2021年第四期CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析

2021年第四期CCAA注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險2、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是3、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關(guān)風險的協(xié)調(diào)活動D、以上都對4、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風險釣魚5、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼6、下列不一定要進行風險評估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計劃的時間間隔7、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意8、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對9、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼10、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確11、一家投資顧問商定期向客戶發(fā)送有關(guān)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件12、關(guān)于內(nèi)部審核下面說法不正確的是(）。A、組織應(yīng)定義每次審核的審核準則和范圍B、通過內(nèi)部審核確定ISMS得到有效實施和維護C、組織應(yīng)建立、實施和維護一個審核方案D、組織應(yīng)確保審核結(jié)果報告至管理層13、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用14、《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》對應(yīng)的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700515、《信息安全等級保護管理辦法》規(guī)定,應(yīng)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年16、進入重要機構(gòu)時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記17、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA18、由認可機構(gòu)對認證機構(gòu)、檢查機構(gòu)、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審19、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強制性訪問控制策略20、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習慣21、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機密D、秘密22、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B23、經(jīng)過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險24、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應(yīng)用風險管理過程來保持信息的保密性、完整性和可用性25、在形成信息安全管理體系審核發(fā)現(xiàn)時，應(yīng)（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性26、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)27、容量管理的對象包括（）A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部28、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設(shè)備設(shè)施予以檢查驗證,對于離開組織的設(shè)備設(shè)施則不必驗證B、對于離開組織的設(shè)備設(shè)施予以檢查驗證,對于進入組織的設(shè)備設(shè)施則不必驗證C、對于進入和離開組織的設(shè)備設(shè)施均須檢查驗證D、對于進入和離開組織的設(shè)備設(shè)施，驗證攜帶者身份信息;可替代對設(shè)備設(shè)施的驗證29、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序30、以下關(guān)于認證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應(yīng)由認證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應(yīng)對認證證書的使用進行監(jiān)督31、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響32、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項33、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當?shù)模ǎ?。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準34、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)負責人C、資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D、A+B35、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對36、在規(guī)劃如何達到信息安全目標時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果37、關(guān)于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?38、涉及運行系統(tǒng)驗證的審計要求和活動，應(yīng)（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務(wù)過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務(wù)過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務(wù)過程的連續(xù)39、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議40、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部二、多項選擇題41、管理評審的輸出應(yīng)包括（）A、與持續(xù)改進機會相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況42、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險43、以下（）活動是ISMS監(jiān)視預評審階段需完成的內(nèi)容A、實施培訓和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施44、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況45、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類46、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制47、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動，提高產(chǎn)品、服務(wù)的（），促進經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力48、以下（）活動是ISMS監(jiān)視預評審階段需完成的內(nèi)容A、實施培訓和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施49、關(guān)于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核50、風險評估過程一般應(yīng)包括（）A、風險識別B、風險分析C、風險評價D、風險處理51、風險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴52、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對53、“云計算服務(wù)”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S54、關(guān)于“不可否認性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認性”的有效技術(shù)手段B、身份認證是實現(xiàn)“不可否認性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認性”的關(guān)鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性55、計算機信息系統(tǒng)的安全保護，應(yīng)保障（）A、計算機及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮三、判斷題56、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）57、組織使用云盤設(shè)施服務(wù)時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）58、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進信息安全管理體系的承諾。59、組織應(yīng)適當保留信息安全目標文件化信息。（）60、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機APP完成對公司客戶的服務(wù)請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)61、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)（）。62、審核組長在末次會議中應(yīng)該對受審核方是否通過認證給出結(jié)論。（）63、容量管理策略可以考慮增加容量或降低容量要求（）64、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）65、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。（)

參考答案一、單項選擇題1、C解析:參考GB/T20984-2007信息安全風險評估規(guī)范，3,12殘余風險是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。故選C2、D3、B4、B5、D6、D7、C8、C9、C10、B11、C12、C13、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A14、B15、D16、B17、B18、B19、D20、A21、B22、A23、D24、B解析:引言中明確表述，標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現(xiàn)的順序25、B26、C27、D28、C29、D30、B31、D32、C33、D34、A35、B36、C37、A38、A39、A40、D二、多項選擇題41、A,B42、B,C,D43、B,C44、A,B,C45、A,B,D46、B,D47、A,D解析:略2700214,2,4軟件包變更的限制，應(yīng)不鼓勵對軟件包進行修改，僅限于必要的變更，且對所有變更加以嚴格控制，A正確。12,1,4開發(fā)、測試、運行的分離，除在特殊情況下，測試不宜在運行系統(tǒng)上進行，B選項錯誤。C選項表述避重就輕，無論自行開發(fā)還是外包、采購都必須符合信息安全，而非限制軟件途徑。D選項正確，要進行惡