2024年8月CCAA国家注册审核员考试题目-ISMS信息安全管理体系含解析

2024年8月CCAA国家注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新2、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应3、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对4、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对5、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统A、报告B、传递C、评价D、测量6、信息安全管理中,以下哪一种描述能说明“完整性”（）。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况7、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。A、5B、6C、3D、48、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部9、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限10、信息安全管理中，关于脆弱性，以下说法正确的是()。A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会11、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象12、组织应（）。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级13、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性14、GB/T29246标准为组织和个人提供（）A、建立信息安全管理体系的基础信息B、信息安全管理体系的介绍C、ISMS标准族已发布标准的介绍D、1SMS标准族中使用的所有术语和定义15、信息安全的机密性是指（）A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 16、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、202117、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対18、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机19、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性20、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次21、信息安全基本属性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性22、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、作出是否换发证书的决定23、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力24、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求A、2B、3C、5D、725、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙26、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定27、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确28、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏29、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对30、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型31、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年32、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A、警告B、罚款C、没收违法所得D、吊销许可证33、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年34、关于入侵检测，以下不正确的是：（）A、入侵检测是一个采集知识的过程B、入侵检测指信息安全事件响应过程C、分析反常的使用模式是入侵检测模式之一D、入侵检测包括收集被利用脆弱性发生的时间信息35、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复36、（）是建立有效的计算机病毒防御体系所需要的技术措施。A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙37、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力38、PKI的主要组成不包括(）A、SSLB、CRC、CAD、RA39、信息处理设施的变更管理包括:A、信息处理设施用途的变更B、信息处理设施故障部件的更换C、信息处理设施软件的升级D、其他选项均正确40、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审二、多项选择题41、为控制文件化信息，适用时，组织应强调以下哪些活动？（）A、分发，访问，检索和使用B、存储和保护，包括保持可读性C、控制变更（例如版本控制）D、保留和处理42、信息安全管理中，以下属于"按需知悉(need-to-know)原则的是（)A、根据工作需要仅获得最小的知悉权限B、工作人员仅让满足工作所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D、得到管理者批准的信息是可访问的信息43、信息安全风险分析包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性44、以下属于访问控制的是（)。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品査杀病毒45、下列属于“开发安全”活动的是（）。A、应规范用户修改软件包，必须的修改应严格管制B、应用系统若有变更，应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序46、针对敏感应用系统安全，以下正确的做法是（）。A、用户尝试登录失败时，明确提示其用户名错误或口令错误B、登录之后，不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限47、管理评审的输入应包括（）。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果48、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类49、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动50、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A、确保将信息安全管理体系要求整合到组织过程中B、确保信息安全管理体系所需资源可用C、确保支持相关人员为信息安全管理体系的有效性做出贡献D、确保信息安全管理体系达到预期结果51、信息安全管理体系审核应遵循的原则包括:（）A、诚实守信B、保密性C、基于风险D、基于事实的决策方法52、A,B,C解析:gb/t20984-20077,2自评估是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估，A正确。周期性进行的自评估可以在评估流程上适当简化，重点针对自上次评估后系统发生变化后引入的新威胁，以及系统脆弱性的完整性识别，以便于两次评估结果对比，B正确。自评估可由发起方实施或委托风险评估服务技术支持方实施，C正确。D错误，主体错误，检查评估是信息系统上级管理部门组织的或国家有关职能部门依法展开的风险评估。本题选ABC53、关于云计算服务中的的安全，以下说法不正确的是（）。A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则54、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施55、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟三、判断题56、拒绝服务器攻击包括消耗目标服务器的可用资源或消耗网络的有效带宽57、客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核（)58、完全备份就是对全部数据库数据进行备份。（）59、敏感信息通过网络传输时必须加密处理。（)60、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。（）61、计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统（）62、不同组织有关信息安全管理体系文件化信息的详细程度应基本相同（）63、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。（）64、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）65、某组织租用第三方数据中心机房托管其IT系统设备，因此认证审核时不必审核计算机机房物理安全的相关内容()

参考答案一、单项选择题1、C2、D解析:短期停电即电力中断，故选D。可中断的电力供应3、A4、B5、D6、B7、A8、D9、C10、B11、A12、C解析:参考ISO/IEC27001：2013附录A8,2信息分级，信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级13、C14、D15、B16、D17、B18、B19、B20、A21、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故选B22、D解析:监督审核是现场审核，但不一定是对整个体系的审核，并应与其他监督活动一起策划，以使认证机构能对获证客户管理体系在认证周期内持续满足要求保持信任。相关管理体系标准的每次监督审核应包括对以下方面的审查：（1）内部审核和管理评审；(2)对上次审核中确定的不符合采取的措施；（3）投诉的处理；（4）管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性；（5）为持续改进而策划的活动的进展；（6）持续的运作控制；（7）任何变更；（8）标志的使用和（或）任何其他对认证资格的引用。综上A,B,C项均是监督审核的目的，故选D。另外，再认证的策划和及时实施，才能确保认证能在到期前及时更新，监督审核不能