2024年第二期CCAA信息安全管理體系質量審核員模擬試題含解析

2024年第二期CCAA信息安全管理體系質量審核員模擬試題一、單項選擇題1、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略2、當獲得的審核證據表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當的措施C、宣布取消末次會議D、以上各項都不可以3、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新4、()是指系統(tǒng)、服務或網絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障5、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對6、（）是建立有效的計算機病毒防御體系所需要的技術措施A、補丁管理系統(tǒng)、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網絡入侵檢測、防病毒系統(tǒng)和防火墻7、IT服務管理中所指"服務目錄"是：（）A、一個包含生產環(huán)境IT服務信息的結構化文件，應與服務級別協議一致B、一個服務項目命名清單，不可隨意更改C、一個定義服務內容的企業(yè)標準D、定義IT服務分類的行業(yè)或國家標準8、關于認證人員執(zhí)業(yè)要求，以下說法正確的是:A、注冊審核員只能在一個認證機構和一個咨詢機構執(zhí)業(yè)B、注冊審核員和認證決定人員只能在一個認證機構C、注冊審核員只能在一個認證機構執(zhí)業(yè)，非注冊的認證決定人員不受此限制D、在咨詢機構認專職咨詢師的人員，只能在認證機構人兼職認證決定人員9、（）是問題管理流程中最后的環(huán)節(jié)A、將任何與變更請求下相關的傳遞給問題管理B、關閉C、問題回顧D、問題記錄10、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結果11、風險處置是（）A、識別并執(zhí)行措施來更改風險的過程B、確定并執(zhí)行措施來更改風險的過程C、分析并執(zhí)行措施來更改風險的過程D、選擇并執(zhí)行措施來更改風險的過程12、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性13、()可用來保護信息的真實性、完整性A、數字簽名B、惡意代碼C、風險評估D、容災和數據備份14、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤15、描述組織采取適當的控制措施的文檔是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序16、ISO/IEC20000J標準的范圍聲明是很重要的，因為()A、它定義了管理體系根據什么予以認證B、它詳細描述了所有已被認證的公司C、它詳細描述了所有已被認耐砂D、它確定了哪些流程已超出了范圍17、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確18、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯網的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件19、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保20、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限21、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?22、審核發(fā)現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項23、已知錯誤是一個已識別根本原因或解決方案降低或消除對服務影響的()A、問題B、事件C、錯誤D、事態(tài)24、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態(tài)C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規(guī)范性文件的所有要求25、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部26、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護27、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發(fā)生缺失的情況B、資產不發(fā)生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發(fā)生缺失的情況D、設備系統(tǒng)的部件和配件不發(fā)生缺失的情況28、局域網環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協議29、依據GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確30、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求31、（）不是每個過程都需要定義的部分A、輸出B、資源C、輸入D、活動32、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排33、安全掃描可以實現（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數據包攻擊分析所有的數據流34、《信息技術服務分類與代碼》中的分類分為()級A、2B、3C、4D、535、形成ISMS審核發(fā)現時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性36、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性37、下面哪一種功能不是防火墻的主要功能?A、協議過濾B、應用網關C、擴展的日志記錄能力D、包交換38、關于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網絡安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質口令39、進入重要機構時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記40、計算機信息系統(tǒng)安全專用產品是指：（）A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產品B、按安全加固要求設計的專用計算機C、安裝了專用安全協議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產品二、多項選擇題41、以下屬于信息安全事態(tài)或事件的是:（）A、服務、設備或設施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知42、關于“不可否認性”，以下說法正確的是（）A、數字簽名是實現“不可否認性”的有效技術手段B、身份認證是實現“不可否認性”的重要環(huán)節(jié)C、數字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性43、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容44、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動45、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復雜程度46、以下（）活動是ISMS監(jiān)視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施47、某金融資產武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支48、關于審核發(fā)現，以下說法正確的是：（）A、審核發(fā)現是收集的審核證據對照審核準則進行評價的結果B、審核發(fā)現包括正面的和負面的發(fā)現C、審核發(fā)現是審核結論的輸入D、審核發(fā)現是制定審核準則的依據49、以下屬于“信息處理設施”的是（）A、信息處理系統(tǒng)B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施50、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動，提高產品、服務的（），促進經濟和社會的發(fā)展。A、質量B、數量C、管理水平D、競爭力51、以下屬于信息安全管理體系審核的證據是：（）A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數據B、信息系統(tǒng)的閾值列表C、數據恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告52、下列哪些是SSL支持的內容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data53、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了54、以下屬于信息安全管理體系審核證據的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數據C、數據恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告55、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產品原則上應選擇國產產品B、使用的信息安全保密產品應當通過國家保密局授權的檢測機構檢測C、使用的信息安全保密產品應當通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平三、判斷題56、創(chuàng)建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。正確錯誤57、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）正確錯誤58、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。正確錯誤59、從審核開始到結束,審核組長應對審核實施負責正確錯誤60、最高管理層應建立信息安全方針、該方針應包括對持續(xù)改進信息安全管理體系的承諾。正確錯誤61、實習審核員可以獨立完成審核任務。（）正確錯誤62、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）正確錯誤63、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。正確錯誤64、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）正確錯誤65、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）正確錯誤

參考答案一、單項選擇題1、D2、B3、B4、A5、C6、D解析:以上都是建立有效的計算機病毒防御體系所需要的技術措施，但D選項與病毒防御更相關，故選D7、A8、B9、B10、C11、D解析:風險處置，是指選擇并且執(zhí)行措施來更改風險的過程。故選D12、A13、A14、D15、B16、D17、B18、D19、A解析:理解組織及其環(huán)境20、C21、A22、C23、A24、D25、D26、A27、B28、B解析:局域網是指家庭或是辦公室，或者其他環(huán)境中小型網絡。而大型計算機環(huán)境是指類似服務器的大型網絡。兩者本地備份差別主要體現在容錯能力上，故選B29、D解析:信息安全目標及其實現規(guī)劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護