2021年第一期CCAA注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析

2021年第一期CCAA注冊審核員復(fù)習(xí)題—ISMS信息安全管理體系知識一、單項選擇題1、下列哪項對于審核報告的描述是錯誤的？（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證/審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對2、風(fēng)險處置計劃，應(yīng)（）A、獲得風(fēng)險責(zé)任人的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)B、獲得最高管理者的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)C、獲得風(fēng)險部門負(fù)責(zé)人的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)D、獲得管理者代表的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)3、應(yīng)定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標(biāo)和標(biāo)準(zhǔn)B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標(biāo)準(zhǔn)4、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時5、不屬于計算機病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進(jìn)行病毒檢測D、整理磁盤6、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審7、下列措施中，（）是風(fēng)險管理的內(nèi)容。A、識別風(fēng)險B、風(fēng)險優(yōu)先級評價C、風(fēng)險處置D、以上都是8、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是9、《信息安全技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障10、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況11、完整性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對12、文件化信息創(chuàng)建和更新時，組織應(yīng)確保適當(dāng)?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充業(yè)性的評審和批準(zhǔn)13、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準(zhǔn)D、以上全部14、在根據(jù)組織規(guī)模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程15、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個月B、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡(luò)日志保存不得少于6個月16、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險評估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險評估的依據(jù)，是實施ISCVIEC27000的支持性標(biāo)準(zhǔn)17、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定18、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標(biāo)19、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄20、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上都不可以21、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時限和訪問類型B、對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致22、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年23、計算機信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護(hù)計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產(chǎn)品24、組織的風(fēng)險責(zé)任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風(fēng)險轉(zhuǎn)移到組織D、組織的某個虛擬小組負(fù)責(zé)人25、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個人隱私的保護(hù)D、以上都對26、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知27、風(fēng)險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響28、在現(xiàn)場審核時，審核組有權(quán)自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整29、（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施。A、補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻30、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)31、在我國《信息安全等級保護(hù)管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、632、組織應(yīng)（），以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達(dá)到必要的程度B、保持文件化信息達(dá)到必要的程度C、保持文件化信息達(dá)到可用的程度D、產(chǎn)生文件化信息達(dá)到必要的程度33、《信息安全等級保護(hù)管理辦法》規(guī)定,應(yīng)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年34、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務(wù)器C、個人使用的電腦D、審核記錄35、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞36、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制37、下列不屬于取得認(rèn)證機構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認(rèn)證人員38、以下說法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險評估進(jìn)行再評審B、應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進(jìn)行再評估C、制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響D、安全計劃應(yīng)適時更新39、關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國家信息安全產(chǎn)品人證機構(gòu)頒發(fā)的認(rèn)證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞40、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象二、多項選擇題41、風(fēng)險處置包括（)A、風(fēng)險降低B、風(fēng)險計劃C、風(fēng)險控制D、風(fēng)險轉(zhuǎn)移42、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性43、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類44、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)間主權(quán)B、維按國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益45、下列屬于“開發(fā)安全”活動的是（）。A、應(yīng)規(guī)范用戶修改軟件包，必須的修改應(yīng)嚴(yán)格管制B、應(yīng)用系統(tǒng)若有變更，應(yīng)進(jìn)行適當(dāng)審核與測試C、軟件應(yīng)盡量采用自行開發(fā)避免外包或采購D、軟件的采購應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序46、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)47、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負(fù)責(zé)48、對于組織在風(fēng)險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風(fēng)險都必須被降低至可接受的級別B、可以將風(fēng)險轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識、客觀地接受風(fēng)險D、規(guī)避風(fēng)險49、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途50、《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全,（）A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益51、某金融資產(chǎn)武裝押運服務(wù)公司擬申請ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支52、在設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動設(shè)備中的相機53、投訴處理過程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止54、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計劃D、審核方案是審核計劃的輸入55、不符合項報告應(yīng)包括A、不符合事實的描述B、不符合的標(biāo)準(zhǔn)條款及內(nèi)容C、不符合的原因D、不符合的性質(zhì)三、判斷題56、實習(xí)審核員可以獨立完成審核任務(wù)。（）57、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補充。（）58、最高管理層應(yīng)確保方針得到建立（）59、當(dāng)需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）60、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）61、在來自可信站點電子郵件中輸入個人或財務(wù)信息是安全的。（）62、組織應(yīng)識別并提供建立、實現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。（）63、信息系統(tǒng)中的“單點故障”指僅有一個故障點，因此屬于較低風(fēng)險等級的事件。（）64、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）65、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾

參考答案一、單項選擇題1、A2、A3、D4、A5、D6、D7、D8、D9、C10、B11、C12、D13、D14、D解析:高風(fēng)險的產(chǎn)品或過程應(yīng)增加審核時間要素15、C16、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實現(xiàn)信息安全管理體系過程中選擇控制時的參考，或作為組織在實現(xiàn)通用信息安全控制時的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù)，故選B17、B18、D19、D20、B21、B22、A解析:國家秘密的保密期限,除有特殊規(guī)定