2022年第二期CCAA國家注冊審核員復習題-ISMS信息安全管理體系含解析

2022年第二期CCAA國家注冊審核員復習題—ISMS信息安全管理體系一、單項選擇題1、關(guān)于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護2、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果3、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下說法不正確的是（）A、網(wǎng)絡安全應采取必要措施防范對網(wǎng)絡的攻擊和侵入B、網(wǎng)絡安全措施包括防范對網(wǎng)絡的破壞C、網(wǎng)絡安全即采取措施保護信息在網(wǎng)絡中傳輸期間的安全D、網(wǎng)絡安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護4、拒絕服務攻擊損害了信息系統(tǒng)哪一項性能（）A、完整性B、可用性C、保密性D、可靠性5、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼6、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定7、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、作出是否換發(fā)證書的決定8、加密技術(shù)可以保護信息的(）A、機密性B、完整性C、可用性D、A+B9、組織應（）A、分離關(guān)鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關(guān)聯(lián)的職責及責任范圍10、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導進行溝通11、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)12、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序，數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)13、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡服務的訪問控制策略,以下正確的是()A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關(guān)閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制14、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果15、在考慮網(wǎng)絡安全策略時，應該在網(wǎng)絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷16、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達方式17、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序、數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)18、關(guān)于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明19、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育20、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力21、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性22、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護信息準確和完整的特性?23、對全國密碼工作實行統(tǒng)一領(lǐng)導的機構(gòu)是(）A、中央密碼工作領(lǐng)導機構(gòu)B、國家密碼管理部門C、中央國家機關(guān)D、全國人大委員會24、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項25、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式26、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產(chǎn)權(quán)保護B、公司信息保護C、個人隱私的保護D、以上都對27、風險責任人是指（）A、具有責任和權(quán)限管理一項風險的個人或?qū)嶓wB、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者28、保密性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対29、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件30、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年31、()是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障32、以下關(guān)于認證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應由認證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應對認證證書的使用進行監(jiān)督33、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定34、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術(shù)對其分析35、物理安全周邊的安全設置應考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C36、ISMS管理評審的輸出應考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務要求變更B、合同義務變更C、安全要求的變更D、以上都不對37、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時限和訪問類型B、對于多任務訪問，一次性賦予全任務權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應與其中的資產(chǎn)敏感性一致38、根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發(fā)生時B、應按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔39、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務40、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應定期檢查機房空調(diào)的有效性二、多項選擇題41、評價信息安全風險，包括（）A、將風險分析的結(jié)果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優(yōu)先級D、計算風險大小42、含有高等級敏感信息的設備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞43、關(guān)于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則44、關(guān)于目標，下列說法正確的是（）A、目標現(xiàn)的結(jié)果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產(chǎn)品45、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息46、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告47、關(guān)于“不可否認性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認性”的有效技術(shù)手段B、身份認證是實現(xiàn)“不可否認性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認性”的關(guān)鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性48、管理評審的輸出應包括（）A、與持續(xù)改進機會相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況49、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定50、最高管理層應通過（）活動，證實對信息安全管理體系的領(lǐng)導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結(jié)果51、某游戲開發(fā)公司按客戶的設計資料構(gòu)建游戲場景和任務的基礎要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與52、依據(jù)GB/T22080，經(jīng)管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略53、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致54、以下屬于“信息處理設施”的是（）A、信息處理系統(tǒng)B、信息處理相關(guān)的服務C、與信息處理相關(guān)的設備D、安置信息處理設備的物理場所與設施55、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息三、判斷題56、當需要時，組織可設計控制，或識別來自任何來源的控制。（）57、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項”（）58、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）59、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）60、創(chuàng)建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。61、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）62、敏感信息通過網(wǎng)絡傳輸時必須加密處理。（)63、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）64、實習審核員可以獨立完成審核任務。（）65、容量管理策略可以考慮增加容量或降低容量要求。（）

參考答案一、單項選擇題1、A2、C3、C解析:網(wǎng)絡安全法第七十六條，網(wǎng)絡，是指由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集，存儲，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡安全，是指通過采取必要措施，防范對網(wǎng)絡的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性，保密性，可用性的能力。故選C4、B5、C6、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實體的需求而定，故選A7、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應與其他監(jiān)督活動一起策劃，以使認證機構(gòu)能對獲證客戶管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標準的每次監(jiān)督審核應包括對以下方面的審查：（1）內(nèi)部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現(xiàn)獲證客戶目標和各管理體系的預期結(jié)果方面的有效性；（5）為持續(xù)改進而策劃的活動的進展；（6）持續(xù)的運作控制；（7）任何變更；（8）標志的使用和（或）任何其他對認證資格的引用。綜上A,B,C項均是監(jiān)督審核的目的，故選D。另外，再認證的策劃和及時實施，才能確保認證能在到期前及時更新，監(jiān)督審核不能決定是否換發(fā)證書8、D9、B解析:根據(jù)GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任范圍，以減少未授權(quán)或無意的修改或者不當使用組織資產(chǎn)的機會10、A11、C12、D13、B14、C15、B16、C17、D18、B19、A20、B21、B解析:引言