2024年第二期CCAA注册审核员模拟试题-ISMS信息安全管理体系知识含解析

2024年第二期CCAA注册审核员模拟试题—ISMS信息安全管理体系知识一、单项选择题1、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略2、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果3、关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径4、以下哪些可由操作人员执行？（)A、审批变更B、更改配置文件C、安装系统软件D、添加/删除用户5、文件化信息指（）A、组织创建的文件B、组织拥有的文件C、组织要求控制和维护的信息及包含该信息的介质D、对组织有价值的文件6、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审7、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准8、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求己得到满足，即意味着顾客满意D、组织认为顾客要求己得到满足，即意味着顾客满意9、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时10、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证11、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、612、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员13、被黑客控制的计算机常被称为(）A、蠕虫B、肉鸡C、灰鸽子D、木马14、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响15、关于信息安全连续性，以下说法正确的是（）A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定16、口令管理系统应该是（）,并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C17、关于GB/T28450,以下说法正确的是(）。A、增加了ISMS的审核指导B、与ISO19011一致C、与ISO/IEC27000一致D、等同采用了ISO1901118、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育19、依据GB/T22080/ISO/IEC27001的要求，管理者应（）A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确20、关于投诉处理过程的设计，以下说法正确的是：()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用21、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A、2年B、3年C、4年D、5年22、在形成信息安全管理体系审核发现时，应（）。A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性23、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任24、关于《中华人民共和国保密法》，以下说法正确的是：（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护25、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应26、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性27、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性28、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理29、关于信息安全管理中的“脆弱性”，以下正确的是：（）A、脆弱性是威胁的一种，可以导致信息安全风险B、网络中“钓鱼”软件的存在，是网络的脆弱性C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D、以上全部30、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対31、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标32、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限33、ISO/IEC27701是（）A、是一份基于27002的指南性标准B、是27001和27002的隐私保护方面的扩展C、是ISMS族以外的标准D、在隐私保护方面扩展了270001的要求34、当发现不符合项时，组织应对不符合做出反应，适用时（）。A、采取措施，以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生35、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、作出是否换发证书的决定36、信息安全管理体系是用来确定（)A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度37、应定期评审信息系统与组织的（）的符合性。A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准38、关于访问控制，以下说法正确的是（）A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件39、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定40、根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是（）A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性二、多项选择题41、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核42、在信息安全事件管理中，（）是所有员工应该完成的活动A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件43、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟44、以下说法正确的是（）A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了45、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后46、信息安全绩效的反馈，包括以下哪些方面的趋势（）A、不符合和纠正措施B、监视测量的结果C、审核结果D、信息安全方针完成情况47、移动设备策略宜考虑（)A、移动设备注册B、恶意软件防范C、访问控制D、物理保护要求48、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是（）A、与N签署协议规定服务级别及安全要求B、在对N公司人员服务时，接入M公司的移动电脑事前进行安全扫描C、将多张核心机房门禁卡统一登记在N公司项目组组长名下，由其按需发给进入机房的N公司人员使用D、对N公司带入带出机房的电脑进行检查登记，硬盘和U盘不在此检查登记范围内49、关于“不可否认性”，以下说法正确的是（）A、数字签名是实现“不可否认性”的有效技术手段B、身份认证是实现“不可否认性”的重要环节C、数字时间戳是“不可否认性”的关键属性D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性50、以下属于访问控制的是（）。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品查杀病毒51、根据《中华人民共和国保守国家秘密法》，下列属于国家秘密的是（）。A、国家事务重大决策中的秘密事项B、国民经济和社会发展中的秘密事项C、科学技术中的秘密事项D、国防建设和武装力量活动中的秘密事项52、关于审核发现，以下说法正确的是：（）A、审核发现是收集的审核证据对照审核准则进行评价的结果B、审核发现包括正面的和负面的发现C、审核发现是审核结论的输入D、审核发现是制定审核准则的依据53、信息安全管理体系范围和边界的确定依据包括（）A、业务B、组织C、物理D、资产和技术54、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类55、管理评审的输入应包括（）。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果三、判断题56、组织应适当保留信息安全目标文件化信息。（）57、《中华人民共和国网络安全法》是2017年1月1日开始实施的（）58、不同组织有关信息安全管理体系文件化信息的详略程度应基本相同。（）59、创建和更新文件化信息时，组织应确保对其适宜性和充分性进行评审和批准。60、组织使用云盘设施服务时，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1条款可以删减。（）61、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。62、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）63、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。（）64、利用生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别。65、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。（）

参考答案一、单项选择题1、D2、C3、C4、C5、C6、B7、B解析:iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。cnas-cc1702认证规范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms认证的依据，故选B8、C9、A10、C11、C12、C13、B14、B15、B16、B17、A18、A19、D解析:信息安全目标及其实现规划，组织应在相关职能和层级上建立信息安全目标，A项错误。B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性，和有效性。而管理评审的实施执行者是组织，因此B表述不准确。C项，27001,5.1.2组织应建立并维护信息安全风险准则，包括风险接受准则和信息安全风险评估实施准则。而非最高管理者，因此C错误，综上故选D20、A21、D22、B23、B24、A25、D解析:短期停电即电力中断，故选D。可中断的电力供应26、B解析:引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序27、C28、D29、C30、A31、D32、C33、B34、A解析:参考2700110,1当发生不符合时，组织应：对不符合做出反应，适用时：（1）采取措施，以控制并予以纠正（2）处理后果。故选A35、D解析:监督审核是现场审核，但不一定是对整个体系的审核，并应与其他监督活动一起策划，以使认证机构能对获证客户管理体系在认证周期内持续满足要求保持信任。相关管理体系标准的每次监督审核应包括对以下方面的审查：（1）内部审核和管理评审；(2)对上次审核中确定的不符合采取的措施；（3）投诉的处理；（4）管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性；（5）为持续改进而策划