2024年3月CCAA注册审核员模拟试题-ISMS信息安全管理体系知识含解析

2024年3月CCAA注册审核员模拟试题—ISMS信息安全管理体系知识一、单项选择题1、第三方认证审核时，对于审核提出的不符合项，审核组应：（）A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对2、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员3、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局4、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象5、根据GB/T22080-2016中控制措施的要求，关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径6、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力7、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC408、关于信息系统登录口令的管理，以下做法不正确的是：()A、必要时，使用密码技术、生物识等替代口令B、用提示信息告知用户输入的口令是否正确C、明确告知用户应遵从的优质口令策略D、使用互动式管理确保用户使用优质口令9、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护 10、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请A、2年B、3年C、4年D、5年11、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏12、对于较大范围的网络，网络隔离是：（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C14、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型15、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果16、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件17、安全扫描可以实现（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流18、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C19、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程20、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对21、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作22、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷23、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改24、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果25、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次26、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力27、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限28、信息处理设施的变更管理包括:A、信息处理设施用途的变更B、信息处理设施故障部件的更换C、信息处理设施软件的升级D、其他选项均正确29、依据《中华人民共和国网络安全法》，以下说法不正确的是（）A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息属于个人信息B、自然人的身份证号码、电话号码属于个人信息C、自然人的姓名、住址不属于个人信息D、自然人的出生日期属于个人信息30、关于GB/T28450,以下说法正确的是(）。A、增加了ISMS的审核指导B、与ISO19011一致C、与ISO/IEC27000一致D、等同采用了ISO1901131、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。A、认证B、认可C、审核D、评审32、不属于公司信息资产的是（）A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对33、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保34、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划35、关于入侵检测，以下不正确的是：（）A、入侵检测是一个采集知识的过程B、入侵检测指信息安全事件响应过程C、分析反常的使用模式是入侵检测模式之一D、入侵检测包括收集被利用脆弱性发生的时间信息36、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作37、下列不属于取得认证机构资质应满足条件的是（）。A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员38、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。A、个人信息B、隐私C、商业秘密D、其他选项均正确39、文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对40、某公司进行风险评估后发现公司的无线网络存在大的安全隐患、为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）A、风险接受B、风险规避C、风险转移D、风险减缓二、多项选择题41、信息安全绩效的反馈，包括以下哪些方面的趋势（）A、不符合和纠正措施B、监视测量的结果C、审核结果D、信息安全方针完成情况42、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动43、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟44、操作系统的基本功能有(）A、存储管理B、文件管理C、设备管理D、处理器管理45、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致46、关于“信息安全连续性”，以下正确的做法包括:（）A、人员、设备、设施、场所等的冗余配置B、定期或实时进行数据备份C、考虑业务关键性确定恢复优先顺序和目标D、有保障信息安全连续性水平的过程和程序文件47、为控制文件化信息，适用时，组织应强调以下哪些活动？（）A、分发，访问，检索和使用B、存储和保护，包括保持可读性C、控制变更（例如版本控制）D、保留和处理48、针对敏感应用系统安全，以下正确的做法是（）。A、用户尝试登录失败时，明确提示其用户名错误或口令错误B、登录之后，不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限49、撤销对信息和信息处理设施的访问权针对的是（）A、组织雇员离职的情况B、组织雇员转岗的情况C、临时任务结束的情况D、员工出差50、下列说法正确的是（）A、残余风险需要获得风险责任人的批准B、适用性声明需要包含必要的控制及其选择的合理性说明C、所有的信息安全活动都必须有记录D、组织控制下的员工应了解信息安全方针51、计算机信息系统的安全保护，应保障（）A、计算机及相关配套设施的安全B、网络安全C、运行环境安全D、计算机功能和正常发挥52、对于审核发现（）A、审核组应根据需要，在审核的适当阶段共同评审审核发现B、根据审核计划和检査表要求，只需记录每个不符合审核发现的审核证据C、应与受审核方一起评审不符合的审核发现，以确认审核证据的准确性，并得到受审核方的理解D、包括正面的和负面的发现53、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处理54、访问控制包括()A、网络和网络服务的访问控制B、逻辑访问控制C、用户访问控制D、物理访问控制55、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后三、判断题56、完全备份就是对全部数据库数据进行备份。（）57、纠正是指为消除已发现的不符合或其他不的原因所采取的措施。（）58、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）59、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）60、审核员由实习审核员转审核员之前，至少必须通过4次完整体系20天的审核。（）61、最高管理层应确保方针得到建立（）62、审核方案应包括审核所需的资源，例如交通和食宿。（）63、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。（）64、组织的业务连续性策略即其信息安全连续性策略。65、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺

参考答案一、单项选择题1、B2、C3、B4、A5、C6、B7、A8、B9、A10、D11、B12、B13、D14、A15、D16、C17、C18、C解析:信息安全事件，指一个或一系列意外或不期望的信息安全事态组成，他们极有可能损害业务运行并威胁信息安全。故选C19、D解析:高风险的产品或过程应增加审核时间要素20、C21、B22、B23、D24、C25、D26、B27、C28、D解析:信息处理设施，任何的信息处理系统，服务或基础设施，或其安装的物理位置，abc选项均属于信息处理设施变更管理范畴，故选D29、C30、A31、B32、C33、A34、C35、B36、A37、C38、D解析:网络安全法第45条，依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息，隐私和商业秘密严格保密，不得泄露，出售或者非法向他人提供。故选D39、A40、B二、多项选择题41、A,B,C42、A,B,C,D43、B,C44、A,B,C,D45、A,C46、A,B,C,D47、A,B,C,D解析:270017,5,3文件化