2021年第三期CCAA注册ISMS信息安全管理体系审核员知识考试题目含解析

2021年第三期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对2、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。A、4-10B、1-10C、4-7和9-10D、4-10和附录A3、不属于计算机病毒防治的策略的是（）A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘4、组织应（）。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级5、关于信息安全管理中的“脆弱性”，以下正确的是：（）A、脆弱性是威胁的一种，可以导致信息安全风险B、网络中“钓鱼”软件的存在，是网络的脆弱性C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D、以上全部6、当获得的审核证据表明不能达到审核目的时，申核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理中以确定适当的措施C、宣布取消末次会议D、以上各项都不可以7、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部8、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认9、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果10、文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对11、经过风险处理后遗留的风险通常称为（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险12、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响13、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价14、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A、2年B、3年C、4年D、5年15、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4016、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求A、2B、3C、5D、717、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制18、风险处置计划，应（）A、获得风险责任人的批准，同时获得对残余风险的批准B、获得最高管理者的批准，同时获得对残余风险的批准C、获得风险部门负责人的批准，同时获得对残余风险的批准D、获得管理者代表的批准，同时获得对残余风险的批准19、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统20、文件化信息指（）A、组织创建的文件B、组织拥有的文件C、组织要求控制和维护的信息及包含该信息的介质D、对组织有价值的文件21、关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议和保密义务与责任。A、安全保密B、安全保护C、安全保障D、安全责任22、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应23、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A、静态B、动态C、均可D、静态达到50%以上即可24、描述组织采取适当的控制措施的文档是（）A、管理手册B、适用性声明C、风险处置计划D、风险评估程序25、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障26、主动式射频识别卡(RFID)存在哪一种弱点?（）A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR27、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B28、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保29、第三方认证审核时，对于审核提出的不符合项，审核组应：（）A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对30、关于信息安全连续性，以下说法正确的是：A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定31、组织机构在建立和评审ISMS时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其它要求D、A+BE、A+C32、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限33、文件化信息创建和更新时，组织应确保适当的（)A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准34、信息安全风险的基本要素包括（）A、资产、可能性、影响B、资产、脆弱性、威胁C、可能性、资产、脆弱性D、脆弱性、威胁、后果35、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求36、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划37、信息安全的机密性是指（）A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 38、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定39、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用40、关于信息系统登录口令的管理，以下做法不正确的是：()A、必要时，使用密码技术、生物识等替代口令B、用提示信息告知用户输入的口令是否正确C、明确告知用户应遵从的优质口令策略D、使用互动式管理确保用户使用优质口令二、多项选择题41、信息安全管理中，支持性基础设施指：()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、网络设备42、《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活动，提高产品、服务的（），促进经济和社会的发展。A、质量B、数量C、管理水平D、竞争力43、认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备(）A、管理体系的知识B、ISMS监视、测量、分析和评价的知识C、与受审核活动相关的技术知识D、信息安全的知识44、《中华人民共和国网络安全法》的宗旨是（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益45、GB/T22080-2016/ISO/IEC27001:2013标准可用于（）A、指导组织建立信息安全管理体系B、为组织建立信息安全管理体系提供控制措施的实施指南C、审核员实施审核的依据D、以上都不对46、为控制文件化信息，适用时，组织应强调以下哪些活动？（）A、分发，访问，检索和使用B、存储和保护，包括保持可读性C、控制变更（例如版本控制）D、保留和处理47、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施48、组织的信息安全管理体系初次认证应包括的审核活动是A、审核准备B、第一阶段审核C、第二阶段审核D、认证决定49、计算机信息系統的安全保护，应保障;（）A、计算机及相关和配套设备的安全B、设施(含网络)的安全C、运行坏境的安全D、计算机功能的正常发挥50、以下属于“关键信息基础设施”的是（）。A、输配电骨干网监控系统B、计算机制造企业IDC供电系统C、髙等院校网络接入设施D、高铁信号控制系统51、下列哪些属于网络攻击事件（）A、钓鱼攻击B、后门攻击事件C、社会工程攻击D、DOS攻击52、《中华人民共和国网络安全法》适用于在中华人民共和国境内（）网络，以及网络安全的监督管理。A、建设B、运营C、维护D、使用53、ISO/IEC27000,以下说法正确的是（）A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准54、《中华人民共和国网络安全法》是为了保障网络安全,（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益55、下列属于“开发安全”活动的是（）。A、应规范用户修改软件包，必须的修改应严格管制B、应用系统若有变更，应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序三、判断题56、敏感标记表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感标记作为强制访问控制决策的依据（）。57、IT系統日志信息保存所需的資源不属于容量管理的范围（）58、某组织在生产系统上安装升级包前制定了回退计划，这符合GB/T22080-2016/ISO/IEC27001:2013标准A12,5,1条款的要求（）59、组织应持续改进信息安全管理体系的适宜性、充分性和有效性（）60、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。（）61、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）62、完全备份就是对全部数据库数据进行备份。（）63、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）64、最高管理层应确保方针得到建立（）65、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）

参考答案一、单项选择题1、B解析:so9000-20153,4,1过程，利用输入产生输出的相互关联或相互作用的一组活动。故选B2、A3、D4、C解析:参考ISO/IEC27001：2013附录A8,2信息分级，信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级5、C6、B7、D8、B9、D10、A11、D12、B13、D14、D15、A16、C解析:《计算机信息系统安全保护等级划分准则》规定了计算机系统安全保护能力的五个等级17、B解析:网络和网络服务的访问，应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。cd选项错误，必须是已授权用户才可访问。A选项错误，在家登录，不符合安全访问控制策略。故选B18、A19、D20、C21、A解析:《中华人民共和国网络安全法》第36条，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。故选A22、D解析:短期停电即电力中断，故选D。可中断的电力供应23、A24、B25、A26、B27、A28、A29、B30、B31、E32、C33、D34、B35、D36、C37、B38、A3