2021年第三期CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系含解析

2021年第三期CCAA注冊(cè)審核員考試題目—ISMS信息安全管理體系一、單項(xiàng)選擇題1、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測(cè)試B、如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期2、根據(jù)《中華人民共和國(guó)國(guó)家秘密法》，國(guó)家秘密的最高密級(jí)為(）A、特密B、絕密C、機(jī)密D、秘密3、以下說法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)審B、應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C、制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無影響D、安全計(jì)劃應(yīng)適時(shí)更新4、關(guān)于《中華人民共和國(guó)保密法》，以下說法正確的是：（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)5、關(guān)于《中華人民共和國(guó)保密法》，以下說法正確的是:（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)6、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程其所用，是指（）A、完整性B、可用性C、機(jī)密性D、抗抵賴性7、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求8、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任9、被黑客控制的計(jì)算機(jī)常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬10、關(guān)于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901111、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)12、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計(jì)劃C、實(shí)施ISMS內(nèi)部審核D、主持ISMS管理評(píng)審13、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定14、下列措施中不能用于防止非授權(quán)訪問的是（）A、采取密碼技術(shù)B、采用最小授權(quán)C、采用權(quán)限復(fù)查D、采用日志記錄15、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評(píng)估D、簽署保密協(xié)議16、在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙17、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部18、下面哪個(gè)不是《中華人民共和國(guó)密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國(guó)家密碼D、商用密碼19、你所在的組織正在計(jì)劃購(gòu)置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源，在評(píng)估這樣一個(gè)軟件產(chǎn)品時(shí)最重要的標(biāo)準(zhǔn)是什么?（）A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價(jià)20、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)是（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)21、組織應(yīng)按照本標(biāo)準(zhǔn)的要求（）信息安全管理體系。A、策劃、實(shí)現(xiàn)、監(jiān)視、和持續(xù)改進(jìn)B、建立、實(shí)施、監(jiān)視、和持續(xù)改進(jìn)C、建立、實(shí)現(xiàn)、維護(hù)、和持續(xù)改進(jìn)D、策劃、實(shí)施、維護(hù)、和持續(xù)改進(jìn)22、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)評(píng)估程序23、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、作出是否換發(fā)證書的決定24、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識(shí)產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個(gè)人隱私的保護(hù)D、以上都對(duì)25、風(fēng)險(xiǎn)識(shí)別過程中需要識(shí)別的方面包括:資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、(）A、識(shí)別可能性和影響B(tài)、識(shí)別脆弱性和識(shí)別后果C、識(shí)別脆弱性和可能性D、識(shí)別脆弱性和影響26、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個(gè)人、實(shí)現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機(jī)密性D、可用性27、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營(yíng)商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)28、對(duì)保密文件復(fù)印件張數(shù)核對(duì)是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性29、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障30、完整性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性31、下列那些事情是審核員不必要做的？（）A、對(duì)接觸到的客戶信息進(jìn)行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達(dá)方式32、關(guān)于入侵檢測(cè)，以下不正確的是：（）A、入侵檢測(cè)是一個(gè)采集知識(shí)的過程B、入侵檢測(cè)指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測(cè)模式之一D、入侵檢測(cè)包括收集被利用脆弱性發(fā)生的時(shí)間信息33、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A34、依據(jù)GB/T220802016/SO/EC.27001:2013標(biāo)準(zhǔn)，組織應(yīng)（）。A、識(shí)別在組織范圍內(nèi)從事會(huì)影響組織信息安全績(jī)效的員工的必要能力B、確保在組織控制下從事會(huì)影響組織信息安全績(jī)效的員工的必要能力C、確定在組織控制下從事會(huì)影響組織信息安全績(jī)效的工作人員的必要能力D、鑒定在組織控制下從事會(huì)影響組織信息安全績(jī)效的工作人員的必要能力35、在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說法正確的是（）A、技術(shù)符合性評(píng)審即滲透測(cè)試B、技術(shù)符合性評(píng)審即漏洞掃描與滲透測(cè)試的結(jié)合C、滲透測(cè)試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D、滲透測(cè)試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估36、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對(duì)37、完整性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對(duì)38、信息安全殘余風(fēng)險(xiǎn)是（）。