2021年3月CCAA國(guó)家注冊(cè)審核員考試題目—ISMS信息安全管理體系一、單項(xiàng)選擇題1、關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說(shuō)法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營(yíng)性和非經(jīng)營(yíng)性兩類，其中經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B、非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C、從事經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國(guó)電信條例》規(guī)定的要求D、經(jīng)營(yíng)性互聯(lián)網(wǎng)服務(wù)，是指通過(guò)互聯(lián)網(wǎng)向上網(wǎng)用戶無(wú)嘗提供具有公開(kāi)性、共享性信息的服務(wù)活動(dòng)2、組織應(yīng)（）。A、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)B、對(duì)信息按照制度要求、價(jià)值、有效性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)C、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)D、對(duì)信息按照制度要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)3、容災(zāi)的目的和實(shí)質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞4、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)負(fù)責(zé)人C、資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高D、A+B5、關(guān)于GB/T28450,以下說(shuō)法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO190116、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求7、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保8、關(guān)于防范惡意軟件，以下說(shuō)法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測(cè)系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測(cè)、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件9、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行（）A、國(guó)家經(jīng)營(yíng)B、地方經(jīng)營(yíng)C、許可制度D、備案制度10、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)11、關(guān)于信息安全策略，下列說(shuō)法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審12、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對(duì)變更申請(qǐng)的審核過(guò)程C、變更實(shí)施前的正式批準(zhǔn)D、以上全部13、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性14、信息安全的機(jī)密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性D、保護(hù)信息準(zhǔn)確和完整的特性?15、以下說(shuō)法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)審B、應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C、制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響D、安全計(jì)劃應(yīng)適時(shí)更新16、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開(kāi)始，如何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開(kāi)始，如何評(píng)價(jià)結(jié)果17、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說(shuō)法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用18、在信息安全管理體系審核時(shí)，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險(xiǎn)的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點(diǎn)原則阻塞點(diǎn)就是在網(wǎng)絡(luò)系統(tǒng)對(duì)外連接通道內(nèi)，可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點(diǎn)。19、下列說(shuō)法不正確的是（）A、殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程的結(jié)果C、所有的信息安全活動(dòng)都必須記錄D、管理評(píng)審至少每年進(jìn)行一次20、保密性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性B、信息不被未授權(quán)的個(gè)人、突體或過(guò)程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対21、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評(píng)審的執(zhí)行22、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次23、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員24、關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑25、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級(jí)機(jī)關(guān)26、在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下,下列哪一條屬于增加審核時(shí)間的要素?A、其產(chǎn)品/過(guò)程無(wú)風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動(dòng)過(guò)程D、具有高風(fēng)險(xiǎn)的產(chǎn)品或過(guò)程27、下列關(guān)于DMZ區(qū)的說(shuō)法錯(cuò)誤的是()A、DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)夕卜部網(wǎng)絡(luò)以及DMZD、有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作28、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略，以下正確的是（）A、沒(méi)有陳述為禁止訪問(wèn)的網(wǎng)絡(luò)服務(wù)，視為允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)B、對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過(guò)無(wú)線、VPN等多種手段鏈接C、對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對(duì)29、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說(shuō)法錯(cuò)誤的是（）A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》30、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞31、若通過(guò)桌面系統(tǒng)對(duì)終端實(shí)行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）A、靜態(tài)B、動(dòng)態(tài)C、均可D、靜態(tài)達(dá)到50%以上即可32、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)33、我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)共分幾個(gè)級(jí)別？