2022年9月CCAA注册审核员复习题-ISMS信息安全管理体系含解析

2022年9月CCAA注册审核员复习题—ISMS信息安全管理体系一、单项选择题1、确定资产的可用性要求须依据（）。A、授权实体的需求B、信息系统的实际性能水平C、组织可支付的经济成本D、最高管理者的决定2、设置防火墙策略是为了(）A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制3、组织应（）A、分离关键的职责及责任范围B、分离冲突的职责及贵任范围C、分离重要的职责及责任范围D、分离关联的职责及责任范围4、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项5、安全扫描可以实现（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流6、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换7、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务8、根据GB/T22080-2016标准的要求，组织（）实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔9、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷10、抵御电子邮箱入侵措施中，不正确的是（）A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器11、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B12、应定期评审信息系统与组织的（）的符合性。A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准13、关于信息系统登录口令的管理，以下做法不正确的是：()A、必要时，使用密码技术、生物识等替代口令B、用提示信息告知用户输入的口令是否正确C、明确告知用户应遵从的优质口令策略D、使用互动式管理确保用户使用优质口令14、关于适用性声明下面描述错误的是(）A、包含附录A中控制删减的合理性说明B、不包含未实现的控制C、包含所有计划的控制D、包含附录A的控制及其选择的合理性说明15、关于信息系统登录的管理，以下说法不正确的是（）A、网络安全等级保护中，三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率，可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令16、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。A、认证B、认可C、审核D、评审17、下列哪项对于审核报告的描述是错误的?（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对18、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙19、信息安全基本属性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性20、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审21、信息系统的变更管理包括（）A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部22、依据《中华人民共和国网络安全法》，以下说法不正确的是（）A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护23、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统24、《中华人民共和国密码法》规定了国家秘密的范围和密级，国家秘密的密级分为（）。A、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别D、—密、二密、三密、四密四个级别25、口令管理系统应该是（）,并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C26、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略27、依据GB/T22080-2016标准，符合性要求包括（）A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对28、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力29、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单30、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督31、不属于公司信息资产的是（）A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对32、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部33、容量管理的对象包括（）A、服务器内存B、网络通信带宽C、人力资源D、以上全部34、组织机构在建立和评审ISMS时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其它要求D、A+BE、A+C35、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次36、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见37、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认38、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险39、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作40、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时二、多项选择题41、组织的信息安全管理体系初次认证应包括的审核活动是A、审核准备B、第一阶段审核C、第二阶段审核D、认证决定42、网络常见的拓扑形式有（）A、星型B、环型C、总线D、树型43、某工程公司意图采用更为灵活的方式建立息安全管理体系，以下说法不正确的（）A、信息安全可以按过程管理，采用这种方法时不必再编制资产清单B、信息安全可以按项目来管理，原项目管理机制中的风险评估可替代GC/T22080-2016/I.SO/IED27001:2013标准中的风险评估C、公司各类项日的临时场所存在时间都较短，不必纳入ISMS范围D、工程项目方案因包含设计图纸等核心技术信息，其敏感性等级定义为最高44、信息安全管理体系审核组的能力包括:（）A、信息安全事件处理方法和业务连续性的知识B、有关有形和无形资产及其影响分析的知识C、风险管理过程和方法的知识D、信息安全管理体系的控制措施及其实施的知识45、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖46、下列有关涉密信息系统说法正确的是（）A、涉密信息系统经单位保密工作机构测试后即可投入使用B、涉密信息系统投入运行前应当经过国家保密行政管理部门审批C、涉密计算机重装操作系统后可降为非涉密计算机使用D、未经单位信息管理部门批准不得自行重装操作系统47、关于涉密信息系统的管理，以下说法正确的是：（)A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途48、《中华人民共和国网络安全法》适用于在中华人民共和国境内（）网络，以及网络安全的监督管理。A、建设B、运营C、维护D、使用49、信息安全风险分析包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性50、对于审核发现（）A、审核组应根据需要，在审核的适当阶段共同评审审核发现B、根据审核计划和检査表要求，只需记录每个不符合审核发现的审核证据C、应与受审核方一起评审不符合的审核发现，以确认审核证据的准确性，并得到受审核方的理解D、包括正面的和负面的发现51、在信息安全事件管理中，（）是所有员工应该完成的活动A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件52、下列哪些是SSL支持的内容类型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data53、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移54、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后55、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估三、判断题56、中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。57、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）58、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）59、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。（）60、拒绝服务器攻击包括消耗目标服务器的可用资源或消耗网络的有效带宽61、IT系统日志保存所需的资源不属于容量管理的范围。（）62、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）63、考虑了组织所实施的活动，即可确定组织信息安全管理体系范围。64、创建和更新文件化信息时，组织应确保对其适宜性和充分性进行评审和批准。65、不同组织有关信息安全管理体系文件化信息的详略程度应基本相同。（）

参考答案一、单项选择题1、A解析:资产在可用性上的不同要求，依据授权实体的需求而定，故选A2、A3、B解析:根据GB/T22080-2016标准A6,1,2原文：应分离冲突的职责及其贵任范围，以减少未授权或无意的修改或者不当使用组织资产的机会4、C解析:管理体系审核指南3,4审核发现是将收集的审核证据对照审核准则进行评价的结果，故选C5、C6、D7、D8、A9、B10、D11、D12、D13、B14、B15、C解析:应确保秘密鉴别信息的保密性，确保鉴别信息得到适当的保护，C选项为提高效率而保存鉴别信息的直接登录方式，不能确保鉴别信息得到保护，故选C16、B17、A18、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D19、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故选B20、B21、D22、C解析:网络安全法第七十六条，网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集，存储，传输，交换，处理的系统。网络安全，是指通过采取必要措施，防范对网络的攻击，侵入，干扰，破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性，保密性，可用性的能力。故选C23、D24、C解析:《中华人民共和国保守国家秘密法》第十条，国家秘密的密级分为绝密，机密，秘密三级25、B26、D27、D28、B29、D30、B31、C32、D33、D34、E35、D36、A37、