2022年第三期信息安全管理體系CCAA審核員復(fù)習(xí)題一、單項(xiàng)選擇題1、在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙2、局域網(wǎng)環(huán)境下與大型計(jì)算機(jī)環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯(cuò)能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議3、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險(xiǎn)？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改4、關(guān)于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡(luò)安全等級保護(hù)中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令5、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)6、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度7、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點(diǎn)目標(biāo)（RPO)C、恢復(fù)時(shí)間目標(biāo)（RTO)D、最長可接受終端時(shí)間（MAO)8、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個(gè)人、實(shí)現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機(jī)密性D、可用性9、下列()不是創(chuàng)建和維護(hù)測量要執(zhí)行的活動(dòng)。A、開展測量活動(dòng)B、識別當(dāng)前支持信息需求的安全實(shí)踐C、開發(fā)和更新測量D、建立測量文檔并確定實(shí)施優(yōu)先級10、末次會議包括（）A、請受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、以上都不準(zhǔn)確11、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計(jì)算機(jī)信息系統(tǒng)，是指A、對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)12、闡明所取得結(jié)果或提供所完成活動(dòng)的證據(jù)的文件是()A、報(bào)告B、演示C、記錄D、協(xié)議13、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險(xiǎn)越小C、針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑14、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部15、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202116、以下哪一項(xiàng)不是ITIL所定義的服務(wù)生命周期階段()A、服務(wù)轉(zhuǎn)換B、服務(wù)退役C、服務(wù)設(shè)計(jì)D、服務(wù)戰(zhàn)略17、在現(xiàn)場審核時(shí)，審核組有權(quán)自行決定變更的事項(xiàng)是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整18、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式19、根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級。A、5B、6C、3D、420、防止計(jì)算機(jī)中信息被竊取的手段不包括（）A、用戶識別B、權(quán)限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份21、下列哪個(gè)選項(xiàng)不屬于審核組長的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通22、風(fēng)險(xiǎn)識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響23、在運(yùn)行階段，組織應(yīng)（）A、策劃信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息B、實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息C、測量信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息D、改進(jìn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息24、桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）A、下級管理員無權(quán)修改，不可刪除B、下級管理員無權(quán)修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除25、應(yīng)定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標(biāo)和標(biāo)準(zhǔn)B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標(biāo)準(zhǔn)26、組織應(yīng)（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)27、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機(jī)房的服務(wù)器C、個(gè)人使用的電腦D、審核記錄28、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任29、下列關(guān)于DMZ區(qū)的說法錯(cuò)誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作30、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個(gè)級別B、低級和高級兩個(gè)級別C、絕密、機(jī)密、秘密三個(gè)級別D、—密、二密、三密、四密四個(gè)級別31、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評審32、關(guān)于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901133、測量控制措施的有效性以驗(yàn)證安全要求是否被滿足是（）的活動(dòng)。A、ISMS建立階段B、ISMS實(shí)施和運(yùn)行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進(jìn)階段34、在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改35、計(jì)算機(jī)病毒系指_____。A、生物病毒感染B、細(xì)菌感染C、被損壞的程序D、特制的具有損壞性的小程序36、考慮不同時(shí)段的工作負(fù)數(shù)的差異收費(fèi)用于(）。