2023年10月CCAA信息安全管理體系質(zhì)量審核員模擬試題含解析

2023年10月CCAA信息安全管理體系質(zhì)量審核員模擬試題一、單項選擇題1、下列不屬于取得認(rèn)證機構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認(rèn)證人員2、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求己得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求己得到滿足，即意味著顧客滿意3、下列說法錯誤的是(）A、ISO/IEC20000-1:2018標(biāo)準(zhǔn)鼓勵組織采用整合的過程方法B、組織滿足ISO/IEC20000-1:2018標(biāo)準(zhǔn)要求，意味著該組織滿足其顧客的所有要求C、組織可以把ISO/IEC20000-1:2018標(biāo)準(zhǔn)作為獨立評估的依據(jù)D、組織可以通過ISO/IEC20000-1:2018標(biāo)準(zhǔn)來確定組織IT服務(wù)管理基準(zhǔn)4、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年5、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)6、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對7、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部8、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進(jìn)階段9、下列措施中，（）是風(fēng)險管理的內(nèi)容。A、識別風(fēng)險B、風(fēng)險優(yōu)先級評價C、風(fēng)險處置D、以上都是10、與某個特定配置項相關(guān)的項目信息被存儲到配置管理數(shù)據(jù)庫，這種項目稱為：A、組件B、特色C、屬性D、特性11、信息安全殘余風(fēng)險是（）。A、沒有處置完成的風(fēng)險B、沒有評估的風(fēng)險C、處置之后仍存在的風(fēng)險D、處置之后沒有報告的風(fēng)險12、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機構(gòu)應(yīng)審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布13、信息處理設(shè)施的變更管理包括:A、信息處理設(shè)施用途的變更B、信息處理設(shè)施故障部件的更換C、信息處理設(shè)施軟件的升級D、其他選項均正確14、組織的風(fēng)險責(zé)任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風(fēng)險轉(zhuǎn)移到組織D、組織的某個虛擬小組負(fù)責(zé)人15、依據(jù)ISO/IEC20000-1:2018,服務(wù)目錄應(yīng)()A、描述服務(wù)及其結(jié)果B、由顧客制定C、是合同的一部分D、是統(tǒng)一所有服務(wù)描述的匯總16、下列哪項對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對17、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式18、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準(zhǔn)D、以上全部19、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)20、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素21、在現(xiàn)場審核結(jié)束之前，下列哪項活動不是必須的？（）A、關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報告D、聽取客戶對審核發(fā)現(xiàn)提出的問題22、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)負(fù)責(zé)人C、資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D、A+B23、關(guān)于文件管理下列說法錯誤的是（）A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B、必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰，易于識別D、作廢文件應(yīng)及時銷毀，防止錯誤使用24、最高管理層應(yīng)通過（）活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致25、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障26、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制27、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理28、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年29、風(fēng)險處置是（）A、識別并執(zhí)行措施來更改風(fēng)險的過程B、確定并執(zhí)行措施來更改風(fēng)險的過程C、分析并執(zhí)行措施來更改風(fēng)險的過程D、選擇并執(zhí)行措施來更改風(fēng)險的過程30、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審31、下列措施中不能用于防止非授權(quán)訪問的是（）A、采取密碼技術(shù)B、采用最小授權(quán)C、采用權(quán)限復(fù)查D、采用日志記錄32、《信息技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)物理破壞而導(dǎo)致的信息安全事件。A、網(wǎng)絡(luò)攻擊B、不可抗力C、自然災(zāi)害D、人為因素33、由認(rèn)可機構(gòu)對認(rèn)證機構(gòu)、檢查機構(gòu)、實驗室以及從事評審、審核等認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動是（）。