2024年3月CCAA注冊(cè)審核員復(fù)習(xí)題-ISMS信息安全管理體系知識(shí)含解析

2024年3月CCAA注冊(cè)審核員復(fù)習(xí)題—ISMS信息安全管理體系知識(shí)一、單項(xiàng)選擇題1、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270052、信息安全的機(jī)密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性D、保護(hù)信息準(zhǔn)確和完整的特性?3、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、20214、（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè)和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測(cè)、防病毒系統(tǒng)和防火墻5、關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑6、若通過(guò)桌面系統(tǒng)對(duì)終端實(shí)行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）A、靜態(tài)B、動(dòng)態(tài)C、均可D、靜態(tài)達(dá)到50%以上即可7、組織通過(guò)哪些措施來(lái)確保員工和合同方意識(shí)到并履行其信息安全職責(zé)？（）A、審查、任用條款和條件B、管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對(duì)8、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)9、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營(yíng)商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)10、以下說(shuō)法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)審B、應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C、制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響D、安全計(jì)劃應(yīng)適時(shí)更新11、下面哪個(gè)不是典型的軟件開(kāi)發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型12、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)13、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動(dòng)的類(lèi)型B、過(guò)程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C14、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時(shí)采用多路線路供電D、應(yīng)定期檢查機(jī)房空調(diào)的有效性15、訪問(wèn)控制是指確定（）以及實(shí)施訪問(wèn)權(quán)限的過(guò)程A、用戶權(quán)限B、可給予哪些主體訪問(wèn)權(quán)利C、可被用戶訪問(wèn)的資源D、系統(tǒng)是否遭受入侵16、關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說(shuō)法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級(jí)以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機(jī)密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對(duì)17、()對(duì)于信息安全管理負(fù)有責(zé)任A、高級(jí)管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員18、關(guān)于內(nèi)部審核下面說(shuō)法不正確的是(）。A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B、通過(guò)內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)C、組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案D、組織應(yīng)確保審核結(jié)果報(bào)告至管理層19、在信息安全管理體系審核時(shí)，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險(xiǎn)的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點(diǎn)原則阻塞點(diǎn)就是在網(wǎng)絡(luò)系統(tǒng)對(duì)外連接通道內(nèi)，可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點(diǎn)。20、組織的風(fēng)險(xiǎn)責(zé)任人不可以是（）A、組織的某個(gè)部門(mén)B、某個(gè)系統(tǒng)管理員C、風(fēng)險(xiǎn)轉(zhuǎn)移到組織D、組織的某個(gè)虛擬小組負(fù)責(zé)人21、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年22、關(guān)于訪問(wèn)控制，以下說(shuō)法正確的是（）A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制B、三層交換機(jī)基于MAC實(shí)施訪問(wèn)控制C、路由器根據(jù)路由表確定最短路徑D、強(qiáng)制訪問(wèn)控制中，用戶標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別，即可讀該文件23、當(dāng)發(fā)現(xiàn)不符合項(xiàng)時(shí)，組織應(yīng)對(duì)不符合做出反應(yīng)，適用時(shí)（）。A、采取措施，以控制并予以糾正B、對(duì)產(chǎn)生的影響進(jìn)行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生24、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專(zhuān)人管理式D、A+B+C25、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對(duì)網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對(duì)網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對(duì)信息收集、存儲(chǔ)、傳輸、交換、處理系統(tǒng)的保護(hù)26、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對(duì)27、當(dāng)發(fā)生不符合時(shí)，組織應(yīng)（）。A、對(duì)不符合做出處理，及時(shí)地：采取糾正，以及控制措施；處理后果B、對(duì)不符合做出反應(yīng)，適用時(shí)：采取糾正，以及控制措施：處理后果C、對(duì)不符合做出處理，及時(shí)地：采取措施，以控制予以糾正；處理后果D、對(duì)不符合做出反應(yīng)，適用時(shí)：采取措施，以控制予以糾正；處理后果28、最高管理層應(yīng)通過(guò)（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致29、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員30、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)負(fù)責(zé)人C、資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高D、A+B31、關(guān)于容量管理，以下說(shuō)法不正確的是（）A、根據(jù)業(yè)務(wù)對(duì)系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對(duì)業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級(jí)C、對(duì)于關(guān)鍵業(yè)務(wù)，通過(guò)放寬閾值以避免或減少報(bào)警的干擾D、依據(jù)資源使用趨勢(shì)數(shù)據(jù)進(jìn)行容量規(guī)劃32、TCP/IP協(xié)議層次結(jié)構(gòu)由（）A、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D、其他選項(xiàng)均不正確33、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑34、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問(wèn)的形式C、以遠(yuǎn)程視頻的形式D、以上都對(duì)35、下列那些事情是審核員不必要做的？