2022年第二期CCAA國家注冊審核員ISMS信息安全管理體系考試題目含解析

2022年第二期CCAA國家注冊審核員ISMS信息安全管理體系考試題目一、單項(xiàng)選擇題1、按照PDCA思路進(jìn)行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進(jìn)行審核B、按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核C、按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核D、以上都對2、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）A、人、財(cái)、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性3、風(fēng)險(xiǎn)評價(jià)是指（）A、系統(tǒng)地使用信息來識別風(fēng)險(xiǎn)來源和評估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動D、以上都對4、—個(gè)信息安全事件由單個(gè)的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運(yùn)行和威脅信息安全的極大可能性A、已經(jīng)發(fā)生B、可能發(fā)生C、意外D、A+B+C5、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，則應(yīng)具備的保護(hù)水平為：（）A、三級B、二級C、四級D、五級6、在認(rèn)證審核時(shí)，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確7、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍8、當(dāng)操作系統(tǒng)發(fā)生變更時(shí)，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗(yàn)證和確認(rèn)9、對于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更10、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定11、信息安全殘余風(fēng)險(xiǎn)是（）。A、沒有處置完成的風(fēng)險(xiǎn)B、沒有評估的風(fēng)險(xiǎn)C、處置之后仍存在的風(fēng)險(xiǎn)D、處置之后沒有報(bào)告的風(fēng)險(xiǎn)12、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）A、對于進(jìn)入組織的設(shè)備和資產(chǎn)須驗(yàn)證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗(yàn)證B、對于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證其合格證，對于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證相關(guān)授權(quán)信息D、對于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗(yàn)證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗(yàn)證13、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期14、在運(yùn)行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息C、測量信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息D、改進(jìn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息15、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)16、ISMS文件評審需考慮（）A、收集信息，以準(zhǔn)備審核活動和適當(dāng)?shù)墓ぷ魑募﨎、請受審核方確認(rèn)ISMS文件審核報(bào)告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見17、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險(xiǎn)越小C、針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑18、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次19、下列不屬于取得認(rèn)證機(jī)構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認(rèn)證人員20、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保21、有關(guān)信息安全管理，風(fēng)險(xiǎn)評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會被實(shí)施B、對所有信息資產(chǎn)保護(hù)都投入相同的資源C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、信息資產(chǎn)過度的保護(hù)22、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部23、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項(xiàng)性能（）A、完整性B、可用性C、保密性D、可靠性24、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器25、（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻26、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對資產(chǎn)擁有財(cái)產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負(fù)責(zé)人27、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護(hù)28、gb17859-1999提出將信息系統(tǒng)的安全等級劃分為（）個(gè)等級，并提出每個(gè)級別的安全功能要求A、2B、3C、5D、729、我國網(wǎng)絡(luò)安全等級保護(hù)共分幾個(gè)級別？（）A、7B、4C、5D、630、進(jìn)入重要機(jī)構(gòu)時(shí)，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計(jì)D、標(biāo)記31、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度32、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，下列說法錯誤的是（）A、標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標(biāo)準(zhǔn)中所表述要求的順序反映了這些要求要實(shí)現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應(yīng)用風(fēng)險(xiǎn)管理過程來保持信息的保密性、完整性和可用性33、管理體系是實(shí)現(xiàn)組織目標(biāo)的方針、（）、指南和相關(guān)資源的框架A、目標(biāo)B、規(guī)程C、文件D、記錄34、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊與標(biāo)準(zhǔn)的符合程度35、組織的風(fēng)險(xiǎn)責(zé)任人不可以是（）A、組織的某個(gè)部門B、某個(gè)系統(tǒng)管理員C、風(fēng)險(xiǎn)轉(zhuǎn)移到組織D、組織的某個(gè)虛擬小組負(fù)責(zé)人36、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700537、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定38、下列哪個(gè)措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作39、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標(biāo)準(zhǔn)，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力40、當(dāng)發(fā)生不符合時(shí)，組織應(yīng)（）。A、對不符合做出處理，及時(shí)地：采取糾正，以及控制措施；處理后果B、對不符合做出反應(yīng)，適用時(shí)：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時(shí)地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應(yīng)，適用時(shí)：采取措施，以控制予以糾正；處理后果二、多項(xiàng)選擇題41、信息安全是保證信息的(),另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性42、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計(jì)算機(jī)、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途43、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計(jì)的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過風(fēng)險(xiǎn)評估44、對風(fēng)險(xiǎn)安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機(jī)制B、對用戶和數(shù)據(jù)采用安全標(biāo)記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡(luò)安全等級測評工作45、含有高等級敏感信息的設(shè)備的處置可采?。ǎ〢、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞46、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動47、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計(jì)算機(jī)制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)48、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評審D、采取糾正措施49、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類50、《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全,（）A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益51、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險(xiǎn)處置過程C、溝通記錄D、信息安全目標(biāo)52、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性53、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時(shí),應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果,盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其愿使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時(shí)間應(yīng)一致54、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊55、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對相關(guān)方可用B、包括對持續(xù)改進(jìn)ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜三、判斷題56、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸檢索等處理的人機(jī)系統(tǒng)（）57、組織應(yīng)識別并提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。（）58、考慮了組織所實(shí)施的活動,即可確定組織信息安全管理體系范圍。（）59、中華人民共和國境內(nèi)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計(jì)算機(jī)的安全保護(hù)辦法,另行制定。60、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。61、容量管理策略可以考慮增加容量或降低容量要求。（）62、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）63、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）64、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的接受和批準(zhǔn)。65、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個(gè)等級，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）

參考答案一、單項(xiàng)選擇題1、A2、C3、B4、C解析:信息安全事件，指一個(gè)或一系列意外或不期望的信息安全事態(tài)組成，他們極有可能損害業(yè)務(wù)運(yùn)行并威脅信息安全。故選C5、A6、B7、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會8、B解析:2700214,2,3運(yùn)行平臺變更后對應(yīng)用的技術(shù)評審，當(dāng)運(yùn)行平臺發(fā)生變更時(shí)，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對組織的運(yùn)行和安全沒有負(fù)面影響。故選B9、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時(shí)，對相關(guān)方可用。故選A10、A11、C解析:參考GB/T20984-2007信息安全風(fēng)險(xiǎn)評估規(guī)范，3,12殘余風(fēng)險(xiǎn)是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。故選C12、C13、A14、B15、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)臉?biāo)識和描述；格式和介質(zhì)；對適宜性和充分性的評審和批準(zhǔn)16、A17、C18、D19、C20、A2