2021年第一期CCAA国家信息安全管理体系质量审核员模拟试题含解析.doc

2021年第一期CCAA国家信息安全管理体系质量审核员模拟试题

一、单项选择题

1、关于技术脆弱性管理，以下说法正确的是：（）

A、技术脆弱性应单独管理，与事件管理没有关联

B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小

C、针对技术脆弱性的补丁安装应按变更管理进行控制

D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径

2、下列措施中不能用于防止非授权访问的是（）

A、采取密码技术

B、采用最小授权

C、采用权限复查

D、采用日志记录

3、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

4、造成计算机系统不安全的因素包括（）。

A、系统不及时打补丁

B、使用弱口令

C、连接不加密的无线网络

D、以上都对

5、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求

A、2

B、3

C、5

D、7

6、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）

A、安全接口层(sSL,SecureSocketsLayer〉

B、风险隧道技术(Tunnelling)

C、数字签名

D、风险钓鱼

7、关于访问控制策略，以下不正确的是：（）

A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型

B、对于多任务访问，一次性赋予全任务权限

C、物理区域的管理规定须遵从物理区域的访问控制策

D、物理区域访问控制策略应与其中的资产敏感性一致

8、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）

A、审查、任用条款和条件

B、管理责任、信息安全意识教育和培训

C、任用终止或变更的责任

D、以上都不对

9、以下不属于信息安全事态或事件的是：

A、服务、设备或设施的丢失

B、系统故障或超负载

C、物理安全要求的违规

D、安全策略变更的临时通知

10、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是

A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用

D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用

11、以下哪个选项不是ISMS第一阶段审核的目的（）

A、获取对组织信息安全管理体系的了解和认识

B、了解客户组织的审核准备状态

C、为计划2阶段审核提供重点

D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求

12、完整性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、以上都不对

13、为信息系统用户注册时，以下正确的是:（）

A、按用户的职能或业务角色设定访问权

B、组共享用户ID按组任务的最大权限注册

C、预设固定用户ID并留有冗余，以保障可用性

D、避免频繁变更用户访问权

14、关于信息安全产品的使用，以下说法正确的是:（）

A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权

B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书

C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录

D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞

15、()是风险管理的重要一环。

A、管理手册

B、适用性声明

C、风险处置计划

D、风险管理程序

16、在规划如何达到信息安全目标时，组织应确定（）

A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果

B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果

C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果

D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果

17、末次会议包括（）

A、请受审核方确认不符合报告、并签字

B、向审核方递交审核报告

C、双方就审核发现的不同意见进行讨论

D、以上都不准确

18、对于获准认可的认证机构，认可机构证明（）

A、认证机构能够开展认证活动

B、其在特定范围内按照标准具有从事认证活动的能力

C、认证机构的每张认证证书都符合要求

D、认证机构具有从事相应认证活动的能力

19、下列哪个选项不属于审核组长的职责?

A、确定审核的需要和目的

B、