中國認證認可協會〔CCAA〕全國統一考試信息安全治理體系〔ISMS〕根底學問試卷2023年9月留意事項：1、本試卷總分值為100分，考試時間120分鐘，考試形式為：筆試閉卷；2內，答案寫在試卷指定位置；3、考試完畢，試卷上交，不得帶出考場。一、單項選擇題〔從下面各題選項中選出一個恰當的答案，并將相應字母填在下表相應位置中。每題1分，共50分，不在指定位置答題不得分〕題號1234567891111111111201234567890答案ADADDADBDBBDBBCDAABD題號2222222223333333333412345678901234567890答案BDADBCCABBDCCADABDCD題號44444444451234567890答案ACDACBCBBA1、信息分級的目的是〔。(A)確保信息依據其對組織的重要程度受到適當級別的保護(B)確保信息依據其級別得到適當的保護確保信息得到保護確保信息依據其級別得處處理2〔〕屬于治理脆弱性的識別對象。物理環境網絡構造應用系統技術治理3、關于備份，以下說法正確的選項是〔。(A)備份介質中的數據應定期進展恢復測試(B)假設組織刪減了“信息安全連續性”要求，同機備份或各份本地備份是可承受的(C)覺察備份介質退化后應考慮數據遷移(D)備份信息不是治理體系運行記錄，不需規定保存期4〔〕是建立有效的計算機病毒防范體系所需要的技術措施。防火墻?網絡入侵檢測和防火墻漏洞掃描?網絡入侵檢測和防火墻漏洞掃描、補丁治理系統和防火墻網絡入侵檢測?防病毒系統和防火墻5、你所在的組織正在打算購置一套適合多種系統的訪問掌握軟件包來保護關鍵信息資源，在評估這樣一個軟件產品時最重要的標準是什么？〔。(A)要保護什么樣的信息(B)有多少信息要保護(C)為保護這些重要信息需要預備多大的投入(D)不保護這些重要信息，將付出多大的代價《計算機信息系統安全保護條例》中所稱計算機信息系統，是指:〔〕對信息進展采集、加工、存儲、傳輸、檢索等處理的人機系統。計算機及其相關的設備、設施，不包括軟件。計算機運行環境的總和，但不含網絡。一個組織全部計算機的總和，包括未聯網的微型計算機。《信息安全等級保護治理方法》規定，應加強涉密信息系統運行中的保密監視檢查對隱秘級、機密級信息系統每〔〕至少進展一次保密檢查或系統測評。(A)半年 (B)1年 (C)1.5年 (D)2年8、某公司進展風險評估后覺察公司的無線網絡存在大的安全隱患，為了處置這個風險，公司不再供給無線網絡用于辦公，這種處置方式屬于〔。(A)風險承受 (B)風險躲避 (C)風險轉移 (D)風險減緩9、治理員通過桌面系統下發IP/MACIP地址，對其的處理方式不包括〔。自動恢復其IP智源綁定狀態斷開網絡并持續阻斷彈出提示窗口，對其發出警告(D)鎖定鍵盤鼠標10、ISO/IEC27001:2023從〔〕的角度，為建立、實施、運行、監視、評審、保持和改進文件化的ISMS規定了要求。組織整體業務風險客戶安全要求信息安全法律法規職能部門監管1、對于較大范圍的網絡，網絡隔離是〔〕可以降低本錢。可以降低不同用戶組之間非授權訪問的風險。必需物理隔離和必需制止無線網絡。以上都對12、公司在內審時覺察局部員工計算機開機密碼少于六位，公司文件規定員工計算機密碼必需六位及以上，那么以下選項中哪一項不是針對該問題的訂正措施？要求員工馬上改正對員工進展優質口令設置方法的培訓(C)通過域控進展強制治理(D)對全部員工進展意識教育13、局域網環境下與大型計算機環境下的本地備份方式在〔〕方面有主要區分。(A)主要構造(B)容錯力量(C)網絡拓撲(D)局域網協議4、關于涉密信息系統的治理，以下說法不正確的選項是〔〕涉密計算機、存儲設備不得接入互聯網及其他公共信息網絡。涉密計算機只有實行了適當防護措施才可接入互聯網。涉密信息系統中的安全技術程序和治理程序不得擅自卸載。涉密計算機未經安全技術處理不得改作其他用途。5、關于信息安全風險評估，以下說法正確的選項是〔〕假設集團企業的各地分//子公司識別，評價風險即可，其風險評估過程和結果文件其他分/子公司可直接承受，以節約重復識別和計算的工作量。風險評估過程中各參數的賦值一旦確定，不應輕易轉變，以維持風險評估的穩定性。組織應基于其整體業務活動所在的環境和風險考慮其ISMS的設計。以上都對。