2024年第一期CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題含解析

2024年第一期CCAA注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題一、單項選擇題1、以下關(guān)于認證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應(yīng)由認證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應(yīng)對認證證書的使用進行監(jiān)督2、依法負有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確3、構(gòu)成風(fēng)險的關(guān)鍵因素有（）A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性4、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素5、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調(diào)節(jié)器B、電力浪涌保護設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)6、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對7、保密性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、突體或過程利用或知悉的特性C、保護信息的準(zhǔn)確和完整的特性D、以上都不対8、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠程視頻的形式D、以上都対9、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定10、管理體系是實現(xiàn)組織目標(biāo)的方針、（）、指南和相關(guān)資源的框架A、目標(biāo)B、規(guī)程C、文件D、記錄11、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼12、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象13、—家投資顧問商定期向客戶發(fā)送有關(guān)財經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件14、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對15、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次16、在現(xiàn)場審核時，審核組有權(quán)自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整17、風(fēng)險處置計劃，應(yīng)（）A、獲得風(fēng)險責(zé)任人的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)B、獲得最高管理者的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)C、獲得風(fēng)險部門負責(zé)人的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)D、獲得管理者代表的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)18、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)19、關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認征目錄的，應(yīng)取得國家信息安全產(chǎn)品人證機構(gòu)頒發(fā)的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞20、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對資產(chǎn)擁有財產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負責(zé)人21、對于獲準(zhǔn)認可的認證機構(gòu)，認可機構(gòu)證明（）A、認證機構(gòu)能夠開展認證活動B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認證活動的能力C、認證機構(gòu)的每張認證證書都符合要求D、認證機構(gòu)具有從事相應(yīng)認證活動的能力22、ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強調(diào)的脆弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進的建議23、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部24、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞25、一家投資顧問商定期向客戶發(fā)送有關(guān)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件26、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701427、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性28、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級機關(guān)29、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定30、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)31、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應(yīng)（）A、制定ISMS目標(biāo)和計劃B、實施ISMS管理評審C、決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別D、其他選項均不正確32、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計劃C、實施ISMS內(nèi)部審核D、主持ISMS管理評審33、當(dāng)獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上都不可以34、下面哪一種屬于網(wǎng)絡(luò)上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析35、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件36、組織的風(fēng)險責(zé)任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風(fēng)險轉(zhuǎn)移到組織D、組織的某個虛擬小組負責(zé)人37、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部38、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理39、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機40、完整性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、保護資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對二、多項選擇題41、計算機信息系統(tǒng)的安全保護，應(yīng)保障（）A、計算機及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮42、管理評審的輸出應(yīng)包括（）A、與持續(xù)改進機會相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況43、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機只有采取了適當(dāng)防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途44、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)45、風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴46、關(guān)于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核47、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風(fēng)險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識48、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類49、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實守信B、保密性C、基于風(fēng)險D、基于事實的決策方法50、關(guān)于審核發(fā)現(xiàn)，以下說法正確的是：（）A、審核發(fā)現(xiàn)是收集的審核證據(jù)對照審核準(zhǔn)則進行評價的結(jié)果B、審核發(fā)現(xiàn)包括正面的和負面的發(fā)現(xiàn)C、審核發(fā)現(xiàn)是審核結(jié)論的輸入D、審核發(fā)現(xiàn)是制定審核準(zhǔn)則的依據(jù)51、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類52、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊53、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴大范圍。D、工作范圍是可訪問的信息54、建立一些規(guī)程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗證用戶身份；55、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是（）A、與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B、在對N公司人員服務(wù)時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)三、判斷題56、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）57、組織應(yīng)識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）58、創(chuàng)建和更新文件化信息時，組織應(yīng)確保對其適宜性和充分性進行評審和批準(zhǔn)。59、在來自可信站點電子郵件中輸入個人或財務(wù)信息是安全的。（）60、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）61、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設(shè)備，因此認證審核時不必審核計算機機房物理安全的相關(guān)內(nèi)容()62、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）63、較低的恢復(fù)時間目標(biāo)會有更長的中斷時間。（）64、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。（)65、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）

參考答案一、單項選擇題1、B2、D解析:網(wǎng)絡(luò)安全法第45條，依法負有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的個人信息，隱私和商業(yè)秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D3、C4、A5、D6、B7、B8、A9、A10、B11、D12、A13、C14、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B15、D16、D17、A18、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)臉?biāo)識和描述；格式和介質(zhì)；對適宜性和充分性的評審和批準(zhǔn)19、B20、C21、B22、C23、D24、B25、C26、D27、C28、A29、B30、D31、D解析:信息安全目標(biāo)及其實現(xiàn)規(guī)劃，組織應(yīng)在相關(guān)職能和層級上建立信息安全目標(biāo)，A項錯誤。B項27001最高管理層應(yīng)按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準(zhǔn)確。C項，27001,5.1.2組織應(yīng)建立并維護信息安全風(fēng)險準(zhǔn)則，包括風(fēng)險接受準(zhǔn)則和信息安全風(fēng)險評估實施準(zhǔn)則。而非最高管理者，因此C錯誤，綜上故選D32、D33、B34、D解析:主動攻擊會導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）。被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，截取/竊聽是