2023年3月CCAA國(guó)家注冊(cè)ISMS信息安全管理體系審核員知識(shí)考試題目含解析

2023年3月CCAA國(guó)家注冊(cè)ISMS信息安全管理體系審核員知識(shí)考試題目一、單項(xiàng)選擇題1、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年2、關(guān)于文件管理下列說(shuō)法錯(cuò)誤的是（）A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B、必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰，易于識(shí)別D、作廢文件應(yīng)及時(shí)銷(xiāo)毀，防止錯(cuò)誤使用3、以下對(duì)GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類(lèi)標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類(lèi)標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評(píng)估D、組織在建立ISMS時(shí)，必須滿(mǎn)足該標(biāo)準(zhǔn)的所有要求4、ISO/IEC27001所采用的過(guò)程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法5、關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑6、下列措施中，（）是風(fēng)險(xiǎn)管理的內(nèi)容。A、識(shí)別風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)價(jià)C、風(fēng)險(xiǎn)處置D、以上都是7、信息安全管理中，關(guān)于脆弱性，以下說(shuō)法正確的是()。A、組織使用的開(kāi)源軟件不須考慮其技術(shù)脆弱性B、軟件開(kāi)發(fā)人員為方便維護(hù)留的后門(mén)是脆弱性的一種C、識(shí)別資產(chǎn)脆弱性時(shí)應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機(jī)會(huì)8、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用9、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)負(fù)責(zé)人C、資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高D、A+B10、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說(shuō)法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用11、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚(yú)”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部12、ISMS文件評(píng)審需考慮（）A、收集信息，以準(zhǔn)備審核活動(dòng)和適當(dāng)?shù)墓ぷ魑募﨎、請(qǐng)受審核方確認(rèn)ISMS文件審核報(bào)告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見(jiàn)D、雙方就ISMS文件框架交換不同意見(jiàn)13、下面哪個(gè)不是典型的軟件開(kāi)發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型14、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過(guò)程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對(duì)15、組織應(yīng)按照本標(biāo)準(zhǔn)的要求（）信息安全管理體系。A、策劃、實(shí)現(xiàn)、監(jiān)視、和持續(xù)改進(jìn)B、建立、實(shí)施、監(jiān)視、和持續(xù)改進(jìn)C、建立、實(shí)現(xiàn)、維護(hù)、和持續(xù)改進(jìn)D、策劃、實(shí)施、維護(hù)、和持續(xù)改進(jìn)16、gb17859-1999提出將信息系統(tǒng)的安全等級(jí)劃分為（）個(gè)等級(jí)，并提出每個(gè)級(jí)別的安全功能要求A、2B、3C、5D、717、關(guān)于投訴處理過(guò)程的設(shè)計(jì)，以下說(shuō)法正確的是：（）A、投訴處理過(guò)程應(yīng)易于所有投訴者使用B、投訴處理過(guò)程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過(guò)程應(yīng)易于所有投訴處理者使用D、投訴處理過(guò)程應(yīng)易于為投訴處理付費(fèi)的投訴者使用18、訪(fǎng)問(wèn)控制是確保對(duì)資產(chǎn)的訪(fǎng)問(wèn)，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶(hù)權(quán)限B、可被用戶(hù)訪(fǎng)問(wèn)的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪(fǎng)問(wèn)19、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)評(píng)估程序20、局域網(wǎng)環(huán)境下與大型計(jì)算機(jī)環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯(cuò)能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議21、風(fēng)險(xiǎn)處置是（）A、識(shí)別并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程B、確定并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程C、分析并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程D、選擇并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程22、對(duì)于外部方提供的軟件包，以下說(shuō)法正確的是：（）A、組織的人員可隨時(shí)對(duì)其進(jìn)行適用性調(diào)整B、應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性C、應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D、以上都不對(duì)23、關(guān)于備份，以下說(shuō)法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測(cè)試B、如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期24、不屬于常見(jiàn)的危險(xiǎn)密碼是（）A、跟用戶(hù)名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼25、關(guān)于適用性聲明下面描述錯(cuò)誤的是(）A、包含附錄A中控制刪減的合理性說(shuō)明B、不包含未實(shí)現(xiàn)的控制C、包含所有計(jì)劃的控制D、包含附錄A的控制及其選擇的合理性說(shuō)明26、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評(píng)審范疇的是（）。A、監(jiān)視和評(píng)審服務(wù)級(jí)別協(xié)議的符合性B、監(jiān)視和評(píng)審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評(píng)審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評(píng)審服務(wù)方跟蹤處理信息安全事件的能力27、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶(hù)組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶(hù)共同來(lái)制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的使用進(jìn)行監(jiān)督28、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計(jì)劃C、實(shí)施ISMS內(nèi)部審核D、主持ISMS管理評(píng)審29、計(jì)算機(jī)病毒系指_____。A、生物病毒感染B、細(xì)菌感染C、被損壞的程序D、特制的具有損壞性的小程序30、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以31、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過(guò)程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過(guò)程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更32、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子?