2021年第三期CCAA國(guó)家注冊(cè)審核員模擬試題-ISMS信息安全管理體系知識(shí)含解析

2021年第三期CCAA國(guó)家注冊(cè)審核員模擬試題—ISMS信息安全管理體系知識(shí)一、單項(xiàng)選擇題1、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定2、經(jīng)過(guò)風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱為（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)3、在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是()A、數(shù)據(jù)竊聽(tīng)B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改4、被黑客控制的計(jì)算機(jī)常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬5、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍6、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點(diǎn)目標(biāo)（RPO)C、恢復(fù)時(shí)間目標(biāo)（RTO)D、最長(zhǎng)可接受終端時(shí)間（MAO)7、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審8、關(guān)于信息安全策略，下列說(shuō)法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審9、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年10、對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B、國(guó)家密碼管理部門C、中央國(guó)家機(jī)關(guān)D、全國(guó)人大委員會(huì)11、下列管理評(píng)審的方式，哪個(gè)不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評(píng)審團(tuán)隊(duì)通過(guò)會(huì)議的方式對(duì)管理體系適宜性、有效性和充分性進(jìn)行評(píng)審B、通過(guò)網(wǎng)絡(luò)會(huì)議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評(píng)審C、通過(guò)逐級(jí)匯報(bào)的方式由最高管理層對(duì)管理體系的有效性和充分性進(jìn)行評(píng)審D、通過(guò)材料評(píng)審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審12、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保13、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的？（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后，由審核組長(zhǎng)起草形成C、正式的審核報(bào)告由組長(zhǎng)將報(bào)告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)14、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対15、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)。A、2年B、3年C、4年D、5年16、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時(shí)采用多路線路供電D、應(yīng)定期檢查機(jī)房空調(diào)的有效性17、為確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理，下列控制措施哪個(gè)不是必須的？（）A、建立信息安全事件管理的責(zé)任B、建立信息安全事件管理規(guī)程C、對(duì)信息安全事件進(jìn)行響應(yīng)D、在組織內(nèi)通報(bào)信息安全事件18、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過(guò)濾B、應(yīng)用網(wǎng)關(guān)C、擴(kuò)展的日志記錄能力D、包交換19、安全標(biāo)簽是一種訪問(wèn)控制機(jī)制，它適用于下列哪一種訪問(wèn)控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強(qiáng)制性訪問(wèn)控制策略20、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障21、安全區(qū)域通常的防護(hù)措施有（）A、公司前臺(tái)的電腦顯示器背對(duì)來(lái)訪者B、進(jìn)出公司的訪客須在門衛(wèi)處進(jìn)行登記C、重點(diǎn)機(jī)房安裝有門禁系統(tǒng)D、以上全部22、下面哪個(gè)不是典型的軟件開(kāi)發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型23、公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開(kāi)機(jī)密碼少于6位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須6位及以上，那么中哪一項(xiàng)不是針對(duì)該問(wèn)題的糾正措施？()A、要求員工立即改正B、對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C、通過(guò)域控進(jìn)行強(qiáng)制管理D、對(duì)所有員工進(jìn)行意識(shí)教育24、風(fēng)險(xiǎn)處置是（）A、識(shí)別并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程B、確定并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程C、分析并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程D、選擇并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程25、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部26、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模?A、對(duì)適宜性和有效性的評(píng)審和批港B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充業(yè)性的評(píng)審和批準(zhǔn)27、關(guān)于系統(tǒng)運(yùn)行日志，以下說(shuō)法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對(duì)日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計(jì)日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動(dòng)是否有記入曰志28、（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障29、過(guò)程是指（）A、有輸入和輸出的任意活動(dòng)B、通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)C、所有業(yè)務(wù)活動(dòng)的集合D、以上都不對(duì)30、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標(biāo)準(zhǔn)，不屬于第三方服務(wù)監(jiān)視和評(píng)審范疇的是（）。A、監(jiān)視和評(píng)審服務(wù)級(jí)別協(xié)議的符合性B、監(jiān)視和評(píng)審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評(píng)審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評(píng)審服務(wù)方跟蹤處理信息安全事件的能力31、在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為（）A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求32、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)的訪問(wèn)控制33、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動(dòng)的類型B、過(guò)程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C34、以下哪項(xiàng)不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣35、（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè)和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測(cè)、防病毒系統(tǒng)和防火墻36、數(shù)字簽名可以有效對(duì)付哪一類信息安全風(fēng)險(xiǎn)？