2023年3月ISMS信息安全管理體系CCAA審核員考試題目含解析

2023年3月ISMS信息安全管理體系CCAA審核員考試題目一、單項(xiàng)選擇題1、關(guān)于投訴處理過(guò)程的設(shè)計(jì)，以下說(shuō)法正確的是：()A、投訴處理過(guò)程應(yīng)易于所有投訴者使用B、投訴處理過(guò)程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過(guò)程應(yīng)易于所有投訴處理者使用D、投訴處理過(guò)程應(yīng)易于為投訴處理付費(fèi)的投訴者使用2、GB/T29246標(biāo)準(zhǔn)為組織和個(gè)人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語(yǔ)和定義3、信息安全管理體系是用來(lái)確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊(cè)與標(biāo)準(zhǔn)的符合程度4、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、20215、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計(jì)劃C、實(shí)施ISMS內(nèi)部審核D、主持ISMS管理評(píng)審6、風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的（）A、行動(dòng)B、計(jì)劃C、意愿D、批復(fù)7、計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類(lèi)隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤(pán)C、存儲(chǔ)介質(zhì)D、網(wǎng)絡(luò)8、測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足是（）的活動(dòng)。A、ISMS建立階段B、ISMS實(shí)施和運(yùn)行階段C、ISMS監(jiān)視和評(píng)審階段D、ISMS保持和改進(jìn)階段9、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚(yú)”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部10、依據(jù)GB/T220802016/SO/EC.27001:2013標(biāo)準(zhǔn)，組織應(yīng)（）。A、識(shí)別在組織范圍內(nèi)從事會(huì)影響組織信息安全績(jī)效的員工的必要能力B、確保在組織控制下從事會(huì)影響組織信息安全績(jī)效的員工的必要能力C、確定在組織控制下從事會(huì)影響組織信息安全績(jī)效的工作人員的必要能力D、鑒定在組織控制下從事會(huì)影響組織信息安全績(jī)效的工作人員的必要能力11、ISMS管理評(píng)審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅C、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新D、改進(jìn)的建議12、殘余風(fēng)險(xiǎn)是指:（）A、風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低13、ISMS文件的多少和詳細(xì)程度取決于()A、組織的規(guī)模和活動(dòng)的類(lèi)型B、過(guò)程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對(duì)14、主動(dòng)式射頻識(shí)別卡(RFID)存在哪一種弱點(diǎn)?（）A、會(huì)話被劫持B、被竊聽(tīng)C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚(yú)攻擊DR15、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保16、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性17、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類(lèi)是其基礎(chǔ)B、采用組織固定資產(chǎn)臺(tái)賬即可C、無(wú)需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B18、下列管理評(píng)審的方式，哪個(gè)不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評(píng)審團(tuán)隊(duì)通過(guò)會(huì)議的方式對(duì)管理體系適宜性、有效性和充分性進(jìn)行評(píng)審B、通過(guò)網(wǎng)絡(luò)會(huì)議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評(píng)審C、通過(guò)逐級(jí)匯報(bào)的方式由最高管理層對(duì)管理體系的有效性和充分性進(jìn)行評(píng)審D、通過(guò)材料評(píng)審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審19、關(guān)于信息系統(tǒng)登錄的管理，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全等級(jí)保護(hù)中，三級(jí)以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令20、組織通過(guò)哪些措施來(lái)確保員工和合同方意識(shí)到并履行其信息安全職責(zé)？（）A、審查、任用條款和條件B、管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對(duì)21、跨國(guó)公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專(zhuān)用網(wǎng)(VPN.,virtualpriavtenetwork)升級(jí)，采用通道技術(shù)使其支持語(yǔ)音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗(yàn)證方式C、語(yǔ)音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?2、最高管理層應(yīng)通過(guò)（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致23、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以24、訪問(wèn)控制是確保對(duì)資產(chǎn)的訪問(wèn)，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問(wèn)的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問(wèn)25、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是：（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)26、不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤(pán)B、及時(shí)、可靠升級(jí)反病毒產(chǎn)品C、新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)D、整理磁盤(pán)27、下列哪個(gè)措施不是用來(lái)防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問(wèn)的？（）A、物理入口控制B、開(kāi)發(fā)、測(cè)試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作28、根據(jù)《中華人民共和國(guó)國(guó)家秘密法》，國(guó)家秘密的最高密級(jí)為(）A、特密B、絕密C、機(jī)密D、秘密29、（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè)和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測(cè)、防病毒系統(tǒng)和防火墻30、管理員通過(guò)桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對(duì)其的處理方式不包括(）A、自動(dòng)恢復(fù)其IP至原綁定狀態(tài)B、斷開(kāi)網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對(duì)其發(fā)出警告D、鎖定鍵盤(pán)鼠標(biāo)31、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對(duì)網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對(duì)網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對(duì)信息收集、存儲(chǔ)、傳輸、交換、處理系統(tǒng)的保護(hù)32、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)33、關(guān)于文件管理下列說(shuō)法錯(cuò)誤的是（）A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B、必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰，易于識(shí)別D、作廢文件應(yīng)及時(shí)銷(xiāo)毀，防止錯(cuò)誤使用34、風(fēng)險(xiǎn)處置是（）A、識(shí)別并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程B、確定并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程C、分析并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程D、選擇并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程35、關(guān)于容量管理，以下說(shuō)法不正確的是（）A、根據(jù)業(yè)務(wù)對(duì)系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對(duì)業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級(jí)C、對(duì)于關(guān)鍵業(yè)務(wù)，通過(guò)放寬閾值以避免或減少報(bào)警的干擾D、依據(jù)資源使用趨勢(shì)數(shù)據(jù)進(jìn)行容量規(guī)劃36、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過(guò)的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過(guò)程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、做出是否換發(fā)證書(shū)的決定37、下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析38、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是:（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)39、物理安全周邊的安全設(shè)置應(yīng)考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類(lèi)B、重點(diǎn)考慮計(jì)算機(jī)機(jī)房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測(cè)和報(bào)警機(jī)制D、A+C40、我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)共分幾個(gè)級(jí)別？（）A、7B、4C、5D、6二、多項(xiàng)選擇題41、對(duì)于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審42、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風(fēng)險(xiǎn)管理要求B、ISMS的復(fù)雜度C、是否存在相似場(chǎng)所D、ISMS的規(guī)模43、關(guān)于審核委托方，以下說(shuō)法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核44、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場(chǎng)所等的冗余配置B、定期或?qū)崟r(shí)進(jìn)行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)D、有保障信息安全連續(xù)性水平的過(guò)程和程序文件45、以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)46、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫(xiě)人員的態(tài)度和能力B、組織的規(guī)模和活動(dòng)的類(lèi)型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度47、按覆蓋的地理范圍進(jìn)行分類(lèi)，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)48、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測(cè)試時(shí),應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果,盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其愿使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致49、組織建立的信息安全目標(biāo)，應(yīng)（）。A、是可測(cè)量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時(shí)更新50、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、風(fēng)險(xiǎn)處理51、對(duì)風(fēng)險(xiǎn)安全等級(jí)三級(jí)及以上系統(tǒng)，以下說(shuō)法正確的是（）。A、采用雙重身份鑒別機(jī)制B、對(duì)用戶和數(shù)據(jù)采用安全標(biāo)記C、系統(tǒng)管理員可任意訪問(wèn)日志記錄D、三年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作52、管理評(píng)審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況53、信息安全風(fēng)險(xiǎn)分析包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性54、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告55、對(duì)于涉密信息系統(tǒng)，以下說(shuō)法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國(guó)產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)檢測(cè)C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國(guó)家信息安全等級(jí)保護(hù)第四級(jí)水平三、判斷題56、對(duì)不同類(lèi)型的風(fēng)險(xiǎn)可以采用不同的風(fēng)險(xiǎn)接受準(zhǔn)則，例如，導(dǎo)致對(duì)法律法規(guī)不符合的風(fēng)險(xiǎn)可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險(xiǎn)。（）57、組織業(yè)務(wù)運(yùn)行使用云基礎(chǔ)設(shè)施服務(wù),同時(shí)員工通過(guò)自有手機(jī)APP執(zhí)行業(yè)務(wù)過(guò)程,此情況下GB/T22080-2016標(biāo)準(zhǔn)A8.1條款可以刪減。（）58、審核組可以由一個(gè)人組成。（）59、通過(guò)修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，可以稱(chēng)這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)計(jì)算機(jī)病毒的變形。60、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。（）61、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬62、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機(jī)APP完成對(duì)公司客戶的服務(wù)請(qǐng)求處理，但手機(jī)須安裝公司規(guī)定的安全控制程序，無(wú)論手機(jī)是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)63、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。64、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）65、實(shí)習(xí)審核員可以獨(dú)立完成審核任務(wù)。（）

參考答案一、單項(xiàng)選擇題1、A2、D3、C4、D5、D6、C7、C8、C9、C10、C11、C12、D13、D14、B15、A16、A17、A18、A19、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C20、B21、A22、B23、B24、D25、A26、D27、B28、B29、D30、D31、C解析:網(wǎng)絡(luò)安全法第七十六條，網(wǎng)絡(luò)，是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集，存儲(chǔ)，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡(luò)安全，是指通過(guò)采