2023年第二期月ISMS信息安全管理體系CCAA審核員考試題目含解析

2023年第二期月ISMS信息安全管理體系CCAA審核員考試題目一、單項選擇題1、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排2、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?3、ISMS管理評審的輸出應考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務要求變更B、合同義務變更C、安全要求的變更D、以上都不對4、依據GB/T22080/ISO/IEC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現(xiàn)對內部用戶的網絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內部用戶訪問外部網絡的訪問控制5、依據GB/T22080/ISO/1EC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許方問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規(guī)定的授權機制進行授權D、以上都對6、容災的目的和實質是（）A、數(shù)據備份B、系統(tǒng)的C、業(yè)務連續(xù)性管理D、防止數(shù)據被破壞7、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準8、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對9、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意10、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統(tǒng)11、組織應（）A、采取過程的規(guī)程安全處置不需要的介質B、采取文件的規(guī)程安全處置不需要的介質C、采取正式的規(guī)程安全處置不需要的介質D、采取制度的規(guī)程安全處置不需要的介質12、相關方的要求可以包括（）A、標準、法規(guī)要求和合同義務B、法律、標準要求和合同義務C、法律、法規(guī)和標準要求和合同義務D、法律、法規(guī)要求和合同義務13、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性14、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析15、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用16、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣17、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內容監(jiān)控B、安全教育和培訓C、責任追查和懲處D、訪問控制18、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄19、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應20、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901121、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)22、有關信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產的價值，基本水平的保護都會被實施B、對所有信息資產保護都投入相同的資源C、對信息資產實施適當水平的保護D、信息資產過度的保護23、關于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定24、依據GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設備和資產須驗證其是否符合安全策略，對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證，對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產，驗證攜帶者身份信息，可替代對設備設施的驗證25、下列()不是創(chuàng)建和維護測量要執(zhí)行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發(fā)和更新測量D、建立測量文檔并確定實施優(yōu)先級26、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審27、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設備設施予以檢查驗證,對于離開組織的設備設施則不必驗證B、對于離開組織的設備設施予以檢查驗證,對于進入組織的設備設施則不必驗證C、對于進入和離開組織的設備設施均須檢查驗證D、對于進入和離開組織的設備設施，驗證攜帶者身份信息;可替代對設備設施的驗證28、根據《互聯(lián)網信息服務管理辦法》規(guī)定，國家對經營性互聯(lián)網信息服務實行（）A、國家經營B、地方經營C、許可制度D、備案制度29、在現(xiàn)場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務范圍C、審核日期D、審核組任務調整30、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項31、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改32、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保33、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領導進行溝通34、（）是建立有效的計算機病毒防御體系所需要的技術措施。A、補丁管理系統(tǒng)、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網絡入侵檢測、防病毒系統(tǒng)和防火墻35、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)36、當獲得的審核證據表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以37、依據GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確38、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區(qū)域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區(qū)域39、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層40、組織應按照本標準的要求（）信息安全管理體系。A、策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現(xiàn)、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進二、多項選擇題41、GB/T28450審核方案管理的內容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模42、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核43、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容44、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS45、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動，提高產品、服務的（），促進經濟和社會的發(fā)展。A、質量B、數(shù)量C、管理水平D、競爭力46、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益47、以下（）活動是ISMS監(jiān)視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施48、關于“不可否認性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認性”的有效技術手段B、身份認證是實現(xiàn)“不可否認性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性49、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制50、設計一個信息安全風險管理工具，應包括如下模塊（）。A、資產識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程51、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定52、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動53、依據GB/T22080，經管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略54、下列哪項屬于《認證機構管理辦法》中規(guī)定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度55、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類三、判斷題56、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）57、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬58、審核組可以由一個人組成。（）59、記錄可提供符合信息安全管理體系要求和有效運行的證據。（）60、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。61、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）62、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）63、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）64、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾。（）65、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）

參考答案一、單項選擇題1、A2、A3、D解析:270019,3管理評審，管理評審的輸出應包括與持續(xù)改進機會相關的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應控制影響信息安全的變更，包括組織，業(yè)務過程，信息處理設施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理，故選D4、B解析:網絡和網絡服務的訪問，應僅向用戶提供他們已獲專門授權使用的網絡和網絡服務的訪問。cd選項錯誤，必須是已授權用戶才可訪問。A選項錯誤，在家登錄，不符合安全訪問控制策略。故選B5、C6、C7、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時，組織應確保適當?shù)臉俗R和描述；格式和介質；對適宜性和充分性的評審和批準8、C9、C10、D11、C12、D13、C14、D解析:主動攻擊會導致某些數(shù)據流的篡改和虛假數(shù)據流的產生，這類攻擊分篡改，偽造消息數(shù)據和終端（拒絕服務）。被動攻擊中攻擊者不對數(shù)據信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數(shù)據。通常包括竊聽，流量分析，破解弱加密的數(shù)據流等攻擊方式。故選D15、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A16、A17、B18、D19、D20、A21、C22、C23、B24、C25、D26、D27、C28、C解析:《互聯(lián)網信息服務管理辦法》，國家對經營性互聯(lián)網信息服務實行許可制度；對非經營性互聯(lián)網信息服務實行備案制度，故選C29、D30、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據對照審核準則進行評價的結果，故選C31、D解析:數(shù)字簽名就是附加在數(shù)據單元上的一些數(shù)據，或是對數(shù)據單元所作的密碼變換。這種數(shù)據或變換允許數(shù)據單元的接收者用以確認數(shù)據單元的來源和完整性并保護數(shù)據，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D32、A解析:理解組織及其環(huán)境33、A34、D35、D36、B37、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應在相關職能和層級上建