2021年3月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系含解析

2021年3月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系一、單項選擇題1、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗證B、對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證，對于進入組織的設(shè)備設(shè)施則不必驗證C、對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D、對于進入和離開組織的設(shè)備和資產(chǎn)，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證2、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復(fù)3、依據(jù)GB/T29246,控制目標指描述控制的實施結(jié)果所要達到的目標的（）。A、說明B、聲明C、想法D、描述4、風險識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響5、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、作出是否換發(fā)證書的決定6、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶7、關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術(shù)、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令8、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、49、對于可能超越系統(tǒng)和應(yīng)用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實用程序清單C、緊急響應(yīng)時所使用的實用程序不需要授權(quán)D、建立、授權(quán)機制和許可使用的實用程序清單10、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級機關(guān)11、構(gòu)成風險的關(guān)鍵因素有（）A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性12、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護13、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部14、組織應(yīng)按照本標準的要求（）信息安全管理體系。A、策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現(xiàn)、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進15、在信息安全管理體系審核時，應(yīng)遵循（）原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi)，可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。16、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調(diào)節(jié)器B、電力浪涌保護設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)17、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用18、關(guān)于信息安全管理體系認證，以下說法正確的是：A、負責作出認證決定的人員中應(yīng)至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應(yīng)參與審核D、負責作出認證決定的人員應(yīng)包含參與了預(yù)審核的人員19、若通過桌面系統(tǒng)對終端實行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達到50%以上即可20、ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風險評估沒有充分強調(diào)的脆弱點或威脅C、風險評估和風險處理計劃的更新D、改進的建議21、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對22、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度23、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求24、下列哪項對于審核報告的描述是錯誤的？（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對25、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應(yīng)用風險管理過程來保持信息的保密性、完整性和可用性26、對于獲準認可的認證機構(gòu)，認可機構(gòu)證明（）A、認證機構(gòu)能夠開展認證活動B、其在特定范圍內(nèi)按照標準具有從事認證活動的能力C、認證機構(gòu)的每張認證證書都符合要求D、認證機構(gòu)具有從事相應(yīng)認證活動的能力27、當獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當?shù)拇胧〤、宣布取消末次會議D、以上都不可以28、審核證據(jù)是指（）A、與審核準則有關(guān)的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對29、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性30、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知31、關(guān)于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明32、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議33、容量管理的對象包括（）A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部34、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)35、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護信息準確和完整的特性?36、《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》對應(yīng)的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700537、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產(chǎn)品或過程38、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態(tài)C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規(guī)范性文件的所有要求39、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼40、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南二、多項選擇題41、設(shè)計一個信息安全風險管理工具，應(yīng)包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程42、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結(jié)果對比，B正確。自評估可由發(fā)起方實施或委托風險評估服務(wù)技術(shù)支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法展開的風險評估。本題選ABC43、對于信息安全方針,（）是GB/T22080-2016標準要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準發(fā)布，并傳達給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責的定義D、信息安全方針應(yīng)定期實施評審44、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類45、在設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動設(shè)備中的相機46、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發(fā)放了公司財務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數(shù)核心項目人員發(fā)放了手機，允許其使用手機在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘47、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)48、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)49、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對相關(guān)方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜50、建立一些規(guī)程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗證用戶身份；51、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針52、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準53、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)54、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動55、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B、在對N公司人員服務(wù)時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)三、判斷題56、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）57、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）58、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）59、組織應(yīng)識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）60、風險處置計劃和信息安全殘余風險應(yīng)獲得最高管理者的授受和批準。（）61、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。62、對不同類型的風險可以采用不同的風險接受準則，例如，導(dǎo)致對法律法規(guī)不符合的風險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風險。（）63、訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。64、最高管理層應(yīng)確保方針得到建立（）65、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）

參考答案一、單項選擇題1、C2、C3、B解析:參考27000，控制目標指，描述實施控制的實施結(jié)果所要達到的目標的聲明。故選B4、B解析:27005信息安全風險管理8,2,,1風險識別，包括資產(chǎn)識別，威脅識別，現(xiàn)有控制措施識別，脆弱性識別，后果識別。故選B5、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應(yīng)與其他監(jiān)督活動一起策劃，以使認證機構(gòu)能對獲證客戶管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標準的每次監(jiān)督審核應(yīng)包括對以下方面的審查：（1）內(nèi)部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現(xiàn)獲證客戶目標和各管理體系的預(yù)期結(jié)果方面的有效性；（5）為持續(xù)改進而策劃的活動的進展；（6）持續(xù)的運作控制；（7）任何變更；（8）標志的使用和（或）任何其他對認證資格的引用。綜上A,B,C項均是監(jiān)督審核的目的，故選D。另