2021年第四期CCAA注冊ISMS信息安全管理體系審核員知識模擬試題含解析

2021年第四期CCAA注冊ISMS信息安全管理體系審核員知識模擬試題一、單項選擇題1、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)2、組織應(yīng)（）A、定義和使用安全來保護敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識別和使用安全來保護敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識別和控制安全來保護敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來保護敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域3、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響4、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析5、我國網(wǎng)絡(luò)安全等級保護共分幾個級別？（）A、7B、4C、5D、66、ISMS文件的多少和詳細程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C7、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行（）A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度8、關(guān)于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據(jù)C、提供了信息安全風險評估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風險評估的依據(jù)，是實施ISCVIEC27000的支持性標準9、造成計算機系統(tǒng)不安全的因素包括（）。A、系統(tǒng)不及時打補丁B、使用弱口令C、連接不加密的無線網(wǎng)絡(luò)D、以上都對10、設(shè)置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制11、—家投資顧問商定期向客戶發(fā)送有關(guān)財經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件12、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結(jié)果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次13、相關(guān)方的要求可以包括（）A、標準、法規(guī)要求和合同義務(wù)B、法律、標準要求和合同義務(wù)C、法律、法規(guī)和標準要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)14、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習慣15、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部16、下列不屬于取得認證機構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認證人員17、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞18、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠程視頻的形式D、以上都対19、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強制性訪問控制策略20、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象21、《中華人民共和國認證認可條例》規(guī)定，認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年22、ISMS關(guān)鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量23、下列管理評審的方式，哪個不滿足標準的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網(wǎng)絡(luò)會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審24、涉及運行系統(tǒng)驗證的審計要求和活動，應(yīng)（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務(wù)過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務(wù)過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務(wù)過程的連續(xù)25、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701426、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用27、在我國《信息安全等級保護管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、628、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)29、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)負責人C、資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D、A+B30、風險評估過程一般應(yīng)包括（）A、風險識別B、風險分析C、風險評價D、以上全部31、以下關(guān)于認證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應(yīng)由認證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應(yīng)對認證證書的使用進行監(jiān)督32、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對33、關(guān)于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結(jié)論B、認證決定人員不宜推翻審核組的負面結(jié)論C、認證機構(gòu)應(yīng)對客戶組織的ISMS至少進行一次完整的內(nèi)部審核D、認證機構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期34、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、做出是否換發(fā)證書的決定35、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結(jié)論C、關(guān)注客戶的喜好D、盡量使用客戶熟悉的表達方式36、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動、信息處理設(shè)施和系統(tǒng)變更37、ISMS文件的多少和詳細程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對38、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項39、《中華人民共和國認證認可條例》規(guī)定,認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年40、可用性是指（）A、根據(jù)授權(quán)實體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性C、保護資產(chǎn)的準確和完整的特性D、反映事物真實情況的程度二、多項選擇題41、下列哪些是SSL支持的內(nèi)容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data42、風險處置的可選措施包括（）。A、風險識別B、風險分析C、風險轉(zhuǎn)移D、風險減緩43、網(wǎng)絡(luò)常見的拓撲形式有（）A、星型B、環(huán)型C、總線D、樹型44、對于審核發(fā)現(xiàn)（）A、審核組應(yīng)根據(jù)需要，在審核的適當階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求，只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn)，以確認審核證據(jù)的準確性，并得到受審核方的理解D、包括正面的和負面的發(fā)現(xiàn)45、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法46、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必須（）A、對其進行試用B、對員工的背景進行適當?shù)尿炞C檢查C、在任用條款與合同中指導(dǎo)安全職責D、面試47、關(guān)于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應(yīng)提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容48、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途49、關(guān)于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核50、A,B,C解析:gb/t20984-20077,2自評估是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識別，以便于兩次評估結(jié)果對比，B正確。自評估可由發(fā)起方實施或委托風險評估服務(wù)技術(shù)支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法展開的風險評估。本題選ABC51、評價信息安全風險，包括（）A、將風險分析的結(jié)果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優(yōu)先級D、計算風險大小52、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告53、含有高等級敏感信息的設(shè)備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞54、不符合項報告應(yīng)包括A、不符合事實的描述B、不符合的標準條款及內(nèi)容C、不符合的原因D、不符合的性質(zhì)55、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負責三、判斷題56、客戶所有場所業(yè)務(wù)的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認證機構(gòu)可以考慮使用基于抽樣的認證審核（)57、容量管理策略可以考慮增加容量或降低容量要求。（）58、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。59、較低的恢復(fù)時間目標會有更長的中斷時間。（）60、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。61、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責和權(quán)限得到分配和溝通。62、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）63、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）64、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機APP完成對公司客戶的服務(wù)請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)65、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）

參考答案一、單項選擇題1、D2、A3、D4、C5、C6、D7、C解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行備案制度，故選C8、B解析:iso/iec27002本標準可作為組織