2023年第一期ISMS信息安全管理體系CCAA審核員模擬試題含解析

2023年第一期ISMS信息安全管理體系CCAA審核員模擬試題一、單項選擇題1、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）A、對于進入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗證B、對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證，對于進入組織的設(shè)備設(shè)施則不必驗證C、對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D、對于進入和離開組織的設(shè)備和資產(chǎn)，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證2、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障3、依據(jù)GB/T29246,控制目標(biāo)指描述控制的實施結(jié)果所要達到的目標(biāo)的（）。A、說明B、聲明C、想法D、描述4、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當(dāng)級別的保護B、確保信息按照其級別得到適當(dāng)?shù)谋ＷoC、確保信息得到保護D、確保信息按照其級別得到處理5、設(shè)置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制6、《信息安全技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障7、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任與權(quán)限D(zhuǎn)、分配角色和權(quán)限8、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機房的服務(wù)器C、保潔服務(wù)D、以上都不對9、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織（）實施風(fēng)險評估A、應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時B、應(yīng)按計劃的時間間隔且當(dāng)重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔10、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機構(gòu)應(yīng)審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布11、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對12、組織應(yīng)（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保13、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應(yīng)（）A、制定ISMS目標(biāo)和計劃B、實施ISMS管理評審C、決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別D、其他選項均不正確14、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4015、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時16、GB/T29246標(biāo)準(zhǔn)為組織和個人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語和定義17、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃18、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》19、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程20、有關(guān)信息安全管理，風(fēng)險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價值，基本水平的保護都會被實施B、對所有信息資產(chǎn)保護都投入相同的資源C、對信息資產(chǎn)實施適當(dāng)水平的保護D、信息資產(chǎn)過度的保護21、關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術(shù)、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令22、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法23、關(guān)于文件管理下列說法錯誤的是（）A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰，易于識別D、作廢文件應(yīng)及時銷毀，防止錯誤使用24、風(fēng)險責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項風(fēng)險的個人或?qū)嶓wB、實施風(fēng)險評估的組織的法人C、實施風(fēng)險評估的項目負(fù)責(zé)人或項目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者25、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除26、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險釣魚27、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄28、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用29、關(guān)于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護30、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許方問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對31、當(dāng)獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上都不可以32、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR33、()是風(fēng)險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險管理程序34、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、以上全部35、在認(rèn)證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準(zhǔn)確36、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年37、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是(）A、信息安全政策的培訓(xùn)者與審計之間的職責(zé)分離B、職責(zé)分離的是不同管理層級之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶組之間的職責(zé)分離38、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定39、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析40、加密技術(shù)可以保護信息的(）A、機密性B、完整性C、可用性D、A+B二、多項選擇題41、信息安全風(fēng)險分析包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實際發(fā)生的可能性42、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)43、對于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實施評審44、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理45、審核計劃中應(yīng)包括（）A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排46、關(guān)于“不可否認(rèn)性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段B、身份認(rèn)證是實現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認(rèn)性”的關(guān)鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性47、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風(fēng)險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識48、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)49、關(guān)于審核委托方，以下說法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核50、某組織在酒店組織召開內(nèi)容敏感的會議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務(wù)的酒店服務(wù)生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質(zhì)會議資料留下由服務(wù)生統(tǒng)一回收，這符合A8,3的要求51、下列屬于“開發(fā)安全”活動的是（）。A、應(yīng)規(guī)范用戶修改軟件包，必須的修改應(yīng)嚴(yán)格管制B、應(yīng)用系統(tǒng)若有變更，應(yīng)進行適當(dāng)審核與測試C、軟件應(yīng)盡量采用自行開發(fā)避免外包或采購D、軟件的采購應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序52、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項目來管理，原項目管理機制中的風(fēng)險評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設(shè)計圖紙等核心技術(shù)信息，其敏感性等級定義為最高53、下列哪項屬于《認(rèn)證機構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度54、關(guān)于信息安全風(fēng)險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估B、周期性的自評估可以在評估流程上適當(dāng)簡化C、可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風(fēng)險評估55、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性三、判斷題56、最高管理層應(yīng)確保方針得到建立（）57、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）58、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進信息安全管理體系的承諾。59、計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）60、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）61、組織應(yīng)持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）62、信息系統(tǒng)中的“單點故障”指僅有一個故障點，因此屬于較低風(fēng)險等級的事件。（）63、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）64、審核組可以由一個人組成。（）65、訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。

參考答案一、單項選擇題1、C2、A3、B解析:參考27000，控制目標(biāo)指，描述實施控制的實施結(jié)果所要達到的目標(biāo)的聲明。故選B4、A5、A6、C7、C8、C9、A10、C11、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B12、A13、D解析:信息安全目標(biāo)及其實現(xiàn)規(guī)劃，組織應(yīng)在相關(guān)職能和層級上建立信息安全目標(biāo)，A項錯誤。B項27001最高管理層應(yīng)按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準(zhǔn)確。C項，27001,5.1.2組織應(yīng)建立并維護信息安全風(fēng)險準(zhǔn)則，包括風(fēng)險接受準(zhǔn)則和信息安全風(fēng)險評估實施準(zhǔn)則。而非最高管理者，因此C錯誤，綜上故選D14、A15、A16、D17、C18、D19、D20、C21、B22、C2