2022年第四期CCAA注冊審核員復習題-ISMS信息安全管理體系知識含解析

2022年第四期CCAA注冊審核員復習題—ISMS信息安全管理體系知識一、單項選擇題1、最高管理層應通過（）活動，證實對信息安全管理體系的領(lǐng)導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致C、領(lǐng)導建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致2、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構(gòu)應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布3、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對4、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B5、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對6、ISMS管理評審的輸出應包括（）A、可能影響ISMS的任何變更B、以往風險評估沒有充分強調(diào)的脆弱點或威脅C、風險評估和風險處理計劃的更新D、改進的建議7、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡結(jié)構(gòu)C、應用系統(tǒng)D、技術(shù)管理8、下列措施中不能用于防止非授權(quán)訪問的是（）A、采取密碼技術(shù)B、采用最小授權(quán)C、采用權(quán)限復查D、采用日志記錄9、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡結(jié)構(gòu)C、應用系統(tǒng)D、技術(shù)管理10、依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確11、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確12、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復13、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼14、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)15、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素16、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標準族已發(fā)布標準的介紹D、1SMS標準族中使用的所有術(shù)語和定義17、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件18、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型19、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設施C、人力資源D、以上全部20、安全掃描可以實現(xiàn)（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產(chǎn)生的問題C、彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流21、關(guān)于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令22、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確23、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B24、關(guān)于《中華人民共和國網(wǎng)絡安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設施建設時須保證安全技術(shù)措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎(chǔ)設施建設時須保證安全技術(shù)措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統(tǒng)建設時須保證安全技術(shù)措施同步規(guī)劃、同步建設、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設時須保證安全技術(shù)措施同步規(guī)劃、同步建設,同步使用25、當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關(guān)鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認26、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排27、ISMS文件的多少和詳細程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對28、口令管理系統(tǒng)應該是（）,并確保優(yōu)質(zhì)的口令A、唯一式B、交互式C、專人管理式D、A+B+C29、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求30、依據(jù)GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術(shù)對其分析B、確保信息按照其對組織的重要程度受到適當水平的保護C、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責任31、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審32、加密技術(shù)可以保護信息的(）A、機密性B、完整性C、可用性D、A+B33、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、434、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風險評估D、容災和數(shù)據(jù)備份35、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應單獨管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術(shù)脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術(shù)脆弱性的所有補丁是應對脆弱性相關(guān)風險的最佳途徑36、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關(guān)鍵信息資源，在評估這樣一個軟件產(chǎn)品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價37、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務系統(tǒng)操作指南38、有關(guān)信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價值，基本水平的保護都會被實施B、對所有信息資產(chǎn)保護都投入相同的資源C、對信息資產(chǎn)實施適當水平的保護D、信息資產(chǎn)過度的保護39、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子?（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞40、()是風險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序二、多項選擇題41、下列哪項屬于《認證機構(gòu)管理辦法》中規(guī)定的設立認證機構(gòu)應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領(lǐng)域的專職認證人員D、具有符合認證認可要求的管理制度42、某游戲開發(fā)公司按客戶的設計資料構(gòu)建游戲場景和任務的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與43、關(guān)于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容44、計算機信息系統(tǒng)的安全保護，應保障（）A、計算機及相關(guān)配套設施的安全B、網(wǎng)絡安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮45、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識46、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置47、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設備管理D、處理器管理48、以下屬于訪問控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒49、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中50、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結(jié)果對比，B正確。自評估可由發(fā)起方實施或委托風險評估服務技術(shù)支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法展開的風險評估。本題選ABC51、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動52、在信息安全事件管理中，（）是所有員工應該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件53、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規(guī)避風險54、下列屬于“開發(fā)安全”活動的是（）。A、應規(guī)范用戶修改軟件包，必須的修改應嚴格管制B、應用系統(tǒng)若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發(fā)避免外包或采購D、軟件的采購應注意其是否內(nèi)藏隱密通道及特洛伊木馬程序55、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術(shù)語類三、判斷題56、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補充。（）57、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）58、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項”（）59、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）60、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）61、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。62、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）63、當需要時，組織可設計控制，或識別來自任何來源的控制。（）64、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設備，因此認證審核時不必審核計算機機房物理安全的相關(guān)內(nèi)容()65、組織業(yè)務運行使用云基礎(chǔ)設施服務,同時員工通過自有手機APP執(zhí)行業(yè)務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）

參考答案一、單項選擇題1、B2、C3、B4、A5、A6、C7、D8、D9、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當?shù)拇胧﹣響獙ο嚓P(guān)風險。故選D10、D解析:網(wǎng)絡安全法第45條，依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業(yè)秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D11、D解析:信息處理設施，任何的信息處理系統(tǒng)，服務或基礎(chǔ)設施，或其安裝的物理位置，abc選項均屬于信息處理設施變更管理范疇，故選D12、C13、C14、D15、A16、D17、C18、A19、D20、C21、C解析:應確保秘密鑒別信息的保密性，確保鑒別信息得到適當?shù)谋Ｗo，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護，故選C22、D23、B24、A25、B解析:2700214,2,3運行平臺變更后對應用的技術(shù)評審，當運行平臺發(fā)生變更時，應對業(yè)務的關(guān)鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B26、A27、D28、B29、B30、B31、D32、D33、A34、A35、C36、D37、D38、C39、B40、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險