2021年12月CCAA注冊審核員考試題目-ISMS信息安全管理體系含解析

2021年12月CCAA注冊審核員考試題目—ISMS信息安全管理體系一、單項(xiàng)選擇題1、文件初審是評(píng)價(jià)受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對(duì)2、下列()不是創(chuàng)建和維護(hù)測量要執(zhí)行的活動(dòng)。A、開展測量活動(dòng)B、識(shí)別當(dāng)前支持信息需求的安全實(shí)踐C、開發(fā)和更新測量D、建立測量文檔并確定實(shí)施優(yōu)先級(jí)3、安全掃描可以實(shí)現(xiàn)（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對(duì)內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流4、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年5、組織應(yīng)（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)6、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織（）實(shí)施風(fēng)險(xiǎn)評(píng)估A、應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)B、應(yīng)按計(jì)劃的時(shí)間間隔且當(dāng)重大變更提出或發(fā)生時(shí)C、只需在重大變更發(fā)生時(shí)D、只需按計(jì)劃的時(shí)間間隔7、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対8、訪問控制是指確定（）以及實(shí)施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵9、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以10、在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說法正確的是（）A、技術(shù)符合性評(píng)審即滲透測試B、技術(shù)符合性評(píng)審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D、滲透測試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估11、在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下，下列哪一條屬于增加審核時(shí)間的要素（）。A、其產(chǎn)品/過程無風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動(dòng)過程D、具有高風(fēng)險(xiǎn)的產(chǎn)品或過程12、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測評(píng)。A、半年B、1年C、1.5年D、2年13、以下哪個(gè)選項(xiàng)不是ISMS第一階段審核的目的（）A、獲取對(duì)組織信息安全管理體系的了解和認(rèn)識(shí)B、了解客戶組織的審核準(zhǔn)備狀態(tài)C、為計(jì)劃2階段審核提供重點(diǎn)D、確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求14、組織應(yīng)（）A、定義和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識(shí)別和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識(shí)別和控制安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域15、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA16、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析17、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對(duì)應(yīng)的國際標(biāo)準(zhǔn)號(hào)為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700518、根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級(jí)。A、5B、6C、3D、419、當(dāng)操作系統(tǒng)發(fā)生變更時(shí),應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行()以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和遷移B、評(píng)審和測試C、評(píng)審和隔離D、驗(yàn)證和確認(rèn)20、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式21、關(guān)于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問控制B、三層交換機(jī)基于MAC實(shí)施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強(qiáng)制訪問控制中，用戶標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別，即可讀該文件22、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對(duì)23、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)，是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)24、在現(xiàn)場審核結(jié)束之前，下列哪項(xiàng)活動(dòng)不是必須的？（）A、關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報(bào)告D、聽取客戶對(duì)審核發(fā)現(xiàn)提出的問題25、被黑客控制的計(jì)算機(jī)常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬26、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審27、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限28、保密性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対29、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模?A、對(duì)適宜性和有效性的評(píng)審和批港B、對(duì)充分性和有效性的測量和批準(zhǔn)C、對(duì)適宜性和充分性的測量和批準(zhǔn)D、對(duì)適宜性和充業(yè)性的評(píng)審和批準(zhǔn)30、涉及運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷D、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)31、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測量和批準(zhǔn)C、對(duì)適宜性和充分性的測量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)32、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布33、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定：對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在()向當(dāng)?shù)乜h民政府公安機(jī)關(guān)報(bào)告A、8小時(shí)內(nèi)B、12小時(shí)內(nèi)C、24小時(shí)內(nèi)D、48小時(shí)內(nèi)34、組織應(yīng)按照本標(biāo)準(zhǔn)的要求（）信息安全管理體系。A、策劃、實(shí)現(xiàn)、監(jiān)視、和持續(xù)改進(jìn)B、建立、實(shí)施、監(jiān)視、和持續(xù)改進(jìn)C、建立、實(shí)現(xiàn)、維護(hù)、和持續(xù)改進(jìn)D、策劃、實(shí)施、維護(hù)、和持續(xù)改進(jìn)35、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部36、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障37、某公司計(jì)劃升級(jí)現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識(shí)別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實(shí)施時(shí)需要（）A、所有受信的PC機(jī)用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險(xiǎn)（即：把非授權(quán)者錯(cuò)誤識(shí)別為授權(quán)者的風(fēng)險(xiǎn)）C、在指紋識(shí)別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)38、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用39、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)40、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督二、多項(xiàng)選擇題41、對(duì)于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審42、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍。D、工作范圍是可訪問的信息43、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機(jī)構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)44、針對(duì)敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤B、登錄之后，不活動(dòng)超過規(guī)定時(shí)間強(qiáng)制使其退出登錄C、對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D、對(duì)于數(shù)據(jù)庫系統(tǒng)審計(jì)人員開放不限時(shí)權(quán)限45、以下（）活動(dòng)是ISMS監(jiān)視預(yù)評(píng)審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評(píng)審D、采取糾正措施46、網(wǎng)絡(luò)常見的拓?fù)湫问接校ǎ〢、星型B、環(huán)型C、總線D、樹型47、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍D、得到管理者批準(zhǔn)的信息是可訪問的信息48、關(guān)于目標(biāo)，下列說法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品49、關(guān)于審核委托方，以下說法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核50、《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全,（）A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會(huì)公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益51、在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動(dòng)A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對(duì)漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件52、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度53、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況54、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測評(píng)只能通過第三方機(jī)構(gòu)來實(shí)施D、顧客不投訴并不意味著顧客滿意了55、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入三、判斷題56、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲(chǔ)、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）57、審核員由實(shí)習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過4次完整體系20天的審核。（）58、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）59、實(shí)習(xí)審核員可以獨(dú)立完成審核任務(wù)。（）60、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）61、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。62、某組織在生產(chǎn)系統(tǒng)上安裝升級(jí)包前制定了回退計(jì)劃，這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求（）63、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）64、容量管理策略可以考慮增加容量或降低容量要求（）65、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則。（）

參考答案一、單項(xiàng)選擇題1、A2、D3、C4、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級(jí)事項(xiàng)不超過三十年,機(jī)密級(jí)事項(xiàng)不超過二十年,秘密級(jí)事項(xiàng)不超過十年5、C6、A7、A8、A解析:訪問控制，確保對(duì)資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項(xiàng)過于細(xì)化，故選A9、B10、D11、D解析:高風(fēng)險(xiǎn)的產(chǎn)品或過程應(yīng)增加審核時(shí)間要素12、D13、D14、A15、B1