2022年9月CCAA國家注冊審核員ISMS信息安全管理體系考試題目含解析

2022年9月CCAA國家注冊審核員ISMS信息安全管理體系考試題目一、單項選擇題1、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低2、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網絡D、安全模式下查殺不容易死機3、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審4、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC405、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網絡結構C、應用系統(tǒng)D、技術管理6、局域網環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協(xié)議7、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對8、描述組織采取適當?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序9、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關人員10、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結果D、重要業(yè)務系統(tǒng)操作指南11、當操作系統(tǒng)發(fā)生變更時,應對業(yè)務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認12、ISMS關鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量13、在考慮網絡安全策略時，應該在網絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷14、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權限控制C、數(shù)據加密D、數(shù)據備份15、在我國信息系統(tǒng)安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求16、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統(tǒng)17、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確18、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶19、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作20、一家投資顧問商定期向客戶發(fā)送有關經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件21、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901122、在現(xiàn)場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務范圍C、審核日期D、審核組任務調整23、風險識別過程中需要識別的方面包括：資產識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響24、依據GB/T22080/ISO/IEC27001，建立資產清單即：（）A、列明信息生命周期內關聯(lián)到的資產，明確其對組織業(yè)務的關鍵性B、完整采用組織的固定資產臺賬，同時指定資產負責人C、資產價格越高，往往意味著功能越全，因此資產重要性等級就越高D、A+B25、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據D、網絡地址欺騙26、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領導進行溝通27、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵28、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內員工的個人隱私數(shù)據得到保護B、認證范圍內涉及顧客的個人隱私數(shù)據得到保護C、認證范圍內涉及相關方的個人隱私數(shù)據數(shù)據得到保護D、以上全部29、建立ISMS體系的目的，是為了充分保護信息資產并給予（）信息A、相關方B、供應商C、顧客D、上級機關30、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段31、當獲得的審核證據表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以32、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級33、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業(yè)務的敏感程度C、資產的折損率D、以上全部34、最高管理者應（）。A、確保制定ISMS方針B、制定ISMS目標和計劃C、實施ISMS內部審核D、主持ISMS管理評審35、對于可能超越系統(tǒng)和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單36、涉及運行系統(tǒng)驗證的審計要求和活動，應（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務過程的連續(xù)37、當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認38、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對39、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、建設關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、建設三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用C、建設機密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用D、以上都不對40、在我國《信息安全等級保護管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、6二、多項選擇題41、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理42、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數(shù):10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審43、某金融資產武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支44、信息安全管理體系范圍和邊界的確定依據包括（）A、業(yè)務B、組織C、物理D、資產和技術45、在信息安全事件管理中，（）是員工應該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件46、審核計劃中應包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排47、下列哪些屬于網絡攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊48、關于審核發(fā)現(xiàn)，以下說法正確的是：（）A、審核發(fā)現(xiàn)是收集的審核證據對照審核準則進行評價的結果B、審核發(fā)現(xiàn)包括正面的和負面的發(fā)現(xiàn)C、審核發(fā)現(xiàn)是審核結論的輸入D、審核發(fā)現(xiàn)是制定審核準則的依據49、關于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設備、設施、場所等的冗余配置B、定期或實時進行數(shù)據備份C、考慮業(yè)務關鍵性確定恢復優(yōu)先順序和目標D、有保障信息安全連續(xù)性水平的過程和程序文件50、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準51、關于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則52、某游戲開發(fā)公司按客戶的設計資料構建游戲場景和任務的基礎要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數(shù)據子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權B、獲得sharefolder訪問權者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權D、H人員不定期刪除sharefolder數(shù)據以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與53、含有高等級敏感信息的設備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術破壞或刪除C、多次的寫覆蓋D、徹底破壞54、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對55、關于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯(lián)網及其他公共信息網絡B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經安全技術處理不得改作其他用途三、判斷題56、從審核開始到結束,審核組長應對審核實施負責57、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）58、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）59、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）60、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。61、信息安全風險準則包括風險接受準則和風險評價準則。（）62、“資產清單”包含與信息生命周期有關的資產，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關聯(lián)的資產不在“資產清單”的范圍內。（）63、組織應適當保留信息安全目標文件化信息。（）64、實習審核員可以獨立完成審核任務。（）65、最高管理層應確保方針得到建立（）

參考答案一、單項選擇題1、D2、B3、D4、A5、D6、B解析:局域網是指家庭或是辦公室，或者其他環(huán)境中小型網絡。而大型計算機環(huán)境是指類似服務器的大型網絡。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B7、B8、B9、D10、D11、B12、D13、B14、D15、D16、D17、D解析:信息處理設施，任何的信息處理系統(tǒng)，服務或基礎設施，或其安裝的物理位置，abc選項均屬于信息處理設施變更管理范疇，故選D18、C19、B20、C21、A22、D23、B解析:27005信息安全風險管理8,2,,1風險識別，包括資產識別，威脅識別，現(xiàn)有控制措施識別，脆弱性識別，后果識別。故選B24、A25、A26、A27、A解析:訪問控制，確保對資產的訪問是基于業(yè)務和安全要求進行授權和限制的手段。A表述更為全面，B,C選項過于細化，故選A28、D