2021年3月CCAA注冊審核員考試題目-ISMS信息安全管理體系知識含解析

2021年3月CCAA注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年2、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確3、GB/T22080標準中所指資產的價值取決于（）A、資產的價格B、資產對于業(yè)務的敏感度C、資產的折損率D、以上全部4、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對5、當獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當?shù)拇胧〤、宣布取消末次會議D、以上都不可以6、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價7、若通過桌面系統(tǒng)對終端實行IP、MAC綁定，該網絡IP地址分配方式應為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達到50%以上即可8、依據(jù)GB/T22080/ISO/IEC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現(xiàn)對內部用戶的網絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內部用戶訪問外部網絡的訪問控制9、關于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應遵從的優(yōu)質口令策略D、使用互動式管理確保用戶使用優(yōu)質口令10、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700511、當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認12、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析13、保密協(xié)議或不泄露協(xié)議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規(guī)定14、計算機信息系統(tǒng)安全專用產品是指：（）A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產品B、按安全加固要求設計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產品15、下列不屬于公司信息資產的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄16、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、—密、二密、三密、四密四個級別17、關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任18、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內容過濾D、進行流量控制19、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網絡結構C、應用系統(tǒng)D、技術管理20、由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審21、可用性是指（）A、根據(jù)授權實體的要求可訪問和利用的特性B、信息不能被未授權的個人，實體或者過程利用或知悉的特性C、保護資產的準確和完整的特性D、反映事物真實情況的程度22、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改23、關于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定24、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部25、在考慮網絡安全策略時，應該在網絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷26、容災的目的和實質是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務連續(xù)性管理D、防止數(shù)據(jù)被破壞27、在現(xiàn)場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務范圍C、審核日期D、審核組任務調整28、依據(jù)GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統(tǒng)29、當獲得的審核證據(jù)表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以30、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業(yè)務戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部31、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業(yè)務的敏感程度C、資產的折損率D、以上全部32、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901133、gb17859-1999提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求A、2B、3C、5D、734、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限35、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年36、《中華人民共和國認證認可條例》規(guī)定,認證人員自被撤銷職業(yè)資格之日起（）內，認可機構不再接受其注冊申請A、2年B、3年C、4年D、5年37、拒絕服務攻擊損害了信息系統(tǒng)哪一項性能（）A、完整性B、可用性C、保密性D、可靠性38、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結果D、審核中的觀察項39、有關信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產的價值，基本水平的保護都會被實施B、對所有信息資產保護都投入相同的資源C、對信息資產實施適當水平的保護D、信息資產過度的保護40、關于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護二、多項選擇題41、針對敏感應用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務運行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權限42、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結果對比，B正確。自評估可由發(fā)起方實施或委托風險評估服務技術支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法展開的風險評估。本題選ABC43、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產的行為B、破壞或使資產失去預期功能的行為C、訪問,使用資產行為D、監(jiān)視和獲取資產使用狀態(tài)信息的行為44、《中華人民共和國網絡安全法》適用于在中華人民共和國境內（）網絡，以及網絡安全的監(jiān)督管理。A、建設B、運營C、維護D、使用45、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務技術支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估46、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S47、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估48、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核49、某游戲開發(fā)公司按客戶的設計資料構建游戲場景和任務的基礎要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權B、獲得sharefolder訪問權者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與50、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調查C、投訴響應、溝通決定D、投訴終止51、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規(guī)避風險52、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴53、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必須（）A、對其進行試用B、對員工的背景進行適當?shù)尿炞C檢查C、在任用條款與合同中指導安全職責D、面試54、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴55、以下做法正確的是（）A、使用生產系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調換項目組時，其原使用計算機中的項目數(shù)據(jù)經妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致三、判斷題56、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）57、敏感信息通過網絡傳輸時必須加密處理。（)58、對不同類型的風險可以采用不同的風險接受準則，例如，導致對法律法規(guī)不符合的風險可能是不可接受的，但可能允許接受導致違背合同要求的高風險。（）59、容量管理策略可以考慮增加容量或降低容量要求（）60、審核組可以由一個人組成。（）61、最高管理層應建立信息安全方針、該方針應包括對持續(xù)改進信息安全管理體系的承諾。62、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設備，因此認證審核時不必審核計算機機房物理安全的相關內容()63、“資產清單”包含與信息生命周期有關的資產，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關聯(lián)的資產不在“資產清單”的范圍內。（）64、組織應識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）65、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。

參考答案一、單項選擇題1、D2、D3、B4、C5、B6、D7、A8、B解析:網絡和網絡服務的訪問，應僅向用戶提供他們已獲專門授權使用的網絡和網絡服務的訪問。cd選項錯誤，必須是已授權用戶才可訪問。A選項錯誤，在家登錄，不符合安全訪問控制策略。故選B9、B10、B11、B解析:2700214,2,3運行平臺變更后對應用的技術評審，當運行平臺發(fā)生變更時，應對業(yè)務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B12、D解析:主動攻擊會導致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務）。被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數(shù)據(jù)。通常包括竊聽，流量分析，破解弱加密的數(shù)據(jù)流等攻擊方式。故選D13、A14、A15、D16、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機密，秘密三級17、A解析:《中華人民共和國網絡安全法》第36條，關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。故選A18、A19、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統(tǒng)的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當?shù)拇胧﹣響獙ο嚓P風險。故選D20、B21、A22、D23、B24、D25、B26、C27、D28、D29、B30、D31、B32、A33、C解析:《計算機信息系統(tǒng)安全保護等級劃分準則》規(guī)定了計算機系統(tǒng)安全保護能