2022年6月CCAA注冊審核員ISMS信息安全管理體系模擬試題含解析

2022年6月CCAA注冊審核員ISMS信息安全管理體系模擬試題一、單項選擇題1、關于文件管理下列說法錯誤的是（）A、文件發(fā)布前應得到批準，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準C、應確保文件保持清晰，易于識別D、作廢文件應及時銷毀，防止錯誤使用2、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網絡D、安全模式下查殺不容易死機3、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結構型4、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準5、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性6、口令管理系統(tǒng)應該是（）,并確保優(yōu)質的口令A、唯一式B、交互式C、專人管理式D、A+B+C7、在考慮網絡安全策略時，應該在網絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷8、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析9、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是10、跨國公司的I.S經理打算把現(xiàn)有的虛擬專用網(VPN.,virtualpriavtenetwork)升級，采用通道技術使其支持語音I.P電話(VOI.P,voice-overI.P)服務，那么，需要首要關注的是（）。A、服務的可靠性和質量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?1、關于信息安全產品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統(tǒng)，己列入信息安全產品認征目錄的，應取得國家信息安全產品人證機構頒發(fā)的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞12、進入重要機構時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記13、以下說法不正確的是(）A、應考慮組織架構與業(yè)務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新14、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力15、(）是確保信息沒有非授權泄密，即信息不被未授權的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性16、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排17、信息安全管理體系是用來確定（)A、組織的管理效率B、產品和服務符合有關法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度18、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結果D、審核中的觀察項19、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，以下做法不正確的是（）A、保留含有敏感信息的介質的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應定期檢查機房空調的有效性20、以下不屬于信息安全事態(tài)或事件的是：A、服務、設備或設施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知21、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數(shù)22、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B23、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程24、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當?shù)谋ＷoC、確保信息得到保護D、確保信息按照其級別得到處理25、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應26、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結果27、—家投資顧問商定期向客戶發(fā)送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件28、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確29、按照PDCA思路進行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核B、按照認證機構的PDCA流程進行審核C、按照認可規(guī)范中規(guī)定的PDCA流程進行審核D、以上都對30、我國網絡安全等級保護共分幾個級別？（）A、7B、4C、5D、631、對全國密碼工作實行統(tǒng)一領導的機構是(）A、中央密碼工作領導機構B、國家密碼管理部門C、中央國家機關D、全國人大委員會32、在形成信息安全管理體系審核發(fā)現(xiàn)時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性33、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序、數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復全部程序B、恢復網絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)34、對于可能超越系統(tǒng)和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單35、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對36、風險識別過程中需要識別的方面包括：資產識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響37、對保密文件復印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性38、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設備設施予以檢查驗證,對于離開組織的設備設施則不必驗證B、對于離開組織的設備設施予以檢查驗證,對于進入組織的設備設施則不必驗證C、對于進入和離開組織的設備設施均須檢查驗證D、對于進入和離開組織的設備設施，驗證攜帶者身份信息;可替代對設備設施的驗證39、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低40、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復二、多項選擇題41、《中華人民共和國網絡安全法》適用于在中華人民共和國境內（）網絡，以及網絡安全的監(jiān)督管理。A、建設B、運營C、維護D、使用42、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協(xié)議規(guī)定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內43、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)44、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規(guī)避風險45、下列哪項屬于《認證機構管理辦法》中規(guī)定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度46、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產的行為B、破壞或使資產失去預期功能的行為C、訪問,使用資產行為D、監(jiān)視和獲取資產使用狀態(tài)信息的行為47、關鍵信息基礎設施包括三大部分，分別是（）。A、關鍵基礎設施B、基礎信息網絡C、重要信息系統(tǒng)D、重要互聯(lián)網應用系統(tǒng)48、關于目標，下列說法正確的是（）A、目標現(xiàn)的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品49、信息安全管理體系審核應遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法50、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新51、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估52、關于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設備、設施、場所等的冗余配置B、定期或實時進行數(shù)據(jù)備份C、考慮業(yè)務關鍵性確定恢復優(yōu)先順序和目標D、有保障信息安全連續(xù)性水平的過程和程序文件53、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動，提高產品、服務的（），促進經濟和社會的發(fā)展。A、質量B、數(shù)量C、管理水平D、競爭力54、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險55、對于信息安全方針,（）是GB/T22080-2016標準要求的A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審三、判斷題56、最高管理層應確保方針得到建立（）57、組織應識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）58、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）59、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）60、信息系統(tǒng)中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）61、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。62、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）63、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。64、較低的恢復時間目標會有更長的中斷時間。（）65、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）

參考答案一、單項選擇題1、D2、B3、A4、A5、A6、B7、B8、D解析:主動攻擊會導致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務）。被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數(shù)據(jù)。通常包括竊聽，流量分析，破解弱加密的數(shù)據(jù)流等攻擊方式。故選D9、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D10、A11、B12、B13、C14、B15、C16、A17、C18、C解析: