2022年第一期CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系含解析

2022年第一期CCAA注冊(cè)審核員考試題目—ISMS信息安全管理體系一、單項(xiàng)選擇題1、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)。A、2年B、3年C、4年D、5年2、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過(guò)程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度3、下列那些事情是審核員不必要做的？（）A、對(duì)接觸到的客戶信息進(jìn)行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達(dá)方式4、審核抽樣時(shí)，可以不考慮的因素是(）A、場(chǎng)所差異B、管理評(píng)審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果5、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限6、GB/T22080-2016中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部7、對(duì)保密文件復(fù)印件張數(shù)核對(duì)是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性8、信息安全管理體系是用來(lái)確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊(cè)與標(biāo)準(zhǔn)的符合程度9、審核計(jì)劃中不包括（）。A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排10、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊(cè)帳戶的時(shí)效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼11、《中華人民共和國(guó)密碼法》規(guī)定了國(guó)家秘密的范圍和密級(jí)，國(guó)家秘密的密級(jí)分為（）。A、普密、商密兩個(gè)級(jí)別B、低級(jí)和高級(jí)兩個(gè)級(jí)別C、絕密、機(jī)密、秘密三個(gè)級(jí)別D、—密、二密、三密、四密四個(gè)級(jí)別12、信息安全控制目標(biāo)是指：（)A、對(duì)實(shí)施信息安全控制措施擬實(shí)現(xiàn)的結(jié)果的描述B、組織的信息安全策略集的描述C、組織實(shí)施信息安全管理體系的總體宗旨和方向D、A+B13、組織的風(fēng)險(xiǎn)責(zé)任人不可以是（）A、組織的某個(gè)部門(mén)B、某個(gè)系統(tǒng)管理員C、風(fēng)險(xiǎn)轉(zhuǎn)移到組織D、組織的某個(gè)虛擬小組負(fù)責(zé)人14、對(duì)于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更15、容量管理的對(duì)象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部16、進(jìn)入重要機(jī)構(gòu)時(shí)，在門(mén)衛(wèi)處登記屬于以下哪種措施？（）A、訪問(wèn)控制B、身份鑒別C、審計(jì)D、標(biāo)記17、下列措施中，（）是風(fēng)險(xiǎn)管理的內(nèi)容。A、識(shí)別風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)價(jià)C、風(fēng)險(xiǎn)處置D、以上都是18、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問(wèn)的形式C、以遠(yuǎn)程視頻的形式D、以上都對(duì)19、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審20、對(duì)于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序,以下做法正確的是（）A、實(shí)用程序的使用不在審計(jì)范圍內(nèi)B、建立禁止使用的實(shí)用程序清單C、緊急響應(yīng)時(shí)所使用的實(shí)用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實(shí)用程序清單21、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的？（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后，由審核組長(zhǎng)起草形成C、正式的審核報(bào)告由組長(zhǎng)將報(bào)告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)22、風(fēng)險(xiǎn)評(píng)價(jià)是指（）A、系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和評(píng)估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D、以上都對(duì)23、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過(guò)程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對(duì)24、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計(jì)的專用計(jì)算機(jī)C、安裝了專用安全協(xié)議的專用計(jì)算機(jī)D、特定用途（如高保密）專用的計(jì)算機(jī)軟件和硬件產(chǎn)品25、如果信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害，則應(yīng)具備的保護(hù)水平為：（）A、三級(jí)B、二級(jí)C、四級(jí)D、五級(jí)26、關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時(shí)，使用密碼技術(shù)、生物識(shí)等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動(dòng)式管理確保用戶使用優(yōu)質(zhì)口令27、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略，以下正確的是（）A、沒(méi)有陳述為禁止訪問(wèn)的網(wǎng)絡(luò)服務(wù)，視為允許方問(wèn)的網(wǎng)絡(luò)服務(wù)B、對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過(guò)無(wú)線、VPN等多種手段鏈接C、對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對(duì)28、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程記錄C、管理評(píng)審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南29、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時(shí)通知30、完整性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性B、信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對(duì)31、組織應(yīng)()與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保32、關(guān)于信息系統(tǒng)登錄的管理，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全等級(jí)保護(hù)中，三級(jí)以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令33、ISMS管理評(píng)審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅C、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新D、改進(jìn)的建議34、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700535、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対36、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對(duì)變更申請(qǐng)的審核過(guò)程C、變更實(shí)施前的正式批準(zhǔn)D、以上全部37、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是()A