2021年第二期CCAA國家注冊ISMS信息安全管理體系審核員知識考試題目含解析

2021年第二期CCAA國家注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、一家投資顧問商定期向客戶發(fā)送有關(guān)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件2、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡3、組織應（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保4、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗證B、對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證，對于進入組織的設(shè)備設(shè)施則不必驗證C、對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D、對于進入和離開組織的設(shè)備和資產(chǎn)，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證5、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確6、在實施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估7、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結(jié)合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息8、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準9、管理者應（）A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行10、下列()不是創(chuàng)建和維護測量要執(zhí)行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發(fā)和更新測量D、建立測量文檔并確定實施優(yōu)先級11、按照PDCA思路進行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核B、按照認證機構(gòu)的PDCA流程進行審核C、按照認可規(guī)范中規(guī)定的PDCA流程進行審核D、以上都對12、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部13、ISMS文件的多少和詳細程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C14、我國網(wǎng)絡安全等級保護共分幾個級別？（）A、7B、4C、5D、615、《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700516、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、保護資產(chǎn)保密和可用的特性17、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用18、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員19、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關(guān)風險的協(xié)調(diào)活動D、以上都對20、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力21、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性22、涉及運行系統(tǒng)驗證的審計要求和活動，應（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務過程的連續(xù)23、信息安全風險的基本要素包括（）A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果24、對于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更25、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄26、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確27、關(guān)于系統(tǒng)運行日志，以下說法正確的是：（)A、系統(tǒng)管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應決定系統(tǒng)管理員的活動是否有記入曰志28、容量管理的對象包括（）A、服務器內(nèi)存B、網(wǎng)絡通信帶寬C、人力資源D、以上全部29、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部30、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)31、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現(xiàn)的結(jié)果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B32、某公司進行風險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網(wǎng)絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規(guī)避C、風險轉(zhuǎn)移D、風險減緩33、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性34、《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)B、計算機及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計算機運算環(huán)境的總和，但不含網(wǎng)絡D、一個組織所有計算機的總和，包括未聯(lián)網(wǎng)的微型計算機35、經(jīng)過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險36、下面哪一種屬于網(wǎng)絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析37、ISMS管理評審的輸出應包括（）A、可能影響ISMS的任何變更B、以往風險評估沒有充分強調(diào)的脆弱點或威脅C、風險評估和風險處理計劃的更新D、改進的建議38、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果39、—家投資顧問商定期向客戶發(fā)送有關(guān)財經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件40、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡運行狀態(tài)的相關(guān)網(wǎng)絡日志保存不得少于2個月B、檢測記錄網(wǎng)絡運行狀態(tài)的相關(guān)網(wǎng)絡日志保存不得少于12月C、檢測記錄網(wǎng)絡運行狀態(tài)的相關(guān)網(wǎng)絡8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡日志保存不得少于6個月二、多項選擇題41、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復雜程度42、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致43、計算機信息系統(tǒng)的安全保護，應保障;（）A、計算機及相關(guān)和配套設(shè)備的安全B、設(shè)施(含網(wǎng)絡)的安全C、運行壞境的安全D、計算機功能的正常發(fā)揮44、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動45、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應當通過國家保密局授權(quán)的檢測機構(gòu)檢測C、使用的信息安全保密產(chǎn)品應當通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平46、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為47、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動，提高產(chǎn)品、服務的（），促進經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力48、下列哪項屬于《認證機構(gòu)管理辦法》中規(guī)定的設(shè)立認證機構(gòu)應具備的條件？（）A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領(lǐng)域的專職認證人員D、具有符合認證認可要求的管理制度49、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模50、最高管理層應建立信息安全方針,方針應（）A、對相關(guān)方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜51、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中52、計算機信息系統(tǒng)的安全保護，應保障（）A、計算機及相關(guān)配套設(shè)施的安全B、網(wǎng)絡安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮53、某金融資產(chǎn)武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支54、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識55、關(guān)于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估三、判斷題56、中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網(wǎng)的微型計算機的安全保護辦法,另行制定。57、敏感信息通過網(wǎng)絡傳輸時必須加密處理。（)58、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）59、容量管理策略可以考慮增加容量或降低容量要求（）60、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網(wǎng)絡的有效帶寬61、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）62、組織應適當保留信息安全目標文件化信息（）63、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）64、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補充。（）65、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）

參考答案一、單項選擇題1、C2、C3、A4、C5、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應在相關(guān)職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D6、D7、C8、D9、A10、D11、A12、C13、D14、C15、B16、C17、A18、D19、B20、B21、C22、A23、B24、A解析:信息安全方針應：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當時，對相關(guān)方可用。故選A25、D26、D27、B28、D29、D30、D31、A32、B33、C34、A35、D36、D解析:主動攻擊會導致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類攻擊分篡改，偽造消息數(shù)據(jù)