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改37、ISMS管理評(píng)審的輸出應(yīng)考慮變更對(duì)安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對(duì)38、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)39、關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說(shuō)法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級(jí)以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機(jī)密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對(duì)40、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以二、多項(xiàng)選擇題41、根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》，下列屬于國(guó)家秘密的是（）。A、國(guó)家事務(wù)重大決策中的秘密事項(xiàng)B、國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)C、科學(xué)技術(shù)中的秘密事項(xiàng)D、國(guó)防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)42、當(dāng)滿足（）時(shí)，可考慮使用基于抽樣的方法對(duì)多場(chǎng)所進(jìn)行審核A、所有的場(chǎng)所在相同信息安全管理體系中,這些場(chǎng)所被集中管理和審核B、所有的場(chǎng)所在相同信息安全管理體系中,這些場(chǎng)所被分別管理和審核C、所有場(chǎng)所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場(chǎng)所包括在客戶組織的信息安全管理體系管理評(píng)審方案中43、關(guān)于目標(biāo)，下列說(shuō)法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品44、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語(yǔ)類45、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)間主權(quán)B、維按國(guó)家安全C、維護(hù)社會(huì)公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益46、以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)47、某組織在酒店組織召開(kāi)內(nèi)容敏感的會(huì)議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下說(shuō)法正確的是（）A、會(huì)議開(kāi)始前及持續(xù)期間開(kāi)啟干擾機(jī)，這符合A11,2的要求B、進(jìn)入會(huì)議室人員被要求手機(jī)不得帶入，這符合A11,1的要求C、對(duì)于可進(jìn)入會(huì)議室提供茶水服務(wù)的酒店服務(wù)生進(jìn)行篩選，這符合A11,1的要求D、要求參會(huì)人員在散會(huì)時(shí)將紙質(zhì)會(huì)議資料留下由服務(wù)生統(tǒng)一回收，這符合A8,3的要求48、依據(jù)GB/Z20986，確定為重大社會(huì)影響的情況包括（）A、涉及到一個(gè)或多個(gè)城市的大部分地區(qū)B、威脅到國(guó)家安全C、擾亂社會(huì)秩序D、對(duì)經(jīng)濟(jì)建設(shè)設(shè)有重大負(fù)面影響49、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動(dòng)的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度50、關(guān)于審核委托方，以下說(shuō)法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核51、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后52、關(guān)于涉密信息系統(tǒng)的管理，以下說(shuō)法正確的是：（)A、涉密計(jì)算機(jī)、存儲(chǔ)設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途53、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過(guò)程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險(xiǎn)處置過(guò)程C、溝通記錄D、信息安全目標(biāo)54、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍。D、工作范圍是可訪問(wèn)的信息55、為確保員工和合同方理解其職責(zé)、并適合其角色，在員工任用之前，必須（）A、對(duì)其進(jìn)行試用B、對(duì)員工的背景進(jìn)行適當(dāng)?shù)尿?yàn)證檢查C、在任用條款與合同中指導(dǎo)安全職責(zé)D、面試三、判斷題56、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）57、敏感信息通過(guò)網(wǎng)絡(luò)傳輸時(shí)必須加密處理。（)58、組織應(yīng)識(shí)別并提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。（）59、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）60、當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識(shí)別來(lái)自任何來(lái)源的控制。（）61、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）62、從審核開(kāi)始到結(jié)束,審核組長(zhǎng)應(yīng)對(duì)審核實(shí)施負(fù)責(zé)63、GB/T28450-2020是等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27007的國(guó)家標(biāo)準(zhǔn)（）64、較低的恢復(fù)時(shí)間目標(biāo)會(huì)有更長(zhǎng)的中斷時(shí)間。（）65、訪問(wèn)控制列表指由主體以及主體對(duì)客體的訪問(wèn)權(quán)限所組成列表。

參考答案一、單項(xiàng)選擇題1、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A2、D3、D4、B5、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無(wú)意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)6、C7、B8、D9、D10、A11、A12、A解析:理解組織及其環(huán)境13、A14、A15、D16、B17、D18、D19、D20、A21、D22、A23、A24、D解析:風(fēng)險(xiǎn)處置，是指選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程。故選D25、D26、D27、B28、A29、B解析:so9000-20153,4,1過(guò)程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動(dòng)。故選B30、B31、D32、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)，應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)。cd選項(xiàng)錯(cuò)誤，必須是已授權(quán)用戶才可訪問(wèn)。A選項(xiàng)錯(cuò)誤，在家登錄，不符合安全訪問(wèn)控制策略。故選B33、D34、A35、D36、D解析:數(shù)字簽