2021年第三期CCAA注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題含解析

2021年第三期CCAA注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題一、單項(xiàng)選擇題1、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人的各種信息屬于個(gè)人信息B、自然人的身份證號(hào)碼、電話號(hào)碼屬于個(gè)人信息C、自然人的姓名、住址不屬于個(gè)人信息D、自然人的出生日期屬于個(gè)人信息2、為確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理，下列控制措施哪個(gè)不是必須的？（）A、建立信息安全事件管理的責(zé)任B、建立信息安全事件管理規(guī)程C、對(duì)信息安全事件進(jìn)行響應(yīng)D、在組織內(nèi)通報(bào)信息安全事件3、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保4、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)5、下列中哪個(gè)活動(dòng)是組織發(fā)生重大變更后一定要開展的活動(dòng)？（）A、對(duì)組織的信息安全管理體系進(jìn)行變更B、執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估C、開展內(nèi)部審核D、開展管理評(píng)審6、以下可表明知識(shí)產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)7、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部8、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC409、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部10、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)D、以上都對(duì)11、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用12、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時(shí)通知13、主動(dòng)式射頻識(shí)別卡(RFID)存在哪一種弱點(diǎn)?（）A、會(huì)話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR14、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督15、下列哪個(gè)措施不是用來防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測(cè)試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作16、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑17、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障18、在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說法正確的是（）A、技術(shù)符合性評(píng)審即滲透測(cè)試B、技術(shù)符合性評(píng)審即漏洞掃描與滲透測(cè)試的結(jié)合C、滲透測(cè)試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D、滲透測(cè)試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估19、按照PDCA思路進(jìn)行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動(dòng)的PDCA過程進(jìn)行審核B、按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核C、按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核D、以上都對(duì)20、形成ISMS審核發(fā)現(xiàn)時(shí)，不需要考慮的是（）A、所實(shí)施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實(shí)施控制措施的時(shí)效性D、所實(shí)施控制措施的有效性21、不屬于常見的危險(xiǎn)密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼22、根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證23、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)，是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)24、風(fēng)險(xiǎn)處置計(jì)劃，應(yīng)（）A、獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)，同時(shí)獲得對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)B、獲得最高管理者的批準(zhǔn)，同時(shí)獲得對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)C、獲得風(fēng)險(xiǎn)部門負(fù)責(zé)人的批準(zhǔn)，同時(shí)獲得對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)D、獲得管理者代表的批準(zhǔn)，同時(shí)獲得對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)25、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)26、桌面系統(tǒng)級(jí)聯(lián)狀態(tài)下，關(guān)于上級(jí)服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級(jí)管理員無權(quán)修改，不可刪除B、下級(jí)管理員無權(quán)修改，可以刪除C、下級(jí)管理員可以修改，可以刪除D、下級(jí)管理員可以修改，不可刪除27、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項(xiàng)性能（）A、完整性B、可用性C、保密性D、可靠性28、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)29、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況30、數(shù)字簽名可以有效對(duì)付哪一類信息安全風(fēng)險(xiǎn)？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改31、—家投資顧問商定期向客戶發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件32、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊(cè)帳戶的時(shí)效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼33、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測(cè)系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測(cè)、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件34、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對(duì)應(yīng)的國際標(biāo)準(zhǔn)號(hào)為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700535、在我國信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為（）A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求36、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)37、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D、對(duì)組織有價(jià)值的文件38、在現(xiàn)場(chǎng)審核時(shí)，審核組有權(quán)自行決定變更的事項(xiàng)是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整39、（）屬于管理脆弱性的識(shí)別對(duì)象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理40、()對(duì)于信息安全管理負(fù)有責(zé)任A、高級(jí)管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員二、多項(xiàng)選擇題41、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩42、下列說法正確的是（）A、殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動(dòng)都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針43、按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)44、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入45、下列有關(guān)涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機(jī)構(gòu)測(cè)試后即可投入使用B、涉密信息系統(tǒng)投入運(yùn)行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計(jì)算機(jī)重裝操作系統(tǒng)后可降為非涉密計(jì)算機(jī)使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)46、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支47、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測(cè)試時(shí)，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致48、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理49、當(dāng)滿足（）時(shí)，可考慮使用基于抽樣的方法對(duì)多場(chǎng)所進(jìn)行審核A、所有的場(chǎng)所在相同信息安全管理體系中,這些場(chǎng)所被集中管理和審核B、所有的場(chǎng)所在相同信息安全管理體系中,這些場(chǎng)所被分別管理和審核C、所有場(chǎng)所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場(chǎng)所包括在客戶組織的信息安全管理體系管理評(píng)審方案中50、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理51、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對(duì)相關(guān)方可用B、包括對(duì)持續(xù)改進(jìn)ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜52、信息安全風(fēng)險(xiǎn)分析包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性53、《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全,（）A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會(huì)公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益54、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍D、得到管理者批準(zhǔn)的信息是可訪問的信息55、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計(jì)的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對(duì)信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過風(fēng)險(xiǎn)評(píng)估三、判斷題56、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）57、當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識(shí)別來自任何來源的控制。（）58、組織使用云盤設(shè)施服務(wù)時(shí)，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）59、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）60、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。（）61、GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)（）62、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬63、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的接受和批準(zhǔn)。64、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）65、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）

參考答案一、單項(xiàng)選擇題1、C2、D3、A解析:理解組織及其環(huán)境4、D5、B6、D7、B8、A9、D10、B11、A12、D13、B14、B15、B16、C17、A18、D19、A20、C21、D22、A23、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實(shí)現(xiàn)信息安全管理體系過程中選擇控制時(shí)的參考，或作為組織在實(shí)現(xiàn)通用信息安全控制時(shí)的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù)，故選B24、A25、A26、A27、B28、B29、B30、D31、C32、D33、D34、B35、D36、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?yīng)37、C38、D39、D40、D二、多項(xiàng)選擇題41、C,D42、應(yīng)以安全的方式將臨時(shí)秘密鑒別信息提供給用戶；應(yīng)避免使用外部防火未受保護(hù)的（明文）電子郵件。綜上本題選BCD43、A,B,C44、B,D45、B,D46、A,B,C,D47、A,C解析:參考27001附