2021年6月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系含解析

2021年6月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系一、單項(xiàng)選擇題1、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍2、下列說法不正確的是（）A、殘余風(fēng)險需要獲得管理者的批準(zhǔn)B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處置過程的結(jié)果C、所有的信息安全活動都必須記錄D、管理評審至少每年進(jìn)行一次3、計算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護(hù)計算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機(jī)C、安裝了專用安全協(xié)議的專用計算機(jī)D、特定用途（如高保密）專用的計算機(jī)軟件和硬件產(chǎn)品4、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄5、信息處理設(shè)施的變更管理包括:A、信息處理設(shè)施用途的變更B、信息處理設(shè)施故障部件的更換C、信息處理設(shè)施軟件的升級D、其他選項(xiàng)均正確6、計算機(jī)病毒系指_____。A、生物病毒感染B、細(xì)菌感染C、被損壞的程序D、特制的具有損壞性的小程序7、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定8、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶9、以下哪個選項(xiàng)不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認(rèn)識B、了解客戶組織的審核準(zhǔn)備狀態(tài)C、為計劃2階段審核提供重點(diǎn)D、確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求10、由認(rèn)可機(jī)構(gòu)對認(rèn)證機(jī)構(gòu)、檢測機(jī)構(gòu)、實(shí)驗(yàn)室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動是（）A、認(rèn)證B、認(rèn)可C、審核D、評審11、某公司計劃升級現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實(shí)施時需要（）A、所有受信的PC機(jī)用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）C、在指紋識別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)12、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改13、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對14、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部15、在實(shí)施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險評估D、滲透測試和漏洞掃描不可替代風(fēng)險評估16、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定17、當(dāng)操作系統(tǒng)發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗(yàn)證和確認(rèn)18、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》19、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實(shí)施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實(shí)施控制措施的時效性D、所實(shí)施控制措施的有效性20、安全標(biāo)簽是一種訪問控制機(jī)制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強(qiáng)制性訪問控制策略21、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)22、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用23、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器24、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布25、物理安全周邊的安全設(shè)置應(yīng)考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點(diǎn)考慮計算機(jī)機(jī)房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機(jī)制D、A+C26、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實(shí)體或進(jìn)程其所用，是指（）A、完整性B、可用性C、機(jī)密性D、抗抵賴性27、下列措施中不能用于防止非授權(quán)訪問的是（）A、采取密碼技術(shù)B、采用最小授權(quán)C、采用權(quán)限復(fù)查D、采用日志記錄28、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人，實(shí)體或者過程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度29、《信息安全技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障30、關(guān)于系統(tǒng)運(yùn)行日志，以下說法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志31、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時32、風(fēng)險評價是指（）A、系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B、將估算的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程C、指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D、以上都對33、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實(shí)現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險釣魚34、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)35、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項(xiàng)都不可以36、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標(biāo)準(zhǔn)，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力37、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)38、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險評估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險評估的依據(jù)，是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)39、下列哪項(xiàng)對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對40、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)二、多項(xiàng)選擇題41、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項(xiàng)目來管理，原項(xiàng)目管理機(jī)制中的風(fēng)險評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估C、公司各類項(xiàng)日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項(xiàng)目方案因包含設(shè)計圖紙等核心技術(shù)信息，其敏感性等級定義為最高42、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過風(fēng)險評估43、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務(wù)結(jié)束的情況D、員工出差44、風(fēng)險處置包括（)A、風(fēng)險降低B、風(fēng)險計劃C、風(fēng)險控制D、風(fēng)險轉(zhuǎn)移45、審核計劃中應(yīng)包括（）A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排46、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)47、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機(jī)、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途48、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進(jìn)行分析和評價C、顧客滿意測評只能通過第三方機(jī)構(gòu)來實(shí)施D、顧客不投訴并不意味著顧客滿意了49、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類50、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時，其原使用計算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致51、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略52、信息安全風(fēng)險分析包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實(shí)際發(fā)生的可能性53、投訴處理過程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止54、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)55、以下屬于訪問控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒三、判斷題56、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）57、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）58、當(dāng)需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）59、信息安全風(fēng)險準(zhǔn)則包括風(fēng)險接受準(zhǔn)則和風(fēng)險評價準(zhǔn)則。（）60、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險評估，這在認(rèn)證審核時是可接受的（）61、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）62、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬63、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）64、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）65、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）

參考答案一、單項(xiàng)選擇題1、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會2、A3、A4、D5、D解析:信息處理設(shè)施，任何的信息處理系統(tǒng)，服務(wù)或基礎(chǔ)設(shè)施，或其安裝的物理位置，abc選項(xiàng)均屬于信息處理設(shè)施變更管理范疇，故選D6、D7、A8、C9、D10、B11、A12、D13、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B14、B15、D16、B17、B解析:2700214,2,3運(yùn)行平臺變更后對應(yīng)用的技術(shù)評審，當(dāng)運(yùn)行平臺發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對組織的運(yùn)行和安全沒有負(fù)面影響。故選B18、D19、C20、D21、B22、A23、D24、C25、D26、C27、D28、A29、C30、B31、A32、B33、B34、D35、B36、B37、D38、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實(shí)現(xiàn)信息安全管理體系過程中選擇控制時的參考，或作為組織在實(shí)現(xiàn)通用信息安全控制時的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015