2024年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識考試題目含解析

2024年第一期CCAA國家注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件2、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規(guī)則》3、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應用網(wǎng)關C、擴展的日志記錄能力D、包交換4、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業(yè)務戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部5、經(jīng)過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險6、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保7、關于備份，以下說法正確的是(）A、備份介質中的數(shù)據(jù)應定期進行恢復測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質退化后應考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期8、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO190119、組織應()與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保10、以下可表明知識產(chǎn)權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數(shù)11、造成計算機系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時打補丁B、使用弱口令C、連接不加密的無線網(wǎng)絡D、以上都對12、有關信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價值，基本水平的保護都會被實施B、對所有信息資產(chǎn)保護都投入相同的資源C、對信息資產(chǎn)實施適當水平的保護D、信息資產(chǎn)過度的保護13、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務運行和威脅信息安全的極大可能性A、已經(jīng)發(fā)生B、可能發(fā)生C、意外D、A+B+C14、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確15、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態(tài)C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規(guī)范性文件的所有要求16、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結果D、重要業(yè)務系統(tǒng)操作指南17、設備維護維修時，應考慮的安全措施包括：（）A、維護維修前，按規(guī)定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權的新增功能C、敏感部件進行物理銷毀而不予送修D、以上全部18、容量管理的對象包括（）A、服務器內存B、網(wǎng)絡通信帶寬C、人力資源D、以上全部19、安全掃描可以實現(xiàn)（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產(chǎn)生的問題C、彌補防火墻對內網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流20、依據(jù)GB/T29246,控制目標指描述控制的實施結果所要達到的目標的（）。A、說明B、聲明C、想法D、描述21、—家投資顧問商定期向客戶發(fā)送有關財經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件22、關于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部23、ISMS管理評審的輸出應包括（）A、可能影響ISMS的任何變更B、以往風險評估沒有充分強調的脆弱點或威脅C、風險評估和風險處理計劃的更新D、改進的建議24、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)25、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應26、關于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術、關鍵部件須具有我國自主知識產(chǎn)權B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認征目錄的，應取得國家信息安全產(chǎn)品人證機構頒發(fā)的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞27、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調活動D、以上都對28、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新29、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級30、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡日志保存不得少于2個月B、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡日志保存不得少于12月C、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡日志保存不得少于6個月31、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見32、在根據(jù)組織規(guī)模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產(chǎn)品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產(chǎn)品或過程33、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣34、可用性是指（）A、根據(jù)授權實體的要求可訪問和利用的特性B、信息不能被未授權的個人，實體或者過程利用或知悉的特性C、保護資產(chǎn)的準確和完整的特性D、反映事物真實情況的程度35、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產(chǎn)品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價36、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險37、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序，數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)38、最高管理者應（）。A、確保制定ISMS方針B、制定ISMS目標和計劃C、實施ISMS內部審核D、主持ISMS管理評審39、《信息安全等級保護管理辦法》規(guī)定，應加強沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年40、對于獲準認可的認證機構，認可機構證明（）A、認證機構能夠開展認證活動B、其在特定范圍內按照標準具有從事認證活動的能力C、認證機構的每張認證證書都符合要求D、認證機構具有從事相應認證活動的能力二、多項選擇題41、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高42、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權限B、工作人員僅需要滿足工作任務所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍。D、工作范圍是可訪問的信息43、審核計劃中應包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排44、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準45、信息安全管理中，支持性基礎設施指：()A、供電、通信設施B、消防、防雷設施C、空調及新風系統(tǒng)、水氣暖供應系統(tǒng)D、網(wǎng)絡設備46、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定47、以下（）活動是ISMS監(jiān)視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施48、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致49、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網(wǎng)絡關鍵設備B、網(wǎng)絡安全專用產(chǎn)品C、銷售前D、投入運行后50、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務，應當向（）電信管理機構或者國務院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)51、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權或濫用C、網(wǎng)絡攻擊、物理攻擊D、泄密、篡改、抵賴52、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內容D、監(jiān)視、測量、分析和評價的執(zhí)行人員53、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒54、信息安全風險分析包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性55、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉化其微信群會討論的信息三、判斷題56、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）57、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）58、破壞、摧毀、控制網(wǎng)絡基礎設施是網(wǎng)絡攻擊行為之一（）59、《中華人民共和國網(wǎng)絡安全法》是2017年1月1日開始實施的（）60、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）61、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進行備份。（）62、計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）63、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。64、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）65、組織的內外部相關方要求屬于組織的內部和外部事項”（）

參考答案一、單項選擇題1、C2、D3、D4、D5、D6、A7、A8、A9、A10、D11、D12、C13、C解析:信息安全事件，指一個或一系列意外或不期望的信息安全事態(tài)組成，他們極有可能損害業(yè)務運行并威脅信息安全。故選C14、D15、D16、D17、D18、D19、C20、B解析:參考27000，控制目標指，描述實施控制的實施結果所要達到的目標的聲明。故選B21、C