2022年3月CCAA注冊ISMS信息安全管理體系審核員知識模擬試題含解析

2022年3月CCAA注冊ISMS信息安全管理體系審核員知識模擬試題一、單項選擇題1、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡結(jié)構(gòu)C、應用系統(tǒng)D、技術(shù)管理2、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡服務的訪問控制策略,以下正確的是()A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關(guān)閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制3、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權(quán)限B、分配崗位與權(quán)限C、分配責任與權(quán)限D(zhuǎn)、分配角色和權(quán)限4、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風險釣魚5、對于獲準認可的認證機構(gòu)，認可機構(gòu)證明（）A、認證機構(gòu)能夠開展認證活動B、其在特定范圍內(nèi)按照標準具有從事認證活動的能力C、認證機構(gòu)的每張認證證書都符合要求D、認證機構(gòu)具有從事相應認證活動的能力6、某公司進行風險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網(wǎng)絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規(guī)避C、風險轉(zhuǎn)移D、風險減緩7、組織應（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保8、關(guān)于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令9、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設(shè)備設(shè)施予以檢查驗證,對于離開組織的設(shè)備設(shè)施則不必驗證B、對于離開組織的設(shè)備設(shè)施予以檢查驗證,對于進入組織的設(shè)備設(shè)施則不必驗證C、對于進入和離開組織的設(shè)備設(shè)施均須檢查驗證D、對于進入和離開組織的設(shè)備設(shè)施，驗證攜帶者身份信息;可替代對設(shè)備設(shè)施的驗證10、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護設(shè)備C、備用的電力供應D、可中斷的電力供應11、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性12、《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202113、組織應在相關(guān)（）上建立信息安全目標A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次14、在我國《信息安全等級保護管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、615、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果16、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審17、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機房的服務器C、保潔服務D、以上都不對18、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年19、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性20、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排21、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對22、組織機構(gòu)在建立和評審ISMS時，應考慮（）A、風險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C23、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡訪問的形式C、以遠程視頻的形式D、以上都對24、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響25、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務角色設(shè)定訪問權(quán)B、組共享用戶ID按組任務的最大權(quán)限注冊C、預設(shè)固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權(quán)26、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確27、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見28、關(guān)于文件管理下列說法錯誤的是（）A、文件發(fā)布前應得到批準，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準C、應確保文件保持清晰，易于識別D、作廢文件應及時銷毀，防止錯誤使用29、根據(jù)《信息安全等級保護管理辦法》,對于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證30、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應商C、顧客D、上級機關(guān)31、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)32、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃33、在考慮網(wǎng)絡安全策略時，應該在網(wǎng)絡安全分析的基礎(chǔ)上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷34、依據(jù)GB/T220802016/SO/EC.27001:2013標準，組織應（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力35、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準36、組織應()與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保37、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構(gòu)B、公安機關(guān)C、國家安全機關(guān)D、國家保密局38、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態(tài)C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規(guī)范性文件的所有要求39、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關(guān)閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制40、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設(shè)置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育二、多項選擇題41、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡攻擊、物理攻擊D、泄密、篡改、抵賴42、關(guān)于目標，下列說法正確的是（）A、目標現(xiàn)的結(jié)果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產(chǎn)品43、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新44、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡攻擊、物理攻擊D、泄密、篡改、抵賴45、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險46、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉(zhuǎn)移47、設(shè)計一個信息安全風險管理工具，應包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程48、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理49、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場所等的冗余配置B、定期或?qū)崟r進行數(shù)據(jù)備份C、考慮業(yè)務關(guān)鍵性確定恢復優(yōu)先順序和目標D、有保障信息安全連續(xù)性水平的過程和程序文件50、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務結(jié)束的情況D、員工出差51、下列哪些屬于網(wǎng)絡攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊52、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新53、以下（）活動是ISMS建立階段應完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓54、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應當通過國家保密局授權(quán)的檢測機構(gòu)檢測C、使用的信息安全保密產(chǎn)品應當通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平55、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員三、判斷題56、組織應識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）57、審核方案應包括審核所需的資源，例如交通和食宿。（）58、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領(lǐng)導和承諾。（）59、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）60、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）61、組織業(yè)務運行使用云基礎(chǔ)設(shè)施服務,同時員工通過自有手機APP執(zhí)行業(yè)務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）62、當需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）63、組織應適當保留信息安全目標文件化信息（）64、審核員由實習審核員轉(zhuǎn)審核員之前，至少必須通過4次完整體系20天的審核。（）65、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）

參考答案一、單項選擇題1、D2、B3、C4、B5、B6、B7、A8、C解析:應確保秘密鑒別信息的保密性，確保鑒別信息得到適當?shù)谋Ｗo，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護，故選C9、C10、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?1、C12、D13、D14、C15、C16、D17、C18、D19、C20、A21、B22、E23、A24、D25、A26、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應在相關(guān)職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D27、A28、D29、A30、A31、D32、C33、B34、C35、D36、A37、