2024年第一期CCAA注冊審核員復(fù)習(xí)題-ISMS信息安全管理體系知識含解析

2024年第一期CCAA注冊審核員復(fù)習(xí)題—ISMS信息安全管理體系知識一、單項選擇題1、風(fēng)險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響2、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機構(gòu)應(yīng)審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布3、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問4、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃5、由認(rèn)可機構(gòu)對認(rèn)證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動是（）A、認(rèn)證B、認(rèn)可C、審核D、評審6、信息安全管理中，關(guān)于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術(shù)脆弱性B、軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種C、識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機會7、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審8、為確保采用一致和有效的方法對信息安全事件進(jìn)行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責(zé)任B、建立信息安全事件管理規(guī)程C、對信息安全事件進(jìn)行響應(yīng)D、在組織內(nèi)通報信息安全事件9、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果10、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期11、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件12、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析13、ISO/IEC27001描述的風(fēng)險分析過程不包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實際發(fā)生的可能性14、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)15、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年16、《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700517、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護(hù)信息準(zhǔn)確和完整的特性?18、當(dāng)操作系統(tǒng)發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對組織的運行和安全沒有負(fù)面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認(rèn)19、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202120、第三方認(rèn)證審核時，對于審核提出的不符合項，審核組應(yīng)：（）A、與受審核方共同評審不符合項以確認(rèn)不符合的條款B、與受審核方共同評審不符合項以確認(rèn)不符合事實的準(zhǔn)確性C、與受審核方共同評審不符合以確認(rèn)不符合的性質(zhì)D、以上都對21、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險釣魚22、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機構(gòu)不再接受其注冊申請。A、2年B、3年C、4年D、5年23、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼24、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學(xué)D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時25、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改26、信息安全管理體系的設(shè)計應(yīng)考慮（）A、組織的戰(zhàn)B、組織的目標(biāo)和需求C、組織的業(yè)務(wù)過程性質(zhì)D、以上全部27、《信息安全管理體系認(rèn)證機構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対28、根據(jù)GB17859《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,計算機信息系統(tǒng)安全保護(hù)能力分為（）等級。A、5B、6C、3D、429、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應(yīng)定期檢查機房空調(diào)的有效性30、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審31、關(guān)于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意32、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實體或進(jìn)程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性33、若通過桌面系統(tǒng)對終端實行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達(dá)到50%以上即可34、組織應(yīng)（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)35、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對36、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、以上全部37、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險越小C、針對技術(shù)脆弱性的補丁安裝應(yīng)按變更管理進(jìn)行控制D、及時安裝針對技術(shù)脆弱性的所有補丁是應(yīng)對脆弱性相關(guān)風(fēng)險的最佳途徑38、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護(hù)39、下列哪項對于審核報告的描述是錯誤的？（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證/審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對40、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定二、多項選擇題41、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時，對相關(guān)方可用42、當(dāng)滿足（）時，可考慮使用基于抽樣的方法對多場所進(jìn)行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中43、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、風(fēng)險處置44、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風(fēng)險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識45、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴大范圍。D、工作范圍是可訪問的信息46、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準(zhǔn)的信息是可訪問的信息47、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B、信息安全可以按項目來管理，原項目管理機制中的風(fēng)險評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設(shè)計圖紙等核心技術(shù)信息，其敏感性等級定義為最高48、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與49、以下屬于訪問控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒50、評價信息安全風(fēng)險，包括（）A、將風(fēng)險分析的結(jié)果與信息安全風(fēng)險準(zhǔn)則進(jìn)行比較B、確定風(fēng)險的控制措施C、為風(fēng)險處置排序以分析風(fēng)險的優(yōu)先級D、計算風(fēng)險大小51、不符合項報告應(yīng)包括A、不符合事實的描述B、不符合的標(biāo)準(zhǔn)條款及內(nèi)容C、不符合的原因D、不符合的性質(zhì)52、關(guān)于審核委托方，以下說法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核53、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負(fù)責(zé)54、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計算機只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途55、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測試的日志D、信息系統(tǒng)漏洞測試分析報告三、判斷題56、敏感標(biāo)記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標(biāo)記作為強制訪問控制決策的依據(jù)（）。57、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。58、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）59、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）60、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）61、創(chuàng)建和更新文件化信息時，組織應(yīng)確保對其適宜性和充分性進(jìn)行評審和批準(zhǔn)。62、較低的恢復(fù)時間目標(biāo)會有更長的中斷時間。（）63、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機APP完成對公司客戶的服務(wù)請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)64、中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計算機的安全保護(hù)辦法,另行制定。65、審核組可以由一個人組成。（）

參考答案一、單項選擇題1、B2、C3、D4、C5、B6、B7、D8、D9、C10、A11、D12、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當(dāng)水平的保護(hù)。對比四個選項，c項更能突出對組織的重要程度，故選C13、A14、C15、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項不超過三十年,機密級事項不超過二十年,秘密級事項不超過十年16、B17、B18、B解析:2700214,2,3運行平臺變更后對應(yīng)用的技術(shù)評審，當(dāng)運行平臺發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對組織的運行和安全沒有負(fù)面影響。故選B19、D20、B21、B22、D23、D24、A25、D26、D27、A28、A29、B30、D31、C32、C33、A34、C35、D解析:270019,3管理評審，管理評審的輸