2023年第一期CCAA注冊審核員考試題目-ISMS信息安全管理體系知識含解析

2023年第一期CCAA注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作2、物理安全周邊的安全設(shè)置應(yīng)考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點(diǎn)考慮計算機(jī)機(jī)房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機(jī)制D、A+C3、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性4、根據(jù)GB17859《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,計算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級。A、5B、6C、3D、45、（）是建立有效的計算機(jī)病毒防御體系所需要的技術(shù)措施A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻6、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求7、在我國信息系統(tǒng)安全等級保護(hù)的基本要求中針對每一級的基本要求分為（）A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求8、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織（）實施風(fēng)險評估A、應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時B、應(yīng)按計劃的時間間隔且當(dāng)重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔9、構(gòu)成風(fēng)險的關(guān)鍵因素有（）A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性10、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任與權(quán)限D(zhuǎn)、分配角色和權(quán)限11、關(guān)于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明12、最高管理層應(yīng)通過（）活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致13、關(guān)于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)?14、訪問控制是指確定（）以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵15、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障16、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級機(jī)關(guān)17、涉及運(yùn)行系統(tǒng)驗證的審計要求和活動，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹(jǐn)慎地加以實施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷D、謹(jǐn)慎地加以實施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)18、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)19、在信息安全管理體系審核時，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點(diǎn)原則阻塞點(diǎn)就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi)，可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點(diǎn)。20、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部21、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象22、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制23、對全國密碼工作實行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B、國家密碼管理部門C、中央國家機(jī)關(guān)D、全國人大委員會24、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是25、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年26、關(guān)于系統(tǒng)運(yùn)行日志，以下說法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志27、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）A、對于進(jìn)入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗證B、對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證，對于進(jìn)入組織的設(shè)備設(shè)施則不必驗證C、對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D、對于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證28、依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的（）嚴(yán)格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確29、《計算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計算機(jī)信息系統(tǒng)，是指A、對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個組織所有計算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計算機(jī)30、在我國《信息安全等級保護(hù)管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、631、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、以上全部32、下列哪項對于審核報告的描述是錯誤的？（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對33、風(fēng)險處置是（）A、識別并執(zhí)行措施來更改風(fēng)險的過程B、確定并執(zhí)行措施來更改風(fēng)險的過程C、分析并執(zhí)行措施來更改風(fēng)險的過程D、選擇并執(zhí)行措施來更改風(fēng)險的過程34、某公司進(jìn)行風(fēng)險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患、為了處置這個風(fēng)險，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）A、風(fēng)險接受B、風(fēng)險規(guī)避C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩35、管理體系是實現(xiàn)組織目標(biāo)的方針、（）、指南和相關(guān)資源的框架A、目標(biāo)B、規(guī)程C、文件D、記錄36、計算機(jī)病毒是計算機(jī)系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)37、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知38、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程39、風(fēng)險處置計劃，應(yīng)（）A、獲得風(fēng)險責(zé)任人的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)B、獲得最高管理者的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)C、獲得風(fēng)險部門負(fù)責(zé)人的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)D、獲得管理者代表的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)40、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進(jìn)行適用性調(diào)整B、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的保密性C、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D、以上都不對二、多項選擇題41、針對敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強(qiáng)制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權(quán)限42、審核計劃中應(yīng)包括（）A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排43、風(fēng)險處置包括（)A、風(fēng)險降低B、風(fēng)險計劃C、風(fēng)險控制D、風(fēng)險轉(zhuǎn)移44、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實守信B、保密性C、基于風(fēng)險D、基于事實的決策方法45、關(guān)于目標(biāo)，下列說法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項目和產(chǎn)品46、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)間主權(quán)B、維按國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益47、公司M將信息系統(tǒng)運(yùn)維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是（）A、與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B、在對N公司人員服務(wù)時，接入M公司的移動電腦事前進(jìn)行安全掃描C、將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用D、對N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)48、管理評審的輸入應(yīng)包括（）。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果49、為控制文件化信息，適用時，組織應(yīng)強(qiáng)調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理50、風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴51、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類52、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息53、認(rèn)證機(jī)構(gòu)應(yīng)有驗證審核組成員背景經(jīng)驗，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識54、風(fēng)險處置的可選措施包括（）。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩55、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、風(fēng)險處理三、判斷題56、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。57、較低的恢復(fù)時間目標(biāo)會有更長的中斷時間。（）58、從審核開始到結(jié)束,審核組長應(yīng)對審核實施負(fù)責(zé)59、組織使用云盤設(shè)施服務(wù)時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）60、在來自可信站點(diǎn)電子郵件中輸入個人或財務(wù)信息是安全的。（）61、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）62、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。63、中華人民共和國境內(nèi)的計算機(jī)信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計算機(jī)的安全保護(hù)辦法,另行制定。64、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。65、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）

參考答案一、單項選擇題1、B2、D3、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B4、A5、D解析:以上都是建立有效的計算機(jī)病毒防御體系所需要的技術(shù)措施，但D選項與病毒防御更相關(guān)，故選D6、B7、D8、A9、C10、C11、B12、B13、A14、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項過于細(xì)化，故選A15、A16、A17、A18、D19、B20、D21、A22、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問，應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問。cd選項錯誤，必須是已授權(quán)用戶才可訪問。A選項錯誤，在家登錄，不符合安全訪問控制策略。故選B23、A24、D25、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項不超過三十年,機(jī)密級事項不超過二十年,秘密級事項不超過十年26、B27、C28、D解析:網(wǎng)絡(luò)安全法第45條，依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的個人信息，隱私和商業(yè)秘密嚴(yán)格保密，不得泄露，出售或者非法向他人提供。故選D29、A30、C31、D32、A33、D解析:風(fēng)險處置，是指選擇并且執(zhí)行措施來更改風(fēng)險的過程。故選D34、B35、B36、C37、D38、D39、A40、D解析:應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)其完整性二、多項選擇題41、B,C42、A,B解析:參考270013,2信息傳輸，不宜通過微信等不安全的通信方式傳輸商業(yè)秘密，本題選AB43、A,D44、B,C45、A,B,D4