2022年3月CCAA注冊ISMS信息安全管理體系審核員知識考試題目一、單項(xiàng)選擇題1、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項(xiàng)都不可以2、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270053、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼4、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨(dú)或與其他信息結(jié)合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息5、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対6、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠(yuǎn)程視頻的形式D、以上都對7、關(guān)于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C、對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報(bào)警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃8、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析9、第三方認(rèn)證審核時，對于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評審不符合以確認(rèn)不符合的性質(zhì)D、以上都對10、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機(jī)密D、秘密11、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部12、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗(yàn)證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?3、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器14、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障15、風(fēng)險(xiǎn)識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響16、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定17、在認(rèn)證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確18、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實(shí)現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實(shí)現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制19、對于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）A、認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動的能力20、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)21、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年22、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制23、依據(jù)GB/T220802016/SO/EC.27001:2013標(biāo)準(zhǔn)，組織應(yīng)（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力24、在現(xiàn)場審核結(jié)束之前，下列哪項(xiàng)活動不是必須的？（）A、關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報(bào)告D、聽取客戶對審核發(fā)現(xiàn)提出的問題25、風(fēng)險(xiǎn)責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個人或?qū)嶓wB、實(shí)施風(fēng)險(xiǎn)評估的組織的法人C、實(shí)施風(fēng)險(xiǎn)評估的項(xiàng)目負(fù)責(zé)人或項(xiàng)目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者26、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)評估程序27、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部28、對于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序,以下做法正確的是（）A、實(shí)用程序的使用不在審計(jì)范圍內(nèi)B、建立禁止使用的實(shí)用程序清單C、緊急響應(yīng)時所使用的實(shí)用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實(shí)用程序清單29、()可用來保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評估D、容災(zāi)和數(shù)據(jù)備份30、涉及運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷D、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)31、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期32、有關(guān)信息安全管理，風(fēng)險(xiǎn)評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會被實(shí)施B、對所有信息資產(chǎn)保護(hù)都投入相同的資源C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、信息資產(chǎn)過度的保護(hù)33、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時限和訪問類型B、對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致34、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼35、局域網(wǎng)環(huán)境下與大型計(jì)算機(jī)環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議36、關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險(xiǎn)越小C、針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑37、按照PDCA思路進(jìn)行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進(jìn)行審核B、按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核C、按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核D、以上都對38、對于所有擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)通過（）過程進(jìn)行評審。A、薄弱環(huán)節(jié)識別B、風(fēng)險(xiǎn)分析C、管理方案D、A+CE、A+B39、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年40、信息安全管理中，關(guān)于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術(shù)脆弱性B、軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種C、識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機(jī)會二、多項(xiàng)選擇題41、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進(jìn)行分析和評價(jià)C、顧客滿意測評只能通過第三方機(jī)構(gòu)來實(shí)施D、顧客不投訴并不意味著顧客滿意了42、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理43、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風(fēng)險(xiǎn)管理要求B、ISMS的復(fù)雜度C、是否存在相似場所D、ISMS的規(guī)模44、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動45、投訴處理過程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止46、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營C、維護(hù)D、使用47、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊48、管理評審的輸入應(yīng)包括（）。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果49、為控制文件化信息，適用時，組織應(yīng)強(qiáng)調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理50、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進(jìn)行分析和評價(jià)C、顧客滿意測評只能通過第三方機(jī)構(gòu)來實(shí)施D、顧客不投訴并不意味著顧客滿意了51、組織建立的信息安全目標(biāo)，應(yīng)（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時更新52、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制53、信息安全是保證信息的(),另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性54、在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件55、風(fēng)險(xiǎn)評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴三、判斷題56、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計(jì)劃，這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求（）57、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）58、較低的恢復(fù)時間目標(biāo)會有更長的中斷時間。（）59、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）60、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。（）61、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評估，這在認(rèn)證審核時是可接受的（）62、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進(jìn)信息安全管理體系的承諾。63、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。64、在來自可信站點(diǎn)電子郵件中輸入個人或財(cái)務(wù)信息是安全的。（）65、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）

參考答案一、單項(xiàng)選擇題1、B2、B3、C4、C5、A6、A7、C8、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當(dāng)水平的保護(hù)。對比四個選項(xiàng)，c項(xiàng)更能突出對組織的重要程度，故選C9、B10、B11、C12、A13、D14、A15、B解析:27005信息安全風(fēng)險(xiǎn)管理8,2,,1風(fēng)險(xiǎn)識別，包括資產(chǎn)識別，威脅識別，現(xiàn)有控制措施識別，脆弱性識別，后果識別。故選B16、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A17、B18、B19、B20、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?yīng)21、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項(xiàng)不超過三十年,機(jī)密級事項(xiàng)不超過二十年,秘密級事項(xiàng)不超過十年22、B23、C24、C25、A26、B27、B28、D29、A30、A31、B32、C33、B34、D35、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計(jì)算機(jī)環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B36、C37、A38、B39、D40、B二、多項(xiàng)選擇題41、B,D42、A,B,C,D43、A,B,C,D44、A,B,C,D45、A,B,C,D46、A,B,C,D47、A,B,D48、A,B,C49、A,B,C,D解析:2