2022年第二期ISMS信息安全管理體系CCAA審核員模擬試題含解析

2022年第二期ISMS信息安全管理體系CCAA審核員模擬試題一、單項選擇題1、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）C、在指紋識別的基礎(chǔ)上增加口令保護D、保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)2、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用3、《中華人民共和國認證認可條例》規(guī)定,認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年4、在我國信息系統(tǒng)安全等級保護的基本要求中針對每一級的基本要求分為（）A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求5、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡(luò)拓撲D、局域網(wǎng)協(xié)議6、容災(zāi)的目的和實質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞7、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)8、按照PDCA思路進行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核B、按照認證機構(gòu)的PDCA流程進行審核C、按照認可規(guī)范中規(guī)定的PDCA流程進行審核D、以上都對9、對全國密碼工作實行統(tǒng)一領(lǐng)導(dǎo)的機構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機構(gòu)B、國家密碼管理部門C、中央國家機關(guān)D、全國人大委員會10、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責(zé)？（）A、審查、任用條款和條件B、管理責(zé)任、信息安全意識教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對11、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當(dāng)?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見12、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎(chǔ)B、采用組織固定資產(chǎn)臺賬即可C、無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B13、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項14、關(guān)于內(nèi)部審核下面說法不正確的是(）。A、組織應(yīng)定義每次審核的審核準則和范圍B、通過內(nèi)部審核確定ISMS得到有效實施和維護C、組織應(yīng)建立、實施和維護一個審核方案D、組織應(yīng)確保審核結(jié)果報告至管理層15、經(jīng)過風(fēng)險處理后遺留的風(fēng)險通常稱為（）A、重大風(fēng)險B、有條件的接受風(fēng)險C、不可接受的風(fēng)險D、殘余風(fēng)險16、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠程視頻的形式D、以上都対17、風(fēng)險評價是指（）A、系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B、將估算的風(fēng)險與給定的風(fēng)險準則加以比較以確定風(fēng)險嚴重性的過程C、指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D、以上都對18、監(jiān)督、檢查、指導(dǎo)計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責(zé)之一A、電信管理機構(gòu)B、公安機關(guān)C、國家安全機關(guān)D、國家保密局19、密碼技術(shù)不適用于控制下列哪種風(fēng)險？（）A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險D、數(shù)據(jù)被非授權(quán)訪問的風(fēng)險20、在運行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險處置計劃，保留文件化信息B、實現(xiàn)信息安全風(fēng)險處置計劃，保留文件化信息C、測量信息安全風(fēng)險處置計劃，保留文件化信息D、改進信息安全風(fēng)險處置計劃，保留文件化信息21、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除22、管理體系是實現(xiàn)組織目標的方針、（）、指南和相關(guān)資源的框架A、目標B、規(guī)程C、文件D、記錄23、組織應(yīng)在相關(guān)（）上建立信息安全目標A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次24、關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術(shù)、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令25、組織機構(gòu)在建立和評審ISMS時，應(yīng)考慮（）A、風(fēng)險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C26、組織應(yīng)（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保27、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部28、信息安全殘余風(fēng)險是（）。A、沒有處置完成的風(fēng)險B、沒有評估的風(fēng)險C、處置之后仍存在的風(fēng)險D、處置之后沒有報告的風(fēng)險29、關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務(wù)活動30、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用31、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞32、（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障33、末次會議包括（）A、請受審核方確認不符合報告、并簽字B、向?qū)徍朔竭f交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進行討論D、以上都不準確34、最高管理層應(yīng)（），以確保信息安全管理體系符合本標準要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限35、構(gòu)成風(fēng)險的關(guān)鍵因素有（）A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性36、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調(diào)整B、應(yīng)嚴格限制對軟件包的調(diào)整以保護軟件包的保密性C、應(yīng)嚴格限制對軟件包的調(diào)整以保護軟件包的完整性和可用性D、以上都不對37、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險評估程序38、組織應(yīng)（），以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度39、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制40、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析二、多項選擇題41、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況42、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風(fēng)險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識43、關(guān)于審核發(fā)現(xiàn)，以下說法正確的是：（）A、審核發(fā)現(xiàn)是收集的審核證據(jù)對照審核準則進行評價的結(jié)果B、審核發(fā)現(xiàn)包括正面的和負面的發(fā)現(xiàn)C、審核發(fā)現(xiàn)是審核結(jié)論的輸入D、審核發(fā)現(xiàn)是制定審核準則的依據(jù)44、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理45、關(guān)于信息安全風(fēng)險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估B、周期性的自評估可以在評估流程上適當(dāng)簡化C、可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風(fēng)險評估46、依據(jù)GB/T22080，經(jīng)管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略47、投訴處理過程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止48、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計劃D、審核方案是審核計劃的輸入49、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時，對相關(guān)方可用50、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類51、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告52、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)53、審核計劃中應(yīng)包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排54、關(guān)于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核55、管理評審的輸出應(yīng)包括（）A、與持續(xù)改進機會相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況三、判斷題56、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）57、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導(dǎo)致的影響（）58、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）59、創(chuàng)建和更新文件化信息時，組織應(yīng)確保對其適宜性和充分性進行評審和批準。60、當(dāng)需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）61、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）62、組織應(yīng)識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）63、實習(xí)審核員可以獨立完成審核任務(wù)。（）64、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）65、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）

參考答案一、單項選擇題1、A2、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A3、D4、D5、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計算機環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B6、C7、D8、A9、A10、B11、A12、A13、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準則進行評價的結(jié)果，故選C14、C15、D16、A17、B18、B19、C20、B21、A22、B23、D24、B25、E26、A27、D28、C解析:參考GB