2022年第一期CCAA注冊審核員復習題-ISMS信息安全管理體系含解析

2022年第一期CCAA注冊審核員復習題—ISMS信息安全管理體系一、單項選擇題1、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼2、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣3、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行（）A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度4、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年5、當發(fā)現(xiàn)不符合項時，組織應對不符合做出反應，適用時（）。A、采取措施，以控制并予以糾正B、對產(chǎn)生的影響進行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生6、《信息安全管理體系認證機構要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網(wǎng)絡訪向的形式C、以遠程視頻的形式D、以上都対7、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制8、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序，數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)9、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級10、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡釣魚攻擊DR11、加密技術可以保護信息的(）A、機密性B、完整性C、可用性D、A+B12、在考慮網(wǎng)絡安全策略時，應該在網(wǎng)絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷13、關于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部14、依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確15、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局16、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用17、下列關于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內(nèi)部網(wǎng)絡可以無限制地訪問夕卜部網(wǎng)絡以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作18、組織在確定與ISMS相關的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象19、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業(yè)性的評審和批準20、容量管理的對象包括（）A、服務器內(nèi)存B、網(wǎng)絡通信帶寬C、人力資源D、以上全部21、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年22、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復23、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄24、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務符合有關法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度25、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵26、在形成信息安全管理體系審核發(fā)現(xiàn)時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性27、組織應（）A、采取過程的規(guī)程安全處置不需要的介質B、采取文件的規(guī)程安全處置不需要的介質C、采取正式的規(guī)程安全處置不需要的介質D、采取制度的規(guī)程安全處置不需要的介質28、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在()向當?shù)乜h民政府公安機關報告A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)29、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產(chǎn)品或過程30、計算機信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產(chǎn)品31、桌面系統(tǒng)級聯(lián)狀態(tài)下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除32、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎信息B、信息安全管理體系的介紹C、ISMS標準族已發(fā)布標準的介紹D、1SMS標準族中使用的所有術語和定義33、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)34、在運行階段，組織應（）A、策劃信息安全風險處置計劃，保留文件化信息B、實現(xiàn)信息安全風險處置計劃，保留文件化信息C、測量信息安全風險處置計劃，保留文件化信息D、改進信息安全風險處置計劃，保留文件化信息35、安全掃描可以實現(xiàn)（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產(chǎn)生的問題C、彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流36、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部37、口令管理系統(tǒng)應該是（）,并確保優(yōu)質的口令A、唯一式B、交互式C、專人管理式D、A+B+C38、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估39、以下不屬于信息安全事態(tài)或事件的是：A、服務、設備或設施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知40、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權的變更C、軟件或信息資產(chǎn)內(nèi)容構成與原件相比不發(fā)生缺失的情況D、設備系統(tǒng)的部件和配件不發(fā)生缺失的情況二、多項選擇題41、下列屬于“開發(fā)安全”活動的是（）。A、應規(guī)范用戶修改軟件包，必須的修改應嚴格管制B、應用系統(tǒng)若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發(fā)避免外包或采購D、軟件的采購應注意其是否內(nèi)藏隱密通道及特洛伊木馬程序42、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果43、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告44、《中華人民共和國網(wǎng)絡安全法》的宗旨是（）A、維護網(wǎng)絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益45、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結果C、審核結果D、信息安全方針完成情況46、在設計和應用安全區(qū)域工作規(guī)程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經(jīng)授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機47、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了48、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計劃D、審核方案是審核計劃的輸入49、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術50、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差51、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內(nèi)容C、不符合的原因D、不符合的性質52、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)53、計算機信息系統(tǒng)的安全保護，應保障;（）A、計算機及相關和配套設備的安全B、設施(含網(wǎng)絡)的安全C、運行壞境的安全D、計算機功能的正常發(fā)揮54、關于目標，下列說法正確的是（）A、目標現(xiàn)的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產(chǎn)品55、以下屬于“信息處理設施”的是（）A、信息處理系統(tǒng)B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施三、判斷題56、最高管理層應確保與信息安全相關角色的職責和權限得到分配和溝通。57、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）58、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）59、信息系統(tǒng)中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）60、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據(jù)。(）61、“資產(chǎn)清單”包含與信息生命周期有關的資產(chǎn)，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）62、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）63、訪問控制列表指由主體以及主體對客體的訪問權限所組成列表。64、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網(wǎng)絡的有效帶寬65、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）

參考答案一、單項選擇題1、D2、A3、C解析:《互聯(lián)網(wǎng)信息服務管理辦法》，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務實行備案制度，故選C4、D5、A解析:參考2700110,1當發(fā)生不符合時，組織應：對不符合做出反應，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A6、A7、A8、D9、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級10、B11、D12、B13、C14、D解析:網(wǎng)絡安全法第45條，依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業(yè)秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D15、B16、A17、A18、A19、D20、D21、D22、C23、D24、C25、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務和安全要求進行授權和限制的手段。A表述更為全面，B,C選項過于細化，故選A26、B27、C28、C29、D30、A31、A32、D33、D34、B35、C36、C37、B38、D39、D40、B二、多項選擇題41、A,B,C42、A,B,C,D43、A,B,C,D44、A