2021年12月CCAA國家注冊審核員ISMS信息安全管理體系考試題目一、單項選擇題1、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確2、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結(jié)果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次3、當操作系統(tǒng)發(fā)生變更時,應對業(yè)務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認4、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果5、依據(jù)GB/T22080-2016標準，符合性要求包括（）A、知識產(chǎn)權保護B、公司信息保護C、個人隱私的保護D、以上都對6、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，則應具備的保護水平為：（）A、三級B、二級C、四級D、五級7、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估8、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規(guī)程C、對信息安全事件進行響應D、在組織內(nèi)通報信息安全事件9、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣10、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項11、可用性是指（）A、根據(jù)授權實體的要求可訪問和利用的特性B、信息不能被未授權的個人，實體或者過程利用或知悉的特性C、保護資產(chǎn)的準確和完整的特性D、反映事物真實情況的程度12、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下正確的是（）。A、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡日志保存不得少于2個月B、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡日志保存不得少于12月C、檢測記錄網(wǎng)絡運行狀態(tài)的相關網(wǎng)絡8志保存不得少于6個月D、重要數(shù)據(jù)備份保存不得少于12個月，網(wǎng)絡日志保存不得少于6個月13、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件14、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D(zhuǎn)、分配角色和權限15、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力16、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制17、風險責任人是指（）A、具有責任和權限管理一項風險的個人或?qū)嶓wB、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者18、應定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準19、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部20、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA21、當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認22、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網(wǎng)絡結(jié)構(gòu)C、應用系統(tǒng)D、技術管理23、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部24、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡釣魚攻擊DR25、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用26、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構(gòu)應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布27、關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任28、關于《中華人民共和國網(wǎng)絡安全法》中的“三同步”要求，以下說法正確的是A、建設關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、建設三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用C、建設機密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用D、以上都不對29、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯(lián)的職責及責任范圍30、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結(jié)論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式31、組織應()與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保32、當發(fā)現(xiàn)不符合項時，組織應對不符合做出反應，適用時（）。A、采取措施，以控制并予以糾正B、對產(chǎn)生的影響進行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生33、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確34、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是35、根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發(fā)生時B、應按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔36、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確37、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保38、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)D、以上全部39、構(gòu)成風險的關鍵因素有（）A、人、財、物B、技術、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性40、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性二、多項選擇題41、下列屬于“開發(fā)安全”活動的是（）。A、應規(guī)范用戶修改軟件包，必須的修改應嚴格管制B、應用系統(tǒng)若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發(fā)避免外包或采購D、軟件的采購應注意其是否內(nèi)藏隱密通道及特洛伊木馬程序42、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉(zhuǎn)移43、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術44、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致45、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權限B、工作人員僅需要滿足工作任務所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍。D、工作范圍是可訪問的信息46、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對47、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結(jié)論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估48、下列有關涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運行前應當經(jīng)過國家保密行政管理部門審批C、涉密計算機重裝操作系統(tǒng)后可降為非涉密計算機使用D、未經(jīng)單位信息管理部門批準不得自行重裝操作系統(tǒng)49、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調(diào)換項目組時，其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致50、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中51、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置52、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動53、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)54、信息安全管理中，支持性基礎設施指：()A、供電、通信設施B、消防、防雷設施C、空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)D、網(wǎng)絡設備55、以下（）活動是ISMS監(jiān)視預評審階段需完成的內(nèi)容A、實施培訓和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施三、判斷題56、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。57、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）58、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）59、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。60、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）61、某互聯(lián)網(wǎng)服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)62、風險處置計劃和信息安全殘余風險應獲得最高管理者的授受和批準。（）63、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網(wǎng)絡的有效帶寬64、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）65、審核組可以由一個人組成。（）

參考答案一、單項選擇題1、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D2、A3、B4、C5、D6、A7、D8、D9、A10、C11、A12、C13、C14、C15、B16、A17、A18、D19、D20、B21、B解析:2700214,2,3運行平臺變更后對應用的技術評審，當運行平臺發(fā)生變更時，應對業(yè)務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B22、D23、C24、B25、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A26、C27、A解析:《中華人民共和國網(wǎng)絡安全法》第36條，關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。故選A28、A29、B解析:根據(jù)GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任范圍，以減少未授權或無意的修改或者不當使用組織資產(chǎn)的機會30、C31、A32、A