2021年9月CCAA國(guó)家信息安全管理體系質(zhì)量審核員復(fù)習(xí)題含解析

2021年9月CCAA國(guó)家信息安全管理體系質(zhì)量審核員復(fù)習(xí)題一、單項(xiàng)選擇題1、下列管理評(píng)審的方式，哪個(gè)不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評(píng)審團(tuán)隊(duì)通過會(huì)議的方式對(duì)管理體系適宜性、有效性和充分性進(jìn)行評(píng)審B、通過網(wǎng)絡(luò)會(huì)議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性進(jìn)行評(píng)審C、通過逐級(jí)匯報(bào)的方式由最高管理層對(duì)管理體系的有效性和充分性進(jìn)行評(píng)審D、通過材料評(píng)審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審2、—家投資顧問商定期向客戶發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件3、IT服務(wù)中"升級(jí)"是（）A、服務(wù)等級(jí)的升級(jí)B、問題管理向變更管理升級(jí)C、將事件、問題升級(jí)為更高職能的人員或部門處理D、事件管理向問題管理升級(jí)4、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備(NAS)時(shí)B、不能使用TCP/IP的環(huán)境時(shí)C、需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)中先創(chuàng)學(xué)D、要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)5、（）屬于管理脆弱性的識(shí)別對(duì)象。A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理6、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時(shí)采用多路線路供電D、應(yīng)定期檢查機(jī)房空調(diào)的有效性7、()屬于管理脆弱性的識(shí)別對(duì)象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理8、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對(duì)9、根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級(jí)。A、5B、6C、3D、410、完整性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對(duì)11、IT部門中的所有服務(wù)是否都要包含在認(rèn)證范圍以內(nèi)？（）A、是的，整個(gè)范圍的服務(wù)都要包含在認(rèn)證范圍之內(nèi)B、只有當(dāng)其都被提供給相同的客戶群體時(shí)C、不，該范圍可限制為服務(wù)的子集D、取決于該服務(wù)為內(nèi)部提供還是外部提供12、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)13、()可用來保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評(píng)估D、容災(zāi)和數(shù)據(jù)備份14、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是(）A、信息安全政策的培訓(xùn)者與審計(jì)之間的職責(zé)分離B、職責(zé)分離的是不同管理層級(jí)之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶組之間的職責(zé)分離15、在我國(guó)《信息安全等級(jí)保護(hù)管理辦法》中將信息系統(tǒng)的安全等級(jí)分為（）級(jí)A、3B、4C、5D、616、跨國(guó)公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級(jí)，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗(yàn)證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?7、監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作是（）對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)履行法定職責(zé)之一A、電信管理機(jī)構(gòu)B、公安機(jī)關(guān)C、國(guó)家安全機(jī)關(guān)D、國(guó)家保密局18、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用19、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)評(píng)估程序20、《信息技術(shù)信息安全事件分類分級(jí)指南》中的災(zāi)害性事件是由于（）對(duì)信息系統(tǒng)物理破壞而導(dǎo)致的信息安全事件。A、網(wǎng)絡(luò)攻擊B、不可抗力C、自然災(zāi)害D、人為因素21、關(guān)于入侵檢測(cè)，以下不正確的是：（）A、入侵檢測(cè)是一個(gè)采集知識(shí)的過程B、入侵檢測(cè)指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測(cè)模式之一D、入侵檢測(cè)包括收集被利用脆弱性發(fā)生的時(shí)間信息22、桌面系統(tǒng)級(jí)聯(lián)狀態(tài)下，關(guān)于上級(jí)服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級(jí)管理員無權(quán)修改，不可刪除B、下級(jí)管理員無權(quán)修改，可以刪除C、下級(jí)管理員可以修改，可以刪除D、下級(jí)管理員可以修改，不可刪除23、ISMS文件的多少和詳細(xì)程度取決于()A、組織的規(guī)模和活動(dòng)的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對(duì)24、在運(yùn)行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息C、測(cè)量信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息D、改進(jìn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息25、按照PDCA思路進(jìn)行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動(dòng)的PDCA過程進(jìn)行審核B、按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核C、按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核D、以上都對(duì)26、關(guān)于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡(luò)安全等級(jí)保護(hù)中，三級(jí)以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令27、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊(cè)帳戶的時(shí)效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼28、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯(cuò)誤的是（）A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》29、根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證30、密碼技術(shù)不適用于控制下列哪種風(fēng)險(xiǎn)？