2022年12月CCAA國家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題含解析

2022年12月CCAA國家注冊(cè)ISMS信息安全管理體系審核員知識(shí)模擬試題一、單項(xiàng)選擇題1、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年2、關(guān)于投訴處理過程的設(shè)計(jì)，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費(fèi)的投訴者使用3、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足,即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意4、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素5、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以6、保密性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対7、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊(cè)帳戶的時(shí)效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼8、關(guān)于投訴處理過程的設(shè)計(jì)，以下說法正確的是：()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費(fèi)的投訴者使用9、設(shè)備維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部10、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）A、人、財(cái)、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性11、下列哪個(gè)選項(xiàng)不屬于審核組長的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場(chǎng)審核有關(guān)的工作文件C、主持首末次會(huì)議和市核組會(huì)議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通12、ISMS文件評(píng)審需考慮（）A、收集信息，以準(zhǔn)備審核活動(dòng)和適當(dāng)?shù)墓ぷ魑募﨎、請(qǐng)受審核方確認(rèn)ISMS文件審核報(bào)告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見13、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審14、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限15、管理體系是實(shí)現(xiàn)組織目標(biāo)的方針、（）、指南和相關(guān)資源的框架A、目標(biāo)B、規(guī)程C、文件D、記錄16、應(yīng)定期評(píng)審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標(biāo)和標(biāo)準(zhǔn)B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標(biāo)準(zhǔn)17、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定18、下列措施中，（）是風(fēng)險(xiǎn)管理的內(nèi)容。A、識(shí)別風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)價(jià)C、風(fēng)險(xiǎn)處置D、以上都是19、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審20、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實(shí)現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險(xiǎn)隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險(xiǎn)釣魚21、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)22、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的?（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后由審核組長起草形成C、正式的審核報(bào)告由組長將報(bào)告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)23、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級(jí)，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗(yàn)證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?4、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A25、完整性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性26、關(guān)于入侵檢測(cè)，以下不正確的是：（）A、入侵檢測(cè)是一個(gè)采集知識(shí)的過程B、入侵檢測(cè)指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測(cè)模式之一D、入侵檢測(cè)包括收集被利用脆弱性發(fā)生的時(shí)間信息27、進(jìn)入重要機(jī)構(gòu)時(shí)，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計(jì)D、標(biāo)記28、關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑29、依據(jù)GB/T29246,控制目標(biāo)指描述控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的（）。A、說明B、聲明C、想法D、描述30、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用31、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評(píng)估D、簽署保密協(xié)議32、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次33、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動(dòng)的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C34、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備(NAS)時(shí)B、不能使用TCP/IP的環(huán)境時(shí)C、需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)中先創(chuàng)學(xué)D、要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)35、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺(tái)賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B36、實(shí)施管理評(píng)審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是37、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度38、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯(cuò)誤的是（）A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》39、在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙40、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對(duì)系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對(duì)業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級(jí)C、對(duì)于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報(bào)警的干擾D、依據(jù)資源使用趨勢(shì)數(shù)據(jù)進(jìn)行容量規(guī)劃二、多項(xiàng)選擇題41、組織建立的信息安全目標(biāo)，應(yīng)（）A、是可測(cè)量的B、與信息安方針一致C、得到溝通D、適當(dāng)時(shí)更新42、關(guān)于個(gè)人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則43、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計(jì)算機(jī)、存儲(chǔ)設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途44、信息安全是保證信息的(),另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性45、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用46、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障（）A、計(jì)算機(jī)及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運(yùn)行環(huán)境安全D、計(jì)算機(jī)功能和正常發(fā)揮47、建立一些規(guī)程，以在提供一個(gè)新的、代替的或臨時(shí)的秘密鑒別信息之前，驗(yàn)證用戶身份；48、以下屬于“信息處理設(shè)施”的是（）A、信息處理系統(tǒng)B、信息處理相關(guān)的服務(wù)C、與信息處理相關(guān)的設(shè)備D、安置信息處理設(shè)備的物理場(chǎng)所與設(shè)施49、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)50、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動(dòng)還是異常波動(dòng)51、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場(chǎng)所和必備設(shè)施B、注冊(cè)資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度52、某游戲開發(fā)公司按客戶的設(shè)計(jì)資料構(gòu)建游戲場(chǎng)景和任務(wù)的基礎(chǔ)要素模塊，為方便各項(xiàng)目組討論，公司創(chuàng)建了一個(gè)sharefolder,在此文件夾中又為對(duì)應(yīng)不同客戶的項(xiàng)目組創(chuàng)建了項(xiàng)目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項(xiàng)目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項(xiàng)目負(fù)責(zé)人共同定期評(píng)審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動(dòng)是容量管理，游戲開發(fā)人員不參與53、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)()類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識(shí)類D、教育類54、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理55、對(duì)于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審三、判斷題56、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）57、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）58、某組織租用第三方數(shù)據(jù)中心機(jī)房托管其IT系統(tǒng)設(shè)備，因此認(rèn)證審核時(shí)不必審核計(jì)算機(jī)機(jī)房物理安全的相關(guān)內(nèi)容()59、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）60、容量管理策略可以考慮增加容量或降低容量要求（）61、審核員由實(shí)習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過4次完整體系20天的審核。（）62、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）63、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）64、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）65、中華人民共和國境內(nèi)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計(jì)算機(jī)的安全保護(hù)辦法,另行制定。

參考答案一、單項(xiàng)選擇題1、D2、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個(gè)開放，有效，方便的投訴程序，故選A3、C4、A5、B6、B7、D8、A9、D10、C11、A12、A13、B14、C15、B16、D17、