2022年第三期CCAA國(guó)家注冊(cè)審核員ISMS信息安全管理體系模擬試題含解析

2022年第三期CCAA國(guó)家注冊(cè)審核員ISMS信息安全管理體系模擬試題一、單項(xiàng)選擇題1、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點(diǎn)目標(biāo)（RPO)C、恢復(fù)時(shí)間目標(biāo)（RTO)D、最長(zhǎng)可接受終端時(shí)間（MAO)2、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対3、有關(guān)信息安全管理，風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法，主要的優(yōu)勢(shì)在于它確保(）A、不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會(huì)被實(shí)施B、對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源C、對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、信息資產(chǎn)過(guò)度的保護(hù)4、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保5、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障6、造成計(jì)算機(jī)系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時(shí)打補(bǔ)丁B、使用弱口令C、連接不加密的無(wú)線網(wǎng)絡(luò)D、以上都對(duì)7、安全掃描可以實(shí)現(xiàn)（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來(lái)的問(wèn)題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問(wèn)題C、彌補(bǔ)防火墻對(duì)內(nèi)網(wǎng)安全威脅檢測(cè)不足的問(wèn)題D、掃描檢測(cè)所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流8、Saas是指(）A、軟件即服務(wù)B、服務(wù)平臺(tái)即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)9、末次會(huì)議包括（）A、請(qǐng)受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見(jiàn)進(jìn)行討論D、以上都不準(zhǔn)確10、關(guān)于信息安全產(chǎn)品的使用，以下說(shuō)法正確的是:（）A、對(duì)于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國(guó)自主知識(shí)產(chǎn)權(quán)B、對(duì)于三級(jí)以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國(guó)家信息安全產(chǎn)品人證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)C、對(duì)于四級(jí)以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無(wú)犯罪記錄D、對(duì)于四級(jí)以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒(méi)有故意留有或設(shè)置漏洞11、對(duì)于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序,以下做法正確的是（）A、實(shí)用程序的使用不在審計(jì)范圍內(nèi)B、建立禁止使用的實(shí)用程序清單C、緊急響應(yīng)時(shí)所使用的實(shí)用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實(shí)用程序清單12、管理員通過(guò)桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對(duì)其的處理方式不包括(）A、自動(dòng)恢復(fù)其IP至原綁定狀態(tài)B、斷開(kāi)網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對(duì)其發(fā)出警告D、鎖定鍵盤(pán)鼠標(biāo)13、文件初審是評(píng)價(jià)受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對(duì)14、風(fēng)險(xiǎn)識(shí)別過(guò)程中需要識(shí)別的方面包括：資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、（）。A、識(shí)別可能性和影響B(tài)、識(shí)別脆弱性和識(shí)別后果C、識(shí)別脆弱性和可能性D、識(shí)別脆弱性和影響15、對(duì)于交接區(qū)域的信息安全管理，以下說(shuō)法正確的是:（）A、對(duì)于進(jìn)入組織的設(shè)備設(shè)施予以檢查驗(yàn)證,對(duì)于離開(kāi)組織的設(shè)備設(shè)施則不必驗(yàn)證B、對(duì)于離開(kāi)組織的設(shè)備設(shè)施予以檢查驗(yàn)證,對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對(duì)于進(jìn)入和離開(kāi)組織的設(shè)備設(shè)施均須檢查驗(yàn)證D、對(duì)于進(jìn)入和離開(kāi)組織的設(shè)備設(shè)施，驗(yàn)證攜帶者身份信息;可替代對(duì)設(shè)備設(shè)施的驗(yàn)證16、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)D、以上都對(duì)17、容災(zāi)的目的和實(shí)質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞18、殘余風(fēng)險(xiǎn)是指:（）A、風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低19、下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析20、關(guān)于訪問(wèn)控制策略，以下不正確的是：（）A、須考慮被訪問(wèn)客體的敏感性分類、訪問(wèn)主體的授權(quán)方式、時(shí)限和訪問(wèn)類型B、對(duì)于多任務(wù)訪問(wèn)，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問(wèn)控制策D、物理區(qū)域訪問(wèn)控制策略應(yīng)與其中的資產(chǎn)敏感性一致21、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說(shuō)法正確的是(）A、信息安全政策的培訓(xùn)者與審計(jì)之間的職責(zé)分離B、職責(zé)分離的是不同管理層級(jí)之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶組之間的職責(zé)分離22、組織機(jī)構(gòu)在建立和評(píng)審ISMS時(shí)，應(yīng)考慮（）A、風(fēng)險(xiǎn)評(píng)估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C23、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性24、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審25、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過(guò)程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對(duì)26、完整性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性B、信息不被未授權(quán)的個(gè)人實(shí)體或過(guò)程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性27、風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的（）A、行動(dòng)B、計(jì)劃C、意愿D、批復(fù)28、下列哪個(gè)選項(xiàng)不屬于審核組長(zhǎng)的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場(chǎng)審核有關(guān)的工作文件C、主持首末次會(huì)議和市核組會(huì)議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通29、關(guān)于入侵檢測(cè)，以下不正確的是：（）A、入侵檢測(cè)是一個(gè)采集知識(shí)的過(guò)程B、入侵檢測(cè)指信息安全事件響應(yīng)過(guò)程C、分析反常的使用模式是入侵檢測(cè)模式之一D、入侵檢測(cè)包括收集被利用脆弱性發(fā)生的時(shí)間信息30、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任31、關(guān)于投訴處理過(guò)程的設(shè)計(jì)，以下說(shuō)法正確的是：()A、投訴處理過(guò)程應(yīng)易于所有投訴者使用B、投訴處理過(guò)程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過(guò)程應(yīng)易于所有投訴處理者使用D、投訴處理過(guò)程應(yīng)易于為投訴處理付費(fèi)的投訴者使用32、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器33、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)。