2021年第三期CCAA國家信息安全管理體系質(zhì)量審核員考試題目含解析

2021年第三期CCAA國家信息安全管理體系質(zhì)量審核員考試題目一、單項選擇題1、（）是建立有效的計算機(jī)病毒防御體系所需要的技術(shù)措施。A、補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻2、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?、下列管理評審的方式，哪個不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評審團(tuán)隊通過會議的方式對管理體系適宜性、有效性和充分性進(jìn)行評審B、通過網(wǎng)絡(luò)會議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進(jìn)行評審D、通過材料評審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評審4、認(rèn)證機(jī)構(gòu)應(yīng)確定，ITSMS是否能在缺少()的情況下得到充分審核并予以記錄,同時還應(yīng)詳細(xì)說明理由。A、保密性信息B、遠(yuǎn)程支持C、方案策劃D、服務(wù)目錄5、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定6、《計算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計算機(jī)信息系統(tǒng)，是指A、對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計算機(jī)運算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個組織所有計算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計算機(jī)7、《信息技術(shù)服務(wù)分類與代碼》規(guī)定(）屬于軟件運營服務(wù)。A、在線殺毒B、物流信息管理服務(wù)平臺C、電子商務(wù)D、在線娛樂平臺8、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍9、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼10、某公司進(jìn)行風(fēng)險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患、為了處置這個風(fēng)險，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）A、風(fēng)險接受B、風(fēng)險規(guī)避C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩11、關(guān)于認(rèn)證人員執(zhí)業(yè)要求，以下說法正確的是:A、注冊審核員只能在一個認(rèn)證機(jī)構(gòu)和一個咨詢機(jī)構(gòu)執(zhí)業(yè)B、注冊審核員和認(rèn)證決定人員只能在一個認(rèn)證機(jī)構(gòu)C、注冊審核員只能在一個認(rèn)證機(jī)構(gòu)執(zhí)業(yè)，非注冊的認(rèn)證決定人員不受此限制D、在咨詢機(jī)構(gòu)認(rèn)專職咨詢師的人員，只能在認(rèn)證機(jī)構(gòu)人兼職認(rèn)證決定人員12、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析13、（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障14、構(gòu)成風(fēng)險的關(guān)鍵因素有（）A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴(yán)重性15、Saas是指(）A、軟件即服務(wù)B、服務(wù)平臺即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)16、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)17、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專人管理式D、A+B+C18、已知錯誤是一個已識別根本原因或解決方案降低或消除對服務(wù)影響的()A、問題B、事件C、錯誤D、事態(tài)19、在我國《信息安全等級保護(hù)管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、620、計算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護(hù)計算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機(jī)C、安裝了專用安全協(xié)議的專用計算機(jī)D、特定用途（如高保密）專用的計算機(jī)軟件和硬件產(chǎn)品21、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作22、對于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）A、認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動的能力23、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標(biāo)準(zhǔn)，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力24、計算機(jī)病毒是計算機(jī)系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)25、進(jìn)入重要機(jī)構(gòu)時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標(biāo)記26、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B27、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除28、局域網(wǎng)環(huán)境下與大型計算機(jī)環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議29、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級機(jī)關(guān)30、殘余風(fēng)險是指:（）A、風(fēng)險評估前，以往活動遺留的風(fēng)險B、風(fēng)險評估后，對以往活動遺留的風(fēng)險的估值C、風(fēng)險處置后剩余的風(fēng)險，比可接受風(fēng)險低D、風(fēng)險處置后剩余的風(fēng)險，不一定比可接受風(fēng)險低31、闡明所取得結(jié)果或提供所完成活動的證據(jù)的文件是()A、報告B、演示C、記錄D、協(xié)議32、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性33、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制34、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃35、最高管理層應(yīng)通過（）活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致36、下列哪項對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對37、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器38、IT部門中的所有服務(wù)是否都要包含在認(rèn)證范圍以內(nèi)？（）A、是的，整個范圍的服務(wù)都要包含在認(rèn)證范圍之內(nèi)B、只有當(dāng)其都被提供給相同的客戶群體時C、不，該范圍可限制為服務(wù)的子集D、取決于該服務(wù)為內(nèi)部提供還是外部提供39、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼40、組織機(jī)構(gòu)在建立和評審ISMS時，應(yīng)考慮（）A、風(fēng)險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C二、多項選擇題41、網(wǎng)絡(luò)常見的拓?fù)湫问接校?A、星型B、環(huán)型C、總線型D、樹型42、《信息安全等級保護(hù)管理辦法》的分級是依據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對（）的危害程度等因素確定。A、公民、法人和其他組織的合法權(quán)益B、公共利益C、國家安全D、社會秩序43、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項B、國民經(jīng)濟(jì)和社會發(fā)展中的秘密事項C、科學(xué)技術(shù)中的秘密事項D、國防建設(shè)和武裝力量活動中的秘密事項44、按覆蓋的地理范圍進(jìn)行分類，計算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)45、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊46、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)47、移動設(shè)備策略宜考慮（)A、移動設(shè)備注冊B、惡意軟件防范C、訪問控制D、物理保護(hù)要求48、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類49、信息安全風(fēng)險分析包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實際發(fā)生的可能性50、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告51、下列哪項屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度52、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險處置過程C、溝通記錄D、信息安全目標(biāo)53、風(fēng)險處置包括（)A、風(fēng)險降低B、風(fēng)險計劃C、風(fēng)險控制D、風(fēng)險轉(zhuǎn)移54、關(guān)于目標(biāo)，下列說法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項目和產(chǎn)品55、依據(jù)《信息技術(shù)服務(wù)分類與代碼》，運行維護(hù)服務(wù)包括對客戶信息系統(tǒng)（）等提供的各種技術(shù)支持和管理服務(wù)。A、硬件B、軟件C、數(shù)據(jù)D、基礎(chǔ)環(huán)境三、判斷題56、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項”（）正確錯誤57、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）正確錯誤58、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾正確錯誤59、通過修改某種已知計算機(jī)病毒的代碼，使其能夠躲過現(xiàn)有計算機(jī)病毒檢測程序時，可以稱這種新出現(xiàn)的計算機(jī)病毒是原來計算機(jī)病毒的變形。正確錯誤60、審核員由實習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過4次完整體系20天的審核。（）正確錯誤61、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機(jī)APP完成對公司客戶的服務(wù)請求處理，但手機(jī)須安裝公司規(guī)定的安全控制程序，無論手機(jī)是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)正確錯誤62、信息系統(tǒng)中的“單點故障”指僅有一個故障點，因此屬于較低風(fēng)險等級的事件。（）正確錯誤63、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）正確錯誤64、敏感標(biāo)記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機(jī)中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)（）。正確錯誤65、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）正確錯誤

參考答案一、單項選擇題1、D2、A3、A4、A5、B6、A7、A8、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會9、C10、B11、B12、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當(dāng)水平的保護(hù)。對比四個選項，c項更能突出對組織的重要程度，故選C13、A14、C15、A16、D17、B18、A19、C20、A21、B22、B23、B24、C25、B26、A27、A28、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計算機(jī)環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容