2024年3月ISMS信息安全管理體系CCAA審核員復(fù)習(xí)題含解析

2024年3月ISMS信息安全管理體系CCAA審核員復(fù)習(xí)題一、單項選擇題1、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設(shè)備設(shè)施予以檢查驗證,對于離開組織的設(shè)備設(shè)施則不必驗證B、對于離開組織的設(shè)備設(shè)施予以檢查驗證,對于進入組織的設(shè)備設(shè)施則不必驗證C、對于進入和離開組織的設(shè)備設(shè)施均須檢查驗證D、對于進入和離開組織的設(shè)備設(shè)施，驗證攜帶者身份信息;可替代對設(shè)備設(shè)施的驗證2、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是3、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行（）A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度4、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制5、由認可機構(gòu)對認證機構(gòu)、檢查機構(gòu)、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審6、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年7、在根據(jù)組織規(guī)模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程8、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式9、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況10、殘余風(fēng)險是指:（）A、風(fēng)險評估前，以往活動遺留的風(fēng)險B、風(fēng)險評估后，對以往活動遺留的風(fēng)險的估值C、風(fēng)險處置后剩余的風(fēng)險，比可接受風(fēng)險低D、風(fēng)險處置后剩余的風(fēng)險，不一定比可接受風(fēng)險低11、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應(yīng)用網(wǎng)關(guān)C、擴展的日志記錄能力D、包交換12、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對13、容量管理的對象包括（）A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部14、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程15、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用16、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用17、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?8、對全國密碼工作實行統(tǒng)一領(lǐng)導(dǎo)的機構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機構(gòu)B、國家密碼管理部門C、中央國家機關(guān)D、全國人大委員會19、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對20、對于獲準認可的認證機構(gòu)，認可機構(gòu)證明（）A、認證機構(gòu)能夠開展認證活動B、其在特定范圍內(nèi)按照標準具有從事認證活動的能力C、認證機構(gòu)的每張認證證書都符合要求D、認證機構(gòu)具有從事相應(yīng)認證活動的能力21、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》22、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務(wù)級別協(xié)議的符合性B、監(jiān)視和評審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力23、《中華人民共和國認證認可條例》規(guī)定，認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年24、當發(fā)現(xiàn)不符合項時，組織應(yīng)對不符合做出反應(yīng)，適用時（）。A、采取措施，以控制并予以糾正B、對產(chǎn)生的影響進行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生25、在規(guī)劃如何達到信息安全目標時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負責(zé)，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負責(zé)，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責(zé)，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果26、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見27、計算機信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產(chǎn)品28、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機29、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件30、風(fēng)險評價是指（）A、系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B、將估算的風(fēng)險與給定的風(fēng)險準則加以比較以確定風(fēng)險嚴重性的過程C、指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D、以上都對31、下列關(guān)于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作32、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意33、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理34、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠程視頻的形式D、以上都対35、依據(jù)GB/T220802016/SO/EC.27001:2013標準，組織應(yīng)（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力36、風(fēng)險責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項風(fēng)險的個人或?qū)嶓wB、實施風(fēng)險評估的組織的法人C、實施風(fēng)險評估的項目負責(zé)人或項目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者37、在信息安全管理體系審核時，應(yīng)遵循（）原則。A、保密性和基于準則的B、保密性和基于風(fēng)險的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點原則阻塞點就是在網(wǎng)絡(luò)系統(tǒng)對外連接通道內(nèi)，可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。38、風(fēng)險識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響39、以下可表明知識產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)40、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼二、多項選擇題41、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)42、風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴43、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施D、顧客不投訴并不意味著顧客滿意了44、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)45、組織的信息安全管理體系初次認證應(yīng)包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定46、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度47、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負責(zé)人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與48、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對相關(guān)方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜49、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性50、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)51、網(wǎng)絡(luò)常見的拓撲形式有（）A、星型B、環(huán)型C、總線D、樹型52、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息53、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備54、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進機會相關(guān)決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求55、關(guān)于云計算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實施身份鑒別準則B、服務(wù)提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實施身份鑒別準則D、云服務(wù)客戶提供身份鑒別能力，并定義和實施身份鑒別準則三、判斷題56、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。57、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）58、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）59、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）60、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）61、最高管理層應(yīng)通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾62、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）63、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導(dǎo)致的影響（）64、創(chuàng)建和更新文件化信息時，組織應(yīng)確保對其適宜性和充分性進行評審和批準。65、客戶所有場所業(yè)務(wù)的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認證機構(gòu)可以考慮使用基于抽樣的認證審核（)

參考答案一、單項選擇題1、C2、D3、C解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行備案制度，故選C4、B5、B6、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項不超過三十年,機密級事項不超過二十年,秘密級事項不超過十年7、D解析:高風(fēng)險的產(chǎn)品或過程應(yīng)增加審核時間要素8、D9、B10、D11、D12、C13、D1