A、沒有處置完成的風(fēng)險(xiǎn)B、沒有評(píng)估的風(fēng)險(xiǎn)C、處置之后仍存在的風(fēng)險(xiǎn)D、處置之后沒有報(bào)告的風(fēng)險(xiǎn)39、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時(shí)限和訪問類型B、對(duì)于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致40、下列哪個(gè)文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險(xiǎn)評(píng)估過程記錄D、溝通記錄二、多項(xiàng)選擇題41、關(guān)于云計(jì)算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實(shí)施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則42、下列屬于“開發(fā)安全”活動(dòng)的是（）。A、應(yīng)規(guī)范用戶修改軟件包，必須的修改應(yīng)嚴(yán)格管制B、應(yīng)用系統(tǒng)若有變更，應(yīng)進(jìn)行適當(dāng)審核與測(cè)試C、軟件應(yīng)盡量采用自行開發(fā)避免外包或采購(gòu)D、軟件的采購(gòu)應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序43、關(guān)于審核委托方，以下說法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核44、下列有關(guān)涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機(jī)構(gòu)測(cè)試后即可投入使用B、涉密信息系統(tǒng)投入運(yùn)行前應(yīng)當(dāng)經(jīng)過國(guó)家保密行政管理部門審批C、涉密計(jì)算機(jī)重裝操作系統(tǒng)后可降為非涉密計(jì)算機(jī)使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)45、下列說法正確的是（）A、殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動(dòng)都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針46、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩47、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營(yíng)C、維護(hù)D、使用48、對(duì)于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審49、以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)50、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告51、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告52、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后53、含有高等級(jí)敏感信息的設(shè)備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞54、管理評(píng)審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況55、下列哪些是SSL支持的內(nèi)容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data三、判斷題56、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）57、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）58、GB/T28450-2020是等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27007的國(guó)家標(biāo)準(zhǔn)（）59、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則。（）60、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）61、審核組長(zhǎng)在末次會(huì)議中應(yīng)該對(duì)受審核方是否通過認(rèn)證給出結(jié)論。（）62、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）63、某組織按信息的敏感性等級(jí)將其物理區(qū)域的控制級(jí)別劃分為4個(gè)等級(jí)，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）64、當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識(shí)別來自任何來源的控制。（）65、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）

參考答案一、單項(xiàng)選擇題1、A2、B3、C4、A5、A6、C7、B8、A解析:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。故選A9、B10、A11、D12、D13、B14、D15、A16、A17、D18、C19、D20、D21、C22、B23、D解析:監(jiān)督審核是現(xiàn)場(chǎng)審核，但不一定是對(duì)整個(gè)體系的審核，并應(yīng)與其他監(jiān)督活動(dòng)一起策劃，以使認(rèn)證機(jī)構(gòu)能對(duì)獲證客戶管理體系在認(rèn)證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標(biāo)準(zhǔn)的每次監(jiān)督審核應(yīng)包括對(duì)以下方面的審查：（1）內(nèi)部審核和管理評(píng)審；(2)對(duì)上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實(shí)現(xiàn)獲證客戶目標(biāo)和各管理體系的預(yù)期結(jié)果方面的有效性；（5）為持續(xù)改進(jìn)而策劃的活動(dòng)的進(jìn)展；（6）持續(xù)的運(yùn)作控制；（7）任何變更；（8）標(biāo)志的使用和（或）任何其他對(duì)認(rèn)證資格的引用。綜上A,B,C項(xiàng)均是監(jiān)督審核的目的，故選D。另外，再認(rèn)證的策劃和及時(shí)實(shí)施，才能確保認(rèn)證能在到期前及時(shí)更新，監(jiān)督審核不能決定是否換發(fā)證書24、D25、B26、C27、D28、A29、A30、C31、C32、B33、A34、C35、D36、C37、C38、C解析:參考GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，3,12殘余風(fēng)險(xiǎn)是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。故選C3