2022年第二期CCAA注冊審核員考試題目-ISMS信息安全管理體系知識含解析

2022年第二期CCAA注冊審核員考試題目—ISMS信息安全管理體系知識一、單項(xiàng)選擇題1、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)2、gb17859-1999提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求A、2B、3C、5D、73、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問4、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審5、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護(hù)6、設(shè)備維護(hù)維修時，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部7、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用8、當(dāng)操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行()以確保對組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗(yàn)證和確認(rèn)9、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標(biāo)準(zhǔn)，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力10、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼11、Saas是指(）A、軟件即服務(wù)B、服務(wù)平臺即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)12、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實(shí)現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險(xiǎn)隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險(xiǎn)釣魚13、風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的（）A、行動B、計(jì)劃C、意愿D、批復(fù)14、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次15、有關(guān)信息安全管理，風(fēng)險(xiǎn)評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價值，基本水平的保護(hù)都會被實(shí)施B、對所有信息資產(chǎn)保護(hù)都投入相同的資源C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、信息資產(chǎn)過度的保護(hù)16、下列哪項(xiàng)對于審核報(bào)告的描述是錯誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報(bào)告由組長將報(bào)告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對17、計(jì)算機(jī)病毒系指_____。A、生物病毒感染B、細(xì)菌感染C、被損壞的程序D、特制的具有損壞性的小程序18、當(dāng)發(fā)現(xiàn)不符合項(xiàng)時，組織應(yīng)對不符合做出反應(yīng)，適用時（）。A、采取措施，以控制并予以糾正B、對產(chǎn)生的影響進(jìn)行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生19、組織應(yīng)（），以確信相關(guān)過程按計(jì)劃得到執(zhí)行。A、處理文件化信息達(dá)到必要的程度B、保持文件化信息達(dá)到必要的程度C、保持文件化信息達(dá)到可用的程度D、產(chǎn)生文件化信息達(dá)到必要的程度20、組織應(yīng)按照本標(biāo)準(zhǔn)的要求（）信息安全管理體系。A、策劃、實(shí)現(xiàn)、監(jiān)視、和持續(xù)改進(jìn)B、建立、實(shí)施、監(jiān)視、和持續(xù)改進(jìn)C、建立、實(shí)現(xiàn)、維護(hù)、和持續(xù)改進(jìn)D、策劃、實(shí)施、維護(hù)、和持續(xù)改進(jìn)21、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用22、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱為（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)23、某公司計(jì)劃升級現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實(shí)施時需要（）A、所有受信的PC機(jī)用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險(xiǎn)（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險(xiǎn)）C、在指紋識別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)24、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次25、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制26、安全掃描可以實(shí)現(xiàn)（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流27、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定28、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是29、對全國密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B、國家密碼管理部門C、中央國家機(jī)關(guān)D、全國人大委員會30、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項(xiàng)都不可以31、為確保采用一致和有效的方法對信息安全事件進(jìn)行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責(zé)任B、建立信息安全事件管理規(guī)程C、對信息安全事件進(jìn)行響應(yīng)D、在組織內(nèi)通報(bào)信息安全事件32、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對33、ISMS關(guān)鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進(jìn)反饋建議的（）系統(tǒng)A、報(bào)告B、傳遞C、評價D、測量34、被黑客控制的計(jì)算機(jī)常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬35、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布36、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力37、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年38、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定39、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對認(rèn)證證書的使用進(jìn)行監(jiān)督40、()可用來保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評估D、容災(zāi)和數(shù)據(jù)備份二、多項(xiàng)選擇題41、在信息安全事件管理中，（）是員工應(yīng)該完成的活動。A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件42、根據(jù)《中華人民共和國密碼法》，密碼工作堅(jiān)持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負(fù)責(zé)43、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性44、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評審D、采取糾正措施45、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動46、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)47、關(guān)于信息安全風(fēng)險(xiǎn)自評估，下列選項(xiàng)正確的是（）A、是指信息系統(tǒng)擁有、運(yùn)營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估B、周期性的自評估可以在評估流程上適當(dāng)簡化C、可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施D、由信息系統(tǒng)上級管理部門組織的風(fēng)險(xiǎn)評估48、評價信息安全風(fēng)險(xiǎn)，包括（）A、將風(fēng)險(xiǎn)分析的結(jié)果與信息安全風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較B、確定風(fēng)險(xiǎn)的控制措施C、為風(fēng)險(xiǎn)處置排序以分析風(fēng)險(xiǎn)的優(yōu)先級D、計(jì)算風(fēng)險(xiǎn)大小49、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制50、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評審D、采取糾正措施51、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息52、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)間主權(quán)B、維按國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益53、為控制文件化信息，適用時，組織應(yīng)強(qiáng)調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理54、組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動是A、審核準(zhǔn)備B、第一階段審核C、第二階段審核D、認(rèn)證決定55、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況三、判斷題56、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）57、從審核開始到結(jié)束,審核組長應(yīng)對審核實(shí)施負(fù)責(zé)58、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）59、在來自可信站點(diǎn)電子郵件中輸入個人或財(cái)務(wù)信息是安全的。（）60、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。（）61、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）62、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。（）63、信息系統(tǒng)中的“單點(diǎn)故障”指僅有一個故障點(diǎn)，因此屬于較低風(fēng)險(xiǎn)等級的事件。（）64、ISO/IEC27018是用于對云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）65、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。

參考答案一、單項(xiàng)選擇題1、D2、C解析:《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個等級3、D4、D5、C解析:網(wǎng)絡(luò)安全法第七十六條，網(wǎng)絡(luò)，是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集，存儲，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性，保密性，可用性的能力。故選C6、D7、A8、B9、B10、D11、A12、B13、C14、D15、C16、A17、D18、A解析:參考2700110,1當(dāng)發(fā)生不符合時，組織應(yīng)：對不符合做出反應(yīng)，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A19、B20、C21、A22、D23、A24、D25、B26、C27、A28、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D29、A30、B31、D32、C33、D34、B35、C36、B37、D38、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A39、B40、A二、多項(xiàng)選擇題41、A,C42、A,C,D43、A,B,C44、B,C45、A,B,C,D46、A,B,C47、A,C48、A,C49、B,D50、B,C