2022年第一期CCAA國(guó)家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題含解析

2022年第一期CCAA國(guó)家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題一、單項(xiàng)選擇題1、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A2、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對(duì)其的處理方式不包括(）A、自動(dòng)恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對(duì)其發(fā)出警告D、鎖定鍵盤鼠標(biāo)3、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保4、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子?（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞5、容量管理的對(duì)象包括（）A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部6、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)7、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對(duì)8、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級(jí)機(jī)關(guān)9、ISMS關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議的（）系統(tǒng)A、報(bào)告B、傳遞C、評(píng)價(jià)D、測(cè)量10、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實(shí)現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險(xiǎn)隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險(xiǎn)釣魚11、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評(píng)審的執(zhí)行12、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊(cè)與標(biāo)準(zhǔn)的符合程度13、GB/T22080-2016中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部14、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA15、下列不屬于取得認(rèn)證機(jī)構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場(chǎng)所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認(rèn)證人員16、組織應(yīng)()與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保17、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響?（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)18、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以19、在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙20、()屬于管理脆弱性的識(shí)別對(duì)象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理21、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，審核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上都不可以22、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織（）實(shí)施風(fēng)險(xiǎn)評(píng)估A、應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)B、應(yīng)按計(jì)劃的時(shí)間間隔且當(dāng)重大變更提出或發(fā)生時(shí)C、只需在重大變更發(fā)生時(shí)D、只需按計(jì)劃的時(shí)間間隔23、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)，是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)24、完整性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對(duì)25、以下哪個(gè)選項(xiàng)不是ISMS第一階段審核的目的（）A、獲取對(duì)組織信息安全管理體系的了解和認(rèn)識(shí)B、了解客戶組織的審核準(zhǔn)備狀態(tài)C、為計(jì)劃2階段審核提供重點(diǎn)D、確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求26、安全標(biāo)簽是一種訪問控制機(jī)制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強(qiáng)制性訪問控制策略27、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人的各種信息屬于個(gè)人信息B、自然人的身份證號(hào)碼、電話號(hào)碼屬于個(gè)人信息C、自然人的姓名、住址不屬于個(gè)人信息D、自然人的出生日期屬于個(gè)人信息28、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機(jī)房的服務(wù)器C、個(gè)人使用的電腦D、審核記錄29、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審30、某公司進(jìn)行風(fēng)險(xiǎn)評(píng)估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患、為了處置這個(gè)風(fēng)險(xiǎn)，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）A、風(fēng)險(xiǎn)接受B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩31、公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開機(jī)密碼少于6位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須6位及以上，那么中哪一項(xiàng)不是針對(duì)該問題的糾正措施？()A、要求員工立即改正B、對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C、通過域控進(jìn)行強(qiáng)制管理D、對(duì)所有員工進(jìn)行意識(shí)教育32、桌面系統(tǒng)級(jí)聯(lián)狀態(tài)下，關(guān)于上級(jí)服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級(jí)管理員無權(quán)修改，不可刪除B、下級(jí)管理員無權(quán)修改，可以刪除C、下級(jí)管理員可以修改，可以刪除D、下級(jí)管理員可以修改，不可刪除33、下面哪個(gè)不是《中華人民共和國(guó)密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國(guó)家密碼D、商用密碼34、《信息安全技術(shù)信息安全事件分類分級(jí)指南》中的災(zāi)害性事件是由于（）對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障35、我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)共分幾個(gè)級(jí)別？（）A、7B、4C、5D、636、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍37、下面哪個(gè)不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型38、在認(rèn)證審核時(shí)，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確39、文件初審是評(píng)價(jià)受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對(duì)40、以下哪項(xiàng)不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣二、多項(xiàng)選擇題41、對(duì)于組織在風(fēng)險(xiǎn)處置過程中所選的控制措施，以下說法正確的是（）A、將所有風(fēng)險(xiǎn)都必須被降低至可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)42、投訴處理過程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評(píng)審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止43、在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)B、為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評(píng)審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)44、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場(chǎng)所和必備設(shè)施B、注冊(cè)資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度45、最高管理層應(yīng)通過（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)D、確保信息安全管理體系達(dá)到預(yù)期結(jié)果46、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理47、關(guān)于云計(jì)算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實(shí)施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則48、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類49、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會(huì)工程攻擊D、DOS攻擊50、對(duì)于審核發(fā)現(xiàn)（）A、審核組應(yīng)根據(jù)需要，在審核的適當(dāng)階段共同評(píng)審審核發(fā)現(xiàn)B、根據(jù)審核計(jì)劃和檢査表要求，只需記錄每個(gè)不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評(píng)審不符合的審核發(fā)現(xiàn)，以確認(rèn)審核證據(jù)的準(zhǔn)確性，并得到受審核方的理解D、包括正面的和負(fù)面的發(fā)現(xiàn)51、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理52、管理評(píng)審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性53、在開展信息安全績(jī)效和ISMS有效性評(píng)價(jià)時(shí)，組織應(yīng)確定（）A、監(jiān)視、測(cè)量、分析和評(píng)價(jià)的過程B、適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法C、需要被監(jiān)視和測(cè)量的內(nèi)容D、監(jiān)視、測(cè)量、分析和評(píng)價(jià)的執(zhí)行人員54、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障（）A、計(jì)算機(jī)及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運(yùn)行環(huán)境安全D、計(jì)算機(jī)功能和正常發(fā)揮55、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動(dòng)還是異常波動(dòng)三、判斷題56、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）57、客戶所有場(chǎng)所業(yè)務(wù)的范圍相同，且在同一ISMS下運(yùn)行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評(píng)審時(shí)，認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的認(rèn)證審核（)58、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）59、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。60、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）61、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）62、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。63、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）64、某組織租用第三方數(shù)據(jù)中心機(jī)房托管其IT系統(tǒng)設(shè)備，因此認(rèn)證審核時(shí)不必審核計(jì)算機(jī)機(jī)房物理安全的相關(guān)內(nèi)容()65、敏感標(biāo)記表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，可信計(jì)算機(jī)中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)（）。

參考答案一、單項(xiàng)選擇題1、A2、D3、A解析:理解組織及其環(huán)境4、B5、D6、D7、A8、A9、D10、B11、A12、C13、B14、B15、C16、A17、D18、B19、A20、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣響?yīng)對(duì)相關(guān)風(fēng)險(xiǎn)。故選D21、B22、A23、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實(shí)現(xiàn)信息安全管理體系過程中選擇控制時(shí)的參考，或作為組織在實(shí)現(xiàn)通用信息安全控制時(shí)的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù)，故選B24、C25、D26、D27、C28、D29、D30、B31、A32、A33、C34、C35、C36、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)37、A38、B39、A40、A二、多項(xiàng)選擇題41、B,C,D42、A,B,C,D43、A,B44、A,C,D45、A,B,C,D46、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理體系及本標(biāo)準(zhǔn)要求的文件化信息應(yīng)得到控制，以確保：在需要的時(shí)間和地點(diǎn)，是可用的和適宜使用的；得到充分的保護(hù)（如避免保密性損失，不恰當(dāng)使用，完整性受損失等）。為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)下列活動(dòng)：1,分發(fā)、訪問、檢索和使用；2,存儲(chǔ)和保護(hù)，包括保持可讀性；3,控制變更（如版本控制）；4,保留和處置。綜上，本題選ABCD47、A,B,D48、A,B,C,D49、A,B,D50、