2023年第二期月CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析

2023年第二期月CCAA注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D、審核中的觀察項2、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除3、下列措施中，（）是風(fēng)險管理的內(nèi)容。A、識別風(fēng)險B、風(fēng)險優(yōu)先級評價C、風(fēng)險處置D、以上都是4、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用5、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部6、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限7、對保密文件復(fù)印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性8、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個月B、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測記錄網(wǎng)絡(luò)運行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡(luò)日志保存不得少于6個月9、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力10、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機密D、秘密11、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員12、組織應(yīng)（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)13、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍14、關(guān)于系統(tǒng)運行日志，以下說法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對日志信息進行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志15、在認(rèn)證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準(zhǔn)確16、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件17、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、418、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型19、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4020、關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國家信息安全產(chǎn)品人證機構(gòu)頒發(fā)的認(rèn)證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞21、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對22、下列哪項對于審核報告的描述是錯誤的？（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證/審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對23、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項性能（）A、完整性B、可用性C、保密性D、可靠性24、密碼技術(shù)不適用于控制下列哪種風(fēng)險？（）A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險D、數(shù)據(jù)被非授權(quán)訪問的風(fēng)險25、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊C、預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權(quán)26、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)27、當(dāng)發(fā)現(xiàn)不符合項時，組織應(yīng)對不符合做出反應(yīng)，適用時（）。A、采取措施，以控制并予以糾正B、對產(chǎn)生的影響進行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生28、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年29、計算機信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產(chǎn)品30、《信息安全管理體系認(rèn)證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認(rèn)證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対31、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部32、以下對GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評估D、組織在建立ISMS時，必須滿足該標(biāo)準(zhǔn)的所有要求33、加密技術(shù)可以保護信息的(）A、機密性B、完整性C、可用性D、A+B34、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析35、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄36、在實施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險評估D、滲透測試和漏洞掃描不可替代風(fēng)險評估37、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙38、信息安全目標(biāo)應(yīng)()A、可測量B、與信息安全方針一致C、適當(dāng)時，對相關(guān)方可用D、定期更新39、在信息安全管理體系審核時，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi)，可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。40、容災(zāi)的目的和實質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞二、多項選擇題41、風(fēng)險處置的可選措施包括（）。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩42、在開展信息安全績效和ISMS有效性評價時，組織應(yīng)確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員43、對于審核發(fā)現(xiàn)（）A、審核組應(yīng)根據(jù)需要，在審核的適當(dāng)階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求，只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn)，以確認(rèn)審核證據(jù)的準(zhǔn)確性，并得到受審核方的理解D、包括正面的和負(fù)面的發(fā)現(xiàn)44、以下屬于“信息處理設(shè)施”的是（）A、信息處理系統(tǒng)B、信息處理相關(guān)的服務(wù)C、與信息處理相關(guān)的設(shè)備D、安置信息處理設(shè)備的物理場所與設(shè)施45、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、風(fēng)險處理46、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)47、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)48、《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動，提高產(chǎn)品、服務(wù)的（），促進經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力49、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊50、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)51、移動設(shè)備策略宜考慮（)A、移動設(shè)備注冊B、惡意軟件防范C、訪問控制D、物理保護要求52、風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴53、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理54、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負(fù)責(zé)55、含有高等級敏感信息的設(shè)備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞三、判斷題56、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）57、計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）58、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）59、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）60、當(dāng)需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）61、客戶所有場所業(yè)務(wù)的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認(rèn)證機構(gòu)可以考慮使用基于抽樣的認(rèn)證審核（)62、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設(shè)備，因此認(rèn)證審核時不必審核計算機機房物理安全的相關(guān)內(nèi)容()63、敏感標(biāo)記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標(biāo)記作為強制訪問控制決策的依據(jù)（）。64、實習(xí)審核員可以獨立完成審核任務(wù)。（）65、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）

參考答案一、單項選擇題1、C2、A3、D4、A5、C6、C7、A8、C9、B10、B11、C12、C13、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機會14、B15、B16、C17、A18、A19、A20、B21、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B22、A23、B24、C25、A26、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)臉?biāo)識和描述；格式和介質(zhì)；對適宜性和充分性的評審和批準(zhǔn)27、A解析:參考2700110,1當(dāng)發(fā)生不符合時，組織應(yīng)：對不符合做出反應(yīng)，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A28、D29、A30、A31、B32、B33、D34、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當(dāng)水平的保護。對比四個選項，c項更能突出對組織的重要程度，故選C35、D36、D37、A38、B39、B40、C二、多項選擇題41、C,D42、B,C,D43、A,C,D44、A,B,C,D45、A,B,C解析:風(fēng)險評估包括風(fēng)險辨識、風(fēng)險分析、風(fēng)險評價三個步驟。1.風(fēng)險辨識。風(fēng)險辨識是指查找企業(yè)各業(yè)務(wù)單元、各項重要經(jīng)營活動及其重要業(yè)務(wù)流程中有無風(fēng)險，有哪些風(fēng)險。2.風(fēng)險分析。風(fēng)險分析是對辨識出的風(fēng)險及其特征進行明確的定義描述，分析和描述風(fēng)險發(fā)生可能性的高低、風(fēng)險發(fā)生的條件。3.風(fēng)險評價。風(fēng)險評價是評估風(fēng)險對企業(yè)實現(xiàn)目標(biāo)的影響程度、風(fēng)險的價值等。46、A,B,C,D47、A,B,C48、A,D解析:略2700