（）A、7B、4C、5D、634、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定35、不屬于常見(jiàn)的危險(xiǎn)密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼36、以下哪個(gè)選項(xiàng)不是ISMS第一階段審核的目的（）A、獲取對(duì)組織信息安全管理體系的了解和認(rèn)識(shí)B、了解客戶組織的審核準(zhǔn)備狀態(tài)C、為計(jì)劃2階段審核提供重點(diǎn)D、確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求37、信息安全管理中,以下哪一種描述能說(shuō)明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況38、完整性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性B、信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D、以上都不對(duì)39、以下哪項(xiàng)不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣40、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問(wèn)的形式C、以遠(yuǎn)程視頻的形式D、以上都對(duì)二、多項(xiàng)選擇題41、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障;（）A、計(jì)算機(jī)及相關(guān)和配套設(shè)備的安全B、設(shè)施(含網(wǎng)絡(luò))的安全C、運(yùn)行壞境的安全D、計(jì)算機(jī)功能的正常發(fā)揮42、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍D、得到管理者批準(zhǔn)的信息是可訪問(wèn)的信息43、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支44、當(dāng)滿足（）時(shí)，可考慮使用基于抽樣的方法對(duì)多場(chǎng)所進(jìn)行審核A、所有的場(chǎng)所在相同信息安全管理體系中,這些場(chǎng)所被集中管理和審核B、所有的場(chǎng)所在相同信息安全管理體系中,這些場(chǎng)所被分別管理和審核C、所有場(chǎng)所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場(chǎng)所包括在客戶組織的信息安全管理體系管理評(píng)審方案中45、以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)46、在開(kāi)展信息安全績(jī)效和ISMS有效性評(píng)價(jià)時(shí)，組織應(yīng)確定（）A、監(jiān)視、測(cè)量、分析和評(píng)價(jià)的過(guò)程B、適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法C、需要被監(jiān)視和測(cè)量的內(nèi)容D、監(jiān)視、測(cè)量、分析和評(píng)價(jià)的執(zhí)行人員47、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語(yǔ)類48、在信息安全事件管理中，（）是員工應(yīng)該完成的活動(dòng)。A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對(duì)漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件49、公司M將信息系統(tǒng)運(yùn)維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是（）A、與N簽署協(xié)議規(guī)定服務(wù)級(jí)別及安全要求B、在對(duì)N公司人員服務(wù)時(shí)，接入M公司的移動(dòng)電腦事前進(jìn)行安全掃描C、將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項(xiàng)目組組長(zhǎng)名下，由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用D、對(duì)N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)50、某金融服務(wù)公司為其個(gè)人注冊(cè)會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請(qǐng)借貸的會(huì)員背景姿料、借貸額度等進(jìn)行討論評(píng)審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會(huì)討論的信息51、關(guān)于審核方案，以下說(shuō)法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入52、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、風(fēng)險(xiǎn)處置53、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后54、組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動(dòng)是A、審核準(zhǔn)備B、第一階段審核C、第二階段審核D、認(rèn)證決定55、不符合項(xiàng)報(bào)告應(yīng)包括A、不符合事實(shí)的描述B、不符合的標(biāo)準(zhǔn)條款及內(nèi)容C、不符合的原因D、不符合的性質(zhì)三、判斷題56、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保對(duì)其適宜性和充分性進(jìn)行評(píng)審和批準(zhǔn)。57、ISO/IEC27018是用于對(duì)云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）58、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）59、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬60、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的接受和批準(zhǔn)。61、最高管理層應(yīng)確保方針得到建立（）62、組織業(yè)務(wù)運(yùn)行使用云基礎(chǔ)設(shè)施服務(wù),同時(shí)員工通過(guò)自有手機(jī)APP執(zhí)行業(yè)務(wù)過(guò)程,此情況下GB/T22080-2016標(biāo)準(zhǔn)A8.1條款可以刪減。（）63、信息系統(tǒng)中的“單點(diǎn)故障”指僅有一個(gè)故障點(diǎn)，因此屬于較低風(fēng)險(xiǎn)等級(jí)的事件。（）64、最高管理層應(yīng)通過(guò)“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾65、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問(wèn)系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無(wú)意錯(cuò)誤操作導(dǎo)致的影響（）

參考答案一、單項(xiàng)選擇題1、C2、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級(jí)，信息應(yīng)按照法律要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)3、C4、A5、