2022年第四期CCAA国家注册审核员模拟试题-ISMS信息安全管理体系知识含解析

2022年第四期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系知识一、单项选择题1、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录2、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换3、经过风险处理后遗留的风险是（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险4、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络5、信息安全管理体系的设计应考虑（）A、组织的战B、组织的目标和需求C、组织的业务过程性质D、以上全部6、组织确定的信息安全管理体系范围应（）A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用7、关于防范恶意软件，以下说法正确的是：（）A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件8、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部9、ISMS文件的多少和详细程度取于A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C10、涉及运行系统验证的审计要求和活动，应（）A、谨慎地加以规划并取得批准，以便最小化业务过程的中断B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准，以便最小化业务过程的中断D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续11、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。A、人为因素B、自然灾难C、不可抗力D、网络故障12、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份13、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标14、应定期评审信息系统与组织的（）的符合性。A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准15、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C16、根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是（）A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性17、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对18、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响19、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度20、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部21、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局22、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年23、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程24、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象25、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单26、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷27、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育28、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部29、()属于管理脆弱性的识别对象A、物理环境B、网络结构C、应用系统D、技术管理30、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以31、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件32、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制33、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对34、在现场审核结束之前，下列哪项活动不是必须的？（）A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题35、关于文件管理下列说法错误的是（）A、文件发布前应得到批准，以确保文件是适宜的B、必要时对文件进行评审、更新并再次批准C、应确保文件保持清晰，易于识别D、作废文件应及时销毁，防止错误使用36、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务37、组织应（）。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级38、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》39、关于信息安全连续性，以下说法正确的是（）A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定40、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认二、多项选择题41、设计一个信息安全风险管理工具，应包括如下模块（）。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程42、信息安全管理中，支持性基础设施指：()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、网络设备43、不同组织的ISMS文件的详略程度取决于（）A、文件编写人员的态度和能力B、组织的规模和活动的类型C、人员的能力D、管理系统的复杂程度44、GB/T28450审核方案管理的内容包括（）A、信息安全风险管理要求B、ISMS的复杂度C、是否存在相似场所D、ISMS的规模45、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估46、对于涉密信息系统，以下说法正确的是（）A、使用的信息安全保密产品原则上应选择国产产品B、使用的信息安全保密产品应当通过国家保密局授权的检测机构检测C、使用的信息安全保密产品应当通过国家保密局审核发布的目录中选取D、总体保密水平不低于国家信息安全等级保护第四级水平47、以下属于“关键信息基础设施”的是（）。A、输配电骨干网监控系统B、计算机制造企业IDC供电系统C、髙等院校网络接入设施D、高铁信号控制系统48、管理评审是为了确保信息安全管理体系持续的（）A、适宜性B、充分性C、有效性D、可靠性49、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移50、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处理51、下列哪些是SSL支持的内容类型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data52、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖53、建立一些规程，以在提供一个新的、代替的或临时的秘密鉴别信息之前，验证用户身份；54、ISO/IEC27001标准要求以下哪些过程要形成文件化的信息？（)A、信息安全方针B、信息安全风险处置过程C、沟通记录D、信息安全目标55、信息安全管理体系范围和边界的确定依据包括（）A、业务B、组织C、物理D、资产和技术三、判断题56、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺。（）57、组织ISMS的相关方的需求和期望由组织战略决策层的决定（）58、《中华人民共和国网络安全法》是2017年1月1日开始实施的（）59、考虑了组织所实施的活动，即可确定组织信息安全管理体系范围。60、审核方案应包括审核所需的资源，例如交通和食宿。（）61、审核组可以由一个人组成。（）62、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）63、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级，这符合GB/T22080-2016标准A9.1.1条款的要求。（）64、某组织租用第三方数据中心机房托管其IT系统设备，因此认证审核时不必审核计算机机房物理安全的相关内容()65、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）

参考答案一、单项选择题1、D2、D3、D4、C5、D6、A7、D8、D9、D10、A11、C12、A13、D14、D15、D16、B17、C18、B解析:27005信息安全风险管理8,2,,1风险识别，包括资产识别，威胁识别，现有控制措施识别，脆弱性识别，后果识别。故选B19、C解析:《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度，故选C20、B21、B22、D23、D解析:高风险的产品或过程应增加审核时间要素24、A25、D26、B27、A28、D29、D解析:27001附录A12,6，技术方面的脆弱性管理，应及时获取在用的信息系统的技术方面的脆弱性信息，评价组织对这些脆弱性的暴露情况并采取适当的措施来应对相关风险。故选D30、B31、C32、B33、B34、C35、D36、D37、C解析:参考ISO/IEC27001：2013附录A8,2信息分级，信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级38、D39、B40、B二、多项选择题41、A,B,C,D解析:所有选项均符合，本题选ABCD42、A,B,C43、B,C,D44、A,B,C,D45、A,C46、A,B,C47、A,B,C解析:27001附录A9,2,6撤销或调整访问权限，所有雇、外部人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销，或在变化时调整。因此本题选ABC48、A,B,C49、A,D50、A,B,C解析:风险评估包括风险辨识、风险分析、风险评价三个步骤。1.风险辨识。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。2.风险分析。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。3.风险评价。风险评价是评估风险对企业实现目标的影响程度、风险的价值