2023年第一期CCAA注冊審核員考試題目-ISMS信息安全管理體系知識含解析

2023年第一期CCAA注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作2、物理安全周邊的安全設置應考慮：（）A、區(qū)域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C3、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性4、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、45、（）是建立有效的計算機病毒防御體系所需要的技術措施A、補丁管理系統(tǒng)、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網絡入侵檢測、防病毒系統(tǒng)和防火墻6、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求7、在我國信息系統(tǒng)安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求8、根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發(fā)生時B、應按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔9、構成風險的關鍵因素有（）A、人、財、物B、技術、管理和操作C、資產、威脅和弱點D、資產、可能性和嚴重性10、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限11、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明12、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致13、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?14、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵15、()是指系統(tǒng)、服務或網絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障16、建立ISMS體系的目的，是為了充分保護信息資產并給予（）信息A、相關方B、供應商C、顧客D、上級機關17、涉及運行系統(tǒng)驗證的審計要求和活動，應（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務過程的連續(xù)18、依據(jù)GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統(tǒng)19、在信息安全管理體系審核時，應遵循（）原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權原則最小特權原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網絡系統(tǒng)對外連接通道內，可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。20、容量管理的對象包括（）A、信息系統(tǒng)內存B、辦公室空間和基礎設施C、人力資源D、以上全部21、組織在確定與ISMS相關的內部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內容C、溝通時間D、溝通對象22、依據(jù)GB/T22080/ISO/IEC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現(xiàn)對內部用戶的網絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內部用戶訪問外部網絡的訪問控制23、對全國密碼工作實行統(tǒng)一領導的機構是(）A、中央密碼工作領導機構B、國家密碼管理部門C、中央國家機關D、全國人大委員會24、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是25、國家秘密的保密期限應為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年26、關于系統(tǒng)運行日志，以下說法正確的是：（)A、系統(tǒng)管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應決定系統(tǒng)管理員的活動是否有記入曰志27、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設備和資產須驗證其是否符合安全策略，對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證，對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產，驗證攜帶者身份信息，可替代對設備設施的驗證28、依法負有網絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確29、《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)B、計算機及其相關的設備、設施，不包括軟件C、計算機運算環(huán)境的總和，但不含網絡D、一個組織所有計算機的總和，包括未聯(lián)網的微型計算機30、在我國《信息安全等級保護管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、631、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部32、下列哪項對于審核報告的描述是錯誤的？（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對33、風險處置是（）A、識別并執(zhí)行措施來更改風險的過程B、確定并執(zhí)行措施來更改風險的過程C、分析并執(zhí)行措施來更改風險的過程D、選擇并執(zhí)行措施來更改風險的過程34、某公司進行風險評估后發(fā)現(xiàn)公司的無線網絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規(guī)避C、風險轉移D、風險減緩35、管理體系是實現(xiàn)組織目標的方針、（）、指南和相關資源的框架A、目標B、規(guī)程C、文件D、記錄36、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內存B、軟盤C、存儲介質D、網絡37、以下不屬于信息安全事態(tài)或事件的是：A、服務、設備或設施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知38、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程39、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準40、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對二、多項選擇題41、針對敏感應用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務運行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權限42、審核計劃中應包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排43、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉移44、信息安全管理體系審核應遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法45、關于目標，下列說法正確的是（）A、目標現(xiàn)的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品46、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益47、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協(xié)議規(guī)定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內48、管理評審的輸入應包括（）。A、相關方的反饋B、不符合和糾正措施C、信息安全目標完成情況D、業(yè)務連續(xù)性演練結果49、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理50、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴51、《互聯(lián)網信息服務管理辦法》中對()類的互聯(lián)網信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類52、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉發(fā)其微信群會議上討論的信息53、認證機構應有驗證審核組成員背景經驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識54、風險處置的可選措施包括（）。A、風險識別B、風險分析C、風險轉移D、風險減緩55、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處理三、判斷題56、最高管理層應確保與信息安全相關角色的職責和權限得到分配和溝通。57、較低的恢復時間目標會有更長的中斷時間。（）58、從審核開始到結束,審核組長應對審核實施負責59、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）60、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）61、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）62、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一。63、中華人民共和國境內的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網的微型計算機的安全保護辦法,另行制定。64、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。65、組織應適當保留信息安全目標文件化信息。（）

參考答案一、單項選擇題1、B2、D3、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B4、A5、D解析:以上都是建立有效的計算機病毒防御體系所需要的技術措施，但D選項與病毒防御更相關，故選D6、B7、D8、A9、C10、C11、B12、B13、A14、A解析:訪問控制，確保對資產的訪問是基于業(yè)務和安全要求進行授權和限制的手段。A表述更為全面，B,C選項過于細化，故選A15、A16、A17、A18、D19、B20、D21、A22、B解析:網絡和網絡服務的訪問，應僅向用戶提供他們已獲專門授權使用的網絡和網絡服務的訪問。cd選項錯誤，必須是已授權用戶才可訪問。A選項錯誤，在家登錄，不符合安全訪問控制策略。故選B23、A24、D25、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項不超過三十年,機密級事項不超過二十年,秘密級事項不超過十年26、B27、C28、D解析:網絡安全法第45條，依法負有網絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業(yè)秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D29、A30、C31、D32、A33、D解析:風險處置，是指選擇并且執(zhí)行措施來更改風險的過程。故選D34、B35、B36、C37、D38、D39、A40、D解析:應嚴格限制對軟件包的調整以保護其完整性二、多項選擇題41、B,C42、A,B解析:參考270013,2信息傳輸，不宜通過微信等不安全的通信方式傳輸商業(yè)秘密，本題選AB43、A,D44、B,C45、A,B,D4