2022年3月CCAA注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、進入重要機構時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記2、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B3、《信息技術安全技術信息安全治理》對應的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270144、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略5、組織應按照本標準的要求（）信息安全管理體系。A、策劃、實現、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進6、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統(tǒng)、水氣暖供應系統(tǒng)D、以上全部7、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶8、依據GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數據類型，如供銷數據、生產數據、開發(fā)測試數據，以便于應用大數據技術對其分析B、確保信息按照其對組織的重要程度受到適當水平的保護C、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責任9、加密技術可以保護信息的(）A、機密性B、完整性C、可用性D、A+B10、末次會議包括（）A、請受審核方確認不符合報告、并簽字B、向審核方遞交審核報告C、雙方就審核發(fā)現的不同意見進行討論D、以上都不準確11、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數字D、自己做服務器12、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用13、形成ISMS審核發(fā)現時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性14、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規(guī)則》15、若通過桌面系統(tǒng)對終端實行IP、MAC綁定，該網絡IP地址分配方式應為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達到50%以上即可16、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣17、依據GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設備和資產須驗證其是否符合安全策略，對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證，對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產，驗證攜帶者身份信息，可替代對設備設施的驗證18、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年19、根據《互聯網信息服務管理辦法》規(guī)定，國家對經營性互聯網信息服務實行()A、國家經營B、地方經營C、備案制度D、許可制度20、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部21、在現場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務范圍C、審核日期D、審核組任務調整22、組織應在相關（）上建立信息安全目標A、組織環(huán)境和相關方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次23、某公司進行風險評估后發(fā)現公司的無線網絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規(guī)避C、風險轉移D、風險減緩24、桌面系統(tǒng)級聯狀態(tài)下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除25、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價26、局域網環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協(xié)議27、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規(guī)程C、對信息安全事件進行響應D、在組織內通報信息安全事件28、容量管理的對象包括（）A、信息系統(tǒng)內存B、辦公室空間和基礎設施C、人力資源D、以上全部29、gb17859-1999提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求A、2B、3C、5D、730、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內容監(jiān)控B、安全教育和培訓C、責任追查和懲處D、訪問控制31、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是32、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用33、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C34、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保35、根據GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發(fā)生時B、應按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔36、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果37、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數38、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄39、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低40、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性二、多項選擇題41、關于目標，下列說法正確的是（）A、目標現的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品42、計算機信息系統(tǒng)的安全保護，應保障（）A、計算機及相關配套設施的安全B、網絡安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮43、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發(fā)放了公司財務總監(jiān)、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發(fā)放了手機，允許其使用手機在指定區(qū)域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘44、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了45、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估46、根據《互聯網信息服務管理辦法》,從事非經營性互聯網信息服務，應當向（）電信管理機構或者國務院信息產業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)47、某組織在酒店組織召開內容敏感的會議，根據GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質會議資料留下由服務生統(tǒng)一回收，這符合A8,3的要求48、審核計劃中應包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排49、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核50、針對敏感應用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務運行數據的操作限定操作時間D、對于數據庫系統(tǒng)審計人員開放不限時權限51、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新52、網絡常見的拓撲形式有（）A、星型B、環(huán)型C、總線D、樹型53、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類54、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置55、依據GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經濟建設設有重大負面影響三、判斷題56、組織應適當保留信息安全目標文件化信息（）57、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）58、從審核開始到結束,審核組長應對審核實施負責59、完全備份就是對全部數據庫數據進行備份。（）60、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）61、創(chuàng)建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。62、組織應識別并提供建立、實現、維護和持續(xù)改進信息安全管理體系所需的資源。（）63、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導致的影響（）64、審核方案應包括審核所需的資源，例如交通和食宿。（）65、當需要時，組織可設計控制，或識別來自任何來源的控制。（）

參考答案一、單項選擇題1、B2、B3、D4、D5、C6、D7、C8、B9、D10、C11、D12、A13、C14、D15、A16、A17、C18、D19、D20、D21、D22、D23、B24、A25、D26、B解析:局域網是指家庭或是辦公室，或者其他環(huán)境中小型網絡。而大型計算機環(huán)境是指類似服務器的大型網絡。兩者本地備份差別主要體現在容錯能力上，故選B27、D28、D29、C解析:《計算機信息系統(tǒng)安全保護等級劃分準則》規(guī)定了計算機系統(tǒng)安全保護能力的五個等級30、B31、D32、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A33、E34、A解析:理解組織及其環(huán)境35、A36、C37、D38、D39、D40、A二、多項選擇題41、A,B,D42、A,B,C,D43、B,C44、A,C45、A,B,D46、A,B,C47、C,D48、A,