A、2年B、3年C、4年D、5年34、下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計(jì)劃的時(shí)間間隔35、關(guān)于顧客滿意，以下說(shuō)法正確的是：（）A、顧客沒(méi)有抱怨，表示顧客滿意B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求己得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求己得到滿足，即意味著顧客滿意36、為確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理，下列控制措施哪個(gè)不是必須的？（）A、建立信息安全事件管理的責(zé)任B、建立信息安全事件管理規(guī)程C、對(duì)信息安全事件進(jìn)行響應(yīng)D、在組織內(nèi)通報(bào)信息安全事件37、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D、對(duì)組織有價(jià)值的文件38、在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說(shuō)法正確的是（）A、技術(shù)符合性評(píng)審即滲透測(cè)試B、技術(shù)符合性評(píng)審即漏洞掃描與滲透測(cè)試的結(jié)合C、滲透測(cè)試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D、滲透測(cè)試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估39、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)40、ISMS管理評(píng)審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅C、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新D、改進(jìn)的建議二、多項(xiàng)選擇題41、組織建立的信息安全目標(biāo)，應(yīng)（）。A、是可測(cè)量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時(shí)更新42、關(guān)于“不可否認(rèn)性”，以下說(shuō)法正確的是（）A、數(shù)字簽名是實(shí)現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段B、身份認(rèn)證是實(shí)現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)C、數(shù)字時(shí)間戳是“不可否認(rèn)性”的關(guān)鍵屬性D、具有證實(shí)一個(gè)聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性43、以下說(shuō)法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問(wèn)卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測(cè)評(píng)只能通過(guò)第三方機(jī)構(gòu)來(lái)實(shí)施D、顧客不投訴并不意味著顧客滿意了44、關(guān)于目標(biāo)，下列說(shuō)法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品45、下列哪些是SSL支持的內(nèi)容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data46、關(guān)于云計(jì)算服務(wù)中的的安全，以下說(shuō)法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實(shí)施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則47、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后48、關(guān)于信息安全風(fēng)險(xiǎn)自評(píng)估，下列選項(xiàng)正確的是（）A、是指信息系統(tǒng)擁有、運(yùn)營(yíng)和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化C、可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施D、由信息系統(tǒng)上級(jí)管理部門(mén)組織的風(fēng)險(xiǎn)評(píng)估49、以下場(chǎng)景中符合GB/T22080-20161SO1EC27001:2013標(biāo)準(zhǔn)要求的情況是（）A、某公司為保潔人員發(fā)放了公司財(cái)務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門(mén)禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個(gè)等級(jí),分別標(biāo)上紅橙黃藍(lán)標(biāo)志C、某公司為少數(shù)核心項(xiàng)目人員發(fā)放了手機(jī)，允許其使用手機(jī)在指定區(qū)域使用公司無(wú)線局域網(wǎng)訪問(wèn)客戶數(shù)據(jù)FTP，但不允許將手機(jī)帶離指定區(qū)域D、某公司門(mén)禁系統(tǒng)的時(shí)鐘比公司視頻監(jiān)控系統(tǒng)的時(shí)鐘慢約10分鐘50、網(wǎng)絡(luò)常見(jiàn)的拓?fù)湫问接校ǎ〢、星型B、環(huán)型C、總線D、樹(shù)型51、常規(guī)控制圖主要用于區(qū)分（）A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過(guò)程能力的大小C、過(guò)程加工的不合格品率D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)52、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告53、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營(yíng)C、維護(hù)D、使用54、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計(jì)算機(jī)制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號(hào)控制系統(tǒng)55、最高管理層應(yīng)通過(guò)（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、確保將信息安全管理體系要求整合到組織過(guò)程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)D、確保信息安全管理體系達(dá)到預(yù)期結(jié)果三、判斷題56、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）57、敏感信息通過(guò)網(wǎng)絡(luò)傳輸時(shí)必須加密處理。（)58、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）59、容量管理策略可以考慮增加容量或降低容量要求（）60、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機(jī)APP完成對(duì)公司客戶的服務(wù)請(qǐng)求處理，但手機(jī)須安裝公司規(guī)定的安全控制程序，無(wú)論手機(jī)是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)61、利用生物信息進(jìn)行身份鑒別包括生物行為特征鑒別及生物特征鑒別。62、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）63、完全備份就是對(duì)全部數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行備份。（）64、考慮了組織所實(shí)施的活動(dòng)，即可確定組織信息安全管理體系范圍。65、最高管理層應(yīng)確保方針得到建立（）

參考答案一、單項(xiàng)選擇題1、C2、A3、C4、A5、A6、D7、C8、A9、C10、B11、D12、D13、A14、B解析:27005信息安全風(fēng)險(xiǎn)管理8,2,,1風(fēng)險(xiǎn)識(shí)別，包括資產(chǎn)識(shí)別，威脅識(shí)別，現(xiàn)有控制措施識(shí)別，脆弱性識(shí)別，后果識(shí)別。故選B15、C16、B17、C18、D19、D解析:主動(dòng)攻擊會(huì)導(dǎo)