2024年8月CCAA国家注册审核员ISMS信息安全管理体系模拟试题含解析

2024年8月CCAA国家注册审核员ISMS信息安全管理体系模拟试题一、单项选择题1、当发现不符合项时，组织应对不符合做出反应，适用时（）。A、采取措施，以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生2、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B3、计算机病毒系指_____。A、生物病毒感染B、细菌感染C、被损坏的程序D、特制的具有损坏性的小程序4、文件化信息创建和更新时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准5、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。A、4-10B、1-10C、4-7和9-10D、4-10和附录A6、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许方问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对7、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理8、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A、三级B、二级C、四级D、五级9、经过风险处理后遗留的风险是（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险10、关于信息系统登录的管理，以下说法不正确的是（）A、网络安全等级保护中，三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率，可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令11、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段12、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。A、半年B、1年C、1.5年D、2年13、信息系统的变更管理包括（）A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部14、关于信息系统登录口令的管理，以下做法不正确的是：()A、必要时，使用密码技术、生物识等替代口令B、用提示信息告知用户输入的口令是否正确C、明确告知用户应遵从的优质口令策略D、使用互动式管理确保用户使用优质口令15、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确16、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审17、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任18、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力19、()是风险管理的重要一环。A、管理手册B、适用性声明C、风险处置计划D、风险管理程序20、依据《中华人民共和国网络安全法》，以下说法不正确的是（）A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息属于个人信息B、自然人的身份证号码、电话号码属于个人信息C、自然人的姓名、住址不属于个人信息D、自然人的出生日期属于个人信息21、创建和更新文件化信息时，组织应确保适当的（）。A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准22、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志23、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保24、关于信息安全管理中的“脆弱性”，以下正确的是：（）A、脆弱性是威胁的一种，可以导致信息安全风险B、网络中“钓鱼”软件的存在，是网络的脆弱性C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D、以上全部25、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确26、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。A、做好资产分类是其基础B、采用组织固定资产台账即可C、无需关注资产产权归属者D、A+B27、在信息安全管理体系审核时，应遵循（）原则。A、保密性和基于准则的B、保密性和基于风险的C、最小特权原则最小特权原则是信息系统安全的最基本原则D、建立阻塞点原则阻塞点就是在网络系统对外连接通道内，可以被系统管理人员进行监控的连接控制点。28、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部29、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是30、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对31、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性32、进入重要机构时，在门卫处登记属于以下哪种措施？（）A、访问控制B、身份鉴别C、审计D、标记33、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700534、信息安全管理中，关于脆弱性，以下说法正确的是()。A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会35、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏36、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护 37、（）是建立有效的计算机病毒防御体系所需要的技术措施。A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙38、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以39、当获得的审核证据表明不能达到审核目的时，申核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理中以确定适当的措施C、宣布取消末次会议D、以上各项都不可以40、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务二、多项选择题41、关于“不可否认性”，以下说法正确的是（）A、数字签名是实现“不可否认性”的有效技术手段B、身份认证是实现“不可否认性”的重要环节C、数字时间戳是“不可否认性”的关键属性D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性42、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖43、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动44、信息安全风险分析包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性45、“云计算机服务”包括哪几个层面？（）A、PaasB、SaaSC、IaaSD、PIIS46、移动设备策略宜考虑（)A、移动设备注册B、恶意软件防范C、访问控制D、物理保护要求47、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类48、管理评审的输出应包括（）A、与持续改进机会相关的决定B、变更信息安全管理体系的任何需求C、相关方的反馈D、信息安全方针执行情况49、以下说法正确的是（）A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了50、信息安全绩效的反馈，包括以下哪些方面的趋势（）A、不符合和纠正措施B、监视测量的结果C、审核结果D、信息安全方针完成情况51、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A、省B、自治区C、直辖市D、特别行政区52、“云计算服务”包括哪几个层面?A、PaasB、SaasC、laasD、PII.S53、关于云计算服务中的的安全，以下说法不正确的是（）。A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则54、在开展信息安全绩效和ISMS有效性评价时，组织应确定（）A、监视、测量、分析和评价的过程B、适用的监视、测量、分析和评价的方法C、需要被监视和测量的内容D、监视、测量、分析和评价的执行人员55、关于目标，下列说法正确的是（）A、目标现的结果B、沟通记录C、目标可以采用不同方式进行表示，例如：操作准则D、目标可以是不同层次的，例如组织、项目和产品三、判断题56、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺57、组织的内外部相关方要求属于组织的内部和外部事项”（）58、某互联网服务公司允许员工使用手机APP完成对公司客户的服务请求处理，但手机须安装公司规定的安全控制程序，无论手机是公司配发的或员工私有的。这符合IS0/IEC27001:2013标准A6,2,1的要求。（)59、GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准（）60、IT系统日志保存所需的资源不属于容量管理的范围。（）61、容量管理策略可以考虑增加容量或降低容量要求（）62、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。63、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。（）64、当需要时，组织可设计控制，或识别来自任何来源的控制。（）65、纠正是指为消除己发现的不符合或其他不期望情况的原因所采取的措施。（）

参考答案一、单项选择题1、A解析:参考2700110,1当发生不符合时，组织应：对不符合做出反应，适用时：（1）采取措施，以控制并予以纠正（2）处理后果。故选A2、D3、D4、D5、A6、C7、D8、A9、D10、C解析:应确保秘密鉴别信息的保密性，确保鉴别信息得到适当的保护，C选项为提高效率而保存鉴别信息的直接登录方式，不能确保鉴别信息得到保护，故选C11、C12、D13、D14、B15、C16、B17、B18、C19、C解析:参考iso/iec27005，风险管理包括风险评估，风险处置，风险接受，风险沟通，风险监视和风险评审。因此风险处置计划是风险管理的重要一环，故选C20、C21、D22、B23、A24、C25、D26、A27、B28、D29、D30、A31、B解析:引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序32、B33、B34、B35、C36、A37、D38、B3