2021年第三期信息安全管理体系CCAA审核员考试题目含解析.doc

2021年第三期信息安全管理体系CCAA审核员考试题目

一、单项选择题

1、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）

A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证

B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证

C、对于离开组织的设备和资产须验证相关授权信息

D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证

2、关于访问控制策略，以下不正确的是：（）

A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型

B、对于多任务访问，一次性赋予全任务权限

C、物理区域的管理规定须遵从物理区域的访问控制策

D、物理区域访问控制策略应与其中的资产敏感性一致

3、在现场审核时，审核组有权自行决定变更的事项是（）。

A、市核人日

B、审核的业务范围

C、审核日期

D、审核组任务调整

4、当发现不符合项时，组织应对不符合做出反应，适用时（）。

A、采取措施，以控制并予以纠正

B、对产生的影响进行处理

C、分析产生原因

D、建立纠正措施以避免再发生

5、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统物理破坏而导致的信息安全事件。

A、网络攻击

B、不可抗力

C、自然灾害

D、人为因素

6、安全区域通常的防护措施有（）

A、公司前台的电脑显示器背对来访者

B、进出公司的访客须在门卫处进行登记

C、重点机房安装有门禁系统

D、以上全部

7、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。

A、半年

B、1年

C、1.5年

D、2年

8、关于认证人员执业要求，以下说法正确的是:

A、注册审核员只能在一个认证机构和一个咨询机构执业

B、注册审核员和认证决定人员只能在一个认证机构

C、注册审核员只能在一个认证机构执业，非注册的认证决定人员不受此限制

D、在咨询机构认专职咨询师的人员，只能在认证机构人兼职认证决定人员

9、以下说法不正确的是(）

A、应考虑组织架构与业务目标的变化的风险评估进行再评审

B、应考虑以往未充分识别的威胁对风险评估结果进行再评估

C、制造部增加的生产场所对信息安全风险无影响

D、安全计划应适时更新

10、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）

A、认证

B、认可

C、审核

D、评审

11、下面哪个不是典型的软件开发模型？（）

A、变换型

B、渐增型

C、瀑布型

D、结构型

12、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）

A、安全接口层(sSL,SecureSocketsLayer〉

B、风险隧道技术(Tunnelling)

C、数字签名

D、风险钓鱼

13、关于《中华人民共和国保密法》，以下说法正确的是：（）

A、该法的目的是为了保守国家秘密而定

B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系

C、该法适用于所有组织对其敏感信息的保护

D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护

14、认证机构应确定，ITSMS是否能在缺少()的情况下得到充分审核并予以记录,同时还应详细说明理由。

A、保密性信息

B、远程支持

C、方案策划

D、服务目录

15、ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。

A、有效策划与保持持续改进

B、有效实施与运行持续改进

C、有效实施与保持持续改进

D、有效策划与运行持续改进

16、下列哪项对于审核报告的描述是错误的?（）

A、主要内容应与末次会议的内容基本一致

B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成

C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方

D、以上都不对

17、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求

A、2

B、3

C、5

D、7

18、保密协议或不泄露协议至少应包括：（）

A、组织和员工双方的信息安全职责和责任

B、员工的信息安全职责和责任

C、组织的信息安全职责和责任

D、纪律处罚规定

19、抵御电子邮箱入侵措施中，不正确的是（）

A、不用生日做密码

B、不要使用少于5位的密码

C、不要使用纯数字

D、自己做服务器

20、依据GB/T22080,网络隔离指的是(）

A、不同网络运营商之间的隔离

B、不同用户组之间的隔离

C、内网与外网的隔离

D、信息服务，用户及信息系统

21、在ISO组织框架中，负责ISO/IEC27000