2021年12月CCAA國家注冊ISMS信息安全管理體系審核員知識模擬試題含解析

2021年12月CCAA國家注冊ISMS信息安全管理體系審核員知識模擬試題一、單項選擇題1、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育2、（）是建立有效的計算機病毒防御體系所需要的技術措施。A、補丁管理系統(tǒng)、網(wǎng)絡入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻3、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改4、()是風險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序5、GB/T22080標準中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務的敏感度C、資產(chǎn)的折損率D、以上全部6、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓C、責任追查和懲處D、訪問控制7、(）是確保信息沒有非授權泄密，即信息不被未授權的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性8、風險處置是（）A、識別并執(zhí)行措施來更改風險的過程B、確定并執(zhí)行措施來更改風險的過程C、分析并執(zhí)行措施來更改風險的過程D、選擇并執(zhí)行措施來更改風險的過程9、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA10、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段11、—家投資顧問商定期向客戶發(fā)送有關財經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件12、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式13、風險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響14、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限15、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低16、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意17、（）是建立有效的計算機病毒防御體系所需要的技術措施A、補丁管理系統(tǒng)、網(wǎng)絡入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻18、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B19、《中華人民共和國網(wǎng)絡安全法》中的"三同步"要求，以下說法正確的是（）A、指關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用20、《信息技術安全技術信息安全治理》對應的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701421、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡釣魚攻擊DR22、以下不屬于信息安全事態(tài)或事件的是：A、服務、設備或設施的丟失B、系統(tǒng)故障或超負載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知23、進入重要機構時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記24、關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯(lián)B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑25、在現(xiàn)場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務范圍C、審核日期D、審核組任務調(diào)整26、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產(chǎn)權保護B、公司信息保護C、個人隱私的保護D、以上都對27、關于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護28、ISMS文件的多少和詳細程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C29、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調(diào)活動D、以上都對30、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性31、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制32、按照PDCA思路進行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核B、按照認證機構的PDCA流程進行審核C、按照認可規(guī)范中規(guī)定的PDCA流程進行審核D、以上都對33、若通過桌面系統(tǒng)對終端實行IP、MAC綁定，該網(wǎng)絡IP地址分配方式應為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達到50%以上即可34、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術使其支持語音I.P電話(VOI.P,voice-overI.P)服務，那么，需要首要關注的是（）。A、服務的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?5、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質(zhì)D、以上都對36、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬37、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡結構C、應用系統(tǒng)D、技術管理38、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤39、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對40、信息安全管理體系的設計應考慮（）A、組織的戰(zhàn)B、組織的目標和需求C、組織的業(yè)務過程性質(zhì)D、以上全部二、多項選擇題41、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致42、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術43、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核44、認證機構應有驗證審核組成員背景經(jīng)驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識45、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準46、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權或濫用C、網(wǎng)絡攻擊、物理攻擊D、泄密、篡改、抵賴47、計算機信息系統(tǒng)的安全保護，應保障（）A、計算機及相關配套設施的安全B、網(wǎng)絡安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮48、《互聯(lián)網(wǎng)信息服務管理辦法》中對()類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類49、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新50、最高管理層應建立信息安全方針,方針應（）A、對相關方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜51、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求52、以下（）活動是ISMS建立階段應完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓53、訪問控制包括()A、網(wǎng)絡和網(wǎng)絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制54、下列屬于“開發(fā)安全”活動的是（）。A、應規(guī)范用戶修改軟件包，必須的修改應嚴格管制B、應用系統(tǒng)若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發(fā)避免外包或采購D、軟件的采購應注意其是否內(nèi)藏隱密通道及特洛伊木馬程序55、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必須（）A、對其進行試用B、對員工的背景進行適當?shù)尿炞C檢查C、在任用條款與合同中指導安全職責D、面試三、判斷題56、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網(wǎng)絡的有效帶寬57、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）58、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）59、從審核開始到結束,審核組長應對審核實施負責60、最高管理層應確保與信息安全相關角色的職責和權限得到分配和溝通。61、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)（）。62、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）63、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設備，因此認證審核時不必審核計算機機房物理安全的相關內(nèi)容()64、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）65、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）

參考答案一、單項選擇題1、A2、D3、D4、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監(jiān)視和風險評審。因此風險處置計劃是風險管理的重要一環(huán)，故選C5、B6、B7、C8、D解析:風險處置，是指選擇并且執(zhí)行措施來更改風險的過程。故選D9、B10、C11、C12、C13、B14、C15、D16、C17、D解析:以上都是建立有效的計算機病毒防御體系所需要的技術措施，但D選項與病毒防御更相關，故選D18、B19、A20、D21、B22、D23、B24、C25、D26、D27、A28、D29、B30、A31、A32、A33、A34、A35、B36、B37、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統(tǒng)的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當?shù)拇胧﹣響獙ο嚓P風險。故選D38、D39、B40、D二、多項選擇題41、A,C42、A,B,C,D43、B,C,D44、A,B,C,D45、A,B,C,D46、A,B,D解析:a選項正確，參考270016,1