2021年3月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系知識含解析

2021年3月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、（）是建立有效的計算機病毒防御體系所需要的技術措施A、補丁管理系統(tǒng)、網(wǎng)絡入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻2、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求3、某公司進行風險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網(wǎng)絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規(guī)避C、風險轉(zhuǎn)移D、風險減緩4、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務角色設定訪問權B、組共享用戶ID按組任務的最大權限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權5、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年6、關于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部7、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準8、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結(jié)論B、認證決定人員不宜推翻審核組的負面結(jié)論C、認證機構應對客戶組織的ISMS至少進行一次完整的內(nèi)部審核D、認證機構必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期9、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度10、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關于網(wǎng)絡服務的訪問控制策略,以下正確的是()A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制11、管理者應（）A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行12、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權的變更C、軟件或信息資產(chǎn)內(nèi)容構成與原件相比不發(fā)生缺失的情況D、設備系統(tǒng)的部件和配件不發(fā)生缺失的情況13、管理體系是實現(xiàn)組織目標的方針、（）、指南和相關資源的框架A、目標B、規(guī)程C、文件D、記錄14、組織應在相關（）上建立信息安全目標A、組織環(huán)境和相關方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次15、《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202116、組織應按照本標準的要求（）信息安全管理體系。A、策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現(xiàn)、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進17、經(jīng)過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險18、下列哪項對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對19、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見20、《信息技術安全技術信息安全治理》對應的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701421、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)22、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明23、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結(jié)論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式24、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果25、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法26、物理安全周邊的安全設置應考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C27、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產(chǎn)權保護B、公司信息保護C、個人隱私的保護D、以上都對28、容量管理的對象包括（）A、服務器內(nèi)存B、網(wǎng)絡通信帶寬C、人力資源D、以上全部29、以下可表明知識產(chǎn)權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數(shù)30、《中華人民共和國認證認可條例》規(guī)定，認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構不再接受其注冊申請。A、2年B、3年C、4年D、5年31、應定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準32、審核證據(jù)是指（）A、與審核準則有關的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對33、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統(tǒng)造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網(wǎng)絡故障34、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定35、依據(jù)GB/T22080/ISO/IEC27001,關于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制36、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設備設施予以檢查驗證,對于離開組織的設備設施則不必驗證B、對于離開組織的設備設施予以檢查驗證,對于進入組織的設備設施則不必驗證C、對于進入和離開組織的設備設施均須檢查驗證D、對于進入和離開組織的設備設施，驗證攜帶者身份信息;可替代對設備設施的驗證37、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術對其分析38、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進行授權和限制的手段。A、用戶權限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問39、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序40、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部二、多項選擇題41、在信息安全事件管理中，（）是員工應該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件42、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協(xié)議規(guī)定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)43、認證機構應有驗證審核組成員背景經(jīng)驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識44、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網(wǎng)絡關鍵設備B、網(wǎng)絡安全專用產(chǎn)品C、銷售前D、投入運行后45、第二階段審核中，應重點審核被審核單位的（）。A、最高管理者的領導力B、與信息安全有關的風險C、基于風險評估和風險處置過程D、ISMS有效性46、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務連續(xù)性的知識B、有關有形和無形資產(chǎn)及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識47、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動48、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致49、某組織在酒店組織召開內(nèi)容敏感的會議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質(zhì)會議資料留下由服務生統(tǒng)一回收，這符合A8,3的要求50、在設計和應用安全區(qū)域工作規(guī)程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經(jīng)授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機51、以下（）活動是ISMS建立階段應完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓52、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核53、關于“不可否認性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認性”的有效技術手段B、身份認證是實現(xiàn)“不可否認性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性54、建立一些規(guī)程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗證用戶身份；55、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性三、判斷題56、破壞、摧毀、控制網(wǎng)絡基礎設施是網(wǎng)絡攻擊行為之一。57、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。58、信息系統(tǒng)中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）59、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。60、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設備，因此認證審核時不必審核計算機機房物理安全的相關內(nèi)容()61、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）62、組織的內(nèi)外部相關方要求屬于組織的內(nèi)部和外部事項”（）63、最高管理層應建立信息安全方針、該方針應包括對持續(xù)改進信息安全管理體系的承諾。64、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）65、信息安全管理體系的范圍必須包