2022年3月CCAA國家注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題含解析

2022年3月CCAA國家注冊ISMS信息安全管理體系審核員知識復(fù)習(xí)題一、單項選擇題1、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是2、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問3、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行（）A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度4、在現(xiàn)場審核結(jié)束之前，下列哪項活動不是必須的？（）A、關(guān)于客戶組織ISMS與認證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報告D、聽取客戶對審核發(fā)現(xiàn)提出的問題5、以下關(guān)于認證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應(yīng)由認證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應(yīng)對認證證書的使用進行監(jiān)督6、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼7、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用8、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計劃C、實施ISMS內(nèi)部審核D、主持ISMS管理評審9、以下描述不正確的是（）A、防范惡意和移動代碼的目標(biāo)是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風(fēng)險分析、風(fēng)險評價、風(fēng)險處理的整個過程稱為風(fēng)險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響10、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時11、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對12、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部13、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用14、風(fēng)險評價是指（）A、系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B、將估算的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程C、指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D、以上都對15、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701416、下列不屬于取得認證機構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認證人員17、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對18、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對19、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊C、預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權(quán)20、ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強調(diào)的脆弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進的建議21、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用22、以下說法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險評估進行再評審B、應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進行再評估C、制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響D、安全計劃應(yīng)適時更新23、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機密D、秘密24、信息安全風(fēng)險的基本要素包括（）A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果25、在ISO組織框架中，負責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4026、訪問控制是指確定（）以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵27、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據(jù)C、提供了信息安全風(fēng)險評估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險評估的依據(jù)，是實施ISCVIEC27000的支持性標(biāo)準(zhǔn)28、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)29、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構(gòu)應(yīng)審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布30、對于可能超越系統(tǒng)和應(yīng)用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實用程序清單C、緊急響應(yīng)時所使用的實用程序不需要授權(quán)D、建立、授權(quán)機制和許可使用的實用程序清單31、ISMS文件評審需考慮（）A、收集信息，以準(zhǔn)備審核活動和適當(dāng)?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見32、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定33、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對34、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部35、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙36、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析37、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄38、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、做出是否換發(fā)證書的決定39、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南40、管理體系是實現(xiàn)組織目標(biāo)的方針、（）、指南和相關(guān)資源的框架A、目標(biāo)B、規(guī)程C、文件D、記錄二、多項選擇題41、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)42、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實施培訓(xùn)和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施43、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)44、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)檢測C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平45、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)46、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估，A正確。周期性進行的自評估可以在評估流程上適當(dāng)簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結(jié)果對比，B正確。自評估可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法展開的風(fēng)險評估。本題選ABC47、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實施培訓(xùn)和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施48、信息安全風(fēng)險分析包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實際發(fā)生的可能性49、關(guān)于云計算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則50、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為51、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）A、維護網(wǎng)絡(luò)空間主權(quán)B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益52、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)53、對于組織在風(fēng)險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風(fēng)險都必須被降低至可接受的級別B、可以將風(fēng)險轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識、客觀地接受風(fēng)險D、規(guī)避風(fēng)險54、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)55、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動三、判斷題56、組織業(yè)務(wù)運行使用云基礎(chǔ)設(shè)施服務(wù),同時員工通過自有手機APP執(zhí)行業(yè)務(wù)過程,此情況下GB/T22080-2016標(biāo)準(zhǔn)A8.1條款可以刪減。（）57、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）58、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）59、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）60、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）61、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）62、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）63、敏感標(biāo)記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標(biāo)記作為強制訪問控制決策的依據(jù)（）。64、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。65、組織應(yīng)持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）

參考答案一、單項選擇題1、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D2、D3、C解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行備案制度，故選C4、C5、B6、C7、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A8、D9、D10、A11、B12、D13、A14、B15、D16、C17、A18