2022年12月CCAA國家注冊審核員考試題目-ISMS信息安全管理體系含解析

2022年12月CCAA國家注冊審核員考試題目—ISMS信息安全管理體系一、單項選擇題1、下列措施中，（）是風險管理的內(nèi)容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是2、物理安全周邊的安全設(shè)置應考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C3、()是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障4、關(guān)于互聯(lián)網(wǎng)信息服務，以下說法正確的是A、互聯(lián)網(wǎng)服務分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務應當在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務未取得許可不得進行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務活動5、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術(shù)對其分析6、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員7、關(guān)于文件管理下列說法錯誤的是（）A、文件發(fā)布前應得到批準，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準C、應確保文件保持清晰，易于識別D、作廢文件應及時銷毀，防止錯誤使用8、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄9、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器10、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》11、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對12、關(guān)于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?13、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下說法不正確的是（）A、網(wǎng)絡安全應采取必要措施防范對網(wǎng)絡的攻擊和侵入B、網(wǎng)絡安全措施包括防范對網(wǎng)絡的破壞C、網(wǎng)絡安全即采取措施保護信息在網(wǎng)絡中傳輸期間的安全D、網(wǎng)絡安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護14、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構(gòu)應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布15、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況16、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務，那么，需要首要關(guān)注的是（）。A、服務的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?7、下列措施中不能用于防止非授權(quán)訪問的是（）A、采取密碼技術(shù)B、采用最小授權(quán)C、采用權(quán)限復查D、采用日志記錄18、當操作系統(tǒng)發(fā)生變更時,應對業(yè)務的關(guān)鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認19、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關(guān)閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制20、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度21、口令管理系統(tǒng)應該是（）,并確保優(yōu)質(zhì)的口令A、唯一式B、交互式C、專人管理式D、A+B+C22、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低23、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復全部程序B、恢復網(wǎng)絡設(shè)置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)24、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象25、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B26、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性27、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導進行溝通28、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對29、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準30、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構(gòu)B、公安機關(guān)C、國家安全機關(guān)D、國家保密局31、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關(guān)方可用D、定期更新32、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務運行和威脅信息安全的極大可能性A、已經(jīng)發(fā)生B、可能發(fā)生C、意外D、A+B+C33、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件34、完整性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、以上都不對35、組織機構(gòu)在建立和評審ISMS時，應考慮（）A、風險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C36、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意37、信息處理設(shè)施的變更管理包括:A、信息處理設(shè)施用途的變更B、信息處理設(shè)施故障部件的更換C、信息處理設(shè)施軟件的升級D、其他選項均正確38、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關(guān)風險的協(xié)調(diào)活動D、以上都對39、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4040、安全掃描可以實現(xiàn)（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產(chǎn)生的問題C、彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流二、多項選擇題41、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險42、關(guān)于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核43、《中華人民共和國網(wǎng)絡安全法》是為了保障網(wǎng)絡安全,（）A、維護網(wǎng)絡空間主權(quán)B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益44、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對45、審核計劃中應包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排46、為控制文件化信息，適用時，組織應強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理47、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進機會相關(guān)決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求48、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)49、訪問控制包括()A、網(wǎng)絡和網(wǎng)絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制50、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務結(jié)束的情況D、員工出差51、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與52、在信息安全事件管理中，（）是所有員工應該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件53、下列屬于“開發(fā)安全”活動的是（）。A、應規(guī)范用戶修改軟件包，必須的修改應嚴格管制B、應用系統(tǒng)若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發(fā)避免外包或采購D、軟件的采購應注意其是否內(nèi)藏隱密通道及特洛伊木馬程序54、對于信息安全方針,（）是GB/T22080-2016標準要求的A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關(guān)方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審55、含有高等級敏感信息的設(shè)備的處置可采?。ǎ〢、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞三、判斷題56、組織使用云盤設(shè)施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）57、容量管理策略可以考慮增加容量或降低容量要求（）58、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）59、審核方案應包括審核所需的資源，例如交通和食宿。（）60、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）61、破壞、摧毀、控制網(wǎng)絡基礎(chǔ)設(shè)施是網(wǎng)絡攻擊行為之一（）62、客戶所有場所業(yè)務的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認證機構(gòu)可以考慮使用基于抽樣的認證審核（)63、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項”（）64、訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。65、組織的業(yè)務連續(xù)性策略即其信息安全連續(xù)性策略。

參考答案一、單項選擇題1、D2、D3、A4、C5、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當水平的保護。對比四個選項，c項更能突出對組織的重要程度，故選C6、D7、D8、D9、D10、D11、B12、A13、C解析:網(wǎng)絡安全法第七十六條，網(wǎng)絡，是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集，存儲，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡安全，是指通過采取必要措施，防范對網(wǎng)絡的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性，保密性，可用性的能力。故選C14、C15、B16、A17、D18、B19、B解析:網(wǎng)絡和網(wǎng)絡服務的訪問，應僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡和網(wǎng)絡服務的訪問。cd選項錯誤，必須是已授權(quán)用戶才可訪問。A選項錯誤，在家登錄，不符合安全訪問控制策略。故選B20、C21、B22、D23、D24、A25、A26、C27、A28、A29、D30、B31、B32、C解析:信息安全事件，指一個或一系列意外或不期望的信息安全事態(tài)組成，他們極有可能損害業(yè)務運行并威脅信息安全。故選C33、C34、C35、E36、C37、D解析:信息處理設(shè)施，任何的信息處理系統(tǒng)，服務或基礎(chǔ)設(shè)施，或其安裝的物理位置，abc選項均屬于信息處理設(shè)施變更管理范疇，故選D38、B39、A40、C二、多項選擇題41、B,C,D42、B,C,D43、A,B,C,D44、A,C45、A,B解析:參考270013