2021年6月CCAA國(guó)家注冊(cè)審核員ISMS信息安全管理體系模擬試題含解析

2021年6月CCAA國(guó)家注冊(cè)審核員ISMS信息安全管理體系模擬試題一、單項(xiàng)選擇題1、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)是（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)2、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對(duì)3、涉及運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷D、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)4、組織機(jī)構(gòu)在建立和評(píng)審ISMS時(shí)，應(yīng)考慮（）A、風(fēng)險(xiǎn)評(píng)估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C5、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA6、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期7、在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下,下列哪一條屬于增加審核時(shí)間的要素?A、其產(chǎn)品/過程無風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動(dòng)過程D、具有高風(fēng)險(xiǎn)的產(chǎn)品或過程8、下列管理評(píng)審的方式，哪個(gè)不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評(píng)審團(tuán)隊(duì)通過會(huì)議的方式對(duì)管理體系適宜性、有效性和充分性進(jìn)行評(píng)審B、通過網(wǎng)絡(luò)會(huì)議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評(píng)審C、通過逐級(jí)匯報(bào)的方式由最高管理層對(duì)管理體系的有效性和充分性進(jìn)行評(píng)審D、通過材料評(píng)審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審9、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞10、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)11、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督12、不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時(shí)、可靠升級(jí)反病毒產(chǎn)品C、新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)D、整理磁盤13、不屬于常見的危險(xiǎn)密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼14、過程是指（）A、有輸入和輸出的任意活動(dòng)B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)C、所有業(yè)務(wù)活動(dòng)的集合D、以上都不對(duì)15、信息安全風(fēng)險(xiǎn)的基本要素包括（）A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果16、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4017、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)A、半年B、1年C、1,5年D、2年18、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析19、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)20、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部21、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱為（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)22、最高管理層應(yīng)通過（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致23、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對(duì)24、當(dāng)操作系統(tǒng)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和迀移B、評(píng)審和測(cè)試C、評(píng)審和隔離D、驗(yàn)證和確認(rèn)25、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定26、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制27、殘余風(fēng)險(xiǎn)是指:（）A、風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低28、（）屬于管理脆弱性的識(shí)別對(duì)象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理29、()可用來保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評(píng)估D、容災(zāi)和數(shù)據(jù)備份30、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)31、防止計(jì)算機(jī)中信息被竊取的手段不包括（）A、用戶識(shí)別B、權(quán)限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份32、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識(shí)薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制33、審核計(jì)劃中不包括（）。A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排34、公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開機(jī)密碼少于6位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須6位及以上，那么中哪一項(xiàng)不是針對(duì)該問題的糾正措施？()A、要求員工立即改正B、對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C、通過域控進(jìn)行強(qiáng)制管理D、對(duì)所有員工進(jìn)行意識(shí)教育35、訪問控制是指確定（）以及實(shí)施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵36、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A37、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制38、審核抽樣時(shí)，可以不考慮的因素是(）A、場(chǎng)所差異B、管理評(píng)審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果39、以下可表明知識(shí)產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)40、關(guān)于文件管理下列說法錯(cuò)誤的是（）A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B、必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰，易于識(shí)別D、作廢文件應(yīng)及時(shí)銷毀，防止錯(cuò)誤使用二、多項(xiàng)選擇題41、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障;（）A、計(jì)算機(jī)及相關(guān)和配套設(shè)備的安全B、設(shè)施(含網(wǎng)絡(luò))的安全C、運(yùn)行壞境的安全D、計(jì)算機(jī)功能的正常發(fā)揮42、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險(xiǎn)處置過程C、溝通記錄D、信息安全目標(biāo)43、關(guān)于云計(jì)算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實(shí)施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則44、第二階段審核中，應(yīng)重點(diǎn)審核被審核單位的（）。A、最高管理者的領(lǐng)導(dǎo)力B、與信息安全有關(guān)的風(fēng)險(xiǎn)C、基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過程D、ISMS有效性45、以下屬于“信息處理設(shè)施”的是（）A、信息處理系統(tǒng)B、信息處理相關(guān)的服務(wù)C、與信息處理相關(guān)的設(shè)備D、安置信息處理設(shè)備的物理場(chǎng)所與設(shè)施46、撤銷對(duì)信息和信息處理設(shè)施的訪問權(quán)針對(duì)的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時(shí)任務(wù)結(jié)束的情況D、員工出差47、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入48、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理49、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場(chǎng)所和必備設(shè)施B、注冊(cè)資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度50、建立一些規(guī)程，以在提供一個(gè)新的、代替的或臨時(shí)的秘密鑒別信息之前，驗(yàn)證用戶身份；51、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動(dòng)的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度52、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計(jì)算機(jī)、存儲(chǔ)設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途53、信息安全績(jī)效的反饋，包括以下哪些方面的趨勢(shì)（）A、不符合和糾正措施B、監(jiān)視測(cè)量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況54、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告55、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營(yíng)C、維護(hù)D、使用三、判斷題56、GB/T28450-2020是等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27007的國(guó)家標(biāo)準(zhǔn)（）57、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）58、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）59、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）60、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）61、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。（）62、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。63、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）64、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）65、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保對(duì)其適宜性和充分性進(jìn)行評(píng)審和批準(zhǔn)。

參考答案一、單項(xiàng)選擇題1、D2、B3、A4、E5、B6、B7、D8、A9、B10、C11、B12、D13、D14、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動(dòng)。故選B15、B16、A17、D18、C19、B20、D21、D22、B23、C24、B解析:2700214,2,3運(yùn)行平臺(tái)變更后對(duì)應(yīng)用的技術(shù)評(píng)審，當(dāng)運(yùn)行平臺(tái)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響。故選B25、A26、B27、D28、D29、A30、D31、D32、B33、A34、A35、A解析:訪問控制，確保對(duì)資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項(xiàng)過于細(xì)化，故選A36、A37、A38、C39、D40、D二、多項(xiàng)選擇題41、A,B,C,D42、A,B,D43、A,B,D44、A,B,C,D45、A,B,C,D46、A,C解析:對(duì)于網(wǎng)絡(luò)技術(shù)防火墻，一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來做出通過與否的判斷，另外應(yīng)用級(jí)防火墻則能夠檢查進(jìn)出的數(shù)據(jù)包，通過防火墻復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系，B選項(xiàng)錯(cuò)誤。D選項(xiàng)不屬于訪問控制。因此本題選擇AC47、B,D48、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理體系及