A、認(rèn)證B、認(rèn)可C、審核D、評審34、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄35、由認(rèn)可機構(gòu)對認(rèn)證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動是（）A、認(rèn)證B、認(rèn)可C、審核D、評審36、風(fēng)險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響37、ISO/IEC27001描述的風(fēng)險分析過程不包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實際發(fā)生的可能性38、在以下認(rèn)為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改39、以下哪一項不是ITIL所定義的服務(wù)生命周期階段()A、服務(wù)轉(zhuǎn)換B、服務(wù)退役C、服務(wù)設(shè)計D、服務(wù)戰(zhàn)略40、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部二、多項選擇題41、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時，對相關(guān)方可用42、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與43、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動44、對于審核發(fā)現(xiàn)（）A、審核組應(yīng)根據(jù)需要，在審核的適當(dāng)階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求，只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn)，以確認(rèn)審核證據(jù)的準(zhǔn)確性，并得到受審核方的理解D、包括正面的和負(fù)面的發(fā)現(xiàn)45、依據(jù)《信息技術(shù)服務(wù)分類與代碼》，運行維護(hù)服務(wù)包括對客戶信息系統(tǒng)（）等提供的各種技術(shù)支持和管理服務(wù)。A、硬件B、軟件C、數(shù)據(jù)D、基礎(chǔ)環(huán)境46、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告47、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息48、《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動，提高產(chǎn)品、服務(wù)的（），促進(jìn)經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力49、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度50、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標(biāo)準(zhǔn)B、ISMS族包含闡述通用概論的標(biāo)準(zhǔn)C、ISMS族包含特定行業(yè)概述的標(biāo)準(zhǔn)D、ISMS族包含闡述ISMS概述和詞匯的標(biāo)準(zhǔn)51、關(guān)于審核發(fā)現(xiàn)，以下說法正確的是：（）A、審核發(fā)現(xiàn)是收集的審核證據(jù)對照審核準(zhǔn)則進(jìn)行評價的結(jié)果B、審核發(fā)現(xiàn)包括正面的和負(fù)面的發(fā)現(xiàn)C、審核發(fā)現(xiàn)是審核結(jié)論的輸入D、審核發(fā)現(xiàn)是制定審核準(zhǔn)則的依據(jù)52、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性53、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)54、關(guān)于云計算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則55、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)三、判斷題56、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機APP完成對公司客戶的服務(wù)請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)正確錯誤57、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補充。（）正確錯誤58、審核組長在末次會議中應(yīng)該對受審核方是否通過認(rèn)證給出結(jié)論。（）正確錯誤59、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。正確錯誤60、敏感標(biāo)記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標(biāo)記作為強制訪問控制決策的依據(jù)（）。正確錯誤61、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）正確錯誤62、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）正確錯誤63、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。正確錯誤64、在來自可信站點電子郵件中輸入個人或財務(wù)信息是安全的。（）正確錯誤65、J031組織對內(nèi)部供應(yīng)商應(yīng)按服務(wù)級別管理過程進(jìn)行管理。（）正確錯誤

參考答案一、單項選擇題1、C2、C3、B4、D5、D6、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B7、D8、C9、D10、C11、C解析:參考GB/T20984-2007信息安全風(fēng)險評估規(guī)范，3,12殘余風(fēng)險是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。故選C12、C13、D解析:信息處理設(shè)施，任何的信息處理系統(tǒng)，服務(wù)或基礎(chǔ)設(shè)施，或其安裝的物理位置，abc選項均屬于信息處理設(shè)施變更管理范疇，故選D14、C15、A16、A17、D18、D19、C20、A21、C22、A23、D24、B25、A26、A27、D28、D29、D解析:風(fēng)險處置，是指選擇并且執(zhí)行措施來更改風(fēng)險的過程。故選D30、D31、D32、B33、B34、D35、B36、B37、A38、D39、B40、B二、多項選擇題41、A,C,D42、A,C43、A,B,C,D44、A,C,D45、A,B,C,D46、A,B,C,D47、A,B解析:參考270013,2信息傳輸，不宜通過微信等不安全的通信方式傳輸商業(yè)秘密，本題選AB48、A,C解析:參考條例第一條，為了規(guī)范認(rèn)證認(rèn)可活動，提高產(chǎn)品、服務(wù)的質(zhì)量和管理水平促