2021年第二期CCAA注冊審核員考試題目-ISMS信息安全管理體系含解析

2021年第二期CCAA注冊審核員考試題目—ISMS信息安全管理體系一、單項選擇題1、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結(jié)論B、認證決定人員不宜推翻審核組的負面結(jié)論C、認證機構(gòu)應對客戶組織的ISMS至少進行一次完整的內(nèi)部審核D、認證機構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期2、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部3、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序、數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)4、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區(qū)域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區(qū)域5、口令管理系統(tǒng)應該是（）,并確保優(yōu)質(zhì)的口令A、唯一式B、交互式C、專人管理式D、A+B+C6、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年7、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡訪問的形式C、以遠程視頻的形式D、以上都對8、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡地址欺騙9、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規(guī)則》10、—家投資顧問商定期向客戶發(fā)送有關財經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件11、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質(zhì)D、以上都對12、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年13、在形成信息安全管理體系審核發(fā)現(xiàn)時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性14、桌面系統(tǒng)級聯(lián)狀態(tài)下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除15、下列措施中不能用于防止非授權(quán)訪問的是（）A、采取密碼技術B、采用最小授權(quán)C、采用權(quán)限復查D、采用日志記錄16、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準17、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應18、控制影響信息安全的變更，包括（)A、組織、業(yè)務活動、信息及處理設施和系統(tǒng)變更B、組織、業(yè)務過程、信息處理設施和系統(tǒng)變更C、組織、業(yè)務過程、信息及處理設施和系統(tǒng)變更D、組織、業(yè)務活動、信息處理設施和系統(tǒng)變更19、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部20、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件21、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)22、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見23、完整性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、以上都不對24、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果25、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?26、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產(chǎn)權(quán)保護B、公司信息保護C、個人隱私的保護D、以上都對27、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結(jié)論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式28、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(Tunnelling)C、數(shù)字簽名D、風險釣魚29、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問30、根據(jù)GB/T22080-2016標準，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A31、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用32、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意33、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、434、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法35、依據(jù)GB/T22080/IS0/IEC27001，關于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡服務，視為允許訪問的網(wǎng)絡服務B、對于允許訪問的網(wǎng)絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡服務，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對36、TCP/IP協(xié)議層次結(jié)構(gòu)由（）A、網(wǎng)絡接口層、網(wǎng)絡層組成B、網(wǎng)絡接口層、網(wǎng)絡層、傳輸層組成C、網(wǎng)絡接口層、網(wǎng)絡層、傳輸層和應用層組成D、其他選項均不正確37、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃38、訪問控制是指確定（）以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵39、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓C、責任追查和懲處D、訪問控制40、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風險評估D、容災和數(shù)據(jù)備份二、多項選擇題41、審核計劃中應包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排42、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒43、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務連續(xù)性的知識B、有關有形和無形資產(chǎn)及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識44、某金融資產(chǎn)武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支45、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類46、管理評審的輸出應包括（）A、與持續(xù)改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執(zhí)行情況47、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模48、撤銷對信息和信息處理設施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務結(jié)束的情況D、員工出差49、對風險安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數(shù)據(jù)采用安全標記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡安全等級測評工作50、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡攻擊、物理攻擊D、泄密、篡改、抵賴51、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為52、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致53、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復雜程度54、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數(shù):10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審55、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新三、判斷題56、破壞、摧毀、控制網(wǎng)絡基礎設施是網(wǎng)絡攻擊行為之一。57、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）58、“資產(chǎn)清單”包含與信息生命周期有關的資產(chǎn)，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）59、客戶所有場所業(yè)務的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認證機構(gòu)可以考慮使用基于抽樣的認證審核（)60、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）61、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進行備份。（）62、計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）63、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）64、信息安全風險準則包括風險接受準則和風險評價準則。（）65、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據(jù)。(）

參考答案一、單項選擇題1、B2、D3、D4、A5、B6、D7、A8、A9、D10、C11、B12、D13、B14、A15、D16、A17、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?8、B19、C20、C21、D22、A23、C24、C25、A26、D27、C28、B29、D30、A31、A32、C33、A34、C35、C36、C37、C38、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務和安全要求進行授權(quán)和限制的手段。A表述更為全面，B,C選項過于細化，故選A39、B40、A二、多項選擇題41、A,B解析:參考270013,2信息傳輸，不宜通過微信等不安全的通信方式傳輸商業(yè)秘密，本題選AB42、A,C43、A,B,