2022年12月CCAA國(guó)家信息安全管理體系質(zhì)量審核員模擬試題含解析

2022年12月CCAA國(guó)家信息安全管理體系質(zhì)量審核員模擬試題一、單項(xiàng)選擇題1、下列說(shuō)法不正確的是（）A、殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程的結(jié)果C、所有的信息安全活動(dòng)都必須記錄D、管理評(píng)審至少每年進(jìn)行一次2、以下關(guān)于安全接層協(xié)議(SSL)的敘述中,錯(cuò)誤的是(）A、為T(mén)CP/IP連接提供服務(wù)器認(rèn)證B、為T(mén)CP/IP連接提供數(shù)據(jù)加密C、提供數(shù)據(jù)安全機(jī)制D、是一種應(yīng)用層安全協(xié)議3、最高管理者應(yīng)確保服務(wù)管理體系要求整合到組織（）中，證實(shí)對(duì)服務(wù)管理體系的領(lǐng)導(dǎo)承諾。A、活動(dòng)B、資源C、過(guò)程D、目標(biāo)4、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專(zhuān)人管理式D、A+B+C5、ISO/IEC20000-1的最新版是()版A、2018B、2005C、2020D、20116、下列不屬于取得認(rèn)證機(jī)構(gòu)資質(zhì)應(yīng)滿(mǎn)足條件的是（）。A、取得法人資格B、有固定的場(chǎng)所C、完成足夠的客戶(hù)案例D、具有足夠數(shù)量的專(zhuān)職認(rèn)證人員7、服務(wù)連續(xù)性管理中,恢復(fù)時(shí)間目標(biāo)指（）A、IT服務(wù)復(fù)原到正常工作狀態(tài)的時(shí)間B、IT服務(wù)復(fù)原到約定的最低可用性水平的時(shí)間C、關(guān)鍵服務(wù)恢復(fù)到約定的最低可用性水平的時(shí)間D、基礎(chǔ)設(shè)施服務(wù)恢復(fù)到約定的可用性的時(shí)間8、數(shù)字簽名可以有效對(duì)付哪一類(lèi)信息安全風(fēng)險(xiǎn)？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改9、風(fēng)險(xiǎn)處置是（）A、識(shí)別并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程B、確定并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程C、分析并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程D、選擇并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程10、()屬于管理脆弱性的識(shí)別對(duì)象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理11、下列哪個(gè)選項(xiàng)不屬于審核組長(zhǎng)的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場(chǎng)審核有關(guān)的工作文件C、主持首末次會(huì)議和市核組會(huì)議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通12、信息安全的機(jī)密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C、根據(jù)授權(quán)實(shí)體的要求可訪(fǎng)問(wèn)的特性D、保護(hù)信息準(zhǔn)確和完整的特性?13、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷(xiāo)職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)A、2年B、3年C、4年D、5年14、訪(fǎng)問(wèn)控制是指確定（）以及實(shí)施訪(fǎng)問(wèn)權(quán)限的過(guò)程A、用戶(hù)權(quán)限B、可給予哪些主體訪(fǎng)問(wèn)權(quán)利C、可被用戶(hù)訪(fǎng)問(wèn)的資源D、系統(tǒng)是否遭受入侵15、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定16、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶(hù)組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶(hù)組織的場(chǎng)所分布17、計(jì)算機(jī)病毒系指_____。A、生物病毒感染B、細(xì)菌感染C、被損壞的程序D、特制的具有損壞性的小程序18、關(guān)于顧客滿(mǎn)意，以下說(shuō)法正確的是：()A、顧客沒(méi)有抱怨，表示顧客滿(mǎn)意B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿(mǎn)意C、顧客認(rèn)為其要求已得到滿(mǎn)足，即意味著顧客滿(mǎn)意D、組織認(rèn)為顧客要求已得到滿(mǎn)足，即意味著顧客滿(mǎn)意19、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，審核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上都不可以20、防止計(jì)算機(jī)中信息被竊取的手段不包括（）A、用戶(hù)識(shí)別B、權(quán)限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份21、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的？（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后，由審核組長(zhǎng)起草形成C、正式的審核報(bào)告由組長(zhǎng)將報(bào)告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)22、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定23、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程記錄C、管理評(píng)審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南24、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開(kāi)始，如何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開(kāi)始，如何評(píng)價(jià)結(jié)果25、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶(hù)組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶(hù)組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期26、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊(cè)帳戶(hù)的時(shí)效性B、刪除死帳戶(hù)C、強(qiáng)制用戶(hù)使用不易被破解的密碼D、所有用戶(hù)使用一次性密碼27、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限28、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)控制策略，以下正確的是（）A、沒(méi)有陳述為禁止訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，視為允許訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)B、對(duì)于允許訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過(guò)無(wú)線(xiàn)、VPN等多種手段鏈接C、對(duì)于允許訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對(duì)29、審核抽樣時(shí)，可以不考慮的因素是(）A、場(chǎng)所差異B、管理評(píng)審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果30、在形成信息安全管理體系審核發(fā)現(xiàn)時(shí)，應(yīng)（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性31、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)D、以上都對(duì)32、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶(hù)的數(shù)量D、其他選項(xiàng)都正確33、關(guān)于信息系統(tǒng)登錄的管理，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全等級(jí)保護(hù)中，三級(jí)以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶(hù)使用優(yōu)質(zhì)口令34、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式35、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱(chēng)計(jì)算機(jī)信息系統(tǒng)，是指A、對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)36、（）是問(wèn)題管理流程中最后的環(huán)節(jié)A、將任何與變更請(qǐng)求下相關(guān)的傳遞給問(wèn)題管理B、關(guān)閉C、問(wèn)題回顧D、問(wèn)題記錄37、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點(diǎn)目標(biāo)（RPO)C、恢復(fù)時(shí)間目標(biāo)（RTO)D、最長(zhǎng)可接受終端時(shí)間（MAO)38、數(shù)字簽名可以有效對(duì)付哪一類(lèi)信息安全風(fēng)險(xiǎn)？