2023年10月CCAA注冊(cè)審核員復(fù)習(xí)題-ISMS信息安全管理體系知識(shí)含解析

2023年10月CCAA注冊(cè)審核員復(fù)習(xí)題—ISMS信息安全管理體系知識(shí)一、單項(xiàng)選擇題1、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對(duì)2、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時(shí)限和訪問類型B、對(duì)于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致3、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定4、依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對(duì)在履行職責(zé)中知悉的（）嚴(yán)格保密，不得泄露、出售或非法向他人提供。A、個(gè)人信息B、隱私C、商業(yè)秘密D、其他選項(xiàng)均正確5、關(guān)于內(nèi)部審核下面說法不正確的是(）。A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B、通過內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)C、組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案D、組織應(yīng)確保審核結(jié)果報(bào)告至管理層6、在我國《信息安全等級(jí)保護(hù)管理辦法》中將信息系統(tǒng)的安全等級(jí)分為（）級(jí)A、3B、4C、5D、67、審核計(jì)劃中不包括（）。A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排8、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模?A、對(duì)適宜性和有效性的評(píng)審和批港B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充業(yè)性的評(píng)審和批準(zhǔn)9、實(shí)施管理評(píng)審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是10、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的?（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后由審核組長起草形成C、正式的審核報(bào)告由組長將報(bào)告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)11、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級(jí)，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗(yàn)證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?2、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許方問的網(wǎng)絡(luò)服務(wù)B、對(duì)于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C、對(duì)于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對(duì)13、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年14、安全掃描可以實(shí)現(xiàn)（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對(duì)內(nèi)網(wǎng)安全威脅檢測(cè)不足的問題D、掃描檢測(cè)所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流15、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測(cè)系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測(cè)、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件16、（）屬于管理脆弱性的識(shí)別對(duì)象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理17、審核抽樣時(shí)，可以不考慮的因素是(）A、場(chǎng)所差異B、管理評(píng)審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果18、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更19、在運(yùn)行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息C、測(cè)量信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息D、改進(jìn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息20、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年21、下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計(jì)劃的時(shí)間間隔22、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定23、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求己得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求己得到滿足，即意味著顧客滿意24、密碼技術(shù)不適用于控制下列哪種風(fēng)險(xiǎn)？（）A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險(xiǎn)B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險(xiǎn)C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險(xiǎn)D、數(shù)據(jù)被非授權(quán)訪問的風(fēng)險(xiǎn)25、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評(píng)估D、簽署保密協(xié)議26、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審27、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人的各種信息屬于個(gè)人信息B、自然人的身份證號(hào)碼、電話號(hào)碼屬于個(gè)人信息C、自然人的姓名、住址不屬于個(gè)人信息D、自然人的出生日期屬于個(gè)人信息28、在信息安全管理體系審核時(shí)，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險(xiǎn)的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點(diǎn)原則阻塞點(diǎn)就是在網(wǎng)絡(luò)系統(tǒng)對(duì)外連接通道內(nèi)，可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點(diǎn)。29、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審30、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ?。A、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)31、()可用來保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評(píng)估D、容災(zāi)和數(shù)據(jù)備份32、組織的風(fēng)險(xiǎn)責(zé)任人不可以是（）A、組織的某個(gè)部門B、某個(gè)系統(tǒng)管理員C、風(fēng)險(xiǎn)轉(zhuǎn)移到組織D、組織的某個(gè)虛擬小組負(fù)責(zé)人33、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級(jí)機(jī)關(guān)34、風(fēng)險(xiǎn)評(píng)價(jià)是指（）A、系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和評(píng)估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D、以上都對(duì)35、根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級(jí)。