2021年6月CCAA國(guó)家注冊(cè)審核員復(fù)習(xí)題-ISMS信息安全管理體系知識(shí)含解析

2021年6月CCAA國(guó)家注冊(cè)審核員復(fù)習(xí)題—ISMS信息安全管理體系知識(shí)一、單項(xiàng)選擇題1、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過(guò)的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過(guò)程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、作出是否換發(fā)證書(shū)的決定2、在形成信息安全管理體系審核發(fā)現(xiàn)時(shí)，應(yīng)（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性3、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶(hù)組之間非授權(quán)訪(fǎng)問(wèn)的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無(wú)線(xiàn)網(wǎng)絡(luò)D、以上都對(duì)4、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專(zhuān)人管理式D、A+B+C5、在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開(kāi)終端的連接屬于（）A、外部終端的物理安全B、通信線(xiàn)的物理安全C、竊聽(tīng)數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙6、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部7、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)控制策略，以下正確的是（）A、沒(méi)有陳述為禁止訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，視為允許方問(wèn)的網(wǎng)絡(luò)服務(wù)B、對(duì)于允許訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過(guò)無(wú)線(xiàn)、VPN等多種手段鏈接C、對(duì)于允許訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對(duì)8、下列關(guān)于DMZ區(qū)的說(shuō)法錯(cuò)誤的是()A、DMZ可以訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪(fǎng)問(wèn)夕卜部網(wǎng)絡(luò)以及DMZD、有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作9、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時(shí)可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時(shí)間D、溝通對(duì)象10、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部11、組織應(yīng)（），以確信相關(guān)過(guò)程按計(jì)劃得到執(zhí)行。A、處理文件化信息達(dá)到必要的程度B、保持文件化信息達(dá)到必要的程度C、保持文件化信息達(dá)到可用的程度D、產(chǎn)生文件化信息達(dá)到必要的程度12、在我國(guó)《信息安全等級(jí)保護(hù)管理辦法》中將信息系統(tǒng)的安全等級(jí)分為（）級(jí)A、3B、4C、5D、613、對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B、國(guó)家密碼管理部門(mén)C、中央國(guó)家機(jī)關(guān)D、全國(guó)人大委員會(huì)14、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過(guò)濾B、應(yīng)用網(wǎng)關(guān)C、擴(kuò)展的日志記錄能力D、包交換15、漏洞檢測(cè)的方法分為（）A、靜態(tài)檢測(cè)B、動(dòng)態(tài)測(cè)試C、混合檢測(cè)D、以上都是16、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制17、形成ISMS審核發(fā)現(xiàn)時(shí)，不需要考慮的是（）A、所實(shí)施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實(shí)施控制措施的時(shí)效性D、所實(shí)施控制措施的有效性18、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說(shuō)法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用19、關(guān)于顧客滿(mǎn)意，以下說(shuō)法正確的是：()A、顧客沒(méi)有抱怨，表示顧客滿(mǎn)意B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿(mǎn)意C、顧客認(rèn)為其要求已得到滿(mǎn)足，即意味著顧客滿(mǎn)意D、組織認(rèn)為顧客要求已得到滿(mǎn)足，即意味著顧客滿(mǎn)意20、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4021、關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時(shí)，使用密碼技術(shù)、生物識(shí)等替代口令B、用提示信息告知用戶(hù)輸入的口令是否正確C、明確告知用戶(hù)應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動(dòng)式管理確保用戶(hù)使用優(yōu)質(zhì)口令22、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以23、組織應(yīng)（）A、采取過(guò)程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)24、訪(fǎng)問(wèn)控制是確保對(duì)資產(chǎn)的訪(fǎng)問(wèn)，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶(hù)權(quán)限B、可被用戶(hù)訪(fǎng)問(wèn)的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪(fǎng)問(wèn)25、防止計(jì)算機(jī)中信息被竊取的手段不包括（）A、用戶(hù)識(shí)別B、權(quán)限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份26、對(duì)于交接區(qū)域的信息安全管理，以下說(shuō)法正確的是:（）A、對(duì)于進(jìn)入組織的設(shè)備設(shè)施予以檢查驗(yàn)證,對(duì)于離開(kāi)組織的設(shè)備設(shè)施則不必驗(yàn)證B、對(duì)于離開(kāi)組織的設(shè)備設(shè)施予以檢查驗(yàn)證,對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對(duì)于進(jìn)入和離開(kāi)組織的設(shè)備設(shè)施均須檢查驗(yàn)證D、對(duì)于進(jìn)入和離開(kāi)組織的設(shè)備設(shè)施，驗(yàn)證攜帶者身份信息;可替代對(duì)設(shè)備設(shè)施的驗(yàn)證27、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員28、在現(xiàn)場(chǎng)審核時(shí)，審核組有權(quán)自行決定變更的事項(xiàng)是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整29、關(guān)于適用性聲明下面描述錯(cuò)誤的是(）A、包含附錄A中控制刪減的合理性說(shuō)明B、不包含未實(shí)現(xiàn)的控制C、包含所有計(jì)劃的控制D、包含附錄A的控制及其選擇的合理性說(shuō)明30、風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的（）A、行動(dòng)B、計(jì)劃C、意愿D、批復(fù)31、訪(fǎng)問(wèn)控制是指確定（）以及實(shí)施訪(fǎng)問(wèn)權(quán)限的過(guò)程A、用戶(hù)權(quán)限B、可給予哪些主體訪(fǎng)問(wèn)權(quán)利C、可被用戶(hù)訪(fǎng)問(wèn)的資源D、系統(tǒng)是否遭受入侵32、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，審核