2022年6月信息安全管理體系CCAA審核員考試題目含解析

2022年6月信息安全管理體系CCAA審核員考試題目一、單項選擇題1、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網絡結構C、應用系統(tǒng)D、技術管理2、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯(lián)的職責及責任范圍3、當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當的措施C、宣布取消末次會議D、以上都不可以4、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性5、組織應按照本標準的要求（）信息安全管理體系。A、策劃、實現、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進6、關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任7、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層8、完整性是指()A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、保護資產保密和可用的特性9、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作10、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區(qū)域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區(qū)域11、（）是問題管理流程中最后的環(huán)節(jié)A、將任何與變更請求下相關的傳遞給問題管理B、關閉C、問題回顧D、問題記錄12、最高管理者應確保服務管理體系要求整合到組織（）中，證實對服務管理體系的領導承諾。A、活動B、資源C、過程D、目標13、下列不屬于公司信息資產的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄14、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響15、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)16、有關信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產的價值，基本水平的保護都會被實施B、對所有信息資產保護都投入相同的資源C、對信息資產實施適當水平的保護D、信息資產過度的保護17、依據GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確18、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段19、下列哪一種情況下，網絡數據管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學D、要保證跨多個數據卷的備份連續(xù)、一致時20、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是21、局域網環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協(xié)議22、某公司進行風險評估后發(fā)現公司的無線網絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規(guī)避C、風險轉移D、風險減緩23、某公司計劃升級現有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關鍵數據實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權用戶不可能訪問到關鍵數據24、創(chuàng)建和更新文件化信息時，組織應確保適當的（）。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準25、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務角色設定訪問權B、組共享用戶ID按組任務的最大權限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權26、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數據D、網絡地址欺騙27、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調活動D、以上都對28、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年29、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業(yè)務的敏感程度C、資產的折損率D、以上全部30、創(chuàng)建和更新文件化信息時，組織應確保適當的（）A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準31、密碼技術不適用于控制下列哪種風險？（）A、數據在傳輸中被竊取的風險B、數據在傳輸中被篡改的風險C、數據在傳輸中被損壞的風險D、數據被非授權訪問的風險32、系統(tǒng)備份與普通數據備份的不同在于，它不僅備份系統(tǒng)中的數據，還備份系統(tǒng)中安裝的應用程序，數據庫系統(tǒng)、用戶設置、系統(tǒng)參數等信息，以便迅速（）A、恢復全部程序B、恢復網絡設置C、恢復所有數據D、恢復整個系統(tǒng)33、依據GB/T29246,控制目標指描述控制的實施結果所要達到的目標的（）。A、說明B、聲明C、想法D、描述34、依據GB/T22080/ISO/IEC27001，建立資產清單即：（）A、列明信息生命周期內關聯(lián)到的資產，明確其對組織業(yè)務的關鍵性B、完整采用組織的固定資產臺賬，同時指定資產負責人C、資產價格越高，往往意味著功能越全，因此資產重要性等級就越高D、A+B35、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件36、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部37、控制影響信息安全的變更，包括（)A、組織、業(yè)務活動、信息及處理設施和系統(tǒng)變更B、組織、業(yè)務過程、信息處理設施和系統(tǒng)變更C、組織、業(yè)務過程、信息及處理設施和系統(tǒng)變更D、組織、業(yè)務活動、信息處理設施和系統(tǒng)變更38、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對39、關于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求已得到滿足，即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意40、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬二、多項選擇題41、下列哪項屬于《認證機構管理辦法》中規(guī)定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度42、關于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯(lián)網及其他公共信息網絡B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經安全技術處理不得改作其他用途43、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差44、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益45、以下屬于信息安全管理體系審核證據的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數據C、數據恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告46、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容47、在信息安全事件管理中，（）是所有員工應該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現并報告安全事件D、發(fā)現立即處理安全事件48、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中49、依據IS020000-6:2017以下可構成減少ITSMS初審人日的因素包括（)A、已獲得的認證在最近12個月內對其至少實施了一次審核B、擬認證的范圍已獲得ISO/IEC27001證書C、已獲得其他認證的范圍大于擬認證的范圍D、擬認證的范圍與獲得ISMS證書范圍等同50、下面哪一條措施可以防止數據泄漏（)A、數據冗余B、數據加密C、訪問控制D、密碼系統(tǒng)51、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核52、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內容D、監(jiān)視、測量、分析和評價的執(zhí)行人員53、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網絡接入設施D、高鐵信號控制系統(tǒng)54、某游戲開發(fā)公司按客戶的設計資料構建游戲場景和任務的基礎要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數據子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權B、獲得sharefolder訪問權者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權D、H人員不定期刪除sharefolder數據以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與55、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針三、判斷題56、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）正確錯誤57、風險源是指那些可能導致消極后果或積極后果的因素和危害的來源。（）正確錯誤58、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。正確錯誤59、當需要時，組織可設計控制，或識別來自任何來源的控制。（）正確錯誤60、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）正確錯誤61、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬正確錯誤62、審核方案應包括審核所需的資源，例如交通和食宿。（）正確錯誤63、訪問控制列表指由主體以及主體對客體的訪問權限所組成列表。正確錯誤64、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾正確錯誤65、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。正確錯誤

參考答案一、單項選擇題1、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統(tǒng)的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當的措施來應對相關風險。故選D2、B解析:根據GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任范圍，以減少未授權或無意的修改或者不當使用組織資產的機會3、B4、C5、C6、A解析:《中華人民共和國網絡安全法》第36條，關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。故選A7、C8、C9、B10、A11、B12、A13、D14、D15、C16、C17、D解析:信息安全目標及其實現規(guī)劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D18、C19、A20、D21、B解析:局域網是指家庭或是辦公室，或者其他環(huán)境中小型網絡。而大型計算機環(huán)境是指類似服務器的大型網絡。兩者本地備份差別主要體現在容錯能力上，故選B22、B23、A24、D25、A26、A27、B28、D29、B30、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時，組織應確保適當的標識和描述；格式和介質；對適宜性和充分性的評審和批準31、C32、D33、B解析:參考27000，控制目標指，描述實施控制的實施結果所要達到的目標的聲明。故選B34、A35、C36、D37、B38、B39、C40、B二、多項選擇題41、A,C,D42、A,C,D43、A,B,C解析:27001附錄A9,2,6撤銷或調整訪問權限，所有雇、外部人員對信息和信息處理設施的訪問權限應在任用、合同或協(xié)議終止時撤銷，或在變化時調整。因此本題選ABC44、A,B,C,D45、A,B,C,D46、B,C,D解析:參考27002,9,2,4用戶的秘密鑒別信息管理，B、C、D均正確，同時該控制中，還包含：建立一些規(guī)程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗證用戶身份；在系統(tǒng)或軟件安裝后，應改變提供商的默認秘密鑒別信息；應以安全的方式將臨時