2022年第四期CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析

2022年第四期CCAA國家注冊審核員復(fù)習(xí)題—ISMS信息安全管理體系知識一、單項選擇題1、下列關(guān)于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作2、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式3、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機(jī)密D、秘密4、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期5、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知6、組織機(jī)構(gòu)在建立和評審ISMS時，應(yīng)考慮（）A、風(fēng)險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C7、文件化信息創(chuàng)建和更新時，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)8、經(jīng)過風(fēng)險處理后遺留的風(fēng)險通常稱為（）A、重大風(fēng)險B、有條件的接受風(fēng)險C、不可接受的風(fēng)險D、殘余風(fēng)險9、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部10、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠(yuǎn)程視頻的形式D、以上都對11、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣12、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR13、對于可能超越系統(tǒng)和應(yīng)用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實用程序清單C、緊急響應(yīng)時所使用的實用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實用程序清單14、局域網(wǎng)環(huán)境下與大型計算機(jī)環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議15、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排16、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701417、根據(jù)《信息安全等級保護(hù)管理辦法》,對于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證18、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上都不可以19、計算機(jī)病毒系指_____。A、生物病毒感染B、細(xì)菌感染C、被損壞的程序D、特制的具有損壞性的小程序20、信息安全管理體系的設(shè)計應(yīng)考慮（）A、組織的戰(zhàn)B、組織的目標(biāo)和需求C、組織的業(yè)務(wù)過程性質(zhì)D、以上全部21、當(dāng)操作系統(tǒng)發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認(rèn)22、關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務(wù)活動23、ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進(jìn)的建議24、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)25、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)26、下列()不是創(chuàng)建和維護(hù)測量要執(zhí)行的活動。A、開展測量活動B、識別當(dāng)前支持信息需求的安全實踐C、開發(fā)和更新測量D、建立測量文檔并確定實施優(yōu)先級27、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護(hù)28、組織應(yīng)（）。A、對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級B、對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級C、對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級D、對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級29、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用30、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時31、關(guān)于系統(tǒng)運(yùn)行日志，以下說法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志32、當(dāng)操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行()以確保對組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認(rèn)33、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對34、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部35、造成計算機(jī)系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時打補(bǔ)丁B、使用弱口令C、連接不加密的無線網(wǎng)絡(luò)D、以上都對36、組織應(yīng)（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保37、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍38、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ?。A、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)39、()對于信息安全管理負(fù)有責(zé)任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員40、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D、審核中的觀察項二、多項選擇題41、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機(jī)構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)42、以下場景中符合GB/T22080-20161SO1EC27001:2013標(biāo)準(zhǔn)要求的情況是（）A、某公司為保潔人員發(fā)放了公司財務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標(biāo)上紅橙黃藍(lán)標(biāo)志C、某公司為少數(shù)核心項目人員發(fā)放了手機(jī)，允許其使用手機(jī)在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機(jī)帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘43、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備44、風(fēng)險處置的可選措施包括（）。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩45、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實施培訓(xùn)和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施46、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于（）A、指導(dǎo)組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對47、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動48、下列哪項屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度49、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務(wù)結(jié)束的情況D、員工出差50、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過風(fēng)險評估51、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營C、維護(hù)D、使用52、關(guān)于按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后53、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項B、國民經(jīng)濟(jì)和社會發(fā)展中的秘密事項C、科學(xué)技術(shù)中的秘密事項D、國防建設(shè)和武裝力量活動中的秘密事項54、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計劃D、審核方案是審核計劃的輸入55、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)三、判斷題56、信息安全風(fēng)險準(zhǔn)則包括風(fēng)險接受準(zhǔn)則和風(fēng)險評價準(zhǔn)則。（）57、ISO/IEC27018是用于對云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）58、通過修改某種已知計算機(jī)病毒的代碼，使其能夠躲過現(xiàn)有計算機(jī)病毒檢測程序時，可以稱這種新出現(xiàn)的計算機(jī)病毒是原來計算機(jī)病毒的變形。59、中華人民共和國境內(nèi)的計算機(jī)信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計算機(jī)的安全保護(hù)辦法,另行制定。60、創(chuàng)建和更新文件化信息時，組織應(yīng)確保對其適宜性和充分性進(jìn)行評審和批準(zhǔn)。61、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險評估，這在認(rèn)證審核時是可接受的（）62、當(dāng)需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）63、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）64、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實施的（）65、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）

參考答案一、單項選擇題1、A2、D3、B4、B5、D6、E7、D8、D9、B10、A11、A12、B13、D14、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計算機(jī)環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B15、A16、D17、A18、B19、D20、D21、B解析:2700214,2,3運(yùn)行平臺變更后對應(yīng)用的技術(shù)評審，當(dāng)運(yùn)行平臺發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對組織的運(yùn)行和安全沒有負(fù)面影響。故選B22、C23、C24、D25、D26、D27、C解析:網(wǎng)絡(luò)安全法第七十六條，網(wǎng)絡(luò)，是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集，存儲，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性，保密性，可用性的能力。故選C28、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信