2021年3月ISMS信息安全管理體系CCAA審核員模擬試題含解析

2021年3月ISMS信息安全管理體系CCAA審核員模擬試題一、單項選擇題1、下列措施中，（）是風(fēng)險管理的內(nèi)容。A、識別風(fēng)險B、風(fēng)險優(yōu)先級評價C、風(fēng)險處置D、以上都是2、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D、審核中的觀察項3、在實施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險評估D、滲透測試和漏洞掃描不可替代風(fēng)險評估4、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対5、以下對GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評估D、組織在建立ISMS時，必須滿足該標(biāo)準(zhǔn)的所有要求6、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期7、TCP/IP協(xié)議層次結(jié)構(gòu)由（）A、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D、其他選項均不正確8、信息安全的機(jī)密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護(hù)信息準(zhǔn)確和完整的特性?9、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結(jié)合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息10、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對11、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以12、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對認(rèn)證證書的使用進(jìn)行監(jiān)督13、ISMS文件的多少和詳細(xì)程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對14、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專人管理式D、A+B+C15、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機(jī)密、秘密三個級別D、—密、二密、三密、四密四個級別16、對于所有擬定的糾正和預(yù)防措施，在實施前應(yīng)通過（）過程進(jìn)行評審。A、薄弱環(huán)節(jié)識別B、風(fēng)險分析C、管理方案D、A+CE、A+B17、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標(biāo)18、在認(rèn)證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確19、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR20、下列哪項對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對21、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審22、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器23、被黑客控制的計算機(jī)常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬24、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性25、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部26、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時間間隔不能超過（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點目標(biāo)（RPO)C、恢復(fù)時間目標(biāo)（RTO)D、最長可接受終端時間（MAO)27、文件化信息創(chuàng)建和更新時，組織應(yīng)確保適當(dāng)?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充業(yè)性的評審和批準(zhǔn)28、涉及運行系統(tǒng)驗證的審計要求和活動，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹(jǐn)慎地加以實施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷D、謹(jǐn)慎地加以實施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)29、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄30、監(jiān)督、檢查、指導(dǎo)計算機(jī)信息系統(tǒng)安全保護(hù)工作是（）對計算機(jī)信息系統(tǒng)安全保護(hù)履行法定職責(zé)之一A、電信管理機(jī)構(gòu)B、公安機(jī)關(guān)C、國家安全機(jī)關(guān)D、國家保密局31、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行32、末次會議包括（）A、請受審核方確認(rèn)不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、以上都不準(zhǔn)確33、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年34、ISMS文件評審需考慮（）A、收集信息，以準(zhǔn)備審核活動和適當(dāng)?shù)墓ぷ魑募﨎、請受審核方確認(rèn)ISMS文件審核報告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見35、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象36、計算機(jī)病毒是計算機(jī)系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)37、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對38、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A39、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年40、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制二、多項選擇題41、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益42、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)間主權(quán)B、維按國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益43、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實守信B、保密性C、基于風(fēng)險D、基于事實的決策方法44、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務(wù)結(jié)束的情況D、員工出差45、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機(jī)制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)46、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進(jìn)機(jī)會相關(guān)決定C、管理評審會議紀(jì)要D、變更信息的安全管理體系任何需求47、在開展信息安全績效和ISMS有效性評價時，組織應(yīng)確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員48、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計劃D、審核方案是審核計劃的輸入49、“云計算機(jī)服務(wù)”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS50、管理評審的輸入應(yīng)包括（）。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果51、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒52、網(wǎng)絡(luò)常見的拓?fù)湫问接校ǎ〢、星型B、環(huán)型C、總線D、樹型53、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)54、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風(fēng)險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識55、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項目來管理，原項目管理機(jī)制中的風(fēng)險評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設(shè)計圖紙等核心技術(shù)信息，其敏感性等級定義為最高三、判斷題56、某組織租用第三方數(shù)據(jù)中心機(jī)房托管其IT系統(tǒng)設(shè)備，因此認(rèn)證審核時不必審核計算機(jī)機(jī)房物理安全的相關(guān)內(nèi)容()57、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）58、ISO/IEC27018是用于對云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）59、較低的恢復(fù)時間目標(biāo)會有更長的中斷時間。（）60、客戶所有場所業(yè)務(wù)的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的認(rèn)證審核（)61、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）62、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）63、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）64、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）65、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。

參考答案一、單項選擇題1、D2、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準(zhǔn)則進(jìn)行評價的結(jié)果，故選C3、D4、A5、B6、B7、C8、B9、C10、C11、B12、B13、D14、B15、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機(jī)密，秘密三級16、B17、D18、B19、B20、A21、D22、D23、B24、C25、B26、C27、D28、A29、D30、B31、A32、C33、D34、A35、A36、C37、C38、A39、D40、A二、多項選擇題41、A,B,C,D42、A,B,C,D43、B,C44、A,C解析:對于網(wǎng)絡(luò)技術(shù)防火墻，一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個IP包的端口來做出通過與否的判斷，另外應(yīng)用級防火墻則能夠檢查進(jìn)出的數(shù)據(jù)包，通過防火墻復(fù)制傳遞數(shù)據(jù)