2022年第二期信息安全管理体系CCAA审核员模拟试题
一、单项选择题
1、保密性是指()。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护信息准确和完整的特性
D、以上都不对
2、国家秘密的保密期限应为:()
A、绝密不超过三十年,机密不超过二十年,秘密不超过十年
B、绝密不低于三十年,机密不低于二十年,秘密不低于十年
C、绝密不超过二十五年,机密不超过十五年,秘密不超过五年
D、绝密不低于二十五年,机密不低于十五年,秘密不低于五年
3、关于GB17859,以下说法正确的是()。
A、特定的法律法规引用该标准在引用的范围内视为强制性标准
B、这是一份推荐性标准
C、这是一份强制性标准
D、组织选择使用该标准在选择的范围内视为强制性标准
4、根据GB/T29246,信息处理设施不包括()。
A、信息系统
B、系统和设施安置的物理场所
C、人及文档
D、服务和基础设施
5、为了达到组织灾难恢复的要求,备份时间间隔不能超过()
A、服务水平目标(SLO)
B、恢复点目标(RPO)
C、恢复时间目标(RTO)
D、最长可接受终端时间(MAO)
6、根据GB/T22080-2016标准中控制措施的要求,有关系统获取、开发和维护过程中的安全问题,以下描述错误的是()
A、运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险
B、系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理
C、系统的获取、开发和维护过程中的安全问题,不仅仅是考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统
D、系统的开发设计,应该越早考虑系统的安全需求越好
7、某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?()。
A、机房设备面临被盗的风险
B、机房设备面临受破坏的风险
C、机房设备面临灰尘的风险
D、机房设备面临人员误入的风险
8、根据GB/T22080-2016标准,在理解组织及其环境时,组织应确定()。
A、与其意图相关的,且影响其实现信息安全管理能力的外部和内部事项
B、与信息安全方针相关的,且影响其实现信息安全管理能力的内部和外部事项
C、与其战略相关的,且影响其实现信息安全管理体系预期结果能力的内部和外部事项
D、与其意图相关的,且影响其实现信息安全管理体系预期结果能力的内部和外部事项
9、某数据中心申请ISMS认证的范围为IDC基础设施服务的提供”,对此以下说法正确的是()。
A、A.8可以删减
B、A.12可以删减
C、A.14可以删减
D、以上都对
10、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()
A、识别可能性和影响
B、识别脆弱性和识别后果
C、识别脆弱性和可能性
D、识别脆弱性和影响
11、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为()等级。
A、5
B、6
C、3
D、4
12、关于信息安全连续性,以下说法正确的是()。
A、信息安全连续性即IT设备运行的连续性
B、信息安全连续性应是组织业务连续性的一部分
C、信息处理设施的冗余即两个或多个服务器互备
D、信息安全连续性指标由IT系统的性能决定
13、根据GB/T22081-2016标准的要求,附录A包含()项控制措施。
A、114
B、139
C、143
D、133
14、以下不属于描述性统计技术的是()。
A、正态分布
B、散布图
C、帕累托图
D、直方图
15、对于获准认可的认证机构,认可机构证明()
A、认证机构能够开展认证活动
B、其在特定范围内按照标准具有从事认证活动的能力
C、认证机构的每张认证证书都符合要求
D、认证机构具有从事相应认证活动的能力
16、GB/T22080/IEC27001:2013标准附录A中有()个安全域。
A、18
B、16
C、15
D、14
17、在以下人为的恶意攻击行为中,属于主动攻击的是()
A、数据窃听
B、误操作
C、数据流分析
D、数据篡改
18、GB/T29246标准由()提出并归口。
A、SC27
B、SAC/TC261
C、SC40
D、SAC/TC260
19、某种网络安全威胁是通过非法手段对数据进行恶意修改,这种安全威胁属于()。
A、窃听数据
B、破坏数据完整性
C、破坏数据可用性
D、物理安全威胁
20、《信息安全等级保护管理办法》规定的5级是信息系统受到破坏后会对()造成严重损害。
A、国家安全
B、公共利益
C、公民、法人和其他组织的合法权益
D、社会秩序
21、根据GB/T22080-2016标准的要求,信息安全管理体系最高管理层确保信息安全管理达到()。
A、预期效果
B、顾客满意
C、法规要求
D、法律要求
22、按照PDCA思路