2021年6月CCAA注冊審核員模擬試題-ISMS信息安全管理體系知識含解析

2021年6月CCAA注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設備設施予以檢查驗證,對于離開組織的設備設施則不必驗證B、對于離開組織的設備設施予以檢查驗證,對于進入組織的設備設施則不必驗證C、對于進入和離開組織的設備設施均須檢查驗證D、對于進入和離開組織的設備設施，驗證攜帶者身份信息;可替代對設備設施的驗證2、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低3、公司A在內審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優(yōu)質口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育4、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用5、《信息安全等級保護管理辦法》規(guī)定，應加強沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年6、設備維護維修時，應考慮的安全措施包括：（）A、維護維修前，按規(guī)定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權的新增功能C、敏感部件進行物理銷毀而不予送修D、以上全部7、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務運行和威脅信息安全的極大可能性A、已經發(fā)生B、可能發(fā)生C、意外D、A+B+C8、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明9、ISMS管理評審的輸出應包括（）A、可能影響ISMS的任何變更B、以往風險評估沒有充分強調的脆弱點或威脅C、風險評估和風險處理計劃的更新D、改進的建議10、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險11、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件12、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部13、密碼技術不適用于控制下列哪種風險？（）A、數(shù)據(jù)在傳輸中被竊取的風險B、數(shù)據(jù)在傳輸中被篡改的風險C、數(shù)據(jù)在傳輸中被損壞的風險D、數(shù)據(jù)被非授權訪問的風險14、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現(xiàn)的結果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B15、由認可機構對認證機構、檢測機構、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審16、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準17、組織應（）A、采取過程的規(guī)程安全處置不需要的介質B、采取文件的規(guī)程安全處置不需要的介質C、采取正式的規(guī)程安全處置不需要的介質D、采取制度的規(guī)程安全處置不需要的介質18、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程19、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯(lián)的職責及責任范圍20、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關于網絡服務的訪問控制策略,以下正確的是()A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現(xiàn)對內部用戶的網絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內部用戶訪問外部網絡的訪問控制21、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規(guī)程C、對信息安全事件進行響應D、在組織內通報信息安全事件22、組織應在相關（）上建立信息安全目標A、組織環(huán)境和相關方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次23、根據(jù)《互聯(lián)網信息服務管理辦法》規(guī)定，國家對經營性互聯(lián)網信息服務實行（）A、國家經營B、地方經營C、許可制度D、備案制度24、在信息安全管理體系審核時，應遵循（）原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權原則最小特權原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網絡系統(tǒng)對外連接通道內，可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。25、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網絡地址欺騙26、依據(jù)《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息27、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務28、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年29、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對30、對保密文件復印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性31、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內存B、軟盤C、存儲介質D、網絡32、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規(guī)則》33、對于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應形成文件B、信息安全方針文件為公司內部重要信息，不得向外部泄露C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更34、安全掃描可以實現(xiàn)（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流35、保密協(xié)議或不泄露協(xié)議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規(guī)定36、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改37、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應38、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風險評估D、容災和數(shù)據(jù)備份39、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網絡中“釣魚”軟件的存在，是網絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部40、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃二、多項選擇題41、關于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯(lián)網及其他公共信息網絡B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經安全技術處理不得改作其他用途42、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求（）A、設定備份策B、定期測試備份介質C、定期備份D、定期測試信息和軟件43、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉移44、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制45、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了46、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉發(fā)其微信群會議上討論的信息47、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓48、管理評審的輸出應包括（）A、與持續(xù)改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執(zhí)行情況49、《互聯(lián)網信息服務管理辦法》中對()類的互聯(lián)網信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類50、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必須（）A、對其進行試用B、對員工的背景進行適當?shù)尿炞C檢查C、在任用條款與合同中指導安全職責D、面試51、某游戲開發(fā)公司按客戶的設計資料構建游戲場景和任務的基礎要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權B、獲得sharefolder訪問權者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與52、信息安全管理中，支持性基礎設施指：()A、供電、通信設施B、消防、防雷設施C、空調及新風系統(tǒng)、水氣暖供應系統(tǒng)D、網絡設備53、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理54、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓55、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核三、判斷題56、組織業(yè)務運行使用云基礎設施服務,同時員工通過自有手機APP執(zhí)行業(yè)務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）57、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進行備份。（）58、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）59、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）60、組織應適當保留信息安全目標文件化信息。（）61、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）62、信息安全風險準則包括風險接受準則和風險評價準則。（）63、審核方案應包括審核所需的資源，例如交通和食宿。（）64、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）65、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）

參考答案一、單項選擇題1、C2、D3、A4、A5、D6、D7、C解析:信息安全事件，指一個或一系列意外或不期望的信息安全事態(tài)組成，他們極有可能損害業(yè)務運行并威脅信息安全。故選C8、B9、C10、D11、D12、D13、C14、A15、B16、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時，組織應確保適當?shù)臉俗R和描述；格式和介質；對適宜性和充分性的評審和批準17、C18、D19、B解析:根據(jù)GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任范圍，以減少未授權或無意的修改或者不當使用組織資產的機會20、B21、D22、D23、C解析:《互聯(lián)網信息服務管理辦法》，國家對經營性互聯(lián)網信息服務實行許可制度；對非經營性互聯(lián)網信息服務實行備案制度，故選C24、B25、A26、C27、A28、D29、D解析:應嚴格限制對軟件包的調整以保護其完整性30、A31、C32、D33、A解析:信息安全方針應：（1）形成文件化信息并可用；（2）在組織內得到溝通；（3）適當時，對相關方可用。