2022年3月CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析

2022年3月CCAA國家注冊審核員復(fù)習(xí)題—ISMS信息安全管理體系知識一、單項選擇題1、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許方問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對2、對保密文件復(fù)印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性3、為了達到組織災(zāi)難恢復(fù)的要求，備份時間間隔不能超過（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點目標(biāo)（RPO)C、恢復(fù)時間目標(biāo)（RTO)D、最長可接受終端時間（MAO)4、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作5、設(shè)置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制6、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)7、最高管理層應(yīng)通過（）活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致8、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次9、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機房的服務(wù)器C、保潔服務(wù)D、以上都不對10、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審11、風(fēng)險責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項風(fēng)險的個人或?qū)嶓wB、實施風(fēng)險評估的組織的法人C、實施風(fēng)險評估的項目負責(zé)人或項目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者12、()是風(fēng)險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險管理程序13、對于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更14、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)15、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202116、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部17、由認可機構(gòu)對認證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審18、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務(wù)器C、個人使用的電腦D、審核記錄19、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重損害，或者對國家安全造成損害，則應(yīng)具備的保護水平為：（）A、三級B、二級C、四級D、五級20、信息安全管理中，關(guān)于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術(shù)脆弱性B、軟件開發(fā)人員為方便維護留的后門是脆弱性的一種C、識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機會21、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部22、下列哪個選項不屬于審核組長的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導(dǎo)進行溝通23、下面哪一種屬于網(wǎng)絡(luò)上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析24、涉及運行系統(tǒng)驗證的審計要求和活動，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹(jǐn)慎地加以實施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷D、謹(jǐn)慎地加以實施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)25、文件化信息創(chuàng)建和更新時，組織應(yīng)確保適當(dāng)?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充業(yè)性的評審和批準(zhǔn)26、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞27、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執(zhí)行信息安全風(fēng)險評估C、開展內(nèi)部審核D、開展管理評審28、《中華人民共和國認證認可條例》規(guī)定,認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年29、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)30、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法31、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用32、下列不一定要進行風(fēng)險評估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計劃的時間間隔33、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用34、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險評估D、容災(zāi)和數(shù)據(jù)備份35、組織應(yīng)()與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保36、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機37、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時限和訪問類型B、對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致38、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子?（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞39、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權(quán)限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份40、當(dāng)發(fā)生不符合時，組織應(yīng)（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應(yīng)，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應(yīng)，適用時：采取措施，以控制予以糾正；處理后果二、多項選擇題41、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒42、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告43、對于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實施評審44、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風(fēng)險管理要求B、ISMS的復(fù)雜度C、是否存在相似場所D、ISMS的規(guī)模45、依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟建設(shè)設(shè)有重大負面影響46、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)47、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標(biāo)準(zhǔn)B、ISMS族包含闡述通用概論的標(biāo)準(zhǔn)C、ISMS族包含特定行業(yè)概述的標(biāo)準(zhǔn)D、ISMS族包含闡述ISMS概述和詞匯的標(biāo)準(zhǔn)48、投訴處理過程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止49、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為50、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務(wù)結(jié)束的情況D、員工出差51、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況52、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)53、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)54、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類55、在開展信息安全績效和ISMS有效性評價時，組織應(yīng)確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員三、判斷題56、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。57、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）58、中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網(wǎng)的微型計算機的安全保護辦法,另行制定。59、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風(fēng)險評估，這在認證審核時是可接受的（）60、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）61、審核組長在末次會議中應(yīng)該對受審核方是否通過認證給出結(jié)論。（）62、從審核開始到結(jié)束,審核組長應(yīng)對審核實施負責(zé)63、計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）64、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）65、組織應(yīng)持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）

參考答案一、單項選擇題1、C2、A3、C4、B5、A6、D7、B8、D9、C10、D11、A12、C解析:參考iso/iec27005，風(fēng)險管理包括風(fēng)險評估，風(fēng)險處置，風(fēng)險接受，風(fēng)險溝通，風(fēng)險監(jiān)視和風(fēng)險評審。因此風(fēng)險處置計劃是風(fēng)險管理的重要一環(huán)，故選C13、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時，對相關(guān)方可用。故選A14、D15、D16、D17、B18、D19、A20、B21、D22、A23、D解析:主動攻擊會導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）