2023年第一期CCAA國(guó)家注冊(cè)審核員模擬試題-ISMS信息安全管理體系知識(shí)含解析

2023年第一期CCAA國(guó)家注冊(cè)審核員模擬試題—ISMS信息安全管理體系知識(shí)一、單項(xiàng)選擇題1、為信息系統(tǒng)用戶注冊(cè)時(shí)，以下正確的是:（）A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問(wèn)權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊(cè)C、預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問(wèn)權(quán)2、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年3、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）A、人、財(cái)、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性4、主動(dòng)式射頻識(shí)別卡(RFID)存在哪一種弱點(diǎn)?（）A、會(huì)話被劫持B、被竊聽(tīng)C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚(yú)攻擊DR5、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部6、以下對(duì)GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評(píng)估D、組織在建立ISMS時(shí)，必須滿足該標(biāo)準(zhǔn)的所有要求7、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)8、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程記錄C、管理評(píng)審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南9、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級(jí)機(jī)關(guān)10、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障11、關(guān)于顧客滿意，以下說(shuō)法正確的是：（）A、顧客沒(méi)有抱怨，表示顧客滿意B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求己得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求己得到滿足，即意味著顧客滿意12、信息分級(jí)的目的是（）A、確保信息按照其對(duì)組織的重要程度受到適當(dāng)級(jí)別的保護(hù)B、確保信息按照其級(jí)別得到適當(dāng)?shù)谋Ｗo(hù)C、確保信息得到保護(hù)D、確保信息按照其級(jí)別得到處理13、關(guān)于投訴處理過(guò)程的設(shè)計(jì)，以下說(shuō)法正確的是：（）A、投訴處理過(guò)程應(yīng)易于所有投訴者使用B、投訴處理過(guò)程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過(guò)程應(yīng)易于所有投訴處理者使用D、投訴處理過(guò)程應(yīng)易于為投訴處理付費(fèi)的投訴者使用14、在認(rèn)證審核時(shí)，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過(guò)程B、是必須進(jìn)行的C、不是必須的過(guò)程D、以上都不準(zhǔn)確15、測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足是（）的活動(dòng)。A、ISMS建立階段B、ISMS實(shí)施和運(yùn)行階段C、ISMS監(jiān)視和評(píng)審階段D、ISMS保持和改進(jìn)階段16、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)的訪問(wèn)控制17、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過(guò)的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過(guò)程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、做出是否換發(fā)證書(shū)的決定18、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問(wèn)的形式C、以遠(yuǎn)程視頻的形式D、以上都對(duì)19、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計(jì)劃C、實(shí)施ISMS內(nèi)部審核D、主持ISMS管理評(píng)審20、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時(shí)可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時(shí)間D、溝通對(duì)象21、訪問(wèn)控制是指確定（）以及實(shí)施訪問(wèn)權(quán)限的過(guò)程A、用戶權(quán)限B、可給予哪些主體訪問(wèn)權(quán)利C、可被用戶訪問(wèn)的資源D、系統(tǒng)是否遭受入侵22、信息安全風(fēng)險(xiǎn)的基本要素包括（）A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果23、組織通過(guò)哪些措施來(lái)確保員工和合同方意識(shí)到并履行其信息安全職責(zé)？（）A、審查、任用條款和條件B、管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對(duì)24、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)25、關(guān)于信息系統(tǒng)登錄的管理，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全等級(jí)保護(hù)中，三級(jí)以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令26、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員27、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識(shí)薄弱問(wèn)題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問(wèn)控制28、設(shè)備維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部29、審核計(jì)劃中不包括（）。A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排30、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)D、以上都對(duì)31、在運(yùn)行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息C、測(cè)量信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息D、改進(jìn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息32、（）屬于管理脆弱性的識(shí)別對(duì)象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理33、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D、對(duì)組織有價(jià)值的文件34、跨國(guó)公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級(jí)，采用通道技術(shù)使其支持語(yǔ)音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗(yàn)證方式C、語(yǔ)音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?5、關(guān)于容量管理，以下說(shuō)法不正確的是（）A、根據(jù)業(yè)務(wù)對(duì)系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對(duì)業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級(jí)C、對(duì)于關(guān)鍵業(yè)務(wù)，通過(guò)放寬閾值以避免或減少報(bào)警的干擾D、依據(jù)資源使用趨勢(shì)數(shù)據(jù)進(jìn)行容量規(guī)劃36、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對(duì)網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對(duì)網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對(duì)信息收集、存儲(chǔ)、傳輸、交換、處理系統(tǒng)的保護(hù)37、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時(shí)通知38、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行()A、國(guó)家經(jīng)營(yíng)B、地方經(jīng)營(yíng)C、備案制度D、許可制度39、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時(shí)采用多路線路供電D、應(yīng)定期檢查機(jī)房空調(diào)的有效性40、以下哪項(xiàng)不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣二、多項(xiàng)選擇題41、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排42、在開(kāi)展信息安全績(jī)效和ISMS有效性評(píng)價(jià)時(shí)，組織應(yīng)確定（）A、監(jiān)視、測(cè)量、分析和評(píng)價(jià)的過(guò)程B、適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法C、需要被監(jiān)視和測(cè)量的內(nèi)容D、監(jiān)視、測(cè)量、分析和評(píng)價(jià)的執(zhí)行人員43、A,B,C解析:gb/t20984-20077,2自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估，A正確。周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，重點(diǎn)針對(duì)自上次評(píng)估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識(shí)別，以便于兩次評(píng)估結(jié)果對(duì)比，B正確。自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，C正確。D錯(cuò)誤，主體錯(cuò)誤，檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門組織的或國(guó)家有關(guān)職能部門依法展開(kāi)的風(fēng)險(xiǎn)評(píng)估。本題選ABC44、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對(duì)相關(guān)方可用B、包括對(duì)持續(xù)改進(jìn)ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜45、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)46、以下說(shuō)法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問(wèn)卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測(cè)評(píng)只能通過(guò)第三方機(jī)構(gòu)來(lái)實(shí)施D、顧客不投訴并不意味著顧客滿意了47、信息安全風(fēng)險(xiǎn)分析包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性48、信息安全是保證信息的(),另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性49、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、風(fēng)險(xiǎn)處理50、認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）A、管理體系的知識(shí)B、ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)C、與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)D、信息安全的知識(shí)51、組織建立的信息安全目標(biāo)，應(yīng)（）。A、是可測(cè)量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時(shí)更新52、在信息安全事件管理中，（）是員工應(yīng)該完成的活動(dòng)。A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對(duì)漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件53、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測(cè)試時(shí),應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果,盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其愿使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致54、下列哪些是SSL支持的內(nèi)容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data55、關(guān)于個(gè)人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開(kāi)透明原則三、判斷題56、敏感信息通過(guò)網(wǎng)絡(luò)傳輸時(shí)必須加密處理。（)57、審核員由實(shí)習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過(guò)4次完整體系20天的審核。（）58、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）59、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）60、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）61、某組織按信息的敏感性等級(jí)將其物理區(qū)域的控制級(jí)別劃分為4個(gè)等級(jí)，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）62、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的接受和批準(zhǔn)。63、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）64、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸檢索等處理的人機(jī)系統(tǒng)（）65、敏感標(biāo)記表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，可信計(jì)算機(jī)中把敏感標(biāo)記作為強(qiáng)制訪問(wèn)控制決策的依據(jù)（）。

參考答案一、單項(xiàng)選擇題1、A2、D3、C4、B5、D6、B7、D8、D9、A10、A11、C12、A13、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過(guò)程為投訴者提供一個(gè)開(kāi)放，有效，方便的投訴程序，故選A14、B15、C16、B17、D18、A19、D20、A21、A解析:訪問(wèn)控制，確保對(duì)資產(chǎn)的訪問(wèn)是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項(xiàng)過(guò)于細(xì)化，故選A22、B23、B24、D25、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C2