2022年第三期CCAA国家信息安全管理体系质量审核员考试题目含解析

2022年第三期CCAA国家信息安全管理体系质量审核员考试题目一、单项选择题1、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部2、当获得的审核证据表明不能达到审核目的时，申核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理中以确定适当的措施C、宣布取消末次会议D、以上各项都不可以3、信息处理设施的变更管理包括:A、信息处理设施用途的变更B、信息处理设施故障部件的更换C、信息处理设施软件的升级D、其他选项均正确4、关于信息安全管理体系认证，以下说法正确的是（）A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期5、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意6、文件化信息指（）A、组织创建的文件B、组织拥有的文件C、组织要求控制和维护的信息及包含该信息的介质D、对组织有价值的文件7、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理8、IT部门中的所有服务是否都要包含在认证范围以内？（）A、是的，整个范围的服务都要包含在认证范围之内B、只有当其都被提供给相同的客户群体时C、不，该范围可限制为服务的子集D、取决于该服务为内部提供还是外部提供9、审核计划中不包括（）。A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排10、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4011、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码12、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果13、变更请求为提出针对服务、（）或IT服务管理体系（ITSMS）的变更建议A、服务组件B、服务软件C、配置项D、配置管理数据库14、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响15、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保16、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次17、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件18、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制19、运行SMS和服务所裾的资源包括()A、人员、技术、信息和资产B、人员、技术、材料和资金C、人员、技术、信息和资金D、人员、资产、信息和资金20、风险处置计划，应（）A、获得风险责任人的批准，同时获得对残余风险的批准B、获得最高管理者的批准，同时获得对残余风险的批准C、获得风险部门负责人的批准，同时获得对残余风险的批准D、获得管理者代表的批准，同时获得对残余风险的批准21、被黑客控制的计算机常被称为(）A、蠕虫B、肉鸡C、灰鸽子D、木马22、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意23、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任24、根据GB/T22080-2016标准的要求，组织（）实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔25、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象26、依据GB/T22080/ISO/IEC27001中控制措施的要求，关于网络服务的访问控制策略,以下正确的是()A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制27、口令管理系统应该是（）,并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C28、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录29、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用30、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、作出是否换发证书的决定31、信息安全基本属性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性32、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対33、下列不属于常用云服务类型的是（)A、软件即服务B、邮件即服务C、平台即服务D、基础设施即服务34、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素35、组织应（）A、分离关键的职责及责任范围B、分离冲突的职责及贵任范围C、分离重要的职责及责任范围D、分离关联的职责及责任范围36、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以37、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督38、关于内部审核下面说法不正确的是(）。A、组织应定义每次审核的审核准则和范围B、通过内部审核确定ISMS得到有效实施和维护C、组织应建立、实施和维护一个审核方案D、组织应确保审核结果报告至管理层39、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵40、在现场审核时，审核组有权自行决定变更的事项是（）。A、市核人日B、审核的业务范围C、审核日期D、审核组任务调整二、多项选择题41、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训42、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估43、为控制文件化信息，适用时，组织应强调以下哪些活动？（）A、分发，访问，检索和使用B、存储和保护，包括保持可读性C、控制变更（例如版本控制）D、保留和处理44、ISO/IEC27000,以下说法正确的是（）A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准45、组织的信息安全管理体系初次认证应包括的审核活动是A、审核准备B、第一阶段审核C、第二阶段审核D、认证决定46、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核47、关于涉密信息系统的管理，以下说法正确的是：（)A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途48、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移49、在信息安全事件管理中，（）是所有员工应该完成的活动A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件50、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动51、对于组织在风险处置过程中所选的控制措施，以下说法正确的是（）A、将所有风险都必须被降低至可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下，有意识、客观地接受风险D、规避风险52、信息安全管理中，以下属于"按需知悉(need-to-know)原则的是（)A、根据工作需要仅获得最小的知悉权限B、工作人员仅让满足工作所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D、得到管理者批准的信息是可访问的信息53、管理评审是为了确保信息安全管理体系持续的（）A、适宜性B、充分性C、有效性D、可靠性54、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后55、依据GB/Z20986,信息安全事件包括（)A、信息破坏事件B、设备设施故障C、信息泄露事件D、计算机病毒事件三、判断题56、完全备份就是对全部数据库数据进行备份。（）正确错误57、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）正确错误58、组织的内外部相关方要求属于组织的内部和外部事项”（）正确错误59、IT系統日志信息保存所需的資源不属于容量管理的范围（）正确错误60、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺正确错误61、在来自可信站点电子邮件中输入个人或财务信息是安全的。（）正确错误62、实习审核员可以独立完成审核任务。（）正确错误63、最高管理层应确保方针得到建立（）正确错误64、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）正确错误65、记录可提供符合信息安全管理体系要求和有效运行的证据。（）正确错误

参考答案一、单项选择题1、D2、B3、D解析:信息处理设施，任何的信息处理系统，服务或基础设施，或其安装的物理位置，abc选项均属于信息处理设施变更管理范畴，故选D4、B5、C6、C7、D8、C9、A10、A11、D12、C13、A14、B解析:27005信息安全风险管理8,2,,1风险识别，包括资产识别，威胁识别，现有控制措施识别，脆弱性识别，后果识别。故选B15、A16、D17、C18、B19、C20、A21、B22、C23、B24、A25、A26、B27、B28、D29、A30、D解析:监督审核是现场审核，但不一定是对整个体系的审核，并应与其他监督活动一起策划，以使认证机构能对获证客户管理体系在认证周期内持续满足要求保持信任。相关管理体系标准的每次监督审核应包括对以下方面的审查：（1）内部审核和管理评审；(2)对上次审核中确定的不符合采取的措施；（3）投诉的处理；（4）管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性；（5）为持续改进而策划的活动的进展；（6）持续的运作控制；（7）任何变更；（8）标志的使用和（或）任何其他对认证资格的引用。综上A,B,C项均是监督审核的目的，故选D。另外，再认证的策划和及时实施，才能确保认证能在到期前及时更新，监督审核不能决定是否换发证书31、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故选B32、A33、B34、B35、B解析:根据GB/T22080-2016标准A6,1,2原文：应分离冲突的职责及其贵任范围，以减少未授权或无意的修改或者不当使用组织资产的机会36、B37、B38、C39、A解析:访问控制，确保对资产的访问是基于业务和安全要求进行授权和限制的手段。A表述更为全面，B,C选项过于细化，故选A40、D二、多项选择题41、A,B,C42、A,B,C解析:gb/t20984-20077,2自评估是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估，A正确。周期性进行的自评估可