2022年9月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系知識含解析

2022年9月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、在我國《信息安全等級保護管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、62、關于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權方式、時限和訪問類型B、對于多任務訪問，一次性賦予全任務權限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應與其中的資產(chǎn)敏感性一致3、控制影響信息安全的變更，包括（)A、組織、業(yè)務活動、信息及處理設施和系統(tǒng)變更B、組織、業(yè)務過程、信息處理設施和系統(tǒng)變更C、組織、業(yè)務過程、信息及處理設施和系統(tǒng)變更D、組織、業(yè)務活動、信息處理設施和系統(tǒng)變更4、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)5、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執(zhí)行信息安全風險評估C、開展內(nèi)部審核D、開展管理評審6、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保7、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求8、根據(jù)GB/T22080-2016標準，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A9、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼10、最高管理者應（）。A、確保制定ISMS方針B、制定ISMS目標和計劃C、實施ISMS內(nèi)部審核D、主持ISMS管理評審11、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對12、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段13、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務運行和威脅信息安全的極大可能性A、已經(jīng)發(fā)生B、可能發(fā)生C、意外D、A+B+C14、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制15、保密性是指（）A、根據(jù)授權實體的要求可訪問的特性B、信息不被未授權的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対16、風險處置是（）A、識別并執(zhí)行措施來更改風險的過程B、確定并執(zhí)行措施來更改風險的過程C、分析并執(zhí)行措施來更改風險的過程D、選擇并執(zhí)行措施來更改風險的過程17、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是18、應定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準19、計算機信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產(chǎn)品20、管理體系是實現(xiàn)組織目標的方針、（）、指南和相關資源的框架A、目標B、規(guī)程C、文件D、記錄21、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級22、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎B、采用組織固定資產(chǎn)臺賬即可C、無需關注資產(chǎn)產(chǎn)權歸屬者D、A+B23、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確24、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當?shù)谋ＷoC、確保信息得到保護D、確保信息按照其級別得到處理25、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結果26、在考慮網(wǎng)絡安全策略時，應該在網(wǎng)絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷27、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對28、關于信息安全管理體系認證，以下說法正確的是：A、負責作出認證決定的人員中應至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應參與審核D、負責作出認證決定的人員應包含參與了預審核的人員29、密碼技術不適用于控制下列哪種風險？（）A、數(shù)據(jù)在傳輸中被竊取的風險B、數(shù)據(jù)在傳輸中被篡改的風險C、數(shù)據(jù)在傳輸中被損壞的風險D、數(shù)據(jù)被非授權訪問的風險30、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態(tài)B、斷開網(wǎng)絡并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標31、風險識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響32、對于較大范圍的網(wǎng)絡，網(wǎng)絡隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網(wǎng)絡D、以上都對33、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年34、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審35、關于《中華人民共和國網(wǎng)絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設,同步使用36、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致37、組織在確定與ISMS相關的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象38、拒絕服務攻擊損害了信息系統(tǒng)哪一項性能（）A、完整性B、可用性C、保密性D、可靠性39、依據(jù)GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術對其分析B、確保信息按照其對組織的重要程度受到適當水平的保護C、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責任40、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B二、多項選擇題41、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性42、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為43、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核44、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協(xié)議規(guī)定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)45、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高46、對于審核發(fā)現(xiàn)（）A、審核組應根據(jù)需要，在審核的適當階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求，只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應與受審核方一起評審不符合的審核發(fā)現(xiàn)，以確認審核證據(jù)的準確性，并得到受審核方的理解D、包括正面的和負面的發(fā)現(xiàn)47、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉發(fā)其微信群會議上討論的信息48、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容49、以下屬于“信息處理設施”的是（）A、信息處理系統(tǒng)B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施50、管理評審的輸入應包括（）。A、相關方的反饋B、不符合和糾正措施C、信息安全目標完成情況D、業(yè)務連續(xù)性演練結果51、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定52、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規(guī)避風險53、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內(nèi)容C、不符合的原因D、不符合的性質54、信息安全方針應（）A、形成文件化信息并可用B、與組織內(nèi)外相關方全面進行溝通C、確保符合組織的戰(zhàn)略方針D、適當時，對相關方可用55、認證機構應有驗證審核組成員背景經(jīng)驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識三、判斷題56、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）57、破壞、摧毀、控制網(wǎng)絡基礎設施是網(wǎng)絡攻擊行為之一（）58、最高管理層應確保方針得到建立（）59、客戶所有場所業(yè)務的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)60、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）61、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）62、組織應適當保留信息安全目標文件化信息（）63、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)（）。64、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）65、從審核開始到結束,審核組長應對審核實施負責

參考答案一、單項選擇題1、C2、B3、B4、D5、B6、A7、B8、A9、D10、D11、C12、C13、C解析:信息安全事件，指一個或一系列意外或不期望的信息安全事態(tài)組成，他們極有可能損害業(yè)務運行并威脅信息安全。故選C14、A15、B16、D解析:風險處置，是指選擇并且執(zhí)行措施來更改風險的過程。故選D17、D18、D19、A20、B21、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級22、A23、D解析