（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞33、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級(jí)機(jī)關(guān)34、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行（）A、國(guó)家經(jīng)營(yíng)B、地方經(jīng)營(yíng)C、許可制度D、備案制度35、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性36、風(fēng)險(xiǎn)評(píng)價(jià)是指（）A、系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和評(píng)估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D、以上都對(duì)37、信息安全殘余風(fēng)險(xiǎn)是（）。A、沒(méi)有處置完成的風(fēng)險(xiǎn)B、沒(méi)有評(píng)估的風(fēng)險(xiǎn)C、處置之后仍存在的風(fēng)險(xiǎn)D、處置之后沒(méi)有報(bào)告的風(fēng)險(xiǎn)38、密碼技術(shù)不適用于控制下列哪種風(fēng)險(xiǎn)？（）A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險(xiǎn)B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險(xiǎn)C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險(xiǎn)D、數(shù)據(jù)被非授權(quán)訪(fǎng)問(wèn)的風(fēng)險(xiǎn)39、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對(duì)資產(chǎn)擁有財(cái)產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門(mén)負(fù)責(zé)人40、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過(guò)濾B、應(yīng)用網(wǎng)關(guān)C、擴(kuò)展的日志記錄能力D、包交換二、多項(xiàng)選擇題41、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對(duì)相關(guān)方可用B、包括對(duì)持續(xù)改進(jìn)ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜42、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場(chǎng)所和必備設(shè)施B、注冊(cè)資本不得少于人民幣600萬(wàn)元C、具有10名以上相應(yīng)領(lǐng)域的專(zhuān)職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度43、根據(jù)《中華人民共和國(guó)密碼法》，密碼工作堅(jiān)持總體國(guó)家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級(jí)應(yīng)用C、服務(wù)大局D、分級(jí)負(fù)責(zé)44、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12,3,1條款要求（）A、設(shè)定備份策B、定期測(cè)試備份介質(zhì)C、定期備份D、定期測(cè)試信息和軟件45、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風(fēng)險(xiǎn)管理要求B、ISMS的復(fù)雜度C、是否存在相似場(chǎng)所D、ISMS的規(guī)模46、投訴處理過(guò)程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評(píng)審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止47、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動(dòng)，提高產(chǎn)品、服務(wù)的（），促進(jìn)經(jīng)濟(jì)和社會(huì)的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競(jìng)爭(zhēng)力48、關(guān)于審核委托方，以下說(shuō)法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核49、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿(mǎn)足工作所需要的信息C、工作人員在滿(mǎn)足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍D、得到管理者批準(zhǔn)的信息是可訪(fǎng)問(wèn)的信息50、下列屬于“開(kāi)發(fā)安全”活動(dòng)的是（）。A、應(yīng)規(guī)范用戶(hù)修改軟件包，必須的修改應(yīng)嚴(yán)格管制B、應(yīng)用系統(tǒng)若有變更，應(yīng)進(jìn)行適當(dāng)審核與測(cè)試C、軟件應(yīng)盡量采用自行開(kāi)發(fā)避免外包或采購(gòu)D、軟件的采購(gòu)應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序51、關(guān)于審核方案，以下說(shuō)法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類(lèi)型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入52、在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)B、為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評(píng)審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)53、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備54、關(guān)于涉密信息系統(tǒng)的管理，以下說(shuō)法正確的是：（)A、涉密計(jì)算機(jī)、存儲(chǔ)設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途55、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括（）A、信息備份策略B、訪(fǎng)問(wèn)控制策略C、信息傳輸策略D、密鑰管理策略三、判斷題56、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。（）57、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）58、最高管理層應(yīng)確保方針得到建立（）59、容量管理策略可以考慮增加容量或降低容量要求。（）60、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬61、最高管理層應(yīng)通過(guò)“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）62、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。63、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）64、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）65、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）

參考答案一、單項(xiàng)選擇題1、D2、D3、B4、C5、C6、D7、B8、A9、A10、A11、C12、A13、A14、A15、C16、C解析:《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)17、A解析:質(zhì)量管理顧客滿(mǎn)意組織處理投訴指南1范圍，投訴處理過(guò)程為投訴者提供一個(gè)開(kāi)放，有效，方便的投訴程序，故選A18、D19、B20、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計(jì)算機(jī)環(huán)境是指類(lèi)似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯(cuò)能力上，故選B21、D解析:風(fēng)險(xiǎn)處置，是指選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程。故選D22、D解析:應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)其完整性23、A24、D25、B26、B27、B28、D29、D30、B31、B