2022年3月CCAA國家注冊ISMS信息安全管理體系審核員知識模擬試題含解析

2022年3月CCAA國家注冊ISMS信息安全管理體系審核員知識模擬試題一、單項選擇題1、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保2、TCP/IP協(xié)議層次結構由（）A、網絡接口層、網絡層組成B、網絡接口層、網絡層、傳輸層組成C、網絡接口層、網絡層、傳輸層和應用層組成D、其他選項均不正確3、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改4、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬5、組織應()與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保6、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性7、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?8、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執(zhí)行信息安全風險評估C、開展內部審核D、開展管理評審9、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，則應具備的保護水平為：（）A、三級B、二級C、四級D、五級10、口令管理系統(tǒng)應該是（）,并確保優(yōu)質的口令A、唯一式B、交互式C、專人管理式D、A+B+C11、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部12、根據GB/T22080-2016標準，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A13、《信息技術安全技術信息安全治理》對應的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701414、下列哪一種情況下，網絡數據管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學D、要保證跨多個數據卷的備份連續(xù)、一致時15、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果16、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網絡結構C、應用系統(tǒng)D、技術管理17、當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當的措施C、宣布取消末次會議D、以上都不可以18、—家投資顧問商定期向客戶發(fā)送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件19、當發(fā)生不符合時，組織應（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應，適用時：采取措施，以控制予以糾正；處理后果20、風險識別過程中需要識別的方面包括:資產識別、識別威脅、識別現有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響21、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網絡釣魚攻擊DR22、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略23、桌面系統(tǒng)級聯(lián)狀態(tài)下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除24、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對25、根據《互聯(lián)網信息服務管理辦法》規(guī)定，國家對經營性互聯(lián)網信息服務實行()A、國家經營B、地方經營C、備案制度D、許可制度26、由認可機構對認證機構、檢測機構、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審27、根據《信息安全等級保護管理辦法》,對于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證28、關于容量管理，以下說法不正確的是（）A、根據業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規(guī)劃29、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險30、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數B、使用的信息系統(tǒng)的數量C、用戶的數量D、其他選項都正確31、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務角色設定訪問權B、組共享用戶ID按組任務的最大權限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權32、應定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準33、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務34、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網絡結構C、應用系統(tǒng)D、技術管理35、依據《中華人民共和國網絡安全法》，以下正確的是（）。A、檢測記錄網絡運行狀態(tài)的相關網絡日志保存不得少于2個月B、檢測記錄網絡運行狀態(tài)的相關網絡日志保存不得少于12月C、檢測記錄網絡運行狀態(tài)的相關網絡8志保存不得少于6個月D、重要數據備份保存不得少于12個月，網絡日志保存不得少于6個月36、()是指系統(tǒng)、服務或網絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障37、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、做出是否換發(fā)證書的決定38、依據GB/T22080/ISO/IEC27001，建立資產清單即：（）A、列明信息生命周期內關聯(lián)到的資產，明確其對組織業(yè)務的關鍵性B、完整采用組織的固定資產臺賬，同時指定資產負責人C、資產價格越高，往往意味著功能越全，因此資產重要性等級就越高D、A+B39、管理體系是實現組織目標的方針、（）、指南和相關資源的框架A、目標B、規(guī)程C、文件D、記錄40、依據GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確二、多項選擇題41、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網絡接入設施D、高鐵信號控制系統(tǒng)42、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓43、按覆蓋的地理范圍進行分類，計算機網絡可以分為（）A、局域網B、城域網C、廣域網D、區(qū)域網44、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協(xié)議規(guī)定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內45、以下做法正確的是（）A、使用生產系統(tǒng)數據測試時，應先將數據進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數據C、員工調換項目組時，其原使用計算機中的項目數據經妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致46、評價信息安全風險，包括（）A、將風險分析的結果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優(yōu)先級D、計算風險大小47、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容48、信息安全管理體系審核應遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法49、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領導，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應用C、服務大局D、分級負責50、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發(fā)放了公司財務總監(jiān)、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發(fā)放了手機，允許其使用手機在指定區(qū)域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘51、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針52、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉發(fā)其微信群會議上討論的信息53、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類54、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新55、含有高等級敏感信息的設備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術破壞或刪除C、多次的寫覆蓋D、徹底破壞三、判斷題56、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）57、最高管理層應確保方針得到建立（）58、容量管理策略可以考慮增加容量或降低容量要求（）59、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）60、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾61、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）62、某組織租用第三方數據中心機房托管其IT系統(tǒng)設備，因此認證審核時不必審核計算機機房物理安全的相關內容()63、某互聯(lián)網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)64、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一。65、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）

參考答案一、單項選擇題1、A2、C3、D4、B5、A6、A7、B8、B9、A10、B11、D12、A13、D14、A15、C16、D17、B18、C19、D20、B21、B22、D23、A24、C25、D26、B27、A28、C29、C解析:參考GB/T20984-2007信息安全風險評估規(guī)范，3,12殘余風險是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。故選C30、D31、A32、D33、A34、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統(tǒng)的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當的措施來應對相關風險。故選D35、C36、A37、D38、A39、B40、D解析:信息安全目標及其實現規(guī)劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D二、多項選擇題41、A,B,C解析:27001附錄A9,2,6撤銷或調整訪問權限，所有雇、外部人員對信