2024年第二期CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析

2024年第二期CCAA注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、20212、當(dāng)發(fā)生不符合時，組織應(yīng)（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應(yīng)，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應(yīng)，適用時：采取措施，以控制予以糾正；處理后果3、（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施A、補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻4、TCP/IP協(xié)議層次結(jié)構(gòu)由（）A、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D、其他選項均不正確5、在我國《信息安全等級保護(hù)管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、66、一家投資顧問商定期向客戶發(fā)送有關(guān)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件7、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行8、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標(biāo)9、物理安全周邊的安全設(shè)置應(yīng)考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C10、可用性是指（）A、根據(jù)授權(quán)實體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實情況的程度11、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C、通過域控進(jìn)行強制管理D、對所有員工進(jìn)行意識教育12、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對13、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性14、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果15、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部16、構(gòu)成風(fēng)險的關(guān)鍵因素有（）A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴(yán)重性17、組織應(yīng)（）A、定義和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識別和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識別和控制安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域18、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標(biāo)準(zhǔn)，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力19、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許方問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進(jìn)行授權(quán)D、以上都對20、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認(rèn)識B、了解客戶組織的審核準(zhǔn)備狀態(tài)C、為計劃2階段審核提供重點D、確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求21、經(jīng)過風(fēng)險處理后遺留的風(fēng)險通常稱為（）A、重大風(fēng)險B、有條件的接受風(fēng)險C、不可接受的風(fēng)險D、殘余風(fēng)險22、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級機關(guān)23、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護(hù)信息準(zhǔn)確和完整的特性?24、在認(rèn)證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確25、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以26、信息安全目標(biāo)應(yīng)()A、可測量B、與信息安全方針一致C、適當(dāng)時，對相關(guān)方可用D、定期更新27、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改28、ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強調(diào)的脆弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進(jìn)的建議29、關(guān)于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡(luò)安全等級保護(hù)中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令30、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，則應(yīng)具備的保護(hù)水平為：（）A、三級B、二級C、四級D、五級31、當(dāng)發(fā)現(xiàn)不符合項時，組織應(yīng)對不符合做出反應(yīng)，適用時（）。A、采取措施，以控制并予以糾正B、對產(chǎn)生的影響進(jìn)行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生32、關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務(wù)活動33、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部34、關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險越小C、針對技術(shù)脆弱性的補丁安裝應(yīng)按變更管理進(jìn)行控制D、及時安裝針對技術(shù)脆弱性的所有補丁是應(yīng)對脆弱性相關(guān)風(fēng)險的最佳途徑35、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)36、下列管理評審的方式，哪個不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評審團(tuán)隊通過會議的方式對管理體系適宜性、有效性和充分性進(jìn)行評審B、通過網(wǎng)絡(luò)會議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進(jìn)行評審D、通過材料評審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評審37、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D、審核中的觀察項38、ISO/IEC27001描述的風(fēng)險分析過程不包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實際發(fā)生的可能性39、依據(jù)GB/T220802016/SO/EC.27001:2013標(biāo)準(zhǔn)，組織應(yīng)（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力40、關(guān)于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護(hù)?二、多項選擇題41、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)42、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與43、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)44、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息45、當(dāng)滿足（）時，可考慮使用基于抽樣的方法對多場所進(jìn)行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中46、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估，A正確。周期性進(jìn)行的自評估可以在評估流程上適當(dāng)簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結(jié)果對比，B正確。自評估可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法展開的風(fēng)險評估。本題選ABC47、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理48、“云計算機服務(wù)”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS49、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時，對相關(guān)方可用50、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是（）A、與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B、在對N公司人員服務(wù)時，接入M公司的移動電腦事前進(jìn)行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進(jìn)入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進(jìn)行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)51、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備52、“云計算服務(wù)”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S53、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項B、國民經(jīng)濟(jì)和社會發(fā)展中的秘密事項C、科學(xué)技術(shù)中的秘密事項D、國防建設(shè)和武裝力量活動中的秘密事項54、關(guān)于信息安全風(fēng)險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估B、周期性的自評估可以在評估流程上適當(dāng)簡化C、可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風(fēng)險評估55、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進(jìn)機會相關(guān)決定C、管理評審會議紀(jì)要D、變更信息的安全管理體系任何需求三、判斷題56、訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。57、計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）58、客戶所有場所業(yè)務(wù)的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認(rèn)證機構(gòu)可以考慮使用基于抽樣的認(rèn)證審核（)59、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。60、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）61、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）62、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。（)63、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項”（）64、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補充。（）65、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）

參考答案一、單項選擇題1、D2、D3、D解析:以上都是建立有效的計算機病毒防御體系所需要的技術(shù)措施，但D選項與病毒防御更相關(guān)，故選D4、C5、C6、C7、A8、D9、D10、A11、A12、B13、C14、C15、D16、C17、A18、B19、C20、D21、D22、A23、B24、B25、B26、B27、D28、C29、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C30、A31、A解析:參考2700110,1當(dāng)發(fā)生不符合時，組織應(yīng)：對不符合做出反應(yīng)，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A32、C33、D34、C35、D36、A37、C38、A39、C40、A二、多項選擇題41、A,B,C42、A,C43、B,C,D44、A,B,C,D解析:參考27001附錄A16，