2021年第二期CCAA國(guó)家注冊(cè)審核員模擬試題-ISMS信息安全管理體系含解析

2021年第二期CCAA國(guó)家注冊(cè)審核員模擬試題—ISMS信息安全管理體系一、單項(xiàng)選擇題1、在信息安全管理體系審核時(shí)，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險(xiǎn)的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點(diǎn)原則阻塞點(diǎn)就是在網(wǎng)絡(luò)系統(tǒng)對(duì)外連接通道內(nèi)，可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點(diǎn)。2、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審3、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開始，一次何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開始，如何評(píng)價(jià)結(jié)果4、關(guān)于內(nèi)部審核下面說(shuō)法不正確的是(）。A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B、通過(guò)內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)C、組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案D、組織應(yīng)確保審核結(jié)果報(bào)告至管理層5、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級(jí)機(jī)關(guān)6、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無(wú)線網(wǎng)絡(luò)D、以上都對(duì)7、容災(zāi)的目的和實(shí)質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞8、組織應(yīng)()與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保9、以下說(shuō)法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)審B、應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C、制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響D、安全計(jì)劃應(yīng)適時(shí)更新10、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞11、當(dāng)操作系統(tǒng)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和迀移B、評(píng)審和測(cè)試C、評(píng)審和隔離D、驗(yàn)證和確認(rèn)12、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行（）A、國(guó)家經(jīng)營(yíng)B、地方經(jīng)營(yíng)C、許可制度D、備案制度13、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模?A、對(duì)適宜性和有效性的評(píng)審和批港B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充業(yè)性的評(píng)審和批準(zhǔn)14、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)15、審核抽樣時(shí)，可以不考慮的因素是(）A、場(chǎng)所差異B、管理評(píng)審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果16、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計(jì)算機(jī)信息系統(tǒng)，是指A、對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)17、在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙18、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4019、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器20、安全標(biāo)簽是一種訪問(wèn)控制機(jī)制，它適用于下列哪一種訪問(wèn)控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強(qiáng)制性訪問(wèn)控制策略21、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ?。A、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)22、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期23、依據(jù)GB/T220802016/SO/EC.27001:2013標(biāo)準(zhǔn)，組織應(yīng)（）。A、識(shí)別在組織范圍內(nèi)從事會(huì)影響組織信息安全績(jī)效的員工的必要能力B、確保在組織控制下從事會(huì)影響組織信息安全績(jī)效的員工的必要能力C、確定在組織控制下從事會(huì)影響組織信息安全績(jī)效的工作人員的必要能力D、鑒定在組織控制下從事會(huì)影響組織信息安全績(jī)效的工作人員的必要能力24、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)25、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対26、末次會(huì)議包括（）A、請(qǐng)受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、以上都不準(zhǔn)確27、保密性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性B、信息不被未授權(quán)的個(gè)人、突體或過(guò)程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対28、關(guān)于顧客滿意，以下說(shuō)法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足,即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意29、ISMS文件評(píng)審需考慮（）A、收集信息，以準(zhǔn)備審核活動(dòng)和適當(dāng)?shù)墓ぷ魑募﨎、請(qǐng)受審核方確認(rèn)ISMS文件審核報(bào)告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見30、()對(duì)于信息安全管理負(fù)有責(zé)任A、高級(jí)管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關(guān)人員31、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說(shuō)法正確的是（）A、對(duì)于進(jìn)入組織的設(shè)備和資產(chǎn)須驗(yàn)證其是否符合安全策略，對(duì)于離開組織的設(shè)備設(shè)施則不須驗(yàn)證B、對(duì)于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證其合格證，對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對(duì)于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證相關(guān)授權(quán)信息D、對(duì)于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗(yàn)證攜帶者身份信息，可替代對(duì)設(shè)備設(shè)施的驗(yàn)證32、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