2023年3月CCAA國家注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析

2023年3月CCAA國家注冊審核員復(fù)習(xí)題—ISMS信息安全管理體系知識一、單項(xiàng)選擇題1、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項(xiàng)性能（）A、完整性B、可用性C、保密性D、可靠性2、完整性是指()A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個人實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、保護(hù)資產(chǎn)保密和可用的特性3、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實(shí)現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機(jī)密性D、可用性4、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、做出是否換發(fā)證書的決定5、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果6、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求7、以下哪項(xiàng)不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣8、由認(rèn)可機(jī)構(gòu)對認(rèn)證機(jī)構(gòu)、檢測機(jī)構(gòu)、實(shí)驗(yàn)室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動是（）A、認(rèn)證B、認(rèn)可C、審核D、評審9、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)10、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠(yuǎn)程視頻的形式D、以上都對11、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南12、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)13、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部14、在運(yùn)行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險處置計劃，保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險處置計劃，保留文件化信息C、測量信息安全風(fēng)險處置計劃，保留文件化信息D、改進(jìn)信息安全風(fēng)險處置計劃，保留文件化信息15、訪問控制是指確定（）以及實(shí)施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵16、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是(）A、信息安全政策的培訓(xùn)者與審計之間的職責(zé)分離B、職責(zé)分離的是不同管理層級之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶組之間的職責(zé)分離17、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實(shí)體或進(jìn)程其所用，是指（）A、完整性B、可用性C、機(jī)密性D、抗抵賴性18、被黑客控制的計算機(jī)常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬19、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應(yīng)（）A、制定ISMS目標(biāo)和計劃B、實(shí)施ISMS管理評審C、決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別D、其他選項(xiàng)均不正確20、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動、信息處理設(shè)施和系統(tǒng)變更21、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性22、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除23、關(guān)于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901124、關(guān)于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實(shí)現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明25、Saas是指(）A、軟件即服務(wù)B、服務(wù)平臺即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)26、下列說法不正確的是（）A、殘余風(fēng)險需要獲得管理者的批準(zhǔn)B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處置過程的結(jié)果C、所有的信息安全活動都必須記錄D、管理評審至少每年進(jìn)行一次27、ISMS文件的多少和詳細(xì)程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對28、對保密文件復(fù)印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性29、ISMS文件評審需考慮（）A、收集信息，以準(zhǔn)備審核活動和適當(dāng)?shù)墓ぷ魑募﨎、請受審核方確認(rèn)ISMS文件審核報告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見30、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象31、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議32、以下對GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評估D、組織在建立ISMS時，必須滿足該標(biāo)準(zhǔn)的所有要求33、進(jìn)入重要機(jī)構(gòu)時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標(biāo)記34、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)35、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，則應(yīng)具備的保護(hù)水平為：（）A、三級B、二級C、四級D、五級36、關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國家信息安全產(chǎn)品人證機(jī)構(gòu)頒發(fā)的認(rèn)證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞37、《計算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定：對計算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在()向當(dāng)?shù)乜h民政府公安機(jī)關(guān)報告A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)38、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)負(fù)責(zé)人C、資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D、A+B39、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対40、下列關(guān)于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作二、多項(xiàng)選擇題41、風(fēng)險處置的可選措施包括（）。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩42、風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴43、依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟(jì)建設(shè)設(shè)有重大負(fù)面影響44、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告45、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項(xiàng)目來管理，原項(xiàng)目管理機(jī)制中的風(fēng)險評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估C、公司各類項(xiàng)日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項(xiàng)目方案因包含設(shè)計圖紙等核心技術(shù)信息，其敏感性等級定義為最高46、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒47、關(guān)于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則48、關(guān)于“不可否認(rèn)性”，以下說法正確的是（）A、數(shù)字簽名是實(shí)現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段B、身份認(rèn)證是實(shí)現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認(rèn)性”的關(guān)鍵屬性D、具有證實(shí)一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性49、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運(yùn)營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估，A正確。周期性進(jìn)行的自評估可以在評估流程上適當(dāng)簡化，重點(diǎn)針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結(jié)果對比，B正確。自評估可由發(fā)起方實(shí)施或委托風(fēng)險評估服務(wù)技術(shù)支持方實(shí)施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法展開的風(fēng)險評估。本題選ABC50、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進(jìn)行分析和評價C、顧客滿意測評只能通過第三方機(jī)構(gòu)來實(shí)施D、顧客不投訴并不意味著顧客滿意了51、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動52、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場所等的冗余配置B、定期或?qū)崟r進(jìn)行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)D、有保障信息安全連續(xù)性水平的過程和程序文件53、下列屬于“開發(fā)安全”活動的是（）。A、應(yīng)規(guī)范用戶修改軟件包，必須的修改應(yīng)嚴(yán)格管制B、應(yīng)用系統(tǒng)若有變更，應(yīng)進(jìn)行適當(dāng)審核與測試C、軟件應(yīng)盡量采用自行開發(fā)避免外包或采購D、軟件的采購應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序54、下列說法正確的是（）A、殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針55、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風(fēng)險管理過程和方法的知識D、信息安全管理體系的控制措施及其實(shí)施的知識三、判斷題56、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）57、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）58、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）59、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的（）60、ISO/IEC27018是用于對云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）61、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。（）62、敏感標(biāo)記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機(jī)中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)（）。63、從審核開始到結(jié)束,審核組長應(yīng)對審核實(shí)施負(fù)責(zé)64、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的接受和批準(zhǔn)。65、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動，證實(shí)對信息安全管理體系的領(lǐng)導(dǎo)和承諾

參考答案一、單項(xiàng)選擇題1、B2、C3、C4、D5、C6、B7、A8、B9、D10、A11、D12、A13、D14、B15、A解析:訪問控制，確保