2024年第二期ISMS信息安全管理体系CCAA审核员模拟试题含解析

2024年第二期ISMS信息安全管理体系CCAA审核员模拟试题一、单项选择题1、信息安全事态、事件和事故的关系是（）A、事态一定是事件，事件一定是事故B、事件一定是事故，事故一定是事态C、事态一定是事故，事故一定是事件D、事故一定是事件，事件一定是事态2、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络3、信息安全基本属性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性4、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵5、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象6、关于访问控制策略，以下不正确的是：（）A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型B、对于多任务访问，一次性赋予全任务权限C、物理区域的管理规定须遵从物理区域的访问控制策D、物理区域访问控制策略应与其中的资产敏感性一致7、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、68、不属于计算机病毒防治的策略的是（）A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘9、组织应（）A、分离关键的职责及责任范围B、分离冲突的职责及贵任范围C、分离重要的职责及责任范围D、分离关联的职责及责任范围10、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南11、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议12、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B13、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対14、组织应（）。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级15、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用16、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意17、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议18、在信息安全管理体系审核时，应遵循（）原则。A、保密性和基于准则的B、保密性和基于风险的C、最小特权原则最小特权原则是信息系统安全的最基本原则D、建立阻塞点原则阻塞点就是在网络系统对外连接通道内，可以被系统管理人员进行监控的连接控制点。19、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。A、认证B、认可C、审核D、评审20、GB/T22080-2016中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部21、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对22、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700523、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时24、以下哪个选项不是ISMS第一阶段审核的目的（）A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求25、对于外部方提供的软件包，以下说法正确的是：（）A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对26、根据GB/T22080-2016标准的要求，组织（）实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔27、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对28、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A、2年B、3年C、4年D、5年29、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年30、对保密文件复印件张数核对是确保保密文件的（）A、保密性B、完整性C、可用性D、连续性31、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）A、认证范围内员工的个人隐私数据得到保护B、认证范围内涉及顾客的个人隐私数据得到保护C、认证范围内涉及相关方的个人隐私数据数据得到保护D、以上全部32、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据33、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低34、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统A、报告B、传递C、评价D、测量35、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次36、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以37、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作38、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、作出是否换发证书的决定39、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志40、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保二、多项选择题41、信息安全管理中，以下属于"按需知悉(need-to-know)原则的是（)A、根据工作需要仅获得最小的知悉权限B、工作人员仅让满足工作所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D、得到管理者批准的信息是可访问的信息42、以下说法不正确的是（）A、信息安全管理体系审核是信息系统审计的一种B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估43、某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）A、行车监控系统B、行车路线信息C、押运人员个人信息D、押运人员用枪支44、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估45、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训46、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖47、设计一个信息安全风险管理工具，应包括如下模块（）。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程48、根据《中华人民共和国保守国家秘密法》，下列属于国家秘密的是（）。A、国家事务重大决策中的秘密事项B、国民经济和社会发展中的秘密事项C、科学技术中的秘密事项D、国防建设和武装力量活动中的秘密事项49、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核50、组织在风险处置过程中所选的控制措施需（）A、将所有风险都必须被降低到可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下有意识、客观地接受风险D、规避风险51、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动52、以下属于访问控制的是（)。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品査杀病毒53、依据GB/T22080，经管理层批准，定期评审的信息安全策略包括（）A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略54、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致55、信息安全管理体系审核组的能力包括:（）A、信息安全事件处理方法和业务连续性的知识B、有关有形和无形资产及其影响分析的知识C、风险管理过程和方法的知识D、信息安全管理体系的控制措施及其实施的知识三、判断题56、ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。(）57、较低的恢复时间目标会有更长的中断时间。（）58、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）59、组织的内外部相关方要求属于组织的内部和外部事项”（）60、IT系统日志保存所需的资源不属于容量管理的范围。（）61、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）62、审核方案应包括审核所需的资源，例如交通和食宿。（）63、敏感标记表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感标记作为强制访问控制决策的依据（）。64、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级，这符合GB/T22080-2016标准A9.1.1条款的要求。（）65、不同组织有关信息安全管理体系文件化信息的详细程度应基本相同（）

参考答案一、单项选择题1、D2、C3、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故选B4、A解析:访问控制，确保对资产的访问是基于业务和安全要求进行授权和限制的手段。A表述更为全面，B,C选项过于细化，故选A5、A6、B7、C8、D9、B解析:根据GB/T22080-2016标准A6,1,2原文：应分离冲突的职责及其贵任范围，以减少未授权或无意的修改或者不当使用组织资产的机会10、D11、A12、B13、A14、C解析:参考ISO/IEC27001：2013附录A8,2信息分级，信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级15、A16、C17、B解析:局域网是指家庭或是办公室，或者其他环境中小型网络。而大型计算机环境是指类似服务器的大型网络。两者本地备份差别主要体现在容错能力上，故选B18、B19、B20、B21、A22、B23、A24、D25、D解析:应严格限制对软件包的调整以保护其完整性26、A27、B解析:so9000-20153,4,1过程，利用输入产生输出的相互关联或相互作用的一组活动。故选B28、D29、A解析:国家秘密的保密期限,除有特殊规定外,绝密级事项不超过三十年,机密级事项不超过二十年,秘密级事项不超过十年30、A31、D32、A33、D34、D35、D36、B37、B38、D解析:监督审核是现场审核，但不一定是对整个体系的审核，并应与其他监督活动一起策划，以使认证机构能对获证客户管理体系在认证周期内持续满足要求保持信任。相关管理体系标准的每次监督审核应包括对以下方面的审查：（1）内部审核和管理评审；(2)对上次审核中确定的不符合采取的措施；（3）投诉的处理；（4）管理体系