16、GB/T22080/IEC27001:2023標準附錄A中有〔〕個安全域。(A)18 (B)16 (C)15 (D)147、以下治理評審的方式，哪個不滿足標準的要求？〔。(A)組織外部評審團隊通過會議的方式對治理體系的適宜性，有效性和充分性進展評審。(B)通過網絡會議的方式組織最高治理層進展治理體系適宜性，有效性和充分性的評審。(C)通過逐級匯報的方式，由最高治理層對治理體系的有效性和充分性進展評審。(D)通過材料評審的方式，由最高治理層進展治理體系適宜性，有效性和充分性的評審。18、以下哪一種狀況下，網絡數據治理協議〔NDMP〕可用于備份?需要使用網絡附加存儲設備〔NAS〕時不能使用TCP/IP的環境中需要備份舊的備份系統不能處理的文件許可時要保證跨多個數據卷的備份連續、全都時9、依據C，不屬于第三方效勞監視和評審范疇的是〔〕監視和評審效勞級別協議的符合性。監視和評審效勞方人員聘用和考核的流程。監視和評審效勞交付遵從協議規定的安全要求的程度。監視和評審效勞方跟蹤處理信息安全大事的力量。20、依據GB/T22080/ISO/IEC27001，制定信息安全治理體系方針，應予以考慮的輸入是〔〕?(A)業務戰略 (B)法律法規要求 (C)合同要求 (D)以上全部21、在信息安全治理體系審核時，應遵循〔〕原則。(A)保密性和基于準則的(B)保密性和基于風險的(C)系統性和基于風險的(D)系統性和基于準則的22、開發、測試和〔〕設施應分別，以削減未授權訪問或轉變運行系統的風險。(A)配置 (B)系統 (C)終端 (D)運行23、跨國公司的IS經理打算把現有的虛擬專用網〔VPN〕升級，承受通道技術使用其支持語音IP〔VOIP〕效勞，那么，需要首要關注的是〔〕效勞的牢靠性和質量(Qos,qualityofservice)身份的驗證方式語音傳輸的保密數據傳輸的保密4、密碼技術可以保護信息的〔。保密性 (B)完整性 (C)可用性 (D)A+B5、以下掌握措施中，哪個不是用來確保信息處理設施可用性的？〔(A)建立同城備份對設備中數據進展定期備份(C)建立異地備份(D)承受雙機熱備26、審核原則要求〔〕是審核的公正性和審核結論客觀性的根底。(A)系統性 (B)嚴格性 (C)獨立性 (D)可追蹤性7、文件化信息是指〔。組織創立的文件。組織擁有的文件。組織要求掌握和維護的信息及包含該信息的介質。對組織有價值的文件。8、加強網絡安全性的最重要的根底措施是〔。設計有效的網絡安全策略選擇更安全的操作系統安裝殺毒軟件加強安全教育9、在形成信息安全治理體系審核覺察時，應〔(A)考慮適用性聲明的完備性和可用性考慮適用性聲明的完備性和合理性考慮適用性聲明的充分性和可用性(D)考慮適用性聲明的充分性和合理性30、由認可機構對認證機構、檢測機構、試驗室從事評審、審核的認證活動人員的力量和執業資格，予以成認的合格評定活動是〔〕(A)認證 (B)認可 (C)審核 (D)評審31、在實施技術符合性評審時，以下說法正確的選項是〔〕技術符合性評審即滲透測試技術符合性評審即漏洞掃描與滲透測試的結合滲透測試與漏洞描述可以替代風險評估滲透測試與漏洞描述不行替代風險評估2、關于信息安全治理體系認證，以下說法正確的選項是〔〕負責作出認證打算的人員中應至少有一人參與了審核。負責作出認證打算的人員必需是審核組組長。負責作出認證打算的人員不應參與審核。負責作出認證打算的人員應包含參與了預審核的人員。3、依據TC標準，組織應〔。(A)識別在組織范圍內從事會影響組織信息安全績效的員工的必要力量(B)確保在組織掌握下從事會影響組織信息安全績效的員工的必要力量(C)確定在組織掌握下從事會影響組織信息安全績效的工作人員的必要力量(D)鑒定在組織掌握下從事會影響組織信息安全績效的工作人員的必要力量34、審核打算中不包括〔〕(A)本次及其后續審核的時間安排(B)審核準則(C)審核組成員及分工(D)審核的日程5、在現場審核時，審核組有權自行打算變更的事項是〔〕審核人日審核的業務范圍審核日期審核組任務調整6、關于信息安全治理中的“完整性”，以下說法正確的選項是〔〕數據未被非授權變更或銷毀，意味著保持了完整性。系統增加了較以前更強的功能但未得到授權，不屬于完整性受損。硬件修理時，如使用同型號、同規格的部件更換備件，不需要授權。以上都對。7、在運行階段，組織應〔。