2022年第三期CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系含解析

2022年第三期CCAA國家注冊審核員復(fù)習(xí)題—ISMS信息安全管理體系一、單項選擇題1、關(guān)于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡(luò)安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令2、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應(yīng)（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風(fēng)險的準則和風(fēng)險的可接受級別D、其他選項均不正確3、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設(shè)備設(shè)施予以檢查驗證,對于離開組織的設(shè)備設(shè)施則不必驗證B、對于離開組織的設(shè)備設(shè)施予以檢查驗證,對于進入組織的設(shè)備設(shè)施則不必驗證C、對于進入和離開組織的設(shè)備設(shè)施均須檢查驗證D、對于進入和離開組織的設(shè)備設(shè)施，驗證攜帶者身份信息;可替代對設(shè)備設(shè)施的驗證4、由認可機構(gòu)對認證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審5、訪問控制是指確定（）以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵6、《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)B、計算機及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計算機運算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個組織所有計算機的總和，包括未聯(lián)網(wǎng)的微型計算機7、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項性能（）A、完整性B、可用性C、保密性D、可靠性8、涉及運行系統(tǒng)驗證的審計要求和活動，應(yīng)（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務(wù)過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務(wù)過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務(wù)過程的連續(xù)9、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠程視頻的形式D、以上都對10、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)11、保密性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対12、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問13、密碼技術(shù)不適用于控制下列哪種風(fēng)險？（）A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險D、數(shù)據(jù)被非授權(quán)訪問的風(fēng)險14、組織應(yīng)（），以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度15、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)16、下列管理評審的方式，哪個不滿足標準的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網(wǎng)絡(luò)會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審17、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年18、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部19、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部20、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標21、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審22、關(guān)于文件管理下列說法錯誤的是（）A、文件發(fā)布前應(yīng)得到批準，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準C、應(yīng)確保文件保持清晰，易于識別D、作廢文件應(yīng)及時銷毀，防止錯誤使用23、依據(jù)GB/T220802016/SO/EC.27001:2013標準，組織應(yīng)（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力24、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務(wù)器C、個人使用的電腦D、審核記錄25、下列不一定要進行風(fēng)險評估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計劃的時間間隔26、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）C、在指紋識別的基礎(chǔ)上增加口令保護D、保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)27、計算機信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產(chǎn)品28、風(fēng)險偏好是組織尋求或保留風(fēng)險的（）A、行動B、計劃C、意愿D、批復(fù)29、Saas是指(）A、軟件即服務(wù)B、服務(wù)平臺即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)30、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性31、信息安全管理中，關(guān)于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術(shù)脆弱性B、軟件開發(fā)人員為方便維護留的后門是脆弱性的一種C、識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，不包括當前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機會32、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排33、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除34、最高管理層應(yīng)（），以確保信息安全管理體系符合本標準要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限35、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼36、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對37、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風(fēng)險分析、風(fēng)險評價、風(fēng)險處理的整個過程稱為風(fēng)險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響38、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃39、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件40、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤二、多項選擇題41、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動42、某組織在酒店組織召開內(nèi)容敏感的會議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務(wù)的酒店服務(wù)生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質(zhì)會議資料留下由服務(wù)生統(tǒng)一回收，這符合A8,3的要求43、對于審核發(fā)現(xiàn)（）A、審核組應(yīng)根據(jù)需要，在審核的適當階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求，只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn)，以確認審核證據(jù)的準確性，并得到受審核方的理解D、包括正面的和負面的發(fā)現(xiàn)44、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度45、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對相關(guān)方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜46、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)47、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓(xùn)效果,盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時，其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致48、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途49、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當通過國家保密局授權(quán)的檢測機構(gòu)檢測C、使用的信息安全保密產(chǎn)品應(yīng)當通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平50、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動51、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數(shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準發(fā)布，并傳達給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實施評審52、設(shè)計一個信息安全風(fēng)險管理工具，應(yīng)包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風(fēng)險趨勢分析D、信息安全事件管理流程53、依據(jù)GB/T22080，經(jīng)管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略54、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中55、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場所等的冗余配置B、定期或?qū)崟r進行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標D、有保障信息安全連續(xù)性水平的過程和程序文件三、判斷題56、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）57、容量管理策略可以考慮增加容量或降低容量要求（）58、組織應(yīng)持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）59、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。60、從審核開始到結(jié)束,審核組長應(yīng)對審核實施負責(zé)61、組織使用云盤設(shè)施服務(wù)時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）62、審核組可以由一個人組成。（）63、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）64、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的接受和批準。65、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補充。（）

參考答案一、單項選擇題1、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當?shù)谋Ｗo，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護，故選C2、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應(yīng)在相關(guān)職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應(yīng)按計劃的時間間隔評審組織的信息