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)?38、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評(píng)審的執(zhí)行39、下列哪個(gè)選項(xiàng)不屬于審核組長(zhǎng)的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場(chǎng)審核有關(guān)的工作文件C、主持首末次會(huì)議和市核組會(huì)議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通40、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、以上全部二、多項(xiàng)選擇題41、對(duì)于涉密信息系統(tǒng)，以下說(shuō)法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國(guó)產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)檢測(cè)C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國(guó)家信息安全等級(jí)保護(hù)第四級(jí)水平42、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用43、最高管理層應(yīng)通過(guò)（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、確保將信息安全管理體系要求整合到組織過(guò)程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)D、確保信息安全管理體系達(dá)到預(yù)期結(jié)果44、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場(chǎng)所等的冗余配置B、定期或?qū)崟r(shí)進(jìn)行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)D、有保障信息安全連續(xù)性水平的過(guò)程和程序文件45、以下說(shuō)法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計(jì)的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對(duì)信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過(guò)風(fēng)險(xiǎn)評(píng)估46、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚(yú)攻擊B、后門(mén)攻擊事件C、社會(huì)工程攻擊D、DOS攻擊47、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、風(fēng)險(xiǎn)處置48、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、風(fēng)險(xiǎn)處理49、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營(yíng)C、維護(hù)D、使用50、為確保員工和合同方理解其職責(zé)、并適合其角色，在員工任用之前，必須（）A、對(duì)其進(jìn)行試用B、對(duì)員工的背景進(jìn)行適當(dāng)?shù)尿?yàn)證檢查C、在任用條款與合同中指導(dǎo)安全職責(zé)D、面試51、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說(shuō)法不正確的（）A、信息安全可以按過(guò)程管理，采用這種方法時(shí)不必再編制資產(chǎn)清單B、信息安全可以按項(xiàng)目來(lái)管理，原項(xiàng)目管理機(jī)制中的風(fēng)險(xiǎn)評(píng)估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)評(píng)估C、公司各類項(xiàng)日的臨時(shí)場(chǎng)所存在時(shí)間都較短，不必納入ISMS范圍D、工程項(xiàng)目方案因包含設(shè)計(jì)圖紙等核心技術(shù)信息，其敏感性等級(jí)定義為最高52、對(duì)于審核發(fā)現(xiàn)（）A、審核組應(yīng)根據(jù)需要，在審核的適當(dāng)階段共同評(píng)審審核發(fā)現(xiàn)B、根據(jù)審核計(jì)劃和檢査表要求，只需記錄每個(gè)不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評(píng)審不符合的審核發(fā)現(xiàn)，以確認(rèn)審核證據(jù)的準(zhǔn)確性，并得到受審核方的理解D、包括正面的和負(fù)面的發(fā)現(xiàn)53、在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)B、為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評(píng)審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)54、“云計(jì)算機(jī)服務(wù)”包括哪幾個(gè)層面？（）A、PaasB、SaaSC、IaaSD、PIIS55、關(guān)于涉密信息系統(tǒng)的管理，以下說(shuō)法正確的是：（)A、涉密計(jì)算機(jī)、存儲(chǔ)設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途三、判斷題56、考慮了組織所實(shí)施的活動(dòng),即可確定組織信息安全管理體系范圍。（）57、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲(chǔ)、傳輸、刪除和銷毀無(wú)關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）58、客戶所有場(chǎng)所業(yè)務(wù)的范圍相同，且在同一ISMS下運(yùn)行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評(píng)審時(shí)，認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的認(rèn)證審核（)59、通過(guò)修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，可以稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)計(jì)算機(jī)病毒的變形。60、ISO/IEC27018是用于對(duì)云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）61、完全備份就是對(duì)全部數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行備份。（）62、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）63、信息系統(tǒng)中的“單點(diǎn)故障”指僅有一個(gè)故障點(diǎn)，因此屬于較低風(fēng)險(xiǎn)等級(jí)的事件。（）64、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸檢索等處理的人機(jī)系統(tǒng)（）65、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）

參考答案一、單項(xiàng)選擇題1、D2、A3、C4、C5、C6、B7、A8、C9、A10、D11、C解析:《中華人民共和國(guó)保守國(guó)家秘密法》第十條，國(guó)家秘密的密級(jí)分為絕密，機(jī)密，秘密三級(jí)12、A13、C14、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時(shí)，對(duì)相關(guān)方可用。故選A15、D16、B17、D18、A19、B20、D21、A22、B23、A24、A25、A26、B27、C28、D29、D30、C31、A32、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C33、C34、B35、A36、D37、A38、A39、A40、D二、多項(xiàng)選擇題41、A,B,C42、A,C,D43、A,B,C,D44、A,B,C,D45、A,B,D46、A,B,D47、A,B,D解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》第五條，從事新聞、出版、教育、醫(yī)療保健、藥品和醫(yī)療器械等互聯(lián)網(wǎng)信息服務(wù)，依照法律、行政法規(guī)以及國(guó)家有關(guān)規(guī)定須經(jīng)過(guò)有關(guān)主管部門(mén)審核同意的，在申請(qǐng)經(jīng)管許可或者履行備案手續(xù)前，應(yīng)當(dāng)依法經(jīng)有關(guān)主管部門(mén)審核同意