2024年第一期信息安全管理体系CCAA审核员复习题含解析.doc

2024年第一期信息安全管理体系CCAA审核员复习题

一、单项选择题

1、GB/T22080标准中所指资产的价值取决于（）

A、资产的价格

B、资产对于业务的敏感度

C、资产的折损率

D、以上全部

2、依据GB/T22080/ISO/IEC27001中控制措施的要求，关于网络服务的访问控制策略,以下正确的是()

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

3、在规划如何达到信息安全目标时，组织应确定（）

A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果

B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果

C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果

D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果

4、ITIL的最新版本是(）

A、ITILV4

B、ITILV3

C、ITILV5

D、ITILV2

5、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。

A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力

B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力

C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

6、关于顾客满意，以下说法正确的是：()

A、顾客没有抱怨，表示顾客满意

B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意

C、顾客认为其要求已得到满足，即意味着顾客满意

D、组织认为顾客要求已得到满足，即意味着顾客满意

7、关于信息安全管理中的“脆弱性”，以下正确的是：（）

A、脆弱性是威胁的一种，可以导致信息安全风险

B、网络中“钓鱼”软件的存在，是网络的脆弱性

C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性

D、以上全部

8、关于容量管理，以下说法不正确的是（）

A、根据业务对系统性能的需求，设置阈值和监视调整机制

B、针对业务关键性，设置资源占用的优先级

C、对于关键业务，通过放宽阈值以避免或减少报警的干扰

D、依据资源使用趋势数据进行容量规划

9、管理者应（）

A、制定ISMS方针

B、制定ISMS目标和专划

C、实施ISMS内部审核

D、确保ISMS管理评审的执行

10、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）

A、ISO/IECJTC1SC27

B、ISO/IECJTC13C40

C、ISO/IECTC27

D、ISO/IECTC40

11、在每天下午5点使计算机结束时断开终端的连接属于（）

A、外部终端的物理安全

B、通信线的物理安全

C、窃听数据

D、网络地址欺骗

12、组织应（），以确信相关过程按计划得到执行。

A、处理文件化信息达到必要的程度

B、保持文件化信息达到必要的程度

C、保持文件化信息达到可用的程度

D、产生文件化信息达到必要的程度

13、可用性是指（）

A、根据授权实体的要求可访问和利用的特性

B、信息不能被未授权的个人，实体或者过程利用或知悉的特性

C、保护资产的准确和完整的特性

D、反映事物真实情况的程度

14、信息分类方案的目的是（）

A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘

B、划分信息载体所属的职能以便于明确管理责任

C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则

D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

15、组织应在相关（）上建立信息安全目标

A、组织环境和相关方要求

B、战略和意思

C、战略和方针

D、职能和层次

16、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）

A、安全接口层(sSL,SecureSocketsLayer〉

B、风险隧道技术(Tunnelling)

C、数字签名

D、风险钓鱼

17、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

18、下列不属于公司信息资产的有

A、客户信息

B、被放置在IDC机房的服务器

C、个人使用的电脑

D、审核记录

19、控制影响信息安全的变更，包括（)

A、组织、业务活动、信息及处理设施和系统变更

B、组织、业务过程、信息处理