2022年第二期CCAA注冊審核員ISMS信息安全管理體系模擬試題含解析

2022年第二期CCAA注冊審核員ISMS信息安全管理體系模擬試題一、單項選擇題1、《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、20212、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風險評估D、容災和數(shù)據(jù)備份3、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力4、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC405、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保6、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局7、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果8、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡結構C、應用系統(tǒng)D、技術管理9、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見10、有關信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價值，基本水平的保護都會被實施B、對所有信息資產(chǎn)保護都投入相同的資源C、對信息資產(chǎn)實施適當水平的保護D、信息資產(chǎn)過度的保護11、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限12、由認可機構對認證機構、檢測機構、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審13、()是風險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序14、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改15、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎B、采用組織固定資產(chǎn)臺賬即可C、無需關注資產(chǎn)產(chǎn)權歸屬者D、A+B16、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700517、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當?shù)谋ＷoC、確保信息得到保護D、確保信息按照其級別得到處理18、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃19、對于較大范圍的網(wǎng)絡，網(wǎng)絡隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網(wǎng)絡D、以上都對20、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次21、組織應在相關（）上建立信息安全目標A、組織環(huán)境和相關方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次22、關于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息23、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件24、管理體系是實現(xiàn)組織目標的方針、（）、指南和相關資源的框架A、目標B、規(guī)程C、文件D、記錄25、當發(fā)生不符合時，組織應（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應，適用時：采取措施，以控制予以糾正；處理后果26、下列措施中，（）是風險管理的內容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是27、涉及運行系統(tǒng)驗證的審計要求和活動，應（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務過程的連續(xù)28、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略29、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901130、某公司進行風險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網(wǎng)絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規(guī)避C、風險轉移D、風險減緩31、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態(tài)B、斷開網(wǎng)絡并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標32、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保33、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致34、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息35、GB/T22080標準中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務的敏感度C、資產(chǎn)的折損率D、以上全部36、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結構型37、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應38、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄39、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險40、在現(xiàn)場審核結束之前，下列哪項活動不是必須的？（）A、關于客戶組織ISMS與認證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報告D、聽取客戶對審核發(fā)現(xiàn)提出的問題二、多項選擇題41、《中華人民共和國網(wǎng)絡安全法》的宗旨是（）A、維護網(wǎng)絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益42、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理43、關于“不可否認性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認性”的有效技術手段B、身份認證是實現(xiàn)“不可否認性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性44、對于信息安全方針,（）是GB/T22080-2016標準要求的A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審45、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容46、關于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術處理不得改作其他用途47、下列哪些是SSL支持的內容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data48、關于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則49、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險50、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性51、對風險安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數(shù)據(jù)采用安全標記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡安全等級測評工作52、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新53、《互聯(lián)網(wǎng)信息服務管理辦法》中對()類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類54、在信息安全事件管理中，（）是所有員工應該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件55、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了三、判斷題56、信息安全風險準則包括風險接受準則和風險評價準則。（）57、最高管理層應確保方針得到建立（）58、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。59、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）60、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾。（）61、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）62、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）63、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）64、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）65、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）

參考答案一、單項選擇題1、D2、A3、B4、A5、A6、B7、C8、D9、A10、C11、C12、B13、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監(jiān)視和風險評審。因此風險處置計劃是風險管理的重要一環(huán)，故選C14、D15、A16、B17、A18、C19、B20、A21、D22、B23、D24、B25、D26、D27、A28、D29、A30、B31、D32、A解析:理解組織及其環(huán)境33、B34、C35、B36、A37、D38、D39、C解析:參考GB/T20984-2007信息安全風險評估規(guī)范，3,12殘余風險是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。故選C40、C二、多項選擇題41、A,B,C,D42、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理體系及本標準要求的文件化信息應得到控制，以確保：在需要的時間和地點，是可用的和適宜使用的；得到充分的保護（如避免保密性損失，不恰當使用，完整性受損失等）。為控制文件化信息，適用時，組織應強調下列活動：1,分發(fā)、訪問、檢索和使用；2,存儲和保護，包括保持可讀性；3,控制變更（如版本控制）；4,保留和處置。綜上，本題選ABCD43、A,B,C,D44、A,D45、B,C,D解析:參考27002,9,2,4用戶的秘密鑒別信息管理，B、C、D均正確，同時該控制中，還包含：46、A,C,D47、A,B,C,D48、A,B,C,D49、B,C,D50、