2021年3月CCAA國家信息安全管理體系質(zhì)量審核員考試題目一、單項選擇題1、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡訪向的形式C、以遠程視頻的形式D、以上都対2、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設施C、人力資源D、以上全部3、根據(jù)GB/Z20986《信息安全技術(shù)信息安全事件分類分級指南》，對于違法行為的通報批評處罰，屬于行政處罰中的（）A、資格罰B、人身自由罰C、財產(chǎn)罰D、聲譽罰4、下列管理評審的方式，哪個不滿足標準的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網(wǎng)絡會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審5、組織應()與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保6、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ?。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準7、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、做出是否換發(fā)證書的決定8、關(guān)于認證人員執(zhí)業(yè)要求，以下說法正確的是:A、注冊審核員只能在一個認證機構(gòu)和一個咨詢機構(gòu)執(zhí)業(yè)B、注冊審核員和認證決定人員只能在一個認證機構(gòu)C、注冊審核員只能在一個認證機構(gòu)執(zhí)業(yè)，非注冊的認證決定人員不受此限制D、在咨詢機構(gòu)認專職咨詢師的人員，只能在認證機構(gòu)人兼職認證決定人員9、組織機構(gòu)在建立和評審ISMS時，應考慮（）A、風險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C10、對于較大范圍的網(wǎng)絡，網(wǎng)絡隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風險C、必須物理隔離和必須禁止無線網(wǎng)絡D、以上都對11、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現(xiàn)的結(jié)果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B12、拒絕服務攻擊損害了信息系統(tǒng)哪一項性能（）A、完整性B、可用性C、保密性D、可靠性13、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規(guī)程C、對信息安全事件進行響應D、在組織內(nèi)通報信息安全事件14、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業(yè)性的評審和批準15、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄16、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下說法不正確的是（）A、網(wǎng)絡安全應采取必要措施防范對網(wǎng)絡的攻擊和侵入B、網(wǎng)絡安全措施包括防范對網(wǎng)絡的破壞C、網(wǎng)絡安全即采取措施保護信息在網(wǎng)絡中傳輸期間的安全D、網(wǎng)絡安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護17、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬18、管理者應（）A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行19、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風險釣魚20、構(gòu)成風險的關(guān)鍵因素有（）A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性21、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV222、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審23、依據(jù)GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術(shù)對其分析B、確保信息按照其對組織的重要程度受到適當水平的保護C、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責任24、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年25、最高管理者應（）。A、確保制定ISMS方針B、制定ISMS目標和計劃C、實施ISMS內(nèi)部審核D、主持ISMS管理評審26、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件27、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡服務，視為允許方問的網(wǎng)絡服務B、對于允許訪問的網(wǎng)絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡服務，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對28、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項29、關(guān)鍵信息基礎(chǔ)設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任30、《信息安全等級保護管理辦法》規(guī)定，（）級保護時，國家信息安全管部門對該級信息安全等級保護工作進行強制監(jiān)督、檢查。A、3B、2C、5D、431、下列哪項對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對32、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象33、審核證據(jù)是指（）A、與審核準則有關(guān)的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對34、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強制性訪問控制策略35、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、保護資產(chǎn)保密和可用的特性36、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部37、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作38、在形成信息安全管理體系審核發(fā)現(xiàn)時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性39、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定40、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序，數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)二、多項選擇題41、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數(shù):10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關(guān)方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審42、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉(zhuǎn)移43、以下（）活動是ISMS監(jiān)視預評審階段需完成的內(nèi)容A、實施培訓和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施44、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設備、設施、場所等的冗余配置B、定期或?qū)崟r進行數(shù)據(jù)備份C、考慮業(yè)務關(guān)鍵性確定恢復優(yōu)先順序和目標D、有保障信息安全連續(xù)性水平的過程和程序文件45、關(guān)于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容46、關(guān)于“不可否認性”，以下說法正確的是（）A、數(shù)字簽名是實現(xiàn)“不可否認性”的有效技術(shù)手段B、身份認證是實現(xiàn)“不可否認性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認性”的關(guān)鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性47、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息48、《中華人民共和國網(wǎng)絡安全法》的宗旨是（）A、維護網(wǎng)絡空間主權(quán)B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益49、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍。D、工作范圍是可訪問的信息50、影響審核時間安排的因素包括（)A、ITSMS的范圍大小B、場所的數(shù)量C、認證機構(gòu)審核人員的能力D、認證機構(gòu)審核人員的數(shù)量51、以下（）活動是ISMS建立階段應完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓52、下列哪項屬于《認證機構(gòu)管理辦法》中規(guī)定的設立認證機構(gòu)應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領(lǐng)域的專職認證人員D、具有符合認證認可要求的管理制度53、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途54、為控制文件化信息，適用時，組織應強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理55、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求（）A、設定備份策B、定期測試備份介質(zhì)C、定期備份D、定期測試信息和軟件三、判斷題56、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）正確錯誤57、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導致的影響（）正確錯誤58、風險源是指那些可能導致消極后果或積極后果的因素和危害的來源。（）正確錯誤59、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）正確錯誤60、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）正確錯誤61、容量管理策略可以考慮增加容量或降低容量要求。（）正確錯誤62、組織應識別并提供建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系所需的資源。（）正確錯誤63、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據(jù)。(）正確錯誤64、組織的業(yè)務連續(xù)性策略即其信息安全連續(xù)性策略。正確錯誤65、《中華人民共和國網(wǎng)絡安全法》是2017年1月1日開始實施的（）正確錯誤

參考答案一、單項選擇題1、A2、D3、D4、A5、A6、D7、D8、B9、E10、B11、A12、B13、D14、D15、D16、C解析:網(wǎng)絡安全法第七十六條，網(wǎng)絡，是指由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集，存儲，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡安全，是指通過采取必要措施，防范對網(wǎng)絡的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性，保密性，可用性的能力。故選C17、B18、A19、B20、C21、A22、D23、B24、D25、D26、C27、C28、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準則進行評價的結(jié)果，故選C29、A解析:《中華人民共和國網(wǎng)絡安全法》第36條，關(guān)鍵信息基礎(chǔ)設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。故選A30、D31、A32、A33、A34、D35、C36、D37、B38、B39、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實體的需求而定，故選A40、D二、多項