2023年3月CCAA國家注冊審核員考試題目-ISMS信息安全管理體系含解析

2023年3月CCAA國家注冊審核員考試題目—ISMS信息安全管理體系一、單項選擇題1、風(fēng)險處置是（）A、識別并執(zhí)行措施來更改風(fēng)險的過程B、確定并執(zhí)行措施來更改風(fēng)險的過程C、分析并執(zhí)行措施來更改風(fēng)險的過程D、選擇并執(zhí)行措施來更改風(fēng)險的過程2、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ?。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準3、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務(wù)器C、個人使用的電腦D、審核記錄4、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定5、造成計算機系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時打補丁B、使用弱口令C、連接不加密的無線網(wǎng)絡(luò)D、以上都對6、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除7、組織應(yīng)()與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保8、加密技術(shù)可以保護信息的(）A、機密性B、完整性C、可用性D、A+B9、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現(xiàn)的結(jié)果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B10、我國網(wǎng)絡(luò)安全等級保護共分幾個級別？（）A、7B、4C、5D、611、信息安全管理體系的設(shè)計應(yīng)考慮（）A、組織的戰(zhàn)B、組織的目標和需求C、組織的業(yè)務(wù)過程性質(zhì)D、以上全部12、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專人管理式D、A+B+C13、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制14、若通過桌面系統(tǒng)對終端實行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達到50%以上即可15、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）C、在指紋識別的基礎(chǔ)上增加口令保護D、保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)16、關(guān)于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901117、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部18、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南19、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期20、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改21、第三方認證審核時，對于審核提出的不符合項，審核組應(yīng)：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質(zhì)D、以上都對22、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701423、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標準族已發(fā)布標準的介紹D、1SMS標準族中使用的所有術(shù)語和定義24、()對于信息安全管理負有責(zé)任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員25、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是(）A、信息安全政策的培訓(xùn)者與審計之間的職責(zé)分離B、職責(zé)分離的是不同管理層級之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶組之間的職責(zé)分離26、下列不屬于取得認證機構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認證人員27、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、—密、二密、三密、四密四個級別28、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤29、在考慮網(wǎng)絡(luò)安全策略時，應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個方面提出相應(yīng)的對策？A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷30、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部31、信息安全目標應(yīng)()A、可測量B、與信息安全方針一致C、適當(dāng)時，對相關(guān)方可用D、定期更新32、構(gòu)成風(fēng)險的關(guān)鍵因素有（）A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性33、對于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更34、容災(zāi)的目的和實質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞35、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應(yīng)（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風(fēng)險的準則和風(fēng)險的可接受級別D、其他選項均不正確36、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在()向當(dāng)?shù)乜h民政府公安機關(guān)報告A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)37、文件化信息創(chuàng)建和更新時，組織應(yīng)確保適當(dāng)?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業(yè)性的評審和批準38、當(dāng)發(fā)現(xiàn)不符合項時，組織應(yīng)對不符合做出反應(yīng)，適用時（）。A、采取措施，以控制并予以糾正B、對產(chǎn)生的影響進行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生39、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障40、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR二、多項選擇題41、對風(fēng)險安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數(shù)據(jù)采用安全標記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡(luò)安全等級測評工作42、下列有關(guān)涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計算機重裝操作系統(tǒng)后可降為非涉密計算機使用D、未經(jīng)單位信息管理部門批準不得自行重裝操作系統(tǒng)43、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息44、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機只有采取了適當(dāng)防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途45、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)46、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、風(fēng)險處置47、關(guān)于云計算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實施身份鑒別準則B、服務(wù)提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實施身份鑒別準則D、云服務(wù)客戶提供身份鑒別能力，并定義和實施身份鑒別準則48、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估，A正確。周期性進行的自評估可以在評估流程上適當(dāng)簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結(jié)果對比，B正確。自評估可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法展開的風(fēng)險評估。本題選ABC49、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務(wù)結(jié)束的情況D、員工出差50、對于審核發(fā)現(xiàn)（）A、審核組應(yīng)根據(jù)需要，在審核的適當(dāng)階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求，只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn)，以確認審核證據(jù)的準確性，并得到受審核方的理解D、包括正面的和負面的發(fā)現(xiàn)51、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)檢測C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平52、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)53、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理54、依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟建設(shè)設(shè)有重大負面影響55、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)三、判斷題56、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）57、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）58、組織應(yīng)適當(dāng)保留信息安全目標文件化信息（）59、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）60、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）61、審核組可以由一個人組成。（）62、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）63、計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）64、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項”（）65、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設(shè)備，因此認證審核時不必審核計算機機房物理安全的相關(guān)內(nèi)容()

參考答案一、單項選擇題1、D解析:風(fēng)險處置，是指選擇并且執(zhí)行措施來更改風(fēng)險的過程。故選D2、D3、D4、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實體的需求而定，故選A5、D6、A7、A8、D9、A10、C11、D12、B13、B14、A15、A16、A17、D18、D19、A20、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D21、B22、D23、D24、D25、B26、C27、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機密，秘密三級28、D29、B30、D31、B32、C33、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時，對相關(guān)方可用。故選A34、C35、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應(yīng)在相關(guān)職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應(yīng)按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應(yīng)建立并維護信息安全風(fēng)險準則，包括風(fēng)險接受準則和信息安全風(fēng)險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D36、C37、D38、A解析:參考2700110,1當(dāng)發(fā)生不符合時，組織應(yīng)：對不符合做出反應(yīng)，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A39、A40、B二、多項選擇題41、A,B42、B,D43、A,B,C44、A,C,D45、A,B,C解析:27001附錄A