（）A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險(xiǎn)B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險(xiǎn)C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險(xiǎn)D、數(shù)據(jù)被非授權(quán)訪問的風(fēng)險(xiǎn)31、在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改32、ISMS文件評(píng)審需考慮（）A、收集信息，以準(zhǔn)備審核活動(dòng)和適當(dāng)?shù)墓ぷ魑募﨎、請(qǐng)受審核方確認(rèn)ISMS文件審核報(bào)告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見33、組織應(yīng)（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)34、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）A、對(duì)于進(jìn)入組織的設(shè)備和資產(chǎn)須驗(yàn)證其是否符合安全策略，對(duì)于離開組織的設(shè)備設(shè)施則不須驗(yàn)證B、對(duì)于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證其合格證，對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對(duì)于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證相關(guān)授權(quán)信息D、對(duì)于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗(yàn)證攜帶者身份信息，可替代對(duì)設(shè)備設(shè)施的驗(yàn)證35、組織應(yīng)（）A、定義和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識(shí)別和使用安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識(shí)別和控制安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域36、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊(cè)與標(biāo)準(zhǔn)的符合程度37、關(guān)于《中華人民共和國(guó)保密法》，以下說法正確的是:（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)38、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D、對(duì)組織有價(jià)值的文件39、ISO/IEC20000-1適用于通過ITSMS的()服務(wù)規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)。A、有效策劃與保持持續(xù)改進(jìn)B、有效實(shí)施與運(yùn)行持續(xù)改進(jìn)C、有效實(shí)施與保持持續(xù)改進(jìn)D、有效策劃與運(yùn)行持續(xù)改進(jìn)40、（）是問題管理流程中最后的環(huán)節(jié)A、將任何與變更請(qǐng)求下相關(guān)的傳遞給問題管理B、關(guān)閉C、問題回顧D、問題記錄二、多項(xiàng)選擇題41、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后42、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略43、以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)44、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后45、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制46、關(guān)于審核委托方，以下說法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核47、組織在風(fēng)險(xiǎn)處置過程中所選的控制措施需（）A、將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)48、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排49、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場(chǎng)所和必備設(shè)施B、注冊(cè)資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度50、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理51、風(fēng)險(xiǎn)評(píng)估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴52、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒53、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩54、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12,3,1條款要求（）A、設(shè)定備份策B、定期測(cè)試備份介質(zhì)C、定期備份D、定期測(cè)試信息和軟件55、組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動(dòng)是A、審核準(zhǔn)備B、第一階段審核C、第二階段審核D、認(rèn)證決定三、判斷題56、最高管理層應(yīng)確保方針得到建立（）正確錯(cuò)誤57、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無意錯(cuò)誤操作導(dǎo)致的影響（）正確錯(cuò)誤58、較低的恢復(fù)時(shí)間目標(biāo)會(huì)有更長(zhǎng)的中斷時(shí)間。（）正確錯(cuò)誤59、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每?jī)赡曛辽龠M(jìn)行一次檢測(cè)評(píng)估。（）正確錯(cuò)誤60、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的接受和批準(zhǔn)。正確錯(cuò)誤61、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。正確錯(cuò)誤62、ISO/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。(）正確錯(cuò)誤63、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）正確錯(cuò)誤64、實(shí)習(xí)審核員可以獨(dú)立完成審核任務(wù)。（）正確錯(cuò)誤65、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、A2、C3、C4、A5、D6、B7、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣響?yīng)對(duì)相關(guān)風(fēng)險(xiǎn)。故選D8、B9、A10、C11、C12、D13、A14、B15、C16、A17、B18、A19、B20、B21、B22、A23、D24、B25、A26、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C27、D28、D29、A30、C31、D32、A33、C34、C35、A36、C37、A38、C39、B40、B二、多項(xiàng)選擇題41、A,B,C42、A,B,C,D43、A,B,C44、A,B,C45、B,D46、B,C,D解析:gb/t19011-2013管理體系審核指南3,6審核委托方是要求審核的組織或人員，3,7受審核方是被審核的組織。對(duì)于內(nèi)部審核，審核委托方可以是受審核方或?qū)徍朔桨腹芾砣?/p>