2023年10月CCAA注冊(cè)審核員ISMS信息安全管理體系復(fù)習(xí)題含解析

2023年10月CCAA注冊(cè)審核員ISMS信息安全管理體系復(fù)習(xí)題一、單項(xiàng)選擇題1、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用2、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是:（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)3、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚(yú)”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部4、—個(gè)信息安全事件由單個(gè)的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運(yùn)行和威脅信息安全的極大可能性A、已經(jīng)發(fā)生B、可能發(fā)生C、意外D、A+B+C5、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說(shuō)法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用6、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)7、主動(dòng)式射頻識(shí)別卡(RFID)存在哪一種弱點(diǎn)?（）A、會(huì)話被劫持B、被竊聽(tīng)C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚(yú)攻擊DR8、下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析9、在認(rèn)證審核時(shí)，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過(guò)程B、是必須進(jìn)行的C、不是必須的過(guò)程D、以上都不準(zhǔn)確10、容量管理的對(duì)象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部11、風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的（）A、行動(dòng)B、計(jì)劃C、意愿D、批復(fù)12、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機(jī)房的服務(wù)器C、保潔服務(wù)D、以上都不對(duì)13、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞14、關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說(shuō)法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營(yíng)性和非經(jīng)營(yíng)性兩類，其中經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B、非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C、從事經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國(guó)電信條例》規(guī)定的要求D、經(jīng)營(yíng)性互聯(lián)網(wǎng)服務(wù)，是指通過(guò)互聯(lián)網(wǎng)向上網(wǎng)用戶無(wú)嘗提供具有公開(kāi)性、共享性信息的服務(wù)活動(dòng)15、下列哪個(gè)選項(xiàng)不屬于審核組長(zhǎng)的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場(chǎng)審核有關(guān)的工作文件C、主持首末次會(huì)議和市核組會(huì)議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通16、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年17、在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為（）A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求18、下列那些事情是審核員不必要做的？（）A、對(duì)接觸到的客戶信息進(jìn)行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達(dá)方式19、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說(shuō)法不正確的是（）A、以電子或其它方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人的各種信息屬于個(gè)人信息B、自然人的身份證號(hào)碼、電話號(hào)碼屬于個(gè)人信息C、自然人的姓名、住址不屬于個(gè)人信息D、自然人的出生日期屬于個(gè)人信息20、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程記錄C、管理評(píng)審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南21、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析22、不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時(shí)、可靠升級(jí)反病毒產(chǎn)品C、新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)D、整理磁盤23、（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障24、在運(yùn)行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息C、測(cè)量信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息D、改進(jìn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息25、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)26、關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說(shuō)法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用27、下列哪個(gè)措施不是用來(lái)防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問(wèn)的？（）A、物理入口控制B、開(kāi)發(fā)、測(cè)試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作28、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的?（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后由審核組長(zhǎng)起草形成C、正式的審核報(bào)告由組長(zhǎng)將報(bào)告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)29、監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作是（）對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)履行法定職責(zé)之一A、電信管理機(jī)構(gòu)B、公安機(jī)關(guān)C、國(guó)家安全機(jī)關(guān)D、國(guó)家保密局30、根據(jù)《中華人民共和國(guó)國(guó)家秘密法》，國(guó)家秘密的最高密級(jí)為(）A、特密B、絕密C、機(jī)密D、秘密31、《信息安全技術(shù)信息安全事件分類分級(jí)指南》中的災(zāi)害性事件是由于（）對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障32、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期33、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定34、為信息系統(tǒng)用戶注冊(cè)時(shí)，以下正確的是:（）A