2022年第二期CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題含解析

2022年第二期CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題一、單項(xiàng)選擇題1、物理安全周邊的安全設(shè)置應(yīng)考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點(diǎn)考慮計算機(jī)機(jī)房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機(jī)制D、A+C2、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B3、風(fēng)險責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險的個人或?qū)嶓wB、實(shí)施風(fēng)險評估的組織的法人C、實(shí)施風(fēng)險評估的項(xiàng)目負(fù)責(zé)人或項(xiàng)目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者4、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時間間隔不能超過（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點(diǎn)目標(biāo)（RPO)C、恢復(fù)時間目標(biāo)（RTO)D、最長可接受終端時間（MAO)5、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況6、()是風(fēng)險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險管理程序7、從計算機(jī)安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機(jī)舞弊B、欺騙或脅迫C、計算機(jī)偷竊D、計算機(jī)破壞8、在實(shí)施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險評估D、滲透測試和漏洞掃描不可替代風(fēng)險評估9、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年10、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個人隱私的保護(hù)D、以上都對11、組織應(yīng)()與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保12、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果13、信息安全的機(jī)密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實(shí)體或過程利用或知悉的特性C、根據(jù)授權(quán)實(shí)體的要求可訪問的特性D、保護(hù)信息準(zhǔn)確和完整的特性?14、信息安全殘余風(fēng)險是（）。A、沒有處置完成的風(fēng)險B、沒有評估的風(fēng)險C、處置之后仍存在的風(fēng)險D、處置之后沒有報告的風(fēng)險15、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼16、風(fēng)險評價是指（）A、系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B、將估算的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程C、指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D、以上都對17、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任18、在以下認(rèn)為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改19、組織應(yīng)（），以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達(dá)到必要的程度B、保持文件化信息達(dá)到必要的程度C、保持文件化信息達(dá)到可用的程度D、產(chǎn)生文件化信息達(dá)到必要的程度20、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄21、若通過桌面系統(tǒng)對終端實(shí)行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達(dá)到50%以上即可22、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A23、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度24、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保25、下列哪個選項(xiàng)不屬于審核組長的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通26、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4027、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶28、組織應(yīng)（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)29、末次會議包括（）A、請受審核方確認(rèn)不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、以上都不準(zhǔn)確30、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對31、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險越小C、針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)風(fēng)險的最佳途徑32、ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進(jìn)的建議33、關(guān)于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意34、對于所有擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)通過（）過程進(jìn)行評審。A、薄弱環(huán)節(jié)識別B、風(fēng)險分析C、管理方案D、A+CE、A+B35、關(guān)于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)36、依據(jù)GB/T29246,控制目標(biāo)指描述控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的（）。A、說明B、聲明C、想法D、描述37、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部38、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ?。A、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)39、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件40、關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國家信息安全產(chǎn)品人證機(jī)構(gòu)頒發(fā)的認(rèn)證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞二、多項(xiàng)選擇題41、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類42、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項(xiàng)目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項(xiàng)目組創(chuàng)建了項(xiàng)目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項(xiàng)目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項(xiàng)目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與43、某組織在酒店組織召開內(nèi)容敏感的會議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機(jī)，這符合A11,2的要求B、進(jìn)入會議室人員被要求手機(jī)不得帶入，這符合A11,1的要求C、對于可進(jìn)入會議室提供茶水服務(wù)的酒店服務(wù)生進(jìn)行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質(zhì)會議資料留下由服務(wù)生統(tǒng)一回收，這符合A8,3的要求44、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告45、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益46、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性47、在設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機(jī)會，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動設(shè)備中的相機(jī)48、以下場景中符合GB/T22080-20161SO1EC27001:2013標(biāo)準(zhǔn)要求的情況是（）A、某公司為保潔人員發(fā)放了公司財務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標(biāo)上紅橙黃藍(lán)標(biāo)志C、某公司為少數(shù)核心項(xiàng)目人員發(fā)放了手機(jī)，允許其使用手機(jī)在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機(jī)帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘49、關(guān)于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則50、為控制文件化信息，適用時，組織應(yīng)強(qiáng)調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理51、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時，其原使用計算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致52、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營C、維護(hù)D、使用53、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實(shí)守信B、保密性C、基于風(fēng)險D、基于事實(shí)的決策方法54、下列有關(guān)涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機(jī)構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運(yùn)行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計算機(jī)重裝操作系統(tǒng)后可降為非涉密計算機(jī)使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)55、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)三、判斷題56、審核員由實(shí)習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過4次完整體系20天的審核。（）57、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進(jìn)信息安全管理體系的承諾。58、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的接受和批準(zhǔn)。59、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）60、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）61、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）62、當(dāng)需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）63、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。（）64、計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸檢索等處理的人機(jī)系統(tǒng)（）65、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬

參考答案一、單項(xiàng)選擇題1、D2、A3、A4、C5、B6、C解析:參考iso/iec27005，風(fēng)險管理包括風(fēng)險評估，風(fēng)險處置，風(fēng)險接受，風(fēng)險溝通，風(fēng)險監(jiān)視和風(fēng)險評審。因此風(fēng)險處置計劃是風(fēng)險管理的重要一環(huán)，故選C7、B8、D9、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項(xiàng)不超過三十年,機(jī)密級事項(xiàng)不超過二十年,秘密級事項(xiàng)不超過十年10、D11、A12、C13、B14、C解析:參考GB/T20984-2007信息安全風(fēng)險評估規(guī)范，3,12殘余風(fēng)險是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。故選C15、D16、B17、A解析:《中華人民共和國網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。故選A18、D19、B20、D21、A22、A23、D24、A解析:理解組織及其環(huán)境25、A26、A27、C28、C29、C30、B解析:so9000-20153,4,1過程，利