2023年10月CCAA國家注冊ISMS信息安全管理體系審核員知識考試題目含解析

2023年10月CCAA國家注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機2、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個月B、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡(luò)日志保存不得少于6個月3、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙4、密碼技術(shù)不適用于控制下列哪種風(fēng)險？（）A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險D、數(shù)據(jù)被非授權(quán)訪問的風(fēng)險5、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程6、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定7、下列關(guān)于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作8、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）C、在指紋識別的基礎(chǔ)上增加口令保護D、保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)9、信息安全管理中，關(guān)于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術(shù)脆弱性B、軟件開發(fā)人員為方便維護留的后門是脆弱性的一種C、識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機會10、經(jīng)過風(fēng)險處理后遺留的風(fēng)險通常稱為（）A、重大風(fēng)險B、有條件的接受風(fēng)險C、不可接受的風(fēng)險D、殘余風(fēng)險11、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部12、信息安全風(fēng)險的基本要素包括（）A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果13、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析14、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護資產(chǎn)準(zhǔn)確和完整的特性D、保護資產(chǎn)保密和可用的特性15、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應(yīng)定期檢查機房空調(diào)的有效性16、最高管理層應(yīng)通過（）活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致17、造成計算機系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時打補丁B、使用弱口令C、連接不加密的無線網(wǎng)絡(luò)D、以上都對18、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執(zhí)行信息安全風(fēng)險評估C、開展內(nèi)部審核D、開展管理評審19、Saas是指(）A、軟件即服務(wù)B、服務(wù)平臺即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)20、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況21、關(guān)于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明22、為了達到組織災(zāi)難恢復(fù)的要求，備份時間間隔不能超過（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點目標(biāo)（RPO)C、恢復(fù)時間目標(biāo)（RTO)D、最長可接受終端時間（MAO)23、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對24、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次25、物理安全周邊的安全設(shè)置應(yīng)考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C26、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法27、對于獲準(zhǔn)認(rèn)可的認(rèn)證機構(gòu)，認(rèn)可機構(gòu)證明（）A、認(rèn)證機構(gòu)能夠開展認(rèn)證活動B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動的能力C、認(rèn)證機構(gòu)的每張認(rèn)證證書都符合要求D、認(rèn)證機構(gòu)具有從事相應(yīng)認(rèn)證活動的能力28、下列管理評審的方式，哪個不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網(wǎng)絡(luò)會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審29、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調(diào)節(jié)器B、電力浪涌保護設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)30、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，則應(yīng)具備的保護水平為：（）A、三級B、二級C、四級D、五級31、以下對GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評估D、組織在建立ISMS時，必須滿足該標(biāo)準(zhǔn)的所有要求32、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議33、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部34、下列哪項不是監(jiān)督審核的目的？（）A、驗證認(rèn)證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、做出是否換發(fā)證書的決定35、容量管理的對象包括（）A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部36、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是37、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件38、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件39、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定40、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性二、多項選擇題41、風(fēng)險處置的可選措施包括（）。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩42、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略43、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性44、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)45、關(guān)于審核委托方，以下說法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核46、不符合項報告應(yīng)包括A、不符合事實的描述B、不符合的標(biāo)準(zhǔn)條款及內(nèi)容C、不符合的原因D、不符合的性質(zhì)47、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理48、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)檢測C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平49、以下屬于訪問控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒50、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實守信B、保密性C、基于風(fēng)險D、基于事實的決策方法51、《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全,（）A、維護網(wǎng)絡(luò)空間主權(quán)B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益52、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)53、關(guān)于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應(yīng)提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容54、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)55、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過風(fēng)險評估三、判斷題56、GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)（）57、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的接受和批準(zhǔn)。58、審核組可以由一個人組成。（）59、最高管理層應(yīng)通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）60、敏感標(biāo)記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標(biāo)記作為強制訪問控制決策的依據(jù)（）。61、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）62、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進信息安全管理體系的承諾。63、最高管理層應(yīng)通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾64、組織應(yīng)持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）65、ISO/IEC27018是用于對云安全服務(wù)中隱私保護認(rèn)證的依據(jù)。(）

參考答案一、單項選擇題1、B2、C3、A4、C5、D6、A7、A8、A9、B10、D11、D12、B13、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當(dāng)水平的保護。對比四個選項，c項更能突出對組織的重要程度，故選C14、C15、B16、B17、D18、B19、A20、B21、B22、C23、C24、D25、D26、C27、B28、A29、D30、A31、B32、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計算機環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B33、B34、D35、D36、D37、D38、C39、B40、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B二、多項選擇題41、C,D42、A,B,C,D43、A,B,D44、B,C,D45、A,B,C,D解析:參考本法第二條，在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，適用本法。本題選ABCD46、A,B,D47、A,B,C,D48、A,B,