2022年3月CCAA國(guó)家信息安全管理體系質(zhì)量審核員模擬試題含解析

2022年3月CCAA國(guó)家信息安全管理體系質(zhì)量審核員模擬試題一、單項(xiàng)選擇題1、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的?（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后由審核組長(zhǎng)起草形成C、正式的審核報(bào)告由組長(zhǎng)將報(bào)告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)2、關(guān)于認(rèn)證人員執(zhí)業(yè)要求，以下說法正確的是:A、注冊(cè)審核員只能在一個(gè)認(rèn)證機(jī)構(gòu)和一個(gè)咨詢機(jī)構(gòu)執(zhí)業(yè)B、注冊(cè)審核員和認(rèn)證決定人員只能在一個(gè)認(rèn)證機(jī)構(gòu)C、注冊(cè)審核員只能在一個(gè)認(rèn)證機(jī)構(gòu)執(zhí)業(yè)，非注冊(cè)的認(rèn)證決定人員不受此限制D、在咨詢機(jī)構(gòu)認(rèn)專職咨詢師的人員，只能在認(rèn)證機(jī)構(gòu)人兼職認(rèn)證決定人員3、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、20214、ISMS關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議的（）系統(tǒng)A、報(bào)告B、傳遞C、評(píng)價(jià)D、測(cè)量5、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響?（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)6、()屬于管理脆弱性的識(shí)別對(duì)象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理7、主動(dòng)式射頻識(shí)別卡(RFID)存在哪一種弱點(diǎn)?（）A、會(huì)話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR8、ISMS管理評(píng)審的輸出應(yīng)考慮變更對(duì)安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對(duì)9、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部10、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期11、加密技術(shù)可以保護(hù)信息的(）A、機(jī)密性B、完整性C、可用性D、A+B12、在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說法正確的是（）A、技術(shù)符合性評(píng)審即滲透測(cè)試B、技術(shù)符合性評(píng)審即漏洞掃描與滲透測(cè)試的結(jié)合C、滲透測(cè)試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D、滲透測(cè)試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估13、以下對(duì)GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評(píng)估D、組織在建立ISMS時(shí)，必須滿足該標(biāo)準(zhǔn)的所有要求14、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對(duì)15、在運(yùn)行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息C、測(cè)量信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息D、改進(jìn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息16、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審17、下面哪個(gè)不是《中華人民共和國(guó)密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國(guó)家密碼D、商用密碼18、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機(jī)房的服務(wù)器C、個(gè)人使用的電腦D、審核記錄19、桌面系統(tǒng)級(jí)聯(lián)狀態(tài)下，關(guān)于上級(jí)服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級(jí)管理員無權(quán)修改，不可刪除B、下級(jí)管理員無權(quán)修改，可以刪除C、下級(jí)管理員可以修改，可以刪除D、下級(jí)管理員可以修改，不可刪除20、風(fēng)險(xiǎn)處置是（）A、識(shí)別并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程B、確定并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程C、分析并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程D、選擇并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程21、關(guān)于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901122、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)23、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險(xiǎn)評(píng)估過程記錄C、管理評(píng)審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南24、考慮不同時(shí)段的工作負(fù)數(shù)的差異收費(fèi)用于(）。A、故障樹分析(FTA）B、可用性計(jì)劃C、服務(wù)級(jí)別管理D、風(fēng)險(xiǎn)分析和管理法25、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，（）級(jí)保護(hù)時(shí)，國(guó)家信息安全管部門對(duì)該級(jí)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。A、3B、2C、5D、426、對(duì)于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對(duì)于進(jìn)入組織的設(shè)備設(shè)施予以檢查驗(yàn)證,對(duì)于離開組織的設(shè)備設(shè)施則不必驗(yàn)證B、對(duì)于離開組織的設(shè)備設(shè)施予以檢查驗(yàn)證,對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對(duì)于進(jìn)入和離開組織的設(shè)備設(shè)施均須檢查驗(yàn)證D、對(duì)于進(jìn)入和離開組織的設(shè)備設(shè)施，驗(yàn)證攜帶者身份信息;可替代對(duì)設(shè)備設(shè)施的驗(yàn)證27、對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）A、認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動(dòng)B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力28、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制29、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)30、防止計(jì)算機(jī)中信息被竊取的手段不包括（）A、用戶識(shí)別B、權(quán)限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份31、下列管理評(píng)審的方式，哪個(gè)不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評(píng)審團(tuán)隊(duì)通過會(huì)議的方式對(duì)管理體系適宜性、有效性和充分性進(jìn)行評(píng)審B、通過網(wǎng)絡(luò)會(huì)議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評(píng)審C、通過逐級(jí)匯報(bào)的方式由最高管理層對(duì)管理體系的有效性和充分性進(jìn)行評(píng)審D、通過材料評(píng)審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審32、公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開機(jī)密碼少于6位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須6位及以上，那么中哪一項(xiàng)不是針對(duì)該問題的糾正措施？