网时间、访问内容

C、用户帐号、访问IP地址、用户计算机型号

D、上网时间、用户帐号、互联网地址

17、相关方的要求可以包括（）

A、标准、法规要求和合同义务

B、法律、标准要求和合同义务

C、法律、法规和标准要求和合同义务

D、法律、法规要求和合同义务

18、《计算机信息系统安全保护条例》中所称计算机信息系统，是指

A、对信息进行采集、加工、存储、传输、检索等处理的人机系统

B、计算机及其相关的设备、设施，不包括软件

C、计算机运算环境的总和，但不含网络

D、一个组织所有计算机的总和，包括未联网的微型计算机

19、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）

A、所需审核组能力的要求

B、客户组织的准备程度

C、所需能力的审核组成员

D、客户组织的场所分布

20、拒绝服务攻击损害了信息系统哪一项性能（）

A、完整性

B、可用性

C、保密性

D、可靠性

21、GB/T22080标准中所指资产的价值取决于（）

A、资产的价格

B、资产对于业务的敏感度

C、资产的折损率

D、以上全部

22、风险评估过程一般应包括（）

A、风险识别

B、风险分析

C、风险评价

D、以上全部

23、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）

A、安全接口层(sSL,SecureSocketsLayer〉

B、风险隧道技术(Tunnelling)

C、数字签名

D、