2021年6月CCAA注冊審核員考試題目-ISMS信息安全管理體系知識含解析

2021年6月CCAA注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機密D、秘密2、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調(diào)活動D、以上都對3、依據(jù)GB/T22080,網(wǎng)絡隔離指的是(）A、不同網(wǎng)絡運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務，用戶及信息系統(tǒng)4、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果5、保密協(xié)議或不泄露協(xié)議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規(guī)定6、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確7、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產(chǎn)品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價8、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調(diào)整B、應嚴格限制對軟件包的調(diào)整以保護軟件包的保密性C、應嚴格限制對軟件包的調(diào)整以保護軟件包的完整性和可用性D、以上都不對9、以下關于認證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應由認證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應對認證證書的使用進行監(jiān)督10、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構(gòu)應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布11、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致12、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意13、以下不屬于信息安全事態(tài)或事件的是：A、服務、設備或設施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知14、關于互聯(lián)網(wǎng)信息服務，以下說法正確的是A、互聯(lián)網(wǎng)服務分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務應當在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務未取得許可不得進行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務活動15、下列管理評審的方式，哪個不滿足標準的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網(wǎng)絡會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審16、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風險轉(zhuǎn)移到組織D、組織的某個虛擬小組負責人17、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響18、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃19、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確20、風險處置是（）A、識別并執(zhí)行措施來更改風險的過程B、確定并執(zhí)行措施來更改風險的過程C、分析并執(zhí)行措施來更改風險的過程D、選擇并執(zhí)行措施來更改風險的過程21、《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202122、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新23、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項24、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結(jié)論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式25、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤26、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、427、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)D、以上全部28、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)29、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確30、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡訪問的形式C、以遠程視頻的形式D、以上都對31、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任和權限D(zhuǎn)、分配角色和權限32、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在()向當?shù)乜h民政府公安機關報告A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)33、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性34、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調(diào)活動D、以上都對35、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對36、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業(yè)務戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部37、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護38、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育39、當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認40、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年二、多項選擇題41、信息安全方針應（）A、形成文件化信息并可用B、與組織內(nèi)外相關方全面進行溝通C、確保符合組織的戰(zhàn)略方針D、適當時，對相關方可用42、關于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則43、對風險安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數(shù)據(jù)采用安全標記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡安全等級測評工作44、最高管理層應建立信息安全方針,方針應（）A、對相關方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜45、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)46、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員47、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定48、關于目標，下列說法正確的是（）A、目標現(xiàn)的結(jié)果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產(chǎn)品49、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求50、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置51、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術52、依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟建設設有重大負面影響53、某金融資產(chǎn)武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支54、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求55、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對三、判斷題56、計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）57、當需要時，組織可設計控制，或識別來自任何來源的控制。（）58、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）59、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設備，因此認證審核時不必審核計算機機房物理安全的相關內(nèi)容()60、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）61、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）62、組織應識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）63、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）64、“資產(chǎn)清單”包含與信息生命周期有關的資產(chǎn)，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）65、組織應適當保留信息安全目標文件化信息（）

參考答案一、單項選擇題1、B2、B3、D4、C5、A6、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，