2022年第一期CCAA國家注冊審核員考試題目-ISMS信息安全管理體系知識含解析

2022年第一期CCAA國家注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、安全標(biāo)簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強制性訪問控制策略2、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式3、風(fēng)險處置是（）A、識別并執(zhí)行措施來更改風(fēng)險的過程B、確定并執(zhí)行措施來更改風(fēng)險的過程C、分析并執(zhí)行措施來更改風(fēng)險的過程D、選擇并執(zhí)行措施來更改風(fēng)險的過程4、關(guān)于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息5、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計劃C、實施ISMS內(nèi)部審核D、主持ISMS管理評審6、某公司進(jìn)行風(fēng)險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患、為了處置這個風(fēng)險，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）A、風(fēng)險接受B、風(fēng)險規(guī)避C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩7、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準(zhǔn)D、以上全部8、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期9、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作10、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件11、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)12、()是風(fēng)險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險管理程序13、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險評估程序14、以下對GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評估D、組織在建立ISMS時，必須滿足該標(biāo)準(zhǔn)的所有要求15、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701416、關(guān)于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901117、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部18、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進(jìn)階段19、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機20、gb17859-1999提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求A、2B、3C、5D、721、設(shè)備維護(hù)維修時，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部22、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ?。A、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)23、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時24、容災(zāi)的目的和實質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞25、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應(yīng)定期檢查機房空調(diào)的有效性26、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍27、為確保采用一致和有效的方法對信息安全事件進(jìn)行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責(zé)任B、建立信息安全事件管理規(guī)程C、對信息安全事件進(jìn)行響應(yīng)D、在組織內(nèi)通報信息安全事件28、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理29、在現(xiàn)場審核結(jié)束之前，下列哪項活動不是必須的？（）A、關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報告D、聽取客戶對審核發(fā)現(xiàn)提出的問題30、下列不一定要進(jìn)行風(fēng)險評估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計劃的時間間隔31、造成計算機系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時打補丁B、使用弱口令C、連接不加密的無線網(wǎng)絡(luò)D、以上都對32、在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果33、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性34、第三方認(rèn)證審核時，對于審核提出的不符合項，審核組應(yīng)：（）A、與受審核方共同評審不符合項以確認(rèn)不符合的條款B、與受審核方共同評審不符合項以確認(rèn)不符合事實的準(zhǔn)確性C、與受審核方共同評審不符合以確認(rèn)不符合的性質(zhì)D、以上都對35、當(dāng)操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行()以確保對組織的運行和安全沒有負(fù)面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認(rèn)36、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202137、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以38、()對于信息安全管理負(fù)有責(zé)任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員39、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權(quán)限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份40、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對二、多項選擇題41、風(fēng)險處置包括（)A、風(fēng)險降低B、風(fēng)險計劃C、風(fēng)險控制D、風(fēng)險轉(zhuǎn)移42、下列說法正確的是（）A、殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針43、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性44、審核計劃中應(yīng)包括（）A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排45、風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴46、以下屬于“信息處理設(shè)施”的是（）A、信息處理系統(tǒng)B、信息處理相關(guān)的服務(wù)C、與信息處理相關(guān)的設(shè)備D、安置信息處理設(shè)備的物理場所與設(shè)施47、組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動是A、審核準(zhǔn)備B、第一階段審核C、第二階段審核D、認(rèn)證決定48、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、風(fēng)險處理49、《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動，提高產(chǎn)品、服務(wù)的（），促進(jìn)經(jīng)濟(jì)和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力50、第二階段審核中，應(yīng)重點審核被審核單位的（）。A、最高管理者的領(lǐng)導(dǎo)力B、與信息安全有關(guān)的風(fēng)險C、基于風(fēng)險評估和風(fēng)險處置過程D、ISMS有效性51、關(guān)于鑒別信息保護(hù)，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應(yīng)提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護(hù)可作為任用條件或條款的內(nèi)容52、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備53、在開展信息安全績效和ISMS有效性評價時，組織應(yīng)確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員54、設(shè)計一個信息安全風(fēng)險管理工具，應(yīng)包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風(fēng)險趨勢分析D、信息安全事件管理流程55、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實施培訓(xùn)和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施三、判斷題56、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）57、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）58、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。59、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）60、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）61、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險評估，這在認(rèn)證審核時是可接受的（）62、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。63、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）64、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）65、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。

參考答案一、單項選擇題1、D2、D3、D解析:風(fēng)險處置，是指選擇并且執(zhí)行措施來更改風(fēng)險的過程。故選D4、B5、D6、B7、D8、A9、B10、D11、D12、C解析:參考iso/iec27005，風(fēng)險管理包括風(fēng)險評估，風(fēng)險處置，風(fēng)險接受，風(fēng)險溝通，風(fēng)險監(jiān)視和風(fēng)險評審。因此風(fēng)險處置計劃是風(fēng)險管理的重要一環(huán)，故選C13、B14、B15、D16、A17、C18、C19、B20、C解析:《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》規(guī)定了計算機系統(tǒng)安全保護(hù)能力的五個等級21、D22、D23、A24、C25、B26、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機會27、D28、D29、C30、D31、D32、C33、C34、B35、B36、D37、B38、D39、D40、D解析:270019,3管理評審，管理評審的輸出應(yīng)包括與持續(xù)改進(jìn)機會相關(guān)的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應(yīng)控制影響信息安全的變更，包括組織，業(yè)務(wù)過程，信息處理設(shè)施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理，故選D二、多項選擇題41、A,D42、應(yīng)以安全的方式將臨時秘密鑒別信息提供給用戶；應(yīng)避免使用外部防火未受保護(hù)的（明文）電子郵件。綜上本題選BCD43、A,B,C44、A,B解析:參考270013,2信息傳輸，不宜通過微信等不安全的通信方式傳輸商業(yè)秘密，本題選AB45、A,B,D解析:a選項正確，參考270016,1,3f)獲得風(fēng)險責(zé)任人對信息安全處置計劃以及對信息安全參與風(fēng)險的接受的批準(zhǔn)。B項正確，270016,1,3d)適用性聲明，包含必要的控制及其選擇的合理性說明，以及對附錄A控制刪