2022年3月CCAA國家注冊審核員模擬試題-ISMS信息安全管理體系知識含解析

2022年3月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、ISMS文件的多少和詳細程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C2、末次會議包括（）A、請受審核方確認不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進行討論D、以上都不準確3、依據(jù)GB/T22080,網(wǎng)絡隔離指的是(）A、不同網(wǎng)絡運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務，用戶及信息系統(tǒng)4、在信息安全管理體系審核時，應遵循（）原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權原則最小特權原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網(wǎng)絡系統(tǒng)對外連接通道內(nèi)，可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。5、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ?。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準6、根據(jù)GB/T22080-2016中控制措施的要求，關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯(lián)B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑7、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風險評估D、容災和數(shù)據(jù)備份8、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應用網(wǎng)關C、擴展的日志記錄能力D、包交換9、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結(jié)合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息10、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞11、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡拓撲D、局域網(wǎng)協(xié)議12、《中華人民共和國認證認可條例》規(guī)定,認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年13、下列措施中，（）是風險管理的內(nèi)容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是14、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低15、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項16、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權用戶不可能訪問到關鍵數(shù)據(jù)17、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年18、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產(chǎn)權保護B、公司信息保護C、個人隱私的保護D、以上都對19、根據(jù)《信息安全等級保護管理辦法》,對于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證20、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序，數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)21、關于互聯(lián)網(wǎng)信息服務，以下說法正確的是A、互聯(lián)網(wǎng)服務分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務應當在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務未取得許可不得進行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務活動22、《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202123、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎設施C、人力資源D、以上全部24、信息安全管理體系中提到的“資產(chǎn)責任人”是指:（）A、對資產(chǎn)擁有財產(chǎn)權的人B、使用資產(chǎn)的人C、有權限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負責人25、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信息A、相關方B、供應商C、顧客D、上級機關26、桌面系統(tǒng)級聯(lián)狀態(tài)下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除27、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部28、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果29、國家秘密的保密期限應為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年30、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調(diào)活動D、以上都對31、保密性是指（）A、根據(jù)授權實體的要求可訪問的特性B、信息不被未授權的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対32、風險責任人是指（）A、具有責任和權限管理一項風險的個人或?qū)嶓wB、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者33、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產(chǎn)品或過程34、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據(jù)授權實體的要求可訪問的特性D、保護信息準確和完整的特性?35、保密協(xié)議或不泄露協(xié)議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規(guī)定36、關于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應定期進行恢復測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期37、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意38、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區(qū)域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區(qū)域39、()是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障40、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段二、多項選擇題41、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結(jié)果對比，B正確。自評估可由發(fā)起方實施或委托風險評估服務技術支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法展開的風險評估。本題選ABC42、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必須（）A、對其進行試用B、對員工的背景進行適當?shù)尿炞C檢查C、在任用條款與合同中指導安全職責D、面試43、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標44、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息45、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模46、計算機信息系統(tǒng)的安全保護，應保障（）A、計算機及相關配套設施的安全B、網(wǎng)絡安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮47、《中華人民共和國網(wǎng)絡安全法》的宗旨是（）A、維護網(wǎng)絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益48、下列屬于“開發(fā)安全”活動的是（）。A、應規(guī)范用戶修改軟件包，必須的修改應嚴格管制B、應用系統(tǒng)若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發(fā)避免外包或采購D、軟件的采購應注意其是否內(nèi)藏隱密通道及特洛伊木馬程序49、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務結(jié)束的情況D、員工出差50、在設計和應用安全區(qū)域工作規(guī)程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經(jīng)授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機51、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中52、某組織在酒店組織召開內(nèi)容敏感的會議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質(zhì)會議資料留下由服務生統(tǒng)一回收，這符合A8,3的要求53、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規(guī)避風險54、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對55、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致三、判斷題56、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）57、實習審核員可以獨立完成審核任務。（）58、信息系統(tǒng)中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）59、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾60、中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網(wǎng)的微型計算機的安全保護辦法,另行制定。61、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）62、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）63、當需要時，組織可設計控制，或識別來自任何來源的控制。（）64、容量管理策略可以考慮增加容量或降低容量要求（）65、組織業(yè)務運行使用云基礎設施服務,同時員工通過自有手機APP執(zhí)行業(yè)務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）

參考答案一、單項選擇題1、D2、C3、D4、B5、D6、C7、A8、D9、C10、B11、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡。而大型計算機環(huán)境是指類似服務器的大型