)33、下面哪個(gè)不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型34、()屬于管理脆弱性的識(shí)別對(duì)象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理35、以下哪項(xiàng)不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣36、信息安全控制目標(biāo)是指：（)A、對(duì)實(shí)施信息安全控制措施擬實(shí)現(xiàn)的結(jié)果的描述B、組織的信息安全策略集的描述C、組織實(shí)施信息安全管理體系的總體宗旨和方向D、A+B37、信息安全管理中,以下哪一種描述能說(shuō)明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況38、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任39、（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè)和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測(cè)、防病毒系統(tǒng)和防火墻40、過(guò)程是指（）A、有輸入和輸出的任意活動(dòng)B、通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)C、所有業(yè)務(wù)活動(dòng)的集合D、以上都不對(duì)二、多項(xiàng)選擇題41、組織建立的信息安全目標(biāo)，應(yīng)（）A、是可測(cè)量的B、與信息安方針一致C、得到溝通D、適當(dāng)時(shí)更新42、信息安全績(jī)效的反饋，包括以下哪些方面的趨勢(shì)（）A、不符合和糾正措施B、監(jiān)視測(cè)量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況43、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對(duì)相關(guān)方可用B、包括對(duì)持續(xù)改進(jìn)ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜44、組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施需（）A、將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)45、移動(dòng)設(shè)備策略宜考慮（)A、移動(dòng)設(shè)備注冊(cè)B、惡意軟件防范C、訪問(wèn)控制D、物理保護(hù)要求46、以下說(shuō)法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問(wèn)卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測(cè)評(píng)只能通過(guò)第三方機(jī)構(gòu)來(lái)實(shí)施D、顧客不投訴并不意味著顧客滿意了47、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支48、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問(wèn)控制D、密碼系統(tǒng)49、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后50、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用51、某游戲開發(fā)公司按客戶的設(shè)計(jì)資料構(gòu)建游戲場(chǎng)景和任務(wù)的基礎(chǔ)要素模塊，為方便各項(xiàng)目組討論，公司創(chuàng)建了一個(gè)sharefolder,在此文件夾中又為對(duì)應(yīng)不同客戶的項(xiàng)目組創(chuàng)建了項(xiàng)目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項(xiàng)目人員訪問(wèn)該sharefolder需要得到授權(quán)B、獲得sharefolder訪問(wèn)權(quán)者可訪問(wèn)該目錄下所有子文件夾C、IT人員與各項(xiàng)目負(fù)責(zé)人共同定期評(píng)審sharefolder訪問(wèn)權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動(dòng)是容量管理，游戲開發(fā)人員不參與52、關(guān)于審核委托方，以下說(shuō)法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核53、常規(guī)控制圖主要用于區(qū)分（）A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過(guò)程能力的大小C、過(guò)程加工的不合格率D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)54、常規(guī)控制圖主要用于區(qū)分（）A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過(guò)程能力的大小C、過(guò)程加工的不合格品率D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)55、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括（）A、信息備份策略B、訪問(wèn)控制策略C、信息傳輸策略D、密鑰管理策略三、判斷題56、容量管理策略可以考慮增加容量或降低容量要求。（）57、中華人民共和國(guó)境內(nèi)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計(jì)算機(jī)的安全保護(hù)辦法,另行制定。58、組織應(yīng)識(shí)別并提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。（）59、容量管理策略可以考慮增加容量或降低容量要求（）60、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）61、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）62、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則。（）63、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸檢索等處理的人機(jī)系統(tǒng)（）64、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）65、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）

參考答案一、單項(xiàng)選擇題1、B2、B3、C4、C5、A6、B7、C8、A9、C10、B11、B解析:2700214,2,3運(yùn)行平臺(tái)變更后對(duì)應(yīng)用的技術(shù)評(píng)審，當(dāng)運(yùn)行平臺(tái)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響。故選B12、C解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度；對(duì)非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度，故選C13、D14、B15、C16、A17、A18、A19、D20、D21、D22、B23、C24、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)臉?biāo)識(shí)和描述；格式和介質(zhì)；對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)25、A26、C27、B28、C29、A30、D31、C32、D33、A34、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣?lái)應(yīng)對(duì)相關(guān)風(fēng)險(xiǎn)。故選D35、A36、A37、B38、A解析:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)