2022年6月CCAA國(guó)家注冊(cè)審核員復(fù)習(xí)題-ISMS信息安全管理體系含解析

2022年6月CCAA國(guó)家注冊(cè)審核員復(fù)習(xí)題—ISMS信息安全管理體系一、單項(xiàng)選擇題1、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專人管理式D、A+B+C2、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定3、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時(shí)候開始，如何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時(shí)候開始，如何評(píng)價(jià)結(jié)果4、以下哪項(xiàng)不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣5、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求6、保密性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対7、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法8、《信息安全技術(shù)信息安全事件分類分級(jí)指南》中的災(zāi)害性事件是由于（）對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障9、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)10、下面哪個(gè)不是《中華人民共和國(guó)密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國(guó)家密碼D、商用密碼11、不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時(shí)、可靠升級(jí)反病毒產(chǎn)品C、新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)D、整理磁盤12、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素13、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年14、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞15、一家投資顧問商定期向客戶發(fā)送有關(guān)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項(xiàng)問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件16、對(duì)于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時(shí)對(duì)其進(jìn)行適用性調(diào)整B、應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性C、應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D、以上都不對(duì)17、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測(cè)試B、如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期18、下列中哪個(gè)活動(dòng)是組織發(fā)生重大變更后一定要開展的活動(dòng)？（）A、對(duì)組織的信息安全管理體系進(jìn)行變更B、執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估C、開展內(nèi)部審核D、開展管理評(píng)審19、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部20、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保21、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以22、信息安全目標(biāo)應(yīng)()A、可測(cè)量B、與信息安全方針一致C、適當(dāng)時(shí)，對(duì)相關(guān)方可用D、定期更新23、在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下,下列哪一條屬于增加審核時(shí)間的要素?A、其產(chǎn)品/過程無風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動(dòng)過程D、具有高風(fēng)險(xiǎn)的產(chǎn)品或過程24、當(dāng)操作系統(tǒng)發(fā)生變更時(shí),應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行()以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和遷移B、評(píng)審和測(cè)試C、評(píng)審和隔離D、驗(yàn)證和確認(rèn)25、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)26、加密技術(shù)可以保護(hù)信息的(）A、機(jī)密性B、完整性C、可用性D、A+B27、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700528、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析29、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對(duì)30、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年31、下列措施中，（）是風(fēng)險(xiǎn)管理的內(nèi)容。A、識(shí)別風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)價(jià)C、風(fēng)險(xiǎn)處置D、以上都是32、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)D、以上都對(duì)33、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審34、訪問控制是指確定（）以及實(shí)施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵35、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更36、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4037、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織（）實(shí)施風(fēng)險(xiǎn)評(píng)估A、應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)B、應(yīng)按計(jì)劃的時(shí)間間隔且當(dāng)重大變更提出或發(fā)生時(shí)C、只需在重大變更發(fā)生時(shí)D、只需按計(jì)劃的時(shí)間間隔38、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時(shí)可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時(shí)間D、溝通對(duì)象39、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是(）A、信息安全政策的培訓(xùn)者與審計(jì)之間的職責(zé)分離B、職責(zé)分離的是不同管理層級(jí)之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶組之間的職責(zé)分離40、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評(píng)審的執(zhí)行二、多項(xiàng)選擇題41、以下（）活動(dòng)是ISMS監(jiān)視預(yù)評(píng)審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評(píng)審D、采取糾正措施42、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用43、某金融服務(wù)公司為其個(gè)人注冊(cè)會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請(qǐng)借貸的會(huì)員背景姿料、借貸額度等進(jìn)行討論評(píng)審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會(huì)討論的信息44、管理評(píng)審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性45、根據(jù)《中華人民共和國(guó)密碼法》，密碼工作堅(jiān)持總體國(guó)家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級(jí)應(yīng)用C、服務(wù)大局D、分級(jí)負(fù)責(zé)46、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備47、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入48、對(duì)于組織在風(fēng)險(xiǎn)處置過程中所選的控制措施，以下說法正確的是（）A、將所有風(fēng)險(xiǎn)都必須被降低至可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)49、網(wǎng)絡(luò)常見的拓?fù)湫问接校ǎ〢、星型B、環(huán)型C、總線D、樹型50、關(guān)于目標(biāo)，下列說法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品51、下列哪些是SSL支持的內(nèi)容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data52、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計(jì)算機(jī)制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號(hào)控制系統(tǒng)53、以下（）活動(dòng)是ISMS監(jiān)視預(yù)評(píng)審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評(píng)審D、采取糾正措施54、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識(shí)B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識(shí)C、風(fēng)險(xiǎn)管理過程和方法的知識(shí)D、信息安全管理體系的控制措施及其實(shí)施的知識(shí)55、操作系統(tǒng)的基本功能有(）A、存儲(chǔ)管理B、文件管理C、設(shè)備管理D、處理器管理三、判斷題56、GB/T28450-2020是等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27007的國(guó)家標(biāo)準(zhǔn)（）57、當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識(shí)別來自任何來源的控制。（）58、實(shí)習(xí)審核員可以獨(dú)立完成審核任務(wù)。（）59、容量管理策略可以考慮增加容量或降低容量要求（）60、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）61、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無意錯(cuò)誤操作導(dǎo)致的影響（）62、敏感信息通過網(wǎng)絡(luò)傳輸時(shí)必須加密處理。（)63、中華人民共和國(guó)境內(nèi)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計(jì)算機(jī)的安全保護(hù)辦法,另行制定。64、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲(chǔ)、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）65、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）

參考答案一、單項(xiàng)選擇題1、B2、A3、C4、A5、B6、B7、C8、C9、D10、C11、D12、A13、D14、B15、C16、D解析:應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)其完整性17、A18、B19、D20、A解析:理解組織及其環(huán)境21、B22、B23、D24、B25、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)臉?biāo)識(shí)和描述；格式和介質(zhì)；對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)26、D27、B28、C29、A30、D31、D32、B33、B34、A解析:訪問控制，確保對(duì)資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項(xiàng)過于細(xì)化，故選A35、B36、A37、