2021年第一期CCAA注冊審核員ISMS信息安全管理體系考試題目含解析

2021年第一期CCAA注冊審核員ISMS信息安全管理體系考試題目一、單項選擇題1、當發(fā)現(xiàn)不符合項時，組織應對不符合做出反應，適用時（）。A、采取措施，以控制并予以糾正B、對產生的影響進行處理C、分析產生原因D、建立糾正措施以避免再發(fā)生2、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發(fā)生缺失的情況B、資產不發(fā)生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發(fā)生缺失的情況D、設備系統(tǒng)的部件和配件不發(fā)生缺失的情況3、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審4、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤5、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果6、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價7、國家秘密的保密期限應為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年8、關于信息安全管理體系認證，以下說法正確的是：A、負責作出認證決定的人員中應至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應參與審核D、負責作出認證決定的人員應包含參與了預審核的人員9、在考慮網絡安全策略時，應該在網絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷10、進入重要機構時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記11、公司A在內審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優(yōu)質口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育12、信息安全管理體系是用來確定（)A、組織的管理效率B、產品和服務符合有關法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度13、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件14、關于信息安全產品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統(tǒng)，己列入信息安全產品認征目錄的，應取得國家信息安全產品人證機構頒發(fā)的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞15、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、416、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程17、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性18、組織應（）A、采取過程的規(guī)程安全處置不需要的介質B、采取文件的規(guī)程安全處置不需要的介質C、采取正式的規(guī)程安全處置不需要的介質D、采取制度的規(guī)程安全處置不需要的介質19、對保密文件復印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性20、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估21、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用D、指網信辦指定信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設,同步使用22、關于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網絡中“釣魚”軟件的存在，是網絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部23、按照PDCA思路進行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核B、按照認證機構的PDCA流程進行審核C、按照認可規(guī)范中規(guī)定的PDCA流程進行審核D、以上都對24、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年25、當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認26、安全掃描可以實現(xiàn)（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流27、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年28、（）是建立有效的計算機病毒防御體系所需要的技術措施。A、補丁管理系統(tǒng)、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網絡入侵檢測、防病毒系統(tǒng)和防火墻29、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態(tài)C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規(guī)范性文件的所有要求30、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網關模式D、旁路接入模式31、《信息安全管理體系認證機構要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪問的形式C、以遠程視頻的形式D、以上都對32、關于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定33、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、—密、二密、三密、四密四個級別34、風險處置是（）A、識別并執(zhí)行措施來更改風險的過程B、確定并執(zhí)行措施來更改風險的過程C、分析并執(zhí)行措施來更改風險的過程D、選擇并執(zhí)行措施來更改風險的過程35、關于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息36、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作37、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結果38、關于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求已得到滿足，即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意39、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網絡地址欺騙40、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護二、多項選擇題41、下列哪項屬于《認證機構管理辦法》中規(guī)定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度42、認證機構應有驗證審核組成員背景經驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識43、關鍵信息基礎設施包括三大部分，分別是（）。A、關鍵基礎設施B、基礎信息網絡C、重要信息系統(tǒng)D、重要互聯(lián)網應用系統(tǒng)44、GB/T28450審核方案管理的內容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模45、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類46、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準47、下列屬于“開發(fā)安全”活動的是（）。A、應規(guī)范用戶修改軟件包，必須的修改應嚴格管制B、應用系統(tǒng)若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發(fā)避免外包或采購D、軟件的采購應注意其是否內藏隱密通道及特洛伊木馬程序48、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必須（）A、對其進行試用B、對員工的背景進行適當?shù)尿炞C檢查C、在任用條款與合同中指導安全職責D、面試49、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復雜程度50、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權限B、工作人員僅需要滿足工作任務所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍。D、工作范圍是可訪問的信息51、關于“不可否認性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認性”的有效技術手段B、身份認證是實現(xiàn)“不可否認性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性52、以下屬于訪問控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產品查殺病毒53、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設備管理D、處理器管理54、關于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則55、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容三、判斷題56、最高管理層應確保方針得到建立（）57、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）58、某互聯(lián)網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)59、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）60、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一。61、客戶所有場所業(yè)務的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)62、審核組可以由一個人組成。（）63、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進行備份。（）64、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）65、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾。（）

參考答案一、單項選擇題1、A解析:參考2700110,1當發(fā)生不符合時，組織應：對不符合做出反應，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A2、B3、D4、D5、C6、D7、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項不