2022年第三期CCAA注冊審核員復習題-ISMS信息安全管理體系含解析

2022年第三期CCAA注冊審核員復習題—ISMS信息安全管理體系一、單項選擇題1、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?2、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞3、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護4、當操作系統(tǒng)發(fā)生變更時,應對業(yè)務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認5、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保6、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息7、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡釣魚攻擊DR8、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性9、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結構B、容錯能力C、網(wǎng)絡拓撲D、局域網(wǎng)協(xié)議10、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，則應具備的保護水平為：（）A、三級B、二級C、四級D、五級11、加密技術可以保護信息的(）A、機密性B、完整性C、可用性D、A+B12、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意13、在現(xiàn)場審核結束之前，下列哪項活動不是必須的？（）A、關于客戶組織ISMS與認證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報告D、聽取客戶對審核發(fā)現(xiàn)提出的問題14、以下關于認證機構的監(jiān)督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構的監(jiān)督方案應由認證機構和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監(jiān)督15、對于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更16、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、作出是否換發(fā)證書的決定17、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產(chǎn)品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價18、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃19、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致20、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應用網(wǎng)關C、擴展的日志記錄能力D、包交換21、對于較大范圍的網(wǎng)絡，網(wǎng)絡隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網(wǎng)絡D、以上都對22、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級23、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產(chǎn)權保護B、公司信息保護C、個人隱私的保護D、以上都對24、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審25、對于可能超越系統(tǒng)和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單26、涉及運行系統(tǒng)驗證的審計要求和活動，應（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務過程的連續(xù)27、根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發(fā)生時B、應按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔28、風險責任人是指（）A、具有責任和權限管理一項風險的個人或實體B、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者29、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求30、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡日志保存不得少于2個月B、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡日志保存不得少于12月C、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡日志保存不得少于6個月31、管理者應（）A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行32、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部33、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改34、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力35、保密協(xié)議或不泄露協(xié)議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規(guī)定36、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼37、描述組織采取適當?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序38、關于備份，以下說法正確的是(）A、備份介質中的數(shù)據(jù)應定期進行恢復測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質退化后應考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期39、下列()不是創(chuàng)建和維護測量要執(zhí)行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發(fā)和更新測量D、建立測量文檔并確定實施優(yōu)先級40、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信息A、相關方B、供應商C、顧客D、上級機關二、多項選擇題41、在信息安全事件管理中，（）是員工應該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件42、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中43、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉移44、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS45、為控制文件化信息，適用時，組織應強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理46、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計劃D、審核方案是審核計劃的輸入47、最高管理層應建立信息安全方針,方針應（）A、對相關方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜48、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員49、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應當通過國家保密局授權的檢測機構檢測C、使用的信息安全保密產(chǎn)品應當通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平50、管理評審的輸出應包括（）A、與持續(xù)改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執(zhí)行情況51、在信息安全事件管理中，（）是所有員工應該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件52、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應、溝通決定D、投訴終止53、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果54、《中華人民共和國網(wǎng)絡安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理。A、建設B、運營C、維護D、使用55、為控制文件化信息，適用時，組織應強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理三、判斷題56、審核方案應包括審核所需的資源，例如交通和食宿。（）57、當需要時，組織可設計控制，或識別來自任何來源的控制。（）58、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）59、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。60、《中華人民共和國網(wǎng)絡安全法》是2017年1月1日開始實施的（）61、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）62、計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）63、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）64、容量管理策略可以考慮增加容量或降低容量要求（）65、信息安全風險準則包括風險接受準則和風險評價準則。（）

參考答案一、單項選擇題1、A2、B3、A4、B5、A解析:理解組織及其環(huán)境6、C7、B8、C9、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡。而大型計算機環(huán)境是指類似服務器的大型網(wǎng)絡。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B10、A11、D12、C13、C14、B15、A解析:信息安全方針應：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當時，對相關方可用。故選A16、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應與其他監(jiān)督活動一起策劃，以使認證機構能對獲證客戶管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任。相關管理體系標準的每次監(jiān)督審核應包括對以下方面的審查：（1）內(nèi)部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現(xiàn)獲證客戶目標和各管理體系的預期結果方面的有效性；（5）為持續(xù)改進而策劃的活動的進展；（6）持續(xù)的運作控制；（7）任何變更；（8）標志的使用和（或）任何其他對認證資格的引用。綜上A,B,C項均是監(jiān)督審核的目的，故選D。另外，再認證的策劃和及時實施，才能確保認證能在到期前及時更新，監(jiān)督審核不能決定是否換發(fā)證書17、D18、C19、B20、D21、B22、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級23、D24、D25、D26、A27、A28、A29、B30、C31、A32、C33、D34、B35、A36、C37、B38、A39、D40、A二、多項選擇題41、A,C42、A,C,D43、A,D44、A,B,C45、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全