2021年12月CCAA注冊ISMS信息安全管理體系審核員知識考試題目含解析

2021年12月CCAA注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、我國網(wǎng)絡(luò)安全等級保護共分幾個級別？（）A、7B、4C、5D、62、以下關(guān)于認證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應(yīng)由認證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應(yīng)對認證證書的使用進行監(jiān)督3、下列哪項對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對4、組織應(yīng)按照本標(biāo)準的要求（）信息安全管理體系。A、策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現(xiàn)、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進5、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險評估程序6、設(shè)置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制7、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護信息準確和完整的特性?8、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法9、末次會議包括（）A、請受審核方確認不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進行討論D、以上都不準確10、信息安全管理體系的設(shè)計應(yīng)考慮（）A、組織的戰(zhàn)B、組織的目標(biāo)和需求C、組織的業(yè)務(wù)過程性質(zhì)D、以上全部11、關(guān)于系統(tǒng)運行日志，以下說法正確的是：（)A、系統(tǒng)管理員負責(zé)對日志信息進行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志12、GB/T22080標(biāo)準中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部13、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次14、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對15、組織應(yīng)（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保16、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊C、預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權(quán)17、文件化信息創(chuàng)建和更新時，組織應(yīng)確保適當(dāng)?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業(yè)性的評審和批準18、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果19、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式20、當(dāng)操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認21、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時限和訪問類型B、對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致22、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用23、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、作出是否換發(fā)證書的決定24、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件25、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應(yīng)定期檢查機房空調(diào)的有效性26、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬27、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃28、關(guān)于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強制訪問控制中，用戶標(biāo)記級別小于文件標(biāo)記級別，即可讀該文件29、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行30、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力31、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改32、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度33、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護34、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期35、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤36、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)負責(zé)人C、資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D、A+B37、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠程視頻的形式D、以上都対38、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠程視頻的形式D、以上都對39、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對40、GB/T29246標(biāo)準為組織和個人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準族已發(fā)布標(biāo)準的介紹D、1SMS標(biāo)準族中使用的所有術(shù)語和定義二、多項選擇題41、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機只有采取了適當(dāng)防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途42、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實施培訓(xùn)和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施43、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)44、以下場景中符合GB/T22080-20161SO1EC27001:2013標(biāo)準要求的情況是（）A、某公司為保潔人員發(fā)放了公司財務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標(biāo)上紅橙黃藍標(biāo)志C、某公司為少數(shù)核心項目人員發(fā)放了手機，允許其使用手機在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘45、建立一些規(guī)程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗證用戶身份；46、關(guān)于按照相關(guān)國家標(biāo)準強制性要求進行安全合格認證的要求，以下正確的選項是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運行后47、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動48、針對敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務(wù)運行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權(quán)限49、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度50、評價信息安全風(fēng)險，包括（）A、將風(fēng)險分析的結(jié)果與信息安全風(fēng)險準則進行比較B、確定風(fēng)險的控制措施C、為風(fēng)險處置排序以分析風(fēng)險的優(yōu)先級D、計算風(fēng)險大小51、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致52、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息53、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息54、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準可用于（）A、指導(dǎo)組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對55、在信息安全事件管理中，（）是員工應(yīng)該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件三、判斷題56、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的授受和批準。（）57、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）58、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實施的（）59、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。60、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風(fēng)險評估，這在認證審核時是可接受的（）61、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）62、ISO/IEC27018是用于對云安全服務(wù)中隱私保護認證的依據(jù)。(）63、組織應(yīng)識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）64、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準A12,5,1條款的要求（）65、從審核開始到結(jié)束,審核組長應(yīng)對審核實施負責(zé)

參考答案一、單項選擇題1、C2、B3、A4、C5、B6、A7、B8、C9、C10、D11、B12、B13、D14、B15、A解析:理解組織及其環(huán)境16、A17、D18、C19、D20、B21、B22、A23、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應(yīng)與其他監(jiān)督活動一起策劃，以使認證機構(gòu)能對獲證客戶管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標(biāo)準的每次監(jiān)督審核應(yīng)包括對以下方面的審查：（1）內(nèi)部審核和管理