2022年3月信息安全管理體系CCAA審核員考試題目含解析

2022年3月信息安全管理體系CCAA審核員考試題目一、單項選擇題1、運行SMS和服務(wù)所裾的資源包括()A、人員、技術(shù)、信息和資產(chǎn)B、人員、技術(shù)、材料和資金C、人員、技術(shù)、信息和資金D、人員、資產(chǎn)、信息和資金2、以下關(guān)于安全接層協(xié)議(SSL)的敘述中,錯誤的是(）A、為TCP/IP連接提供服務(wù)器認(rèn)證B、為TCP/IP連接提供數(shù)據(jù)加密C、提供數(shù)據(jù)安全機制D、是一種應(yīng)用層安全協(xié)議3、信息安全管理體系的設(shè)計應(yīng)考慮（）A、組織的戰(zhàn)B、組織的目標(biāo)和需求C、組織的業(yè)務(wù)過程性質(zhì)D、以上全部4、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部5、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年6、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270147、ITSMS監(jiān)督審核的目的不包括()A、確認(rèn)是否持續(xù)符合認(rèn)證要求B、驗證認(rèn)證通過的ITSMS是否得以持續(xù)改進(jìn)C、作出是否換發(fā)證書的決定D、驗證組織ITSMS的保持是否考慮了組織運作過程的變化8、信息安全殘余風(fēng)險是（）。A、沒有處置完成的風(fēng)險B、沒有評估的風(fēng)險C、處置之后仍存在的風(fēng)險D、處置之后沒有報告的風(fēng)險9、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR10、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果11、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以12、ISO/IEC20000-3與ISO/IEC20000J之間的關(guān)系是()A、ISO/IEC20000-3為ISO/IEC20000-1提供了實施指南B、ISO/IEC20000-3為ISO/IEC20000-1提供了范圍定義的指南C、ISO/IEC20000-3為ISO/IEC20000-1提供了過程參考模型D、ISO/IEC20000-3為ISO/IEC20000-1提供了實施計劃樣例13、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性14、當(dāng)操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行()以確保對組織的運行和安全沒有負(fù)面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認(rèn)15、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍16、下列不屬于常用云服務(wù)類型的是（)A、軟件即服務(wù)B、郵件即服務(wù)C、平臺即服務(wù)D、基礎(chǔ)設(shè)施即服務(wù)17、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件18、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼19、根據(jù)GB17859《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,計算機信息系統(tǒng)安全保護(hù)能力分為（）等級。A、5B、6C、3D、420、ISMS文件的多少和詳細(xì)程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對21、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況22、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任23、下列哪項對于審核報告的描述是錯誤的？（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證/審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對24、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護(hù)25、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次26、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C、通過域控進(jìn)行強制管理D、對所有員工進(jìn)行意識教育27、設(shè)備維護(hù)維修時，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部28、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進(jìn)行授權(quán)D、以上都對29、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進(jìn)行變更B、執(zhí)行信息安全風(fēng)險評估C、開展內(nèi)部審核D、開展管理評審30、關(guān)于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息31、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是(）A、信息安全政策的培訓(xùn)者與審計之間的職責(zé)分離B、職責(zé)分離的是不同管理層級之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶組之間的職責(zé)分離32、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃33、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?4、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對35、在我國信息系統(tǒng)安全等級保護(hù)的基本要求中針對每一級的基本要求分為（）A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求36、組織應(yīng)（）。A、對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級B、對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級C、對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級D、對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級37、《信息安全技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障38、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制39、為確保采用一致和有效的方法對信息安全事件進(jìn)行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責(zé)任B、建立信息安全事件管理規(guī)程C、對信息安全事件進(jìn)行響應(yīng)D、在組織內(nèi)通報信息安全事件40、最高管理層應(yīng)通過（）活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致二、多項選擇題41、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實守信B、保密性C、基于風(fēng)險D、基于事實的決策方法42、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理43、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運營C、維護(hù)D、使用44、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致45、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負(fù)責(zé)46、管理評審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機會相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況47、在信息安全事件管理中，（）是員工應(yīng)該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進(jìn)行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件48、管理評審的輸入應(yīng)包括（）。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果49、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)50、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制51、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12,3,1條款要求（）A、設(shè)定備份策B、定期測試備份介質(zhì)C、定期備份D、定期測試信息和軟件52、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴(kuò)大范圍。D、工作范圍是可訪問的信息53、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備54、認(rèn)證機構(gòu)應(yīng)有驗證審核組成員背景經(jīng)驗，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識55、依據(jù)GB/Z20986,信息安全事件包括（)A、信息破壞事件B、設(shè)備設(shè)施故障C、信息泄露事件D、計算機病毒事件三、判斷題56、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）正確錯誤57、從審核開始到結(jié)束,審核組長應(yīng)對審核實施負(fù)責(zé)正確錯誤58、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）正確錯誤59、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。正確錯誤60、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）正確錯誤61、組織業(yè)務(wù)運行使用云基礎(chǔ)設(shè)施服務(wù),同時員工通過自有手機APP執(zhí)行業(yè)務(wù)過程,此情況下GB/T22080-2016標(biāo)準(zhǔn)A8.1條款可以刪減。（）正確錯誤62、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日起實施的。（）正確錯誤63、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。（）正確錯誤64、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）正確錯誤65、容量管理策略可以考慮增加容量或降低容量要求。（）正確錯誤

參考答案一、單項選擇題1、C2、D3、D4、B5、D6、D7、C8、C解析:參考GB/T20984-2007信息安全風(fēng)險評估規(guī)范，3,12殘余風(fēng)險是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。故選C9、B10、C11、B12、B13、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B14、B15、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機會16、B17、D18、D19、A20、D21、B22、A解析:《中華人民共和國網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。故選A23、A24、C解析:網(wǎng)絡(luò)安全法第七十六條，網(wǎng)絡(luò)，是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集，存儲，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可