2024年第二期ISMS信息安全管理體系CCAA審核員模擬試題含解析

2024年第二期ISMS信息安全管理體系CCAA審核員模擬試題一、單項選擇題1、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)2、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)3、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性4、訪問控制是指確定（）以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵5、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象6、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時限和訪問類型B、對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致7、我國網(wǎng)絡(luò)安全等級保護共分幾個級別？（）A、7B、4C、5D、68、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤9、組織應(yīng)（）A、分離關(guān)鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關(guān)聯(lián)的職責及責任范圍10、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南11、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議12、對于所有擬定的糾正和預(yù)防措施，在實施前應(yīng)通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B13、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠程視頻的形式D、以上都対14、組織應(yīng)（）。A、對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級15、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用16、關(guān)于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認為其要求已得到滿足，即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意17、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡(luò)拓撲D、局域網(wǎng)協(xié)議18、在信息安全管理體系審核時，應(yīng)遵循（）原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi)，可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。19、由認可機構(gòu)對認證機構(gòu)、檢查機構(gòu)、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審20、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部21、審核證據(jù)是指（）A、與審核準則有關(guān)的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對22、《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》對應(yīng)的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700523、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時24、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態(tài)C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規(guī)范性文件的所有要求25、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調(diào)整B、應(yīng)嚴格限制對軟件包的調(diào)整以保護軟件包的保密性C、應(yīng)嚴格限制對軟件包的調(diào)整以保護軟件包的完整性和可用性D、以上都不對26、根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估A、應(yīng)按計劃的時間間隔或當重大變更提出或發(fā)生時B、應(yīng)按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔27、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對28、《中華人民共和國認證認可條例》規(guī)定，認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年29、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年30、對保密文件復(fù)印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性31、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部32、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風險（即：把非授權(quán)者錯誤識別為授權(quán)者的風險）C、在指紋識別的基礎(chǔ)上增加口令保護D、保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)33、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低34、ISMS關(guān)鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量35、組織應(yīng)在相關(guān)（）上建立信息安全目標A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次36、當獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當?shù)拇胧〤、宣布取消末次會議D、以上都不可以37、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作38、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、作出是否換發(fā)證書的決定39、關(guān)于系統(tǒng)運行日志，以下說法正確的是：（)A、系統(tǒng)管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志40、組織應(yīng)()與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保二、多項選擇題41、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息42、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估43、某金融資產(chǎn)武裝押運服務(wù)公司擬申請ISMS認證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支44、關(guān)于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務(wù)技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估45、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓46、風險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴47、設(shè)計一個信息安全風險管理工具，應(yīng)包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程48、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項B、國民經(jīng)濟和社會發(fā)展中的秘密事項C、科學技術(shù)中的秘密事項D、國防建設(shè)和武裝力量活動中的秘密事項49、關(guān)于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核50、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險51、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動52、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒53、依據(jù)GB/T22080，經(jīng)管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略54、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時，其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致55、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識三、判斷題56、ISO/IEC27018是用于對云安全服務(wù)中隱私保護認證的依據(jù)。(）57、較低的恢復(fù)時間目標會有更長的中斷時間。（）58、審核組長在末次會議中應(yīng)該對受審核方是否通過認證給出結(jié)論。（）59、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項”（）60、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）61、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）62、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）63、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)（）。64、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）65、不同組織有關(guān)信息安全管理體系文件化信息的詳細程度應(yīng)基本相同（）

參考答案一、單項選擇題1、D2、C3、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B4、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進行授權(quán)和限制的手段。A表述更為全面，B,C選項過于細化，故選A5、A6、B7、C8、D9、B解析:根據(jù)GB/T22080-2016標準A6,1,2原文：應(yīng)分離沖突的職責及其貴任范圍，以減少未授權(quán)或無意的修改或者不當使用組織資產(chǎn)的機會10、D11、A12、B13、A14、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應(yīng)按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級15、A16、C17、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計算機環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B18、B19、B20、B21、A22、B23、A24、D25、D解析:應(yīng)嚴格限制對軟件包的調(diào)整以保護其完整性26、A27、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B28、D29、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項不超過三十年,機密級事項不超過二十年,秘密級事項不超過十年30、A31、D32、A33、D34、D35、D36、B37、B38、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應(yīng)與其他監(jiān)督活動一起策劃，以使認證機構(gòu)能對獲證客戶管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標準的每次監(jiān)督審核應(yīng)包括對以下方面的審查：（1）內(nèi)部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系