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問(wèn)權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊(cè)C、預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問(wèn)權(quán)35、下面哪個(gè)不是《中華人民共和國(guó)密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國(guó)家密碼D、商用密碼36、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年37、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對(duì)資產(chǎn)擁有財(cái)產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負(fù)責(zé)人38、進(jìn)入重要機(jī)構(gòu)時(shí)，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問(wèn)控制B、身份鑒別C、審計(jì)D、標(biāo)記39、關(guān)于信息安全策略，下列說(shuō)法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審40、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來(lái)制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的使用進(jìn)行監(jiān)督二、多項(xiàng)選擇題41、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用42、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營(yíng)C、維護(hù)D、使用43、風(fēng)險(xiǎn)處置包括（)A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)計(jì)劃C、風(fēng)險(xiǎn)控制D、風(fēng)險(xiǎn)轉(zhuǎn)移44、當(dāng)滿足（）時(shí)，可考慮使用基于抽樣的方法對(duì)多場(chǎng)所進(jìn)行審核A、所有的場(chǎng)所在相同信息安全管理體系中,這些場(chǎng)所被集中管理和審核B、所有的場(chǎng)所在相同信息安全管理體系中,這些場(chǎng)所被分別管理和審核C、所有場(chǎng)所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場(chǎng)所包括在客戶組織的信息安全管理體系管理評(píng)審方案中45、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告46、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活動(dòng)，提高產(chǎn)品、服務(wù)的（），促進(jìn)經(jīng)濟(jì)和社會(huì)的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競(jìng)爭(zhēng)力47、根據(jù)《中華人民共和國(guó)密碼法》，密碼工作堅(jiān)持總體國(guó)家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級(jí)應(yīng)用C、服務(wù)大局D、分級(jí)負(fù)責(zé)48、對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施，以下說(shuō)法正確的是（）A、將所有風(fēng)險(xiǎn)都必須被降低至可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)49、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問(wèn),使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為50、移動(dòng)設(shè)備策略宜考慮（)A、移動(dòng)設(shè)備注冊(cè)B、惡意軟件防范C、訪問(wèn)控制D、物理保護(hù)要求51、投訴處理過(guò)程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評(píng)審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止52、管理評(píng)審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況53、某組織在酒店組織召開(kāi)內(nèi)容敏感的會(huì)議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下說(shuō)法正確的是（）A、會(huì)議開(kāi)始前及持續(xù)期間開(kāi)啟干擾機(jī)，這符合A11,2的要求B、進(jìn)入會(huì)議室人員被要求手機(jī)不得帶入，這符合A11,1的要求C、對(duì)于可進(jìn)入會(huì)議室提供茶水服務(wù)的酒店服務(wù)生進(jìn)行篩選，這符合A11,1的要求D、要求參會(huì)人員在散會(huì)時(shí)將紙質(zhì)會(huì)議資料留下由服務(wù)生統(tǒng)一回收，這符合A8,3的要求54、以下場(chǎng)景中符合GB/T22080-20161SO1EC27001:2013標(biāo)準(zhǔn)要求的情況是（）A、某公司為保潔人員發(fā)放了公司財(cái)務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個(gè)等級(jí),分別標(biāo)上紅橙黃藍(lán)標(biāo)志C、某公司為少數(shù)核心項(xiàng)目人員發(fā)放了手機(jī)，允許其使用手機(jī)在指定區(qū)域使用公司無(wú)線局域網(wǎng)訪問(wèn)客戶數(shù)據(jù)FTP，但不允許將手機(jī)帶離指定區(qū)域D、某公司門禁系統(tǒng)的時(shí)鐘比公司視頻監(jiān)控系統(tǒng)的時(shí)鐘慢約10分鐘55、以下說(shuō)法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問(wèn)卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測(cè)評(píng)只能通過(guò)第三方機(jī)構(gòu)來(lái)實(shí)施D、顧客不投訴并不意味著顧客滿意了三、判斷題56、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）57、客戶所有場(chǎng)所業(yè)務(wù)的范圍相同，且在同一ISMS下運(yùn)行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評(píng)審時(shí)，認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的認(rèn)證審核（)58、審核組長(zhǎng)在末次會(huì)議中應(yīng)該對(duì)受審核方是否通過(guò)認(rèn)證給出結(jié)論。（）59、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）60、信息系統(tǒng)中的“單點(diǎn)故障”指僅有一個(gè)故障點(diǎn)，因此屬于較低風(fēng)險(xiǎn)等級(jí)的事件。（）61、考慮了組織所實(shí)施的活動(dòng)，即可確定組織信息安全管理體系范圍。62、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）63、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）64、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。65、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保對(duì)其適宜性和充分性進(jìn)行評(píng)審和批準(zhǔn)。

參考答案一、單項(xiàng)選擇題1、A2、A3、C4、C解析:信息安全事件，指一個(gè)或一系列意外或不期望的信息安全事態(tài)組成，他們極有可能損害業(yè)務(wù)運(yùn)行并威脅信息安全。故選C5、A6、D7、B8、D解析:主動(dòng)攻擊會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）。被動(dòng)攻擊中攻擊者不對(duì)數(shù)據(jù)信息做任何修改，截