2021年第三期CCAA注冊審核員考試題目-ISMS信息安全管理體系含解析

2021年第三期CCAA注冊審核員考試題目—ISMS信息安全管理體系一、單項(xiàng)選擇題1、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期2、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機(jī)密D、秘密3、以下說法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評估進(jìn)行再評審B、應(yīng)考慮以往未充分識別的威脅對風(fēng)險(xiǎn)評估結(jié)果進(jìn)行再評估C、制造部增加的生產(chǎn)場所對信息安全風(fēng)險(xiǎn)無影響D、安全計(jì)劃應(yīng)適時(shí)更新4、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)5、關(guān)于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)6、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程其所用，是指（）A、完整性B、可用性C、機(jī)密性D、抗抵賴性7、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求8、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任9、被黑客控制的計(jì)算機(jī)常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬10、關(guān)于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901111、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)12、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計(jì)劃C、實(shí)施ISMS內(nèi)部審核D、主持ISMS管理評審13、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定14、下列措施中不能用于防止非授權(quán)訪問的是（）A、采取密碼技術(shù)B、采用最小授權(quán)C、采用權(quán)限復(fù)查D、采用日志記錄15、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議16、在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙17、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部18、下面哪個(gè)不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼19、你所在的組織正在計(jì)劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源，在評估這樣一個(gè)軟件產(chǎn)品時(shí)最重要的標(biāo)準(zhǔn)是什么?（）A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價(jià)20、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)是（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)21、組織應(yīng)按照本標(biāo)準(zhǔn)的要求（）信息安全管理體系。A、策劃、實(shí)現(xiàn)、監(jiān)視、和持續(xù)改進(jìn)B、建立、實(shí)施、監(jiān)視、和持續(xù)改進(jìn)C、建立、實(shí)現(xiàn)、維護(hù)、和持續(xù)改進(jìn)D、策劃、實(shí)施、維護(hù)、和持續(xù)改進(jìn)22、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)評估程序23、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、作出是否換發(fā)證書的決定24、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個(gè)人隱私的保護(hù)D、以上都對25、風(fēng)險(xiǎn)識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響26、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個(gè)人、實(shí)現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機(jī)密性D、可用性27、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)28、對保密文件復(fù)印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性29、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障30、完整性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性31、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進(jìn)行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達(dá)方式32、關(guān)于入侵檢測，以下不正確的是：（）A、入侵檢測是一個(gè)采集知識的過程B、入侵檢測指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時(shí)間信息33、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A34、依據(jù)GB/T220802016/SO/EC.27001:2013標(biāo)準(zhǔn)，組織應(yīng)（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力35、在實(shí)施技術(shù)符合性評審時(shí)，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險(xiǎn)評估D、滲透測試和漏洞掃描不可替代風(fēng)險(xiǎn)評估36、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對37、完整性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對38、信息安全殘余風(fēng)險(xiǎn)是（）。A、沒有處置完成的風(fēng)險(xiǎn)B、沒有評估的風(fēng)險(xiǎn)C、處置之后仍存在的風(fēng)險(xiǎn)D、處置之后沒有報(bào)告的風(fēng)險(xiǎn)39、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時(shí)限和訪問類型B、對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致40、下列哪個(gè)文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險(xiǎn)評估過程記錄D、溝通記錄二、多項(xiàng)選擇題41、關(guān)于云計(jì)算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實(shí)施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則42、下列屬于“開發(fā)安全”活動(dòng)的是（）。A、應(yīng)規(guī)范用戶修改軟件包，必須的修改應(yīng)嚴(yán)格管制B、應(yīng)用系統(tǒng)若有變更，應(yīng)進(jìn)行適當(dāng)審核與測試C、軟件應(yīng)盡量采用自行開發(fā)避免外包或采購D、軟件的采購應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序43、關(guān)于審核委托方，以下說法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時(shí)是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核44、下列有關(guān)涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機(jī)構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運(yùn)行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計(jì)算機(jī)重裝操作系統(tǒng)后可降為非涉密計(jì)算機(jī)使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)45、下列說法正確的是（）A、殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動(dòng)都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針46、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩47、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營C、維護(hù)D、使用48、對于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評審49、以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)50、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報(bào)告51、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報(bào)告52、關(guān)于按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后53、含有高等級敏感信息的設(shè)備的處置可采?。ǎ〢、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞54、管理評審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況55、下列哪些是SSL支持的內(nèi)容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data三、判斷題56、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）57、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）58、GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)（）59、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評價(jià)準(zhǔn)則。（）60、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）61、審核組長在末次會議中應(yīng)該對受審核方是否通過認(rèn)證給出結(jié)論。（）62、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）63、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個(gè)等級，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）64、當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識別來自任何來源的控制。（）65、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）

參考答案一、單項(xiàng)選擇題1、A2、B3、C4、A5、A6、C7、B8、A解析:《中華人民共和國網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。故選A9、B10、A11、D12、D13、B14、D15、A16、A17、D18、C19、D20、D21、C22、B23、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個(gè)體系的審核，并應(yīng)與其他監(jiān)督活動(dòng)一起策劃，以使認(rèn)證機(jī)構(gòu)能對獲證客戶管理體系在認(rèn)證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標(biāo)準(zhǔn)的每次監(jiān)督審核應(yīng)包括對以下方面的審查：（1）內(nèi)部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實(shí)現(xiàn)獲證客戶目標(biāo)和各管理體系的預(yù)期結(jié)果方面的有效性；（5）為持續(xù)改進(jìn)而策劃的活動(dòng)的進(jìn)展；（6）持續(xù)的運(yùn)作控制；（7）任何變更；（8）標(biāo)志的使用和（或）任何其他對認(rèn)證資格的引用。綜上A,B,C項(xiàng)均是監(jiān)督審核的目的，故選D。另外，再認(rèn)證的策劃和及時(shí)實(shí)施，才能確保認(rèn)證能在到期前及時(shí)更新，監(jiān)督審核不能決定是否換發(fā)證書24、D25、B26、C27、D28、A29、A30、C31、C32、B33、A34、C35、D36、C37、C38、C解析:參考GB/T20984-2007信息安全風(fēng)險(xiǎn)評估規(guī)范，3,12殘余風(fēng)險(xiǎn)是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。故選C3