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上都不可以33、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識(shí)薄弱問(wèn)題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪(fǎng)問(wèn)控制34、末次會(huì)議包括（）A、請(qǐng)受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見(jiàn)進(jìn)行討論D、以上都不準(zhǔn)確35、為信息系統(tǒng)用戶(hù)注冊(cè)時(shí)，以下正確的是:（）A、按用戶(hù)的職能或業(yè)務(wù)角色設(shè)定訪(fǎng)問(wèn)權(quán)B、組共享用戶(hù)ID按組任務(wù)的最大權(quán)限注冊(cè)C、預(yù)設(shè)固定用戶(hù)ID并留有冗余，以保障可用性D、避免頻繁變更用戶(hù)訪(fǎng)問(wèn)權(quán)36、下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計(jì)劃的時(shí)間間隔37、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保38、GB/T29246標(biāo)準(zhǔn)為組織和個(gè)人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語(yǔ)和定義39、()是風(fēng)險(xiǎn)管理的重要一環(huán)。A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)管理程序40、關(guān)于顧客滿(mǎn)意，以下說(shuō)法正確的是：（）A、顧客沒(méi)有抱怨，表示顧客滿(mǎn)意B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿(mǎn)意C、顧客認(rèn)為其要求己得到滿(mǎn)足，即意味著顧客滿(mǎn)意D、組織認(rèn)為顧客要求己得到滿(mǎn)足，即意味著顧客滿(mǎn)意二、多項(xiàng)選擇題41、關(guān)于目標(biāo)，下列說(shuō)法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品42、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場(chǎng)所和必備設(shè)施B、注冊(cè)資本不得少于人民幣600萬(wàn)元C、具有10名以上相應(yīng)領(lǐng)域的專(zhuān)職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度43、建立一些規(guī)程，以在提供一個(gè)新的、代替的或臨時(shí)的秘密鑒別信息之前，驗(yàn)證用戶(hù)身份；44、按覆蓋的地理范圍進(jìn)行分類(lèi)，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)45、關(guān)于審核委托方，以下說(shuō)法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核46、關(guān)于云計(jì)算服務(wù)中的的安全，以下說(shuō)法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶(hù)自己定義并實(shí)施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則C、云服務(wù)客戶(hù)提供身份鑒別能力，服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則D、云服務(wù)客戶(hù)提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則47、“云計(jì)算機(jī)服務(wù)”包括哪幾個(gè)層面？（）A、PaasB、SaaSC、IaaSD、PIIS48、操作系統(tǒng)的基本功能有(）A、存儲(chǔ)管理B、文件管理C、設(shè)備管理D、處理器管理49、關(guān)于審核方案，以下說(shuō)法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類(lèi)型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入50、管理評(píng)審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性51、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告52、關(guān)于鑒別信息保護(hù)，正確的是（）A、使用QQ傳遞鑒別信息B、對(duì)新創(chuàng)建的用戶(hù)，應(yīng)提供臨時(shí)鑒別信息，并強(qiáng)制初次使用時(shí)需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護(hù)可作為任用條件或條款的內(nèi)容53、某金融服務(wù)公司為其個(gè)人注冊(cè)會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請(qǐng)借貸的會(huì)員背景姿料、借貸額度等進(jìn)行討論評(píng)審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會(huì)討論的信息54、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)55、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排三、判斷題56、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）57、當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識(shí)別來(lái)自任何來(lái)源的控制。（）58、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬59、敏感信息通過(guò)網(wǎng)絡(luò)傳輸時(shí)必須加密處理。（)60、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類(lèi)型的網(wǎng)絡(luò)所有者和管理者。（）61、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）62、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）63、實(shí)習(xí)審核員可以獨(dú)立完成審核任務(wù)。（）64、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。（）65、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類(lèi)型的網(wǎng)絡(luò)所有者和管理者。（）

參考答案一、單項(xiàng)選擇題1、D解析:監(jiān)督審核是現(xiàn)場(chǎng)審核，但不一定是對(duì)整個(gè)體系的審核，并應(yīng)與其他監(jiān)督活動(dòng)一起策劃，以使認(rèn)證機(jī)構(gòu)能對(duì)獲證客戶(hù)管理體系在認(rèn)證周期內(nèi)持續(xù)滿(mǎn)足要求保持信任。相關(guān)管理體系標(biāo)準(zhǔn)的每次監(jiān)督審核應(yīng)包括對(duì)以下方面的審查：（1）內(nèi)部審核和管理評(píng)審；(2)對(duì)上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實(shí)現(xiàn)獲證客戶(hù)目標(biāo)和各管理體系的預(yù)期結(jié)果方面的有效性；（5）為持續(xù)改進(jìn)而策劃的活動(dòng)的進(jìn)展；（6）持續(xù)的運(yùn)作控制；（7）任何變更；（8）標(biāo)志的使用和（或）任何其他對(duì)認(rèn)證資格的引用。綜上A,B,C項(xiàng)均是監(jiān)督審核的目的，故選D。另外，再認(rèn)證的策劃和及時(shí)實(shí)施，才能確保認(rèn)證能在到期前及時(shí)更新，監(jiān)督審核不能決定是否換發(fā)證書(shū)2、B3、B4、B5、A6、D7、C8、A9、A10、D11、B12、C13、A14、D15、D解析:漏洞檢測(cè)分為被動(dòng)檢測(cè)（靜態(tài)），主動(dòng)檢測(cè)（動(dòng)態(tài)），綜合檢測(cè)（混合檢測(cè)）。故選D16、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)，應(yīng)僅向用戶(hù)提供他們已獲專(zhuān)門(mén)授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)。cd選項(xiàng)錯(cuò)誤，必須是已授權(quán)用戶(hù)才可訪(fǎng)問(wèn)。A選項(xiàng)錯(cuò)誤，在家登