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改39、依據(jù)GB/T22080/ISO/IEC27001，信息分類(lèi)方案的目的是（）A、劃分信息的數(shù)據(jù)類(lèi)型，如供銷(xiāo)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析B、確保信息按照其對(duì)組織的重要程度受到適當(dāng)水平的保護(hù)C、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤(pán)、磁盤(pán)D、劃分信息載體所屬的職能以便于明確管理責(zé)任40、經(jīng)過(guò)風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱(chēng)為（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)二、多項(xiàng)選擇題41、關(guān)于信息安全風(fēng)險(xiǎn)自評(píng)估，下列選項(xiàng)正確的是（）A、是指信息系統(tǒng)擁有、運(yùn)營(yíng)和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化C、可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施D、由信息系統(tǒng)上級(jí)管理部門(mén)組織的風(fēng)險(xiǎn)評(píng)估42、以下屬于信息安全事態(tài)或事件的是:（）A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時(shí)通知43、關(guān)于目標(biāo)，下列說(shuō)法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品44、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫(xiě)人員的態(tài)度和能力B、組織的規(guī)模和活動(dòng)的類(lèi)型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度45、網(wǎng)絡(luò)常見(jiàn)的拓?fù)湫问接校ǎ〢、星型B、環(huán)型C、總線(xiàn)D、樹(shù)型46、信息安全績(jī)效的反饋，包括以下哪些方面的趨勢(shì)（）A、不符合和糾正措施B、監(jiān)視測(cè)量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況47、評(píng)價(jià)信息安全風(fēng)險(xiǎn)，包括（）A、將風(fēng)險(xiǎn)分析的結(jié)果與信息安全風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較B、確定風(fēng)險(xiǎn)的控制措施C、為風(fēng)險(xiǎn)處置排序以分析風(fēng)險(xiǎn)的優(yōu)先級(jí)D、計(jì)算風(fēng)險(xiǎn)大小48、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排49、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用50、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車(chē)監(jiān)控系統(tǒng)B、行車(chē)路線(xiàn)信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支51、下列哪些是服務(wù)預(yù)算與核算管理必須的？（）A、服務(wù)計(jì)費(fèi)B、服務(wù)實(shí)際成本C、服務(wù)成本預(yù)算D、監(jiān)視成本52、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)53、認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）A、管理體系的知識(shí)B、ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)C、與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)D、信息安全的知識(shí)54、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備55、網(wǎng)絡(luò)常見(jiàn)的拓?fù)湫问接校?A、星型B、環(huán)型C、總線(xiàn)型D、樹(shù)型三、判斷題56、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日開(kāi)始實(shí)施的（）正確錯(cuò)誤57、敏感標(biāo)記表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，可信計(jì)算機(jī)中把敏感標(biāo)記作為強(qiáng)制訪(fǎng)問(wèn)控制決策的依據(jù)（）。正確錯(cuò)誤58、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）正確錯(cuò)誤59、組織應(yīng)識(shí)別并提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。（）正確錯(cuò)誤60、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）正確錯(cuò)誤61、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）正確錯(cuò)誤62、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸檢索等處理的人機(jī)系統(tǒng)（）正確錯(cuò)誤63、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）正確錯(cuò)誤64、容量管理策略可以考慮增加容量或降低容量要求。（）正確錯(cuò)誤65、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、A2、D3、A4、B5、A6、C7、C8、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和完整性并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造，篡改或是抵賴(lài)。故選D9、D解析:風(fēng)險(xiǎn)處置，是指選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程。故選D10、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣?lái)應(yīng)對(duì)相關(guān)風(fēng)險(xiǎn)。故選D11、A12、B13、D14、A解析:訪(fǎng)問(wèn)控制，確保對(duì)資產(chǎn)的訪(fǎng)問(wèn)是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項(xiàng)過(guò)于細(xì)化，故選A15、A16、C17、D18、C19、B20、D21、A22、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A23、D24、C25、B26、D27、C28、C29、C30、B31、B32、D33、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C34、D35、A36、B37、C38、D39、B40、D二、多項(xiàng)選擇題41、A,B,C解析:gb/t20984-20077,2自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估，A正確。周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，重點(diǎn)針對(duì)自上次評(píng)估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