2023年3月CCAA注冊審核員模擬試題-ISMS信息安全管理體系含解析

2023年3月CCAA注冊審核員模擬試題—ISMS信息安全管理體系一、單項(xiàng)選擇題1、()可用來保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評估D、容災(zāi)和數(shù)據(jù)備份2、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）A、人、財(cái)、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性3、審核計(jì)劃中不包括（）。A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排4、信息安全殘余風(fēng)險(xiǎn)是（）。A、沒有處置完成的風(fēng)險(xiǎn)B、沒有評估的風(fēng)險(xiǎn)C、處置之后仍存在的風(fēng)險(xiǎn)D、處置之后沒有報(bào)告的風(fēng)險(xiǎn)5、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)6、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗(yàn)證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?、當(dāng)操作系統(tǒng)發(fā)生變更時(shí)，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗(yàn)證和確認(rèn)8、若通過桌面系統(tǒng)對終端實(shí)行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達(dá)到50%以上即可9、風(fēng)險(xiǎn)評估過程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評價(jià)D、以上全部10、不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時(shí)、可靠升級反病毒產(chǎn)品C、新購置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測D、整理磁盤11、下面哪個(gè)不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼12、文件初審是評價(jià)受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對13、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理14、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時(shí)通知15、我國網(wǎng)絡(luò)安全等級保護(hù)共分幾個(gè)級別？（）A、7B、4C、5D、616、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除17、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是18、下列哪項(xiàng)對于審核報(bào)告的描述是錯(cuò)誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價(jià)以后由審核組長起草形成C、正式的審核報(bào)告由組長將報(bào)告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對19、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議20、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度21、下列()不是創(chuàng)建和維護(hù)測量要執(zhí)行的活動。A、開展測量活動B、識別當(dāng)前支持信息需求的安全實(shí)踐C、開發(fā)和更新測量D、建立測量文檔并確定實(shí)施優(yōu)先級22、按照PDCA思路進(jìn)行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進(jìn)行審核B、按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核C、按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核D、以上都對23、訪問控制是指確定（）以及實(shí)施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵24、完整性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對25、組織應(yīng)（）。A、對信息按照法律要求、價(jià)值、重要性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級B、對信息按照制度要求、價(jià)值、有效性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級C、對信息按照法律要求、價(jià)值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級D、對信息按照制度要求、價(jià)值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級26、信息安全風(fēng)險(xiǎn)的基本要素包括（）A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果27、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時(shí)對其進(jìn)行適用性調(diào)整B、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的保密性C、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D、以上都不對28、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時(shí)限和訪問類型B、對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致29、依據(jù)GB/T29246,控制目標(biāo)指描述控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的（）。A、說明B、聲明C、想法D、描述30、對保密文件復(fù)印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性31、下列說法不正確的是（）A、殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置過程的結(jié)果C、所有的信息安全活動都必須記錄D、管理評審至少每年進(jìn)行一次32、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，下列說法錯(cuò)誤的是（）A、標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標(biāo)準(zhǔn)中所表述要求的順序反映了這些要求要實(shí)現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應(yīng)用風(fēng)險(xiǎn)管理過程來保持信息的保密性、完整性和可用性33、下列關(guān)于DMZ區(qū)的說法錯(cuò)誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作34、關(guān)于系統(tǒng)運(yùn)行日志，以下說法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計(jì)日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志35、風(fēng)險(xiǎn)責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓wB、實(shí)施風(fēng)險(xiǎn)評估的組織的法人C、實(shí)施風(fēng)險(xiǎn)評估的項(xiàng)目負(fù)責(zé)人或項(xiàng)目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者36、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法37、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年38、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價(jià)的結(jié)果D、審核中的觀察項(xiàng)39、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險(xiǎn)越小C、針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑40、在信息安全管理體系審核時(shí)，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險(xiǎn)的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點(diǎn)原則阻塞點(diǎn)就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi)，可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點(diǎn)。二、多項(xiàng)選擇題41、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計(jì)的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過風(fēng)險(xiǎn)評估42、管理評審的輸入應(yīng)包括（）。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果43、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況44、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報(bào)告45、在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件46、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度47、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制48、對于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評審49、投訴處理過程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止50、風(fēng)險(xiǎn)評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴51、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12,3,1條款要求（）A、設(shè)定備份策B、定期測試備份介質(zhì)C、定期備份D、定期測試信息和軟件52、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒53、關(guān)于按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后54、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍。D、工作范圍是可訪問的信息55、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時(shí),應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果,盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其愿使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時(shí)間應(yīng)一致三、判斷題56、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬57、通過修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過現(xiàn)有計(jì)算機(jī)病毒檢測程序時(shí)，可以稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來計(jì)算機(jī)病毒的變形。58、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。59、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）60、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）61、某組織租用第三方數(shù)據(jù)中心機(jī)房托管其IT系統(tǒng)設(shè)備，因此認(rèn)證審核時(shí)不必審核計(jì)算機(jī)機(jī)房物理安全的相關(guān)內(nèi)容()62、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）63、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）64、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無意錯(cuò)誤操作導(dǎo)致的影響（）65、從審核開始到結(jié)束,審核組長應(yīng)對審核實(shí)施負(fù)責(zé)

參考答案一、單項(xiàng)選擇題1、A2、C3、A4、C解析:參考GB/T20984-2007信息安全風(fēng)險(xiǎn)評估規(guī)范，3,12殘余風(fēng)險(xiǎn)是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。故選C5、D6、A7、B解析:2700214,2,3運(yùn)行平臺變更后對應(yīng)用的技術(shù)評審，當(dāng)運(yùn)行平臺發(fā)生變更時(shí)，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對組織的運(yùn)行和安全沒有負(fù)面影響。故選B8、A9、D10、D11、C12、A13、D14、D15、C16、A17、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D18、A19、A20、A21、D22、A23、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項(xiàng)過于細(xì)化，故選A24、C25、C解析:參考ISO/IEC27001：2013附錄A8,2信息分