()A、要求員工立即改正B、對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C、通過域控進(jìn)行強(qiáng)制管理D、對(duì)所有員工進(jìn)行意識(shí)教育33、殘余風(fēng)險(xiǎn)是指:（）A、風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低34、對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B、國(guó)家密碼管理部門C、中央國(guó)家機(jī)關(guān)D、全國(guó)人大委員會(huì)35、信息安全管理體系的設(shè)計(jì)應(yīng)考慮（）A、組織的戰(zhàn)B、組織的目標(biāo)和需求C、組織的業(yè)務(wù)過程性質(zhì)D、以上全部36、（）屬于管理脆弱性的識(shí)別對(duì)象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理37、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員38、關(guān)于投訴處理過程的設(shè)計(jì)，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費(fèi)的投訴者使用39、TCP/IP協(xié)議層次結(jié)構(gòu)由（）A、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D、其他選項(xiàng)均不正確40、()是風(fēng)險(xiǎn)管理的重要一環(huán)。A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)管理程序二、多項(xiàng)選擇題41、在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)B、為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評(píng)審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)42、管理評(píng)審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性43、根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》，下列屬于國(guó)家秘密的是（）。A、國(guó)家事務(wù)重大決策中的秘密事項(xiàng)B、國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)C、科學(xué)技術(shù)中的秘密事項(xiàng)D、國(guó)防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)44、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動(dòng)，提高產(chǎn)品、服務(wù)的（），促進(jìn)經(jīng)濟(jì)和社會(huì)的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競(jìng)爭(zhēng)力45、關(guān)于審核委托方，以下說法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核46、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障（）A、計(jì)算機(jī)及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運(yùn)行環(huán)境安全D、計(jì)算機(jī)功能和正常發(fā)揮47、風(fēng)險(xiǎn)評(píng)估過程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、風(fēng)險(xiǎn)處置48、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)間主權(quán)B、維按國(guó)家安全C、維護(hù)社會(huì)公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益49、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后50、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動(dòng)還是異常波動(dòng)51、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識(shí)B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識(shí)C、風(fēng)險(xiǎn)管理過程和方法的知識(shí)D、信息安全管理體系的控制措施及其實(shí)施的知識(shí)52、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩53、在IT服務(wù)管理中，"部署"活動(dòng)包括：（）A、實(shí)施變更B、對(duì)變更的影響進(jìn)行評(píng)估C、將服務(wù)組件遷移到生產(chǎn)環(huán)境D、將經(jīng)測(cè)試的軟件包轉(zhuǎn)移到生產(chǎn)環(huán)境54、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動(dòng)還是異常波動(dòng)55、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營(yíng)C、維護(hù)D、使用三、判斷題56、容量管理策略可以考慮增加容量或降低容量要求（）正確錯(cuò)誤57、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）正確錯(cuò)誤58、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的接受和批準(zhǔn)。正確錯(cuò)誤59、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）正確錯(cuò)誤60、當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識(shí)別來自任何來源的控制。（）正確錯(cuò)誤61、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無意錯(cuò)誤操作導(dǎo)致的影響（）正確錯(cuò)誤62、組織業(yè)務(wù)運(yùn)行使用云基礎(chǔ)設(shè)施服務(wù),同時(shí)員工通過自有手機(jī)APP執(zhí)行業(yè)務(wù)過程,此情況下GB/T22080-2016標(biāo)準(zhǔn)A8.1條款可以刪減。（）正確錯(cuò)誤63、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）正確錯(cuò)誤64、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日起實(shí)施的。（）正確錯(cuò)誤65、通過修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，可以稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來計(jì)算機(jī)病毒的變形。正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、A2、B3、D4、D5、D6、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣響?yīng)對(duì)相關(guān)風(fēng)險(xiǎn)。故選D7、B8、D解析:270019,3管理評(píng)審，管理評(píng)審的輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應(yīng)控制影響信息安全的變更，包括組織，業(yè)務(wù)過程，信息處理設(shè)施和系統(tǒng)變更。因此A,B,C選項(xiàng)的變更均符合變更管理，故選D9、C10、B11、D12、D13、B14、B15、B16、B17、C18、D19、A20、D解析:風(fēng)險(xiǎn)處置，是指選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程。故選D21、A22、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)臉?biāo)識(shí)和描述；格式和介質(zhì)；對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)23、D24、B25、D26、C27、B28、A29、B30、D31、A32、A33、D34、A35、D36、D37、C38、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個(gè)開放，有效，方便的投訴程序，故選A39、C40、C解析:參考iso/iec27005，風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)處置，風(fēng)險(xiǎn)接受，風(fēng)險(xiǎn)溝通，風(fēng)險(xiǎn)監(jiān)視和風(fēng)險(xiǎn)評(píng)審。因此風(fēng)險(xiǎn)處置計(jì)劃是風(fēng)險(xiǎn)管理的重要一環(huán)，故選C二、多項(xiàng)選擇題41、A,B42、A,B,C43、A,B,C,D解析:所