2021年第四期CCAA國家注冊審核員ISMS信息安全管理體系復習題含解析

2021年第四期CCAA國家注冊審核員ISMS信息安全管理體系復習題一、單項選擇題1、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法2、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確3、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復制D、篡改4、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼5、《信息技術(shù)安全技術(shù)信息安全治理》對應的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270146、容災的目的和實質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務連續(xù)性管理D、防止數(shù)據(jù)被破壞7、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員8、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任9、組織應（），以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度10、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果11、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排12、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器13、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問14、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性15、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部16、在實施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估17、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄18、()是風險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序19、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見20、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙21、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性22、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調(diào)整B、應嚴格限制對軟件包的調(diào)整以保護軟件包的保密性C、應嚴格限制對軟件包的調(diào)整以保護軟件包的完整性和可用性D、以上都不對23、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險24、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個月B、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡(luò)日志保存不得少于6個月25、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素26、組織應()與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保27、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產(chǎn)品或過程28、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達方式29、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對30、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設(shè)備設(shè)施予以檢查驗證,對于離開組織的設(shè)備設(shè)施則不必驗證B、對于離開組織的設(shè)備設(shè)施予以檢查驗證,對于進入組織的設(shè)備設(shè)施則不必驗證C、對于進入和離開組織的設(shè)備設(shè)施均須檢查驗證D、對于進入和離開組織的設(shè)備設(shè)施，驗證攜帶者身份信息;可替代對設(shè)備設(shè)施的驗證31、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務32、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤33、在我國《信息安全等級保護管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、634、對于可能超越系統(tǒng)和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權(quán)D、建立、授權(quán)機制和許可使用的實用程序清單35、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、436、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復37、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性38、在運行階段，組織應（）A、策劃信息安全風險處置計劃，保留文件化信息B、實現(xiàn)信息安全風險處置計劃，保留文件化信息C、測量信息安全風險處置計劃，保留文件化信息D、改進信息安全風險處置計劃，保留文件化信息39、下列不屬于取得認證機構(gòu)資質(zhì)應滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認證人員40、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段二、多項選擇題41、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息42、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運營C、維護D、使用43、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為44、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致45、認證機構(gòu)應有驗證審核組成員背景經(jīng)驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識46、關(guān)于按照相關(guān)國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運行后47、關(guān)于“不可否認性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認性”的有效技術(shù)手段B、身份認證是實現(xiàn)“不可否認性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認性”的關(guān)鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性48、對于信息安全方針,（）是GB/T22080-2016標準要求的A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關(guān)方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審49、關(guān)于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則50、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊51、風險處置的可選措施包括（）。A、風險識別B、風險分析C、風險轉(zhuǎn)移D、風險減緩52、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制53、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應用C、服務大局D、分級負責54、《互聯(lián)網(wǎng)信息服務管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類55、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術(shù)三、判斷題56、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）57、創(chuàng)建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。58、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）59、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）60、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）61、容量管理策略可以考慮增加容量或降低容量要求（）62、當需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）63、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）64、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）65、信息安全風險準則包括風險接受準則和風險評價準則。（）

參考答案一、單項選擇題1、C2、B3、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D4、D5、D6、C7、D8、A解析:《中華人民共和國網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。故選A9、B10、C11、A12、D13、D14、C15、D16、D17、D18、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監(jiān)視和風險評審。因此風險處置計劃是風險管理的重要一環(huán)，故選C19、A20、A21、C22、D解析:應嚴格限制對軟件包的調(diào)整以保護其完整性23、C解析:參考GB/T20984-2007信息安全風險評估規(guī)范，3,12殘余風險是指采取了安全措施后