A、5B、6C、3D、436、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制37、我國網(wǎng)絡(luò)安全等級(jí)保護(hù)共分幾個(gè)級(jí)別？（）A、7B、4C、5D、638、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制39、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)A、2年B、3年C、4年D、5年40、對(duì)保密文件復(fù)印件張數(shù)核對(duì)是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性二、多項(xiàng)選擇題41、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項(xiàng)B、國民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)C、科學(xué)技術(shù)中的秘密事項(xiàng)D、國防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)42、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標(biāo)準(zhǔn)B、ISMS族包含闡述通用概論的標(biāo)準(zhǔn)C、ISMS族包含特定行業(yè)概述的標(biāo)準(zhǔn)D、ISMS族包含闡述ISMS概述和詞匯的標(biāo)準(zhǔn)43、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)（）類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識(shí)類D、教育類44、根據(jù)《中華人民共和國密碼法》，密碼工作堅(jiān)持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級(jí)應(yīng)用C、服務(wù)大局D、分級(jí)負(fù)責(zé)45、第二階段審核中，應(yīng)重點(diǎn)審核被審核單位的（）。A、最高管理者的領(lǐng)導(dǎo)力B、與信息安全有關(guān)的風(fēng)險(xiǎn)C、基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過程D、ISMS有效性46、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動(dòng)的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度47、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)（）類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識(shí)類D、教育類48、最高管理層應(yīng)通過（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)D、確保信息安全管理體系達(dá)到預(yù)期結(jié)果49、撤銷對(duì)信息和信息處理設(shè)施的訪問權(quán)針對(duì)的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時(shí)任務(wù)結(jié)束的情況D、員工出差50、信息安全是保證信息的(),另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性51、組織建立的信息安全目標(biāo)，應(yīng)（）A、是可測(cè)量的B、與信息安方針一致C、得到溝通D、適當(dāng)時(shí)更新52、含有高等級(jí)敏感信息的設(shè)備的處置可采?。ǎ〢、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞53、某金融服務(wù)公司為其個(gè)人注冊(cè)會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請(qǐng)借貸的會(huì)員背景姿料、借貸額度等進(jìn)行討論評(píng)審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會(huì)討論的信息54、信息安全績效的反饋，包括以下哪些方面的趨勢(shì)（）A、不符合和糾正措施B、監(jiān)視測(cè)量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況55、關(guān)于信息安全風(fēng)險(xiǎn)自評(píng)估，下列選項(xiàng)正確的是（）A、是指信息系統(tǒng)擁有、運(yùn)營和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡化C、可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施D、由信息系統(tǒng)上級(jí)管理部門組織的風(fēng)險(xiǎn)評(píng)估三、判斷題56、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機(jī)APP完成對(duì)公司客戶的服務(wù)請(qǐng)求處理，但手機(jī)須安裝公司規(guī)定的安全控制程序，無論手機(jī)是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)57、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無意錯(cuò)誤操作導(dǎo)致的影響（）58、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）59、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）60、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）61、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的（）62、利用生物信息進(jìn)行身份鑒別包括生物行為特征鑒別及生物特征鑒別。63、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。64、信息系統(tǒng)中的“單點(diǎn)故障”指僅有一個(gè)故障點(diǎn)，因此屬于較低風(fēng)險(xiǎn)等級(jí)的事件。（）65、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）

參考答案一、單項(xiàng)選擇題1、C2、B3、B4、D解析:網(wǎng)絡(luò)安全法第45條，依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對(duì)在履行職責(zé)中知悉的個(gè)人信息，隱私和商業(yè)秘密嚴(yán)格保密，不得泄露，出售或者非法向他人提供。故選D5、C6、C7、A8、D9、D10、A11、A12、C13、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級(jí)事項(xiàng)不超過三十年,機(jī)密級(jí)事項(xiàng)不超過二十年,秘密級(jí)事項(xiàng)不超過十年14、C15、D16、D17、C18、B19、B20、D21、D22、A23、C24、C25、A26、D27、C28、B29、B30、D31、A32、C33、A34、B35、A36、B37、C38、A39、D40、A二、多項(xiàng)選擇題41、B,C,D解析:gb/t19011-2013管理體系審核指南3,6審核委托方是要求審核的組織或人員，3,7受審核方是被審核的組織。對(duì)于內(nèi)部審核，審核委托方可以是受審核方或?qū)徍朔桨腹芾砣藛T；對(duì)于外部審核，可以是監(jiān)管機(jī)構(gòu)、合同方或潛在用戶。A錯(cuò)誤，認(rèn)證審核的委托方是認(rèn)證類結(jié)構(gòu)，而非受審核方。42、A,B,C,D43