2022年3月CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習題含解析

2022年3月CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習題一、單項選擇題1、信息安全管理體系中提到的“資產(chǎn)責任人”是指:（）A、對資產(chǎn)擁有財產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負責人2、密碼技術(shù)不適用于控制下列哪種風險？（）A、數(shù)據(jù)在傳輸中被竊取的風險B、數(shù)據(jù)在傳輸中被篡改的風險C、數(shù)據(jù)在傳輸中被損壞的風險D、數(shù)據(jù)被非授權(quán)訪問的風險3、當操作系統(tǒng)發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認4、下列哪項對于審核報告的描述是錯誤的？（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對5、組織應(yīng)在相關(guān)（）上建立信息安全目標A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次6、下列哪項對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對7、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素8、關(guān)于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據(jù)C、提供了信息安全風險評估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風險評估的依據(jù)，是實施ISCVIEC27000的支持性標準9、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃10、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風險（即：把非授權(quán)者錯誤識別為授權(quán)者的風險）C、在指紋識別的基礎(chǔ)上增加口令保護D、保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)11、下列不屬于取得認證機構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認證人員12、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)13、風險評估過程一般應(yīng)包括（）A、風險識別B、風險分析C、風險評價D、以上全部14、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)15、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部16、風險責任人是指（）A、具有責任和權(quán)限管理一項風險的個人或?qū)嶓wB、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務(wù)責任人D、信息及信息處理設(shè)施的使用者17、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項18、在根據(jù)組織規(guī)模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產(chǎn)品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產(chǎn)品或過程19、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件20、進入重要機構(gòu)時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記21、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險22、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風險實際發(fā)生的可能性23、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風險轉(zhuǎn)移到組織D、組織的某個虛擬小組負責人24、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果25、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對26、應(yīng)定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準27、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除28、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙29、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部30、審核證據(jù)是指（）A、與審核準則有關(guān)的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對31、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定32、涉及運行系統(tǒng)驗證的審計要求和活動，應(yīng)（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務(wù)過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務(wù)過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務(wù)過程的連續(xù)33、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改34、《信息安全等級保護管理辦法》規(guī)定，應(yīng)加強沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年35、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護信息準確和完整的特性?36、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件37、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確38、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護39、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障40、關(guān)于內(nèi)部審核下面說法不正確的是(）。A、組織應(yīng)定義每次審核的審核準則和范圍B、通過內(nèi)部審核確定ISMS得到有效實施和維護C、組織應(yīng)建立、實施和維護一個審核方案D、組織應(yīng)確保審核結(jié)果報告至管理層二、多項選擇題41、在信息安全事件管理中，（）是員工應(yīng)該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件42、在設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動設(shè)備中的相機43、認證機構(gòu)應(yīng)有驗證審核組成員背景經(jīng)驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識44、風險評估過程一般應(yīng)包括（）A、風險識別B、風險分析C、風險評價D、風險處理45、關(guān)于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務(wù)技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估46、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途47、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施D、顧客不投訴并不意味著顧客滿意了48、“云計算服務(wù)”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S49、投訴處理過程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止50、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性51、審核計劃中應(yīng)包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排52、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設(shè)計圖紙等核心技術(shù)信息，其敏感性等級定義為最高53、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉(zhuǎn)移54、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準55、組織建立的信息安全目標，應(yīng)（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新三、判斷題56、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。57、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）58、中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網(wǎng)的微型計算機的安全保護辦法,另行制定。59、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)（）。60、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機APP完成對公司客戶的服務(wù)請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)61、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）62、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）63、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。64、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）65、最高管理層應(yīng)通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾

參考答案一、單項選擇題1、C2、C3、B解析:2700214,2,3運行平臺變更后對應(yīng)用的技術(shù)評審，當運行平臺發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B4、A5、D6、A7、A8、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現(xiàn)信息安全管理體系過程中選擇控制時的參考，或作為組織在實現(xiàn)通用信息安全控制時的指南。cnas-cc1702認證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認證的依據(jù)，故選B9、C10、A11、C12、D13、D14、D15、D16、A17、C18、D解析:高風險的產(chǎn)品或過程應(yīng)增加審核時間要素19、C20、B21、C解析:參考GB/T20984-2007信息安全風險評估規(guī)范，3,12殘余風險是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。故選C22、A23、C24、C25、C26、D27、A28、A29、D30、A31、B32、A33、D34、D35、B36、D37、D38、C解析:網(wǎng)絡(luò)安全法第七十六條，