2024年第一期CCAA注冊審核員復習題-ISMS信息安全管理體系含解析

2024年第一期CCAA注冊審核員復習題—ISMS信息安全管理體系一、單項選擇題1、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層2、拒絕服務攻擊損害了信息系統(tǒng)哪一項性能（）A、完整性B、可用性C、保密性D、可靠性3、風險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響4、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年5、下列哪項對于審核報告的描述是錯誤的？（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對6、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審7、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段8、物理安全周邊的安全設置應考慮：（）A、區(qū)域內信息和資產(chǎn)的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C9、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣10、組織應()與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保11、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結果12、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4013、在我國信息系統(tǒng)安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網(wǎng)絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求14、以下關于認證機構的監(jiān)督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構的監(jiān)督方案應由認證機構和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監(jiān)督15、應定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準16、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃17、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態(tài)B、斷開網(wǎng)絡并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標18、加密技術可以保護信息的(）A、機密性B、完整性C、可用性D、A+B19、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低20、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準21、信息安全管理體系的設計應考慮（）A、組織的戰(zhàn)B、組織的目標和需求C、組織的業(yè)務過程性質D、以上全部22、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用23、下列關于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內部網(wǎng)絡B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內部網(wǎng)絡可以無限制地訪問夕卜部網(wǎng)絡以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作24、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執(zhí)行信息安全風險評估C、開展內部審核D、開展管理評審25、以下不屬于信息安全事態(tài)或事件的是：A、服務、設備或設施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知26、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務角色設定訪問權B、組共享用戶ID按組任務的最大權限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權27、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定28、依據(jù)GB/T22080/ISO/1EC27001,關于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡服務，視為允許方問的網(wǎng)絡服務B、對于允許訪問的網(wǎng)絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡服務，按照規(guī)定的授權機制進行授權D、以上都對29、容量管理的對象包括（）A、服務器內存B、網(wǎng)絡通信帶寬C、人力資源D、以上全部30、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性31、在運行階段，組織應（）A、策劃信息安全風險處置計劃，保留文件化信息B、實現(xiàn)信息安全風險處置計劃，保留文件化信息C、測量信息安全風險處置計劃，保留文件化信息D、改進信息安全風險處置計劃，保留文件化信息32、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器33、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估34、經(jīng)過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險35、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風險轉移到組織D、組織的某個虛擬小組負責人36、根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發(fā)生時B、應按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔37、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護38、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃39、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡釣魚攻擊DR40、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領導進行溝通二、多項選擇題41、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了42、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應當通過國家保密局授權的檢測機構檢測C、使用的信息安全保密產(chǎn)品應當通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平43、下列有關涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機構測試后即可投入使用B、涉密信息系統(tǒng)投入運行前應當經(jīng)過國家保密行政管理部門審批C、涉密計算機重裝操作系統(tǒng)后可降為非涉密計算機使用D、未經(jīng)單位信息管理部門批準不得自行重裝操作系統(tǒng)44、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求（）A、設定備份策B、定期測試備份介質C、定期備份D、定期測試信息和軟件45、某金融資產(chǎn)武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支46、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處理47、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入48、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致49、設計一個信息安全風險管理工具，應包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程50、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡接入設施D、高鐵信號控制系統(tǒng)51、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對52、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差53、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告54、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S55、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS三、判斷題56、組織業(yè)務運行使用云基礎設施服務,同時員工通過自有手機APP執(zhí)行業(yè)務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）57、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）58、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設備，因此認證審核時不必審核計算機機房物理安全的相關內容()59、當需要時，組織可設計控制，或識別來自任何來源的控制。（）60、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）61、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）62、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）63、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。64、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）65、破壞、摧毀、控制網(wǎng)絡基礎設施是網(wǎng)絡攻擊行為之一（）

參考答案一、單項選擇題1、C2、B3、B4、D5、A6、D7、C8、D9、A10、A11、C12、A13、D14、B15、D16、C17、D18、D19、D20、D21、D22、A23、A24、B25、D26、A27、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權實體的需求而定，故選A28、C29、D30、C31、B32、D33、D34、D35、C36、A37、A38、C39、B40、A二、多項選擇題41、A,C42、A,B,C43、B,D44、A,B,D45、A,B,C,D46、A,B,C解析:風險評估包括風險辨識、風險分析、風險評價三個步驟。1.風險辨識。風險辨識是指查找企業(yè)各業(yè)務單元、各項重要經(jīng)營活動及其重要業(yè)務流程中有無風險，有哪些風險。2.風險分析。風險分析是對辨識出的風險及其特征進行明確的定義描述，分析和描述風險發(fā)生可能性的高低、風險發(fā)生的條件。3.風險評價。風險評價是評估風險對企業(yè)實現(xiàn)目標的影響程度、風險的價值等。47、B,D48、