2022年6月CCAA国家注册审核员ISMS信息安全管理体系模拟试题含解析

2022年6月CCAA国家注册审核员ISMS信息安全管理体系模拟试题一、单项选择题1、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对2、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20213、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件4、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知5、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保6、组织应（），以确信相关过程按计划得到执行。A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度7、下列管理评审的方式，哪个不满足标准的要求?(）A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审8、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A、三级B、二级C、四级D、五级9、形成ISMS审核发现时，不需要考虑的是（）A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性10、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任11、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改12、在现场审核时，审核组有权自行决定变更的事项是（）。A、市核人日B、审核的业务范围C、审核日期D、审核组任务调整13、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度14、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求15、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录16、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用17、信息安全管理体系是用来确定（)A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度18、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式19、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）A、不考虑资产的价值，基本水平的保护都会被实施B、对所有信息资产保护都投入相同的资源C、对信息资产实施适当水平的保护D、信息资产过度的保护20、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。A、人为因素B、自然灾难C、不可抗力D、网络故障21、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统22、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认23、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低24、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部25、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域26、口令管理系统应该是（）,并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C27、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年28、ISO/IEC27001所采用的过程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法29、关于防范恶意软件，以下说法正确的是：（）A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件30、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）A、下级管理员无权修改，不可删除B、下级管理员无权修改，可以删除C、下级管理员可以修改，可以删除D、下级管理员可以修改，不可删除31、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C32、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対33、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单34、（）是建立有效的计算机病毒防御体系所需要的技术措施。A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙35、不属于公司信息资产的是（）A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对36、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划37、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密38、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理39、信息安全残余风险是（）。A、没有处置完成的风险B、没有评估的风险C、处置之后仍存在的风险D、处置之后没有报告的风险40、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对二、多项选择题41、信息安全管理中，以下属于“按需知悉（need-to-know)”原则的是（）A、根据工作需要仅获得最小的知悉权限B、工作人员仅需要满足工作任务所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围。D、工作范围是可访问的信息42、对于信息安全方针,（）是GB/T22080-2016标准要求的A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审43、某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）A、行车监控系统B、行车路线信息C、押运人员个人信息D、押运人员用枪支44、《中华人民共和国网络安全法》适用于在中华人民共和国境内（）网络，以及网络安全的监督管理。A、建设B、运营C、维护D、使用45、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖46、关于鉴别信息保护，正确的是（）A、使用QQ传递鉴别信息B、对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息C、鉴别信息宜加密保存D、鉴别信息的保护可作为任用条件或条款的内容47、信息安全方针应（）A、形成文件化信息并可用B、与组织内外相关方全面进行沟通C、确保符合组织的战略方针D、适当时，对相关方可用48、对于审核发现（）A、审核组应根据需要，在审核的适当阶段共同评审审核发现B、根据审核计划和检査表要求，只需记录每个不符合审核发现的审核证据C、应与受审核方一起评审不符合的审核发现，以确认审核证据的准确性，并得到受审核方的理解D、包括正面的和负面的发现49、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核50、为控制文件化信息，适用时，组织应强调以下哪些活动？（）A、分发，访问，检索和使用B、存储和保护，包括保持可读性C、控制变更（例如版本控制）D、保留和处理51、设计一个信息安全风险管理工具，应包括如下模块（）。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程52、《中华人民共和国网络安全法》的宗旨是（）A、维护网络间主权B、维按国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益53、《中华人民共和国网络安全法》是为了保障网络安全,（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益54、为控制文件化信息，适用时，组织应强调以下哪些活动？（）A、分发，访问，检索和使用B、存储和保护，包括保持可读性C、控制变更（例如版本控制）D、保留和处理55、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机三、判断题56、某组织在生产系统上安装升级包前制定了回退计划，这符合GB/T22080-2016/ISO/IEC27001:2013标准A12,5,1条款的要求（）57、组织应持续改进信息安全管理体系的适宜性、充分性和有效性（）58、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统，并降低进入该系统的无意错误操作导致的影响（）59、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺。（）60、纠正是指为消除己发现的不符合或其他不期望情况的原因所采取的措施。（）61、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。（）62、最高管理层应确保方针得到建立（）63、创建和更新文件化信息时，组织应确保对其适宜性和充分性进行评审和批准。64、组织应持续改进信息安全管理体系的适宜性、充分性和有效性。（）65、当需要时，组织可设计控制，或识别来自任何来源的控制。（）

参考答案一、单项选择题1、A2、D3、C4、D5、A6、B7、A8、A9、C10、B11、D12、D13、D14、D15、B16、A17、C18、D19、C20、C21、D22、B23、D24、D25、A26、B27、D28、C29、D30、A31、D32、B33、D34、D35、C36、C37、B38、D39、C解析:参考GB/T20984-2007信息安全风险评估规范，3,12残余风险是指采取了安全措施后，信息系统仍然可能存在的风险。故选C40、B二、多项选择题41、A,B42、A,D43、A,B,C,D4