（）A、對(duì)接觸到的客戶信息進(jìn)行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達(dá)方式36、依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門(mén)及其工作人員，必須對(duì)在履行職責(zé)中知悉的（）嚴(yán)格保密，不得泄露、出售或非法向他人提供。A、個(gè)人信息B、隱私C、商業(yè)秘密D、其他選項(xiàng)均正確37、關(guān)于入侵檢測(cè)，以下不正確的是：（）A、入侵檢測(cè)是一個(gè)采集知識(shí)的過(guò)程B、入侵檢測(cè)指信息安全事件響應(yīng)過(guò)程C、分析反常的使用模式是入侵檢測(cè)模式之一D、入侵檢測(cè)包括收集被利用脆弱性發(fā)生的時(shí)間信息38、數(shù)字簽名可以有效對(duì)付哪一類(lèi)信息安全風(fēng)險(xiǎn)？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改39、ISMS文件評(píng)審需考慮（）A、收集信息，以準(zhǔn)備審核活動(dòng)和適當(dāng)?shù)墓ぷ魑募﨎、請(qǐng)受審核方確認(rèn)ISMS文件審核報(bào)告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見(jiàn)D、雙方就ISMS文件框架交換不同意見(jiàn)40、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次二、多項(xiàng)選擇題41、以下（）活動(dòng)是ISMS監(jiān)視預(yù)評(píng)審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評(píng)審D、采取糾正措施42、關(guān)于鑒別信息保護(hù)，正確的是（）A、使用QQ傳遞鑒別信息B、對(duì)新創(chuàng)建的用戶，應(yīng)提供臨時(shí)鑒別信息，并強(qiáng)制初次使用時(shí)需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護(hù)可作為任用條件或條款的內(nèi)容43、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對(duì)相關(guān)方可用B、包括對(duì)持續(xù)改進(jìn)ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜44、以下屬于訪問(wèn)控制的是（）。A、開(kāi)發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問(wèn)D、病毒產(chǎn)品查殺病毒45、下列說(shuō)法正確的是（）A、殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說(shuō)明C、所有的信息安全活動(dòng)都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針46、組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施需（）A、將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)47、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場(chǎng)所等的冗余配置B、定期或?qū)崟r(shí)進(jìn)行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)D、有保障信息安全連續(xù)性水平的過(guò)程和程序文件48、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類(lèi)標(biāo)準(zhǔn)？()A、要求類(lèi)B、應(yīng)用類(lèi)C、指南類(lèi)D、術(shù)語(yǔ)類(lèi)49、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、風(fēng)險(xiǎn)處理50、管理評(píng)審的輸出包括（）A、管理評(píng)審報(bào)告B、持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定C、管理評(píng)審會(huì)議紀(jì)要D、變更信息的安全管理體系任何需求51、常規(guī)控制圖主要用于區(qū)分（）A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過(guò)程能力的大小C、過(guò)程加工的不合格品率D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)52、投訴處理過(guò)程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評(píng)審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止53、以下（）活動(dòng)是ISMS監(jiān)視預(yù)評(píng)審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評(píng)審D、采取糾正措施54、移動(dòng)設(shè)備策略宜考慮（)A、移動(dòng)設(shè)備注冊(cè)B、惡意軟件防范C、訪問(wèn)控制D、物理保護(hù)要求55、常規(guī)控制圖主要用于區(qū)分（）A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過(guò)程能力的大小C、過(guò)程加工的不合格率D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)三、判斷題56、完全備份就是對(duì)全部數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行備份。（）57、容量管理策略可以考慮增加容量或降低容量要求。（）58、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日開(kāi)始實(shí)施的（）59、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）60、信息系統(tǒng)中的“單點(diǎn)故障”指僅有一個(gè)故障點(diǎn)，因此屬于較低風(fēng)險(xiǎn)等級(jí)的事件。（）61、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）62、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）63、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類(lèi)型的網(wǎng)絡(luò)所有者和管理者。（）64、某組織在生產(chǎn)系統(tǒng)上安裝升級(jí)包前制定了回退計(jì)劃，這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求（）65、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）

參考答案一、單項(xiàng)選擇題1、B2、B3、D4、D5、C6、A7、B8、B9、D10、C11、A12、D13、D14、B15、A解析:訪問(wèn)控制，確保對(duì)資產(chǎn)的訪問(wèn)是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項(xiàng)過(guò)于細(xì)化，故選A16、A17、D18、C19、B20、C21、D22、C23、A解析:參考2700110,1當(dāng)發(fā)生不符合時(shí)，組織應(yīng)：對(duì)不符合做出反應(yīng)，適用時(shí)：（1）采取措施，以控制并予以糾正（2）處理后果。故選A24、B25、C解析:網(wǎng)絡(luò)安全法第七十六條，網(wǎng)絡(luò)，是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集，存儲(chǔ)，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡(luò)安全，是指通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性，保密性，可用性的能力。故選C26、C27、D28、B29、C30、A31、C32、C33、C34、A35、C36、D解析:網(wǎng)絡(luò)安全法第45條，依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門(mén)及其工作人員，必須對(duì)在履行職責(zé)中知悉的個(gè)人信息，隱私和商業(yè)秘密?chē)?yán)格保密，不得泄露，出售或者非法向他人提供。故選D3