A、故障樹分析(FTA）B、可用性計(jì)劃C、服務(wù)級別管理D、風(fēng)險(xiǎn)分析和管理法37、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次38、信息處理設(shè)施的變更管理包括:A、信息處理設(shè)施用途的變更B、信息處理設(shè)施故障部件的更換C、信息處理設(shè)施軟件的升級D、其他選項(xiàng)均正確39、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部40、下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析二、多項(xiàng)選擇題41、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時(shí)任務(wù)結(jié)束的情況D、員工出差42、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對相關(guān)方可用43、第二階段審核中，應(yīng)重點(diǎn)審核被審核單位的（）。A、最高管理者的領(lǐng)導(dǎo)力B、與信息安全有關(guān)的風(fēng)險(xiǎn)C、基于風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置過程D、ISMS有效性44、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項(xiàng)B、國民經(jīng)濟(jì)和社會發(fā)展中的秘密事項(xiàng)C、科學(xué)技術(shù)中的秘密事項(xiàng)D、國防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)45、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時(shí)不必再編制資產(chǎn)清單B、信息安全可以按項(xiàng)目來管理，原項(xiàng)目管理機(jī)制中的風(fēng)險(xiǎn)評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)評估C、公司各類項(xiàng)日的臨時(shí)場所存在時(shí)間都較短，不必納入ISMS范圍D、工程項(xiàng)目方案因包含設(shè)計(jì)圖紙等核心技術(shù)信息，其敏感性等級定義為最高46、網(wǎng)絡(luò)常見的拓?fù)湫问接校?A、星型B、環(huán)型C、總線型D、樹型47、下列哪些是服務(wù)預(yù)算與核算管理必須的？（）A、服務(wù)計(jì)費(fèi)B、服務(wù)實(shí)際成本C、服務(wù)成本預(yù)算D、監(jiān)視成本48、按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)49、在信息安全事件管理中，（）是員工應(yīng)該完成的活動(dòng)。A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件50、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進(jìn)行分析和評價(jià)C、顧客滿意測評只能通過第三方機(jī)構(gòu)來實(shí)施D、顧客不投訴并不意味著顧客滿意了51、設(shè)計(jì)一個(gè)信息安全風(fēng)險(xiǎn)管理工具，應(yīng)包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風(fēng)險(xiǎn)趨勢分析D、信息安全事件管理流程52、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)53、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營C、維護(hù)D、使用54、關(guān)于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計(jì)算機(jī)、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D、涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途55、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理三、判斷題56、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）正確錯(cuò)誤57、考慮了組織所實(shí)施的活動(dòng)，即可確定組織信息安全管理體系范圍。正確錯(cuò)誤58、流量監(jiān)控能夠有效實(shí)現(xiàn)對敏感數(shù)據(jù)的過濾（)正確錯(cuò)誤59、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）正確錯(cuò)誤60、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對信息安全管理體系的領(lǐng)導(dǎo)和承諾正確錯(cuò)誤61、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無意錯(cuò)誤操作導(dǎo)致的影響（）正確錯(cuò)誤62、最高管理層應(yīng)確保方針得到建立（）正確錯(cuò)誤63、組織使用云盤設(shè)施服務(wù)時(shí)，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）正確錯(cuò)誤64、敏感信息通過網(wǎng)絡(luò)傳輸時(shí)必須加密處理。（)正確錯(cuò)誤65、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。（）正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、A2、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計(jì)算機(jī)環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯(cuò)能力上，故選B3、D4、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C5、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?yīng)6、A7、C8、C9、D10、C11、A12、C13、C14、C15、D16、B17、D18、D19、A20、D21、A22、B解析:27005信息安全風(fēng)險(xiǎn)管理8,2,,1風(fēng)險(xiǎn)識別，包括資產(chǎn)識別，威脅識別，現(xiàn)有控制措施識別，脆弱性識別，后果識別。故選B23、B24、A25、D26、C27、D28、A解析:《中華人民共和國網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。故選A29、A30、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機(jī)密，秘密三級31、D32、A33、C34、D35、D36、B37、D38、D解析:信息處理設(shè)施，任何的信息處理系統(tǒng)，服務(wù)或基礎(chǔ)設(shè)施，或其安裝的物理位置，abc選項(xiàng)均屬于信息處理設(shè)施變更管理范疇，故選D39、D40、D解析:主動(dòng)攻擊會導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）。被動(dòng)攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，截取/竊聽是指為未經(jīng)用戶同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽，流量分析，破解弱加密的數(shù)據(jù)流等攻擊方式。故選D二、多項(xiàng)選擇題41、A,B,C解析:27001附錄A9,2,6撤銷或調(diào)整訪問權(quán)限，所有雇、外部人員對信息和信息處理設(shè)施的訪問權(quán)限應(yīng)在任用、合同或協(xié)議終止時(shí)撤銷，或在變化時(shí)調(diào)整。