2022年9月CCAA國家注冊ISMS信息安全管理體系審核員知識模擬試題含解析

2022年9月CCAA國家注冊ISMS信息安全管理體系審核員知識模擬試題一、單項選擇題1、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況2、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個月B、檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡(luò)日志保存不得少于6個月3、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是4、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級機(jī)關(guān)5、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審6、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用7、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結(jié)合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息8、關(guān)于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明9、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)10、關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務(wù)活動11、在以下認(rèn)為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改12、ISMS關(guān)鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進(jìn)反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量13、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR14、下列管理評審的方式，哪個不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評審團(tuán)隊通過會議的方式對管理體系適宜性、有效性和充分性進(jìn)行評審B、通過網(wǎng)絡(luò)會議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進(jìn)行評審D、通過材料評審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評審15、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標(biāo)16、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對17、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性18、下面哪一種環(huán)境控制措施可以保護(hù)計算機(jī)不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)19、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次20、在信息安全管理體系審核時，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi)，可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點。21、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊與標(biāo)準(zhǔn)的符合程度22、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行（）A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度23、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年24、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足,即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意25、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部26、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源，在評估這樣一個軟件產(chǎn)品時最重要的標(biāo)準(zhǔn)是什么?（）A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價27、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定28、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機(jī)密性D、可用性29、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析30、組織應(yīng)()與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保31、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對32、根據(jù)GB17859《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,計算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級。A、5B、6C、3D、433、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除34、在認(rèn)證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確35、訪問控制是指確定（）以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵36、對于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）A、認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動的能力37、依據(jù)GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析B、確保信息按照其對組織的重要程度受到適當(dāng)水平的保護(hù)C、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責(zé)任38、組織應(yīng)（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保39、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)40、組織應(yīng)（）A、定義和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識別和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識別和控制安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域二、多項選擇題41、關(guān)于審核委托方，以下說法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核42、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類43、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度44、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時，其原使用計算機(jī)中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致45、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12,3,1條款要求（）A、設(shè)定備份策B、定期測試備份介質(zhì)C、定期備份D、定期測試信息和軟件46、依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟(jì)建設(shè)設(shè)有重大負(fù)面影響47、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營C、維護(hù)D、使用48、計算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障（）A、計算機(jī)及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運(yùn)行環(huán)境安全D、計算機(jī)功能和正常發(fā)揮49、管理評審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況50、下列有關(guān)涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機(jī)構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運(yùn)行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計算機(jī)重裝操作系統(tǒng)后可降為非涉密計算機(jī)使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)51、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告52、《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動，提高產(chǎn)品、服務(wù)的（），促進(jìn)經(jīng)濟(jì)和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力53、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時，對相關(guān)方可用54、關(guān)于云計算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則55、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風(fēng)險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識三、判斷題56、實習(xí)審核員可以獨立完成審核任務(wù)。（）57、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）58、信息安全風(fēng)險準(zhǔn)則包括風(fēng)險接受準(zhǔn)則和風(fēng)險評價準(zhǔn)則。（）59、創(chuàng)建和更新文件化信息時，組織應(yīng)確保對其適宜性和充分性進(jìn)行評審和批準(zhǔn)。60、GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)（）61、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）62、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。（)63、從審核開始到結(jié)束,審核組長應(yīng)對審核實施負(fù)責(zé)64、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險評估，這在認(rèn)證審核時是可接受的（）65、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求（）

參考答案一、單項選擇題1、B2、C3、D4、A5、D6、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A7、C8、B9、B10、C11、D12、D13、B14、A15、D16、B17、C18、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?yīng)19、D20、B21、C22、C解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行備案制度，故選C23、D24、C25、B26、D27、B28、C29、C30、A31、A