2022年第四期CCAA注冊(cè)審核員ISMS信息安全管理體系考試題目含解析

2022年第四期CCAA注冊(cè)審核員ISMS信息安全管理體系考試題目一、單項(xiàng)選擇題1、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督2、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用3、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場(chǎng)所分布4、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析5、下列不屬于取得認(rèn)證機(jī)構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場(chǎng)所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認(rèn)證人員6、殘余風(fēng)險(xiǎn)是指:（）A、風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低7、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊(cè)帳戶的時(shí)效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼8、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年9、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督10、下列哪個(gè)選項(xiàng)不屬于審核組長的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場(chǎng)審核有關(guān)的工作文件C、主持首末次會(huì)議和市核組會(huì)議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通11、組織應(yīng)（）。A、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)B、對(duì)信息按照制度要求、價(jià)值、有效性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)C、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)D、對(duì)信息按照制度要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)12、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)13、你所在的組織正在計(jì)劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源，在評(píng)估這樣一個(gè)軟件產(chǎn)品時(shí)最重要的標(biāo)準(zhǔn)是什么?（）A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價(jià)14、下面哪個(gè)不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型15、以下可表明知識(shí)產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)16、某公司進(jìn)行風(fēng)險(xiǎn)評(píng)估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患、為了處置這個(gè)風(fēng)險(xiǎn)，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）A、風(fēng)險(xiǎn)接受B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩17、在現(xiàn)場(chǎng)審核時(shí)，審核組有權(quán)自行決定變更的事項(xiàng)是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整18、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)19、實(shí)施管理評(píng)審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是20、我國網(wǎng)絡(luò)安全等級(jí)保護(hù)共分幾個(gè)級(jí)別？（）A、7B、4C、5D、621、對(duì)于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序,以下做法正確的是（）A、實(shí)用程序的使用不在審計(jì)范圍內(nèi)B、建立禁止使用的實(shí)用程序清單C、緊急響應(yīng)時(shí)所使用的實(shí)用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實(shí)用程序清單22、（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè)和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測(cè)、防病毒系統(tǒng)和防火墻23、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時(shí)候開始，如何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時(shí)候開始，如何評(píng)價(jià)結(jié)果24、在我國《信息安全等級(jí)保護(hù)管理辦法》中將信息系統(tǒng)的安全等級(jí)分為（）級(jí)A、3B、4C、5D、625、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計(jì)的專用計(jì)算機(jī)C、安裝了專用安全協(xié)議的專用計(jì)算機(jī)D、特定用途（如高保密）專用的計(jì)算機(jī)軟件和硬件產(chǎn)品26、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部27、安全標(biāo)簽是一種訪問控制機(jī)制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強(qiáng)制性訪問控制策略28、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子?（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞29、信息安全目標(biāo)應(yīng)()A、可測(cè)量B、與信息安全方針一致C、適當(dāng)時(shí)，對(duì)相關(guān)方可用D、定期更新30、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對(duì)資產(chǎn)擁有財(cái)產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負(fù)責(zé)人31、監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作是（）對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)履行法定職責(zé)之一A、電信管理機(jī)構(gòu)B、公安機(jī)關(guān)C、國家安全機(jī)關(guān)D、國家保密局32、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式33、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審34、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時(shí)限和訪問類型B、對(duì)于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致35、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制36、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下正確的是（）。A、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個(gè)月B、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個(gè)月D、重要數(shù)據(jù)備份保存不得少于12個(gè)月，網(wǎng)絡(luò)日志保存不得少于6個(gè)月37、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項(xiàng)都正確38、GB/T29246標(biāo)準(zhǔn)為組織和個(gè)人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語和定義39、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠(yuǎn)程視頻的形式D、以上都對(duì)40、造成計(jì)算機(jī)系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時(shí)打補(bǔ)丁B、使用弱口令C、連接不加密的無線網(wǎng)絡(luò)D、以上都對(duì)二、多項(xiàng)選擇題41、對(duì)于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審42、信息安全是保證信息的(),另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性43、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測(cè)評(píng)只能通過第三方機(jī)構(gòu)來實(shí)施D、顧客不投訴并不意味著顧客滿意了44、下列有關(guān)涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機(jī)構(gòu)測(cè)試后即可投入使用B、涉密信息系統(tǒng)投入運(yùn)行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計(jì)算機(jī)重裝操作系統(tǒng)后可降為非涉密計(jì)算機(jī)使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)45、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障（）A、計(jì)算機(jī)及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運(yùn)行環(huán)境安全D、計(jì)算機(jī)功能和正常發(fā)揮46、根據(jù)《中華人民共和國密碼法》，密碼工作堅(jiān)持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級(jí)應(yīng)用C、服務(wù)大局D、分級(jí)負(fù)責(zé)47、某金融服務(wù)公司為其個(gè)人注冊(cè)會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會(huì)議，對(duì)申請(qǐng)借貸的會(huì)員背景資料、借貸額度等進(jìn)行討論評(píng)審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會(huì)議上討論的信息48、組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動(dòng)是A、審核準(zhǔn)備B、第一階段審核C、第二階段審核D、認(rèn)證決定49、以下場(chǎng)景中符合GB/T22080-20161SO1EC27001:2013標(biāo)準(zhǔn)要求的情況是（）A、某公司為保潔人員發(fā)放了公司財(cái)務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個(gè)等級(jí),分別標(biāo)上紅橙黃藍(lán)標(biāo)志C、某公司為少數(shù)核心項(xiàng)目人員發(fā)放了手機(jī)，允許其使用手機(jī)在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機(jī)帶離指定區(qū)域D、某公司門禁系統(tǒng)的時(shí)鐘比公司視頻監(jiān)控系統(tǒng)的時(shí)鐘慢約10分鐘50、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排51、在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)B、為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評(píng)審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)52、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)（）類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識(shí)類D、教育類53、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動(dòng)的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度54、管理評(píng)審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況55、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險(xiǎn)處置過程C、溝通記錄D、信息安全目標(biāo)三、判斷題56、通過修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，可以稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來計(jì)算機(jī)病毒的變形。57、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保對(duì)其適宜性和充分性進(jìn)行評(píng)審和批準(zhǔn)。58、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬59、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）60、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無意錯(cuò)誤操作導(dǎo)致的影響（）61、實(shí)習(xí)審核員可以獨(dú)立完成審核任務(wù)。（）62、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）63、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）64、組織使用云盤設(shè)施服務(wù)時(shí)，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）65、敏感信息通過網(wǎng)絡(luò)傳輸時(shí)必須加密處理。（)

參考答案一、單項(xiàng)選擇題1、B2、A3、C4、C5、C6、D7、D8、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