2022年3月CCAA注册ISMS信息安全管理体系审核员知识复习题含解析

2022年3月CCAA注册ISMS信息安全管理体系审核员知识复习题一、单项选择题1、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人2、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险3、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认4、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对5、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次6、下列哪项对于审核报告的描述是错误的?（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对7、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素8、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准9、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划10、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据11、下列不属于取得认证机构资质应满足条件的是（）。A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员12、依据GB/T22080,网络隔离指的是(）A、不同网络运营商之间的隔离B、不同用户组之间的隔离C、内网与外网的隔离D、信息服务，用户及信息系统13、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部14、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数15、制定信息安全管理体系方针，应予以考虑的输入是（）A、业务战略B、法律法规要求C、合同要求D、以上全部16、风险责任人是指（）A、具有责任和权限管理一项风险的个人或实体B、实施风险评估的组织的法人C、实施风险评估的项目负责人或项目任务责任人D、信息及信息处理设施的使用者17、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项18、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程19、文件化信息指（）A、组织创建的文件B、组织拥有的文件C、组织要求控制和维护的信息及包含该信息的介质D、对组织有价值的文件20、进入重要机构时，在门卫处登记属于以下哪种措施？（）A、访问控制B、身份鉴别C、审计D、标记21、信息安全残余风险是（）。A、没有处置完成的风险B、没有评估的风险C、处置之后仍存在的风险D、处置之后没有报告的风险22、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性23、组织的风险责任人不可以是（）A、组织的某个部门B、某个系统管理员C、风险转移到组织D、组织的某个虚拟小组负责人24、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果25、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对26、应定期评审信息系统与组织的（）的符合性。A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准27、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）A、下级管理员无权修改，不可删除B、下级管理员无权修改，可以删除C、下级管理员可以修改，可以删除D、下级管理员可以修改，不可删除28、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗29、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部30、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对31、关于信息安全连续性，以下说法正确的是：A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定32、涉及运行系统验证的审计要求和活动，应（）A、谨慎地加以规划并取得批准，以便最小化业务过程的中断B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准，以便最小化业务过程的中断D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续33、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改34、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年35、信息安全的机密性是指（）A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 36、关于防范恶意软件，以下说法正确的是：（）A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件37、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确38、依据《中华人民共和国网络安全法》，以下说法不正确的是（）A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护39、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障40、关于内部审核下面说法不正确的是(）。A、组织应定义每次审核的审核准则和范围B、通过内部审核确定ISMS得到有效实施和维护C、组织应建立、实施和维护一个审核方案D、组织应确保审核结果报告至管理层二、多项选择题41、在信息安全事件管理中，（）是员工应该完成的活动。A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件42、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机43、认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备(）A、管理体系的知识B、ISMS监视、测量、分析和评价的知识C、与受审核活动相关的技术知识D、信息安全的知识44、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处理45、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估46、关于涉密信息系统的管理，以下说法正确的是：（)A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途47、以下说法正确的是（）A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了48、“云计算服务”包括哪几个层面?A、PaasB、SaasC、laasD、PII.S49、投诉处理过程应包括：（）A、投诉受理、跟踪和告知B、投诉初步评审、投诉调查C、投诉响应、沟通决定D、投诉终止50、信息安全是保证信息的(),另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A、可用性B、机密性C、完备性D、完整性51、审核计划中应包括（）A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排52、某工程公司意图采用更为灵活的方式建立息安全管理体系，以下说法不正确的（）A、信息安全可以按过程管理，采用这种方法时不必再编制资产清单B、信息安全可以按项目来管理，原项目管理机制中的风险评估可替代GC/T22080-2016/I.SO/IED27001:2013标准中的风险评估C、公司各类项日的临时场所存在时间都较短，不必纳入ISMS范围D、工程项目方案因包含设计图纸等核心技术信息，其敏感性等级定义为最高53、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移54、ISO/IEC27000,以下说法正确的是（）A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准55、组织建立的信息安全目标，应（）。A、是可测量的B、与信息安全方针一致C、得到沟通D、适当时更新三、判断题56、组织的业务连续性策略即其信息安全连续性策略。57、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）58、中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。59、敏感标记表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感标记作为强制访问控制决策的依据（）。60、某互联网服务公司允许员工使用手机APP完成对公司客户的服务请求处理，但手机须安装公司规定的安全控制程序，无论手机是公司配发的或员工私有的。这符合IS0/IEC27001:2013标准A6,2,1的要求。（)61、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）62、IT系统日志保存所需的资源不属于容量管理的范围。（）63、通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，可以称这种新出现的计算机病毒是原来计算机病毒的变形。64、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）65、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺

参考答案一、单项选择题1、C2、C3、B解析:2700214,2,3运行平台变更后对应用的技术评审，当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。故选B4、A5、D6、A7、A8、B解析:iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。cnas-cc1702认证规范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms认证的依据，故选B9、C10、A11、C12、D13、D14、D15、D16、A17、C18、D解析:高风险的产品或过程应增加审核时间要素19、C20、B21、C解析:参考GB/T20984-2007信息安全风险评估规范，3,12残余风险是指采取了安全措施后，信息系统仍然可能存在的风险。故选C22、A23、C24、C25、C26、D27、A28、A29、D30、A31、B32、A33、D34、D35、B36、D37、D38、C解析:网络安全法第七十六条，