2021年第四期CCAA注冊審核員模擬試題-ISMS信息安全管理體系知識含解析

2021年第四期CCAA注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次2、對保密文件復印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性3、跨國公司的I.S經理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術使其支持語音I.P電話(VOI.P,voice-overI.P)服務，那么，需要首要關注的是（）。A、服務的可靠性和質量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明5、ISMS文件的多少和詳細程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對6、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓B、背景調査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議7、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務角色設定訪問權B、組共享用戶ID按組任務的最大權限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權8、關于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中D、信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性9、關于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息10、保密協(xié)議或不泄露協(xié)議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規(guī)定11、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份12、根據(jù)GB/T22080-2016中控制措施的要求，關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯(lián)B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑13、當發(fā)現(xiàn)不符合項時，組織應對不符合做出反應，適用時（）。A、采取措施，以控制并予以糾正B、對產生的影響進行處理C、分析產生原因D、建立糾正措施以避免再發(fā)生14、描述組織采取適當?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序15、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶16、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用17、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器18、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確19、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層20、在形成信息安全管理體系審核發(fā)現(xiàn)時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性21、容量管理的對象包括（）A、服務器內存B、網(wǎng)絡通信帶寬C、人力資源D、以上全部22、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局23、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部24、依據(jù)GB/T22080/IS0/IEC27001，關于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡服務，視為允許訪問的網(wǎng)絡服務B、對于允許訪問的網(wǎng)絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡服務，按照規(guī)定的授權機制進行授權D、以上都對25、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應26、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結果D、審核中的觀察項27、()是風險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序28、某公司進行風險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網(wǎng)絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規(guī)避C、風險轉移D、風險減緩29、容災的目的和實質是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務連續(xù)性管理D、防止數(shù)據(jù)被破壞30、審核證據(jù)是指（）A、與審核準則有關的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對31、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布32、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎信息B、信息安全管理體系的介紹C、ISMS標準族已發(fā)布標準的介紹D、1SMS標準族中使用的所有術語和定義33、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據(jù)C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據(jù)，是實施ISCVIEC27000的支持性標準34、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結構B、容錯能力C、網(wǎng)絡拓撲D、局域網(wǎng)協(xié)議35、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術對其分析36、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部37、（）是建立有效的計算機病毒防御體系所需要的技術措施。A、補丁管理系統(tǒng)、網(wǎng)絡入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻38、—家投資顧問商定期向客戶發(fā)送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件39、建立ISMS體系的目的，是為了充分保護信息資產并給予（）信息A、相關方B、供應商C、顧客D、上級機關40、組織應在相關（）上建立信息安全目標A、組織環(huán)境和相關方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次二、多項選擇題41、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果42、以下做法正確的是（）A、使用生產系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調換項目組時，其原使用計算機中的項目數(shù)據(jù)經妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致43、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產品査殺病毒44、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對45、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調查C、投訴響應、溝通決定D、投訴終止46、關鍵信息基礎設施包括三大部分，分別是（）。A、關鍵基礎設施B、基礎信息網(wǎng)絡C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應用系統(tǒng)47、《中華人民共和國網(wǎng)絡安全法》是為了保障網(wǎng)絡安全,（）A、維護網(wǎng)絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益48、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S49、關于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設備、設施、場所等的冗余配置B、定期或實時進行數(shù)據(jù)備份C、考慮業(yè)務關鍵性確定恢復優(yōu)先順序和目標D、有保障信息安全連續(xù)性水平的過程和程序文件50、對風險安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數(shù)據(jù)采用安全標記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡安全等級測評工作51、審核計劃中應包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排52、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓53、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標54、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)55、信息安全風險分析包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性三、判斷題56、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)（）。57、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）58、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網(wǎng)絡的有效帶寬。（）59、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）60、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）61、較低的恢復時間目標會有更長的中斷時間。（）62、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾63、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）64、破壞、摧毀、控制網(wǎng)絡基礎設施是網(wǎng)絡攻擊行為之一（）65、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）

參考答案一、單項選擇題1、A2、A3、A4、B5、D6、A7、A8、B解析:引言中明確表述，標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現(xiàn)的順序9、B10、A11、D12、C13、A解析:參考2700110,1當發(fā)生不符合時，組織應：對不符合做出反應，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A14、B15、C16、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A17、D18、D19、C20、B21、D22、B23、D24、C25、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?6、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準則進行評價的結果，故選C27、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監(jiān)視和風險評審。因此風險處置計劃是風險管理的重要一環(huán)，故選C28、B29、C30、A31、C32、D33、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現(xiàn)信息安全管理體系過程中選擇控制時的參考，或作為組織在實現(xiàn)通用信息安全控制時的指南。cnas-cc1702認證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認證的依據(jù)，故選B34、B解析:局域網(wǎng)是指家庭或是辦公室