2021年第四期CCAA国家注册审核员ISMS信息安全管理体系模拟试题含解析

2021年第四期CCAA国家注册审核员ISMS信息安全管理体系模拟试题一、单项选择题1、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B2、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯3、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意4、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认5、下列措施中，（）是风险管理的内容。A、识别风险B、风险优先级评价C、风险处置D、以上都是6、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证C、对于离开组织的设备和资产须验证相关授权信息D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证7、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年8、信息安全风险的基本要素包括（）A、资产、可能性、影响B、资产、脆弱性、威胁C、可能性、资产、脆弱性D、脆弱性、威胁、后果9、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作10、当发现不符合项时，组织应对不符合做出反应，适用时（）。A、采取措施，以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生11、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份12、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对13、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对14、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程15、关于防范恶意软件，以下说法正确的是：（）A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件16、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对17、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性18、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划19、下面哪一种属于网络上的被动攻击（）A、消息篡改B、伪装C、拒绝服务D、流量分析20、在信息安全管理体系审核时，应遵循（）原则。A、保密性和基于准则的B、保密性和基于风险的C、最小特权原则最小特权原则是信息系统安全的最基本原则D、建立阻塞点原则阻塞点就是在网络系统对外连接通道内，可以被系统管理人员进行监控的连接控制点。21、文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对22、设置防火墙策略是为了(）A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制23、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞24、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。A、服务水平目标（SLO)B、恢复点目标（RPO)C、恢复时间目标（RTO)D、最长可接受终端时间（MAO)25、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时26、《计算机信息系统安全保护条例》中所称计算机信息系统，是指A、对信息进行采集、加工、存储、传输、检索等处理的人机系统B、计算机及其相关的设备、设施，不包括软件C、计算机运算环境的总和，但不含网络D、一个组织所有计算机的总和，包括未联网的微型计算机27、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录28、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单29、下列那些事情是审核员不必要做的？（）A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式30、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段31、ISMS文件的多少和详细程度取决于()A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、以上都对32、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对33、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审34、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响，但不包括（）A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都不对35、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督36、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析37、信息系统的变更管理包括（）A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部38、关于投诉处理过程的设计，以下说法正确的是：（）A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用39、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议40、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证二、多项选择题41、在信息安全事件管理中，（）是员工应该完成的活动。A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件42、IS0/IEC27000系列标准主要包括哪几类标准？()A、要求类B、应用类C、指南类D、术语类43、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后44、“云计算服务”包括哪几个层面?A、PaasB、SaasC、laasD、PII.S45、某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）A、行车监控系统B、行车路线信息C、押运人员个人信息D、押运人员用枪支46、对于信息安全方针,（）是GB/T22080-2016标准要求的A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审47、评价信息安全风险，包括（）A、将风险分析的结果与信息安全风险准则进行比较B、确定风险的控制措施C、为风险处置排序以分析风险的优先级D、计算风险大小48、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施49、某金融服务公司为其个人注册会员提供了借資金和貸款服务，以下不正确的做法是（）A、公司使用微信群发布，申请借贷的会員背景姿料、借贷额度等进行讨论评审B、公司使用微信群发布公司内部投资策略文件C、公司要求所有员工签署NDA,不得泄露会员背景及具体借贷项目信息D、公司要求员工不得向朋友圏转化其微信群会讨论的信息50、最高管理层应建立信息安全方针,方针应（）A、对相关方可用B、包括对持续改进ISMS的承诺C、包括信息安全目标D、与组织意图相适宜51、管理评审的输出应包括（）A、与持续改进机会相关的决定B、变更信息安全管理体系的任何需求C、相关方的反馈D、信息安全方针执行情况52、以下说法不正确的是（）A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了53、建立一些规程，以在提供一个新的、代替的或临时的秘密鉴别信息之前，验证用户身份；54、以下属于访问控制的是（）。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品查杀病毒55、对于信息安全方针,（）是GB/T22080-2016标准要求的(分数:10.00分)A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审三、判断题56、从审核开始到结束,审核组长应对审核实施负责57、记录可提供符合信息安全管理体系要求和有效运行的证据。（）58、IT系統日志信息保存所需的資源不属于容量管理的范围（）59、在来自可信站点电子邮件中输入个人或财务信息是安全的。（）60、完全备份就是对全部数据库数据进行备份。（）61、考虑了组织所实施的活动，即可确定组织信息安全管理体系范围。62、拒绝服务器攻击包括消耗目标服务器的可用资源或消耗网络的有效带宽63、最高管理层应确保方针得到建立（）64、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统，并降低进入该系统的无意错误操作导致的影响（）65、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。

参考答案一、单项选择题1、B2、A3、C4、B解析:2700214,2,3运行平台变更后对应用的技术评审，当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。故选B5、D6、C7、D8、B9、B10、A解析:参考2700110,1当发生不符合时，组织应：对不符合做出反应，适用时：（1）采取措施，以控制并予以纠正（2）处理后果。故选A11、A12、A13、A14、D解析:风险处置，是指选择并且执行措施来更改风险的过程。故选D15、D16、A17、B解析:引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序18、C19、D解析:主动攻击会导致某些数据流的篡改和虚假数据流的产生，这类攻击分篡改，伪造消息数据和终端（拒绝服务）。被动攻击中攻击者不对数据信息做任何修改，截取/窃听是指为未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听，流量分析，破解弱加密的数据流等攻击方式。故选D20、B21、A22、A23、B24、C25、A26、A