2024年8月CCAA國家注冊審核員ISMS信息安全管理體系復習題含解析

2024年8月CCAA國家注冊審核員ISMS信息安全管理體系復習題一、單項選擇題1、有關信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價值，基本水平的保護都會被實施B、對所有信息資產(chǎn)保護都投入相同的資源C、對信息資產(chǎn)實施適當水平的保護D、信息資產(chǎn)過度的保護2、經(jīng)過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險3、關于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應遵從的優(yōu)質口令策略D、使用互動式管理確保用戶使用優(yōu)質口令4、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣5、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產(chǎn)權保護B、公司信息保護C、個人隱私的保護D、以上都對6、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排7、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布8、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局9、組織應（），以確信相關過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度10、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎B、采用組織固定資產(chǎn)臺賬即可C、無需關注資產(chǎn)產(chǎn)權歸屬者D、A+B11、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用12、關于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質口令13、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作14、組織應（）A、采取過程的規(guī)程安全處置不需要的介質B、采取文件的規(guī)程安全處置不需要的介質C、采取正式的規(guī)程安全處置不需要的介質D、采取制度的規(guī)程安全處置不需要的介質15、關于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護16、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡日志保存不得少于2個月B、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡日志保存不得少于12月C、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡日志保存不得少于6個月17、構成風險的關鍵因素有（）A、人、財、物B、技術、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性18、關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任19、ISMS文件的多少和詳細程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對20、《信息安全管理體系認證機構要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網(wǎng)絡訪問的形式C、以遠程視頻的形式D、以上都對21、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4022、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意23、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改24、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次25、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年26、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)27、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務28、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行（）A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度29、《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)B、計算機及其相關的設備、設施，不包括軟件C、計算機運算環(huán)境的總和，但不含網(wǎng)絡D、一個組織所有計算機的總和，包括未聯(lián)網(wǎng)的微型計算機30、當獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務活動B、向審核委托方和受審核方報告理由以確定適當?shù)拇胧〤、宣布取消末次會議D、以上都不可以31、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信息A、相關方B、供應商C、顧客D、上級機關32、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準33、以下不屬于信息安全事態(tài)或事件的是：A、服務、設備或設施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知34、依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確35、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調活動D、以上都對36、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確37、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務的敏感程度C、資產(chǎn)的折損率D、以上全部38、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應39、下列措施中，（）是風險管理的內(nèi)容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是40、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權用戶不可能訪問到關鍵數(shù)據(jù)二、多項選擇題41、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告42、某組織在酒店組織召開內(nèi)容敏感的會議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質會議資料留下由服務生統(tǒng)一回收，這符合A8,3的要求43、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術44、《中華人民共和國網(wǎng)絡安全法》是為了保障網(wǎng)絡安全,（）A、維護網(wǎng)絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益45、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S46、以下（）活動是ISMS建立階段應完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓47、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動48、針對敏感應用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務運行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權限49、對風險安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數(shù)據(jù)采用安全標記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡安全等級測評工作50、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對51、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員52、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結果C、審核結果D、信息安全方針完成情況53、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新54、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類55、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡接入設施D、高鐵信號控制系統(tǒng)三、判斷題56、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）57、最高管理層應確保方針得到建立（）58、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾。（）59、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）60、某互聯(lián)網(wǎng)服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)61、創(chuàng)建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。62、中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護,適用本條例。未聯(lián)網(wǎng)的微型計算機的安全保護辦法,另行制定。63、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）64、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網(wǎng)絡的有效帶寬。（）65、審核方案應包括審核所需的資源，例如交通和食宿。（）

參考答案一、單項選擇題1、C2、D3、B4、A5、D6、A7、C8、B9、B10、A11、A12、C解析:應確保秘密鑒別信息的保密性，確保鑒別信息得到適當?shù)谋Ｗo，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護，故選C13、B14、C15、A16、C17、C18、A解析:《中華人民共和國網(wǎng)絡安全法》第36條，關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。故選A19、D20、A21、A22、C23、D24、A25、D26、C27、A28、C解析:《互聯(lián)網(wǎng)信息服務管理辦法》，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務實行備案制度，故選C29、A30、B31、A32、D33、D34、D解析:網(wǎng)絡安全法第45條，依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業(yè)秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D35、B36、B37、B38、D39、D40、A二、多項選擇題41、A,B,C,D42、C,D43、A,B,C,D44、A,B,C,D45、A,B,C解析:云計算可以認為包括以下幾個層次的服務：基礎