2022年9月CCAA國家信息安全管理體系質(zhì)量審核員模擬試題含解析

2022年9月CCAA國家信息安全管理體系質(zhì)量審核員模擬試題一、單項選擇題1、依據(jù)GB/T220802016/SO/EC.27001:2013標準，組織應（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力2、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應單獨管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術(shù)脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術(shù)脆弱性的所有補丁是應對脆弱性相關(guān)風險的最佳途徑3、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA4、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達方式5、以下說法不正確的是(）A、應考慮組織架構(gòu)與業(yè)務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結(jié)果進行再評估C、制造部增加的生產(chǎn)場所對信息安全風險無影響D、安全計劃應適時更新6、下列不一定要進行風險評估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡采用新的網(wǎng)絡架構(gòu)D、計劃的時間間隔7、ISMS文件的多少和詳細程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對8、在實施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估9、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、—密、二密、三密、四密四個級別10、《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)B、計算機及其相關(guān)的設備、設施，不包括軟件C、計算機運算環(huán)境的總和，但不含網(wǎng)絡D、一個組織所有計算機的總和，包括未聯(lián)網(wǎng)的微型計算機11、最高管理者應（）。A、確保制定ISMS方針B、制定ISMS目標和計劃C、實施ISMS內(nèi)部審核D、主持ISMS管理評審12、當操作系統(tǒng)發(fā)生變更時,應對業(yè)務的關(guān)鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認13、組織應按照本標準的要求（）信息安全管理體系。A、策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現(xiàn)、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進14、《信息技術(shù)信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統(tǒng)物理破壞而導致的信息安全事件。A、網(wǎng)絡攻擊B、不可抗力C、自然災害D、人為因素15、組織應（）A、分離關(guān)鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關(guān)聯(lián)的職責及責任范圍16、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年17、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排18、風險責任人是指（）A、具有責任和權(quán)限管理一項風險的個人或?qū)嶓wB、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者19、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標準族已發(fā)布標準的介紹D、1SMS標準族中使用的所有術(shù)語和定義20、由認可機構(gòu)對認證機構(gòu)、檢查機構(gòu)、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審21、造成計算機系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時打補丁B、使用弱口令C、連接不加密的無線網(wǎng)絡D、以上都對22、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用23、下列關(guān)于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內(nèi)部網(wǎng)絡可以無限制地訪問夕卜部網(wǎng)絡以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作24、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定25、一家投資顧問商定期向客戶發(fā)送有關(guān)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件26、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部27、當獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當?shù)拇胧〤、宣布取消末次會議D、以上都不可以28、在訪問因特網(wǎng)時，為了防止Web網(wǎng)頁中惡意代碼對自己計算機的損害，可以采取的防范措施是(）A、利用SSL訪問Web站點B、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區(qū)域C、在瀏覽器中安裝數(shù)字證書D、利用IP安全協(xié)議訪問Web站點29、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除30、關(guān)于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護31、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡服務，視為允許方問的網(wǎng)絡服務B、對于允許訪問的網(wǎng)絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡服務，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對32、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務系統(tǒng)操作指南33、關(guān)于文件管理下列說法錯誤的是（）A、文件發(fā)布前應得到批準，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準C、應確保文件保持清晰，易于識別D、作廢文件應及時銷毀，防止錯誤使用34、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部35、組織應定義所有事件的記錄和分類、分級、需要時升級、解決和（）A、報告B、溝通C、回復顧客D、正式關(guān)閉36、()是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障37、《信息安全技術(shù)信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統(tǒng)造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網(wǎng)絡故障38、審核證據(jù)是指（）A、與審核準則有關(guān)的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對39、關(guān)鍵信息基礎(chǔ)設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任40、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、做出是否換發(fā)證書的決定二、多項選擇題41、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復雜程度42、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施D、顧客不投訴并不意味著顧客滿意了43、關(guān)于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估44、關(guān)于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核45、認證機構(gòu)應有驗證審核組成員背景經(jīng)驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識46、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況47、撤銷對信息和信息處理設施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務結(jié)束的情況D、員工出差48、關(guān)于服務組件”以下說法正確的是（）A、不包括基礎(chǔ)設施B、可以是服務的一部分C、可包括配置項、資產(chǎn)或其他要素D、一項或多項配置項可以構(gòu)成一項服務組件49、信息安全管理中，支持性基礎(chǔ)設施指：()A、供電、通信設施B、消防、防雷設施C、空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)D、網(wǎng)絡設備50、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術(shù)應用的程度決定信息安全管理體系認證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估51、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定52、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標53、網(wǎng)絡常見的拓撲形式有（)A、星型B、環(huán)型C、總線型D、樹型54、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應、溝通決定D、投訴終止55、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動，提高產(chǎn)品、服務的（），促進經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力三、判斷題56、審核員由實習審核員轉(zhuǎn)審核員之前，至少必須通過4次完整體系20天的審核。（）正確錯誤57、組織應適當保留信息安全目標文件化信息。（）正確錯誤58、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）正確錯誤59、組織業(yè)務運行使用云基礎(chǔ)設施服務,同時員工通過自有手機APP執(zhí)行業(yè)務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）正確錯誤60、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網(wǎng)絡的有效帶寬正確錯誤61、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）正確錯誤62、較低的恢復時間目標會有更長的中斷時間。（）正確錯誤63、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）正確錯誤64、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進行備份。（）正確錯誤65、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）正確錯誤

參考答案一、單項選擇題1、C2、C3、B4、C5、C6、D7、D8、D9、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機密，秘密三級10、A11、D12、B13、C14、B15、B解析:根據(jù)GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任范圍，以減少未授權(quán)或無意的修改或者不當使用組織資產(chǎn)的機會16、D17、A18、A19、D20、B21、D22、A23、A24、B25、C26、D27、B28、B29、A30、A31、C32、D33、D34、C35、D36、A37、C38、A39、A解析:《中華人民共和國網(wǎng)絡安全法》第36條，關(guān)鍵信息基礎(chǔ)設施的運營者采購網(wǎng)絡