2022年第三期CCAA注冊審核員模擬試題—ISMS信息安全管理體系一、單項選擇題1、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙2、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級機關(guān)3、風(fēng)險識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響4、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南5、可用性是指（）A、根據(jù)授權(quán)實體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性C、保護資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實情況的程度6、應(yīng)定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標(biāo)和標(biāo)準(zhǔn)B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標(biāo)準(zhǔn)7、關(guān)于內(nèi)部審核下面說法不正確的是(）。A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B、通過內(nèi)部審核確定ISMS得到有效實施和維護C、組織應(yīng)建立、實施和維護一個審核方案D、組織應(yīng)確保審核結(jié)果報告至管理層8、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）A、對于進入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗證B、對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證，對于進入組織的設(shè)備設(shè)施則不必驗證C、對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D、對于進入和離開組織的設(shè)備和資產(chǎn)，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證9、以下對GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評估D、組織在建立ISMS時，必須滿足該標(biāo)準(zhǔn)的所有要求10、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象11、按照PDCA思路進行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核B、按照認(rèn)證機構(gòu)的PDCA流程進行審核C、按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進行審核D、以上都對12、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是13、我國網(wǎng)絡(luò)安全等級保護共分幾個級別？（）A、7B、4C、5D、614、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調(diào)整B、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護軟件包的保密性C、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護軟件包的完整性和可用性D、以上都不對15、ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強調(diào)的脆弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進的建議16、組織應(yīng)（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)17、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對18、保密性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、突體或過程利用或知悉的特性C、保護信息的準(zhǔn)確和完整的特性D、以上都不対19、在根據(jù)組織規(guī)模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程20、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識產(chǎn)權(quán)保護B、公司信息保護C、個人隱私的保護D、以上都對21、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄22、下列說法不正確的是（）A、殘余風(fēng)險需要獲得管理者的批準(zhǔn)B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處置過程的結(jié)果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次23、以下描述不正確的是（）A、防范惡意和移動代碼的目標(biāo)是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風(fēng)險分析、風(fēng)險評價、風(fēng)險處理的整個過程稱為風(fēng)險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響24、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險釣魚25、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對26、在規(guī)劃如何達到信息安全目標(biāo)時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果27、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制28、下列管理評審的方式，哪個不滿足標(biāo)準(zhǔn)的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網(wǎng)絡(luò)會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審29、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性30、關(guān)于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息31、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實施ISMS內(nèi)部審核D、確保ISMS管理評審的執(zhí)行32、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊與標(biāo)準(zhǔn)的符合程度33、設(shè)置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制34、()是風(fēng)險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險管理程序35、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當(dāng)級別的保護B、確保信息按照其級別得到適當(dāng)?shù)谋ＷoC、確保信息得到保護D、確保信息按照其級別得到處理36、下列措施中，（）是風(fēng)險管理的內(nèi)容。A、識別風(fēng)險B、風(fēng)險優(yōu)先級評價C、風(fēng)險處置D、以上都是37、GB/T29246標(biāo)準(zhǔn)為組織和個人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語和定義38、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調(diào)節(jié)器B、電力浪涌保護設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)39、關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國家信息安全產(chǎn)品人證機構(gòu)頒發(fā)的認(rèn)證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞40、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許方問的網(wǎng)絡(luò)服務(wù)B、對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)D、以上都對二、多項選擇題41、關(guān)于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則42、管理評審的輸入應(yīng)包括（）。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果43、含有高等級敏感信息的設(shè)備的處置可采?。ǎ〢、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫覆蓋D、徹底破壞44、關(guān)于云計算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則45、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負(fù)責(zé)46、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為47、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊48、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理49、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類50、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類51、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計劃D、審核方案是審核計劃的輸入52、在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件53、撤銷對信息和信息處理設(shè)施的訪問權(quán)針對的是（）A、組織雇員離職的情況B、組織雇員轉(zhuǎn)崗的情況C、臨時任務(wù)結(jié)束的情況D、員工出差54、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制55、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息三、判斷題56、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風(fēng)險評估，這在認(rèn)證審核時是可接受的（）57、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）58、從審核開始到結(jié)束,審核組長應(yīng)對審核實施負(fù)責(zé)59、在來自可信站點電子郵件中輸入個人或財務(wù)信息是安全的。（）60、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）61、當(dāng)需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）62、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機APP完成對公司客戶的服務(wù)請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)63、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬64、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。（)65、容量管理策略可以考慮增加容量或降低容量要求。（）

參考答案一、單項選擇題1、A2、A3、B解析:27005信息安全風(fēng)險管理8,2,,1風(fēng)險識別，包括資產(chǎn)識別，威脅識別，現(xiàn)有控制措施識別，脆弱性識別，后果識別。故選B4、D5、A6、D7、C8、C9、B10、A11、A12、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D13、C14、D解析:應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護其完整性15、C16、C17、D解析:270019,3管理評審，管理評審的輸出應(yīng)包括與持續(xù)改進機會相關(guān)的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應(yīng)控制影響信息安全的變更，包括組織，業(yè)務(wù)過程，信息處理設(shè)施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理，故選D18、B19、D解析:高風(fēng)險的產(chǎn)品或過程應(yīng)增加審核時間要素20、D21、D22、A23、D24、B25、C26、C27、B28、A29、C30、B31、A32、C33、A34、C解析:參考iso/iec27005，風(fēng)險管理包括風(fēng)險評估，風(fēng)險處置，風(fēng)險接受，風(fēng)險溝通，風(fēng)險監(jiān)視和風(fēng)險評審。因此風(fēng)險處置計劃是風(fēng)險管理的重要一環(huán)，故選C35、A36、D37、D38、D39、B40、C二、多項選擇題41、A,B,C,D42、A,B,C43、B,C,D44、A,B,D45、A,C,D46、A,B,C,D47、A,B,D48、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理體系及本標(biāo)準(zhǔn)要求的文件化信息應(yīng)得到控制，以確保：在需要的時間和地點，是可用的和適宜使用的；得到充分的保護（如避免保密性損失，不恰當(dāng)使用，完整性受損失等）。為控制文件化信息，適用時，組織應(yīng)強調(diào)下