(A)籌劃信息安全風險處置打算，保存文件化信息(B)實現信息安全風險處置打算，保存文件化信息(C)測量信息安全風險處置打算，保存文件化信息(D)改進信息安全風險處置打算，保存文件化信息8、對于可能超越系統和應用掌握的有用程序，以下說法正確的選項是〔〕有用程序的使用不在審計范圍內。建立制止使用的有用程序清單。應急響應時需使用的有用程序不需額外授權。建立鑒別，授權機制和許可使用的有用程序清單。9、對于信息安全方針〔〕不是T標準要求的。信息安全方針應形成文件。信息安全方針文件應由治理者批準公布，并傳達給全部員工和外部相關方信息安全方針文件應包括對信息安全治理的一般和特定職責的定義信息安全方針應定期實施評審0、治理評審是為了確保信息安全治理體系的〔。(A)適宜性 (B)充分性 (C)有效性 (D)以上都是41、以下哪個選項不屬于審核組長的職責?確定審核的需要和目的組織編制現場審核有關的工作文件主持首末次會議和審核組會議代表審核方與受審核方領導進展溝通2、最高治理層應〔(A)安排職責與權限(B)安排崗位與權限(C)安排責任與權限(D)安排角色與權限3、防止計算機中信息被竊取的手段不包〔。用戶識別 (B)權限掌握 (C)數據加密 (D)數據備份44、訪問掌握是為了保護信息的〔〕(A)完整性和機密性可用性和機密性(C)可用性和完整性(D)以上都是5、關于互聯網信息效勞，以下說法正確的選項是〔〕門備案。非經營性互聯網信息效勞未取得許可不得進展。從事經營性互聯網信息效勞，應符合《中華人民共和國電信條例》規定的要求。經營性互聯網信息效勞，是指通過互聯網向上網用戶無償供給具有公開性、共享性信息的效勞活動。6、組織應〔(A)處理文件化信息到達必要的程度(B)保持文件化信息到達必要的程度(C)保持文件化信息到達可用的程度(D)產生文件化信息到達必要的程度47、測量掌握措施的有效性，以驗證安全要求是否被滿足是〔〕的活動。(A)ISMS建立階段(B)ISMS實施和運行階段(C)ISMS監視和評審階段(D)ISMS保持和改進階段8、關于2標準，以下說法正確的選項是〔〕供給了選擇掌握措施的指南，可用作信息安全治理體系認證的依據。供給了選擇掌握措施的指南，不行用作信息安全治理體系認證的依據。供給了信息安全風險評估的指南，是ISO/IEC27001的構成局部。供給了信息安全風險評估的依據，是實施ISO/IEC27000的支持性標準。49、關于不符合，以下說法錯誤的選項是〔(A)確定不符合覺察的緣由(B)必需確定不符合的訂正措施(C)記錄實行措施的結果(D)評價訂正措施50？〔〕時鐘同步 (B)信息備份 (C)軟件安裝限制 (D)信息系統審計的掌握二、多項選擇題〔從下面各題選項中選出兩個或兩個以上最恰當的答案，并將答案填在下表相應位置中。每題2分，共40分，少選、多項選擇、錯選均不得分，不在指定位置答題不得分〕題號51525354555657585960答案ACDABCBCDABCBCDBDBDABCABABCD題號61626364656667686970答案BDBCABCBCBCACABCABCABDAD51、信息安全方針應〔(A)形成文件化信息并可用與組織內外相關方全面進展溝通確保符合組織的戰略方針(D)適當時對相關方可用52、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必需〔(A)對其進展試用(B)對員工的背景進展適當驗證檢查(C)在任用條款和合同中指明安全職責(D)以上都不對53、以下屬于信息安全治理體系審核證據的是〔(A)信息系統的閥值列表(B)信息系統運行監控中心顯示的實時資源占用數據(C)數據恢復測試的日志(D)信息系統漏洞測試分析報告54、按掩蓋的地理范圍進展分類，計算機網絡可分為〔〕(A局域網 (B城域網 (C廣域網 (D區域網55、組織建立的信息安全目標，應〔(A)是可測量的(B)與信息安全方針全都(C)得到溝通(D)適當時更56、含有高等級敏感信息的設備的處置可實行〔〕(A)格式化處理(B)實行使原始信息不行獵取的技術破壞或刪除(C)屢次的寫掩蓋(D)徹底摧毀7、關于審核方案，以下說法正確的選項是(A)審核方案是審核打算的一種(B)審核方案可包括一段時期內各種類型的審核(C)審核方案即年度內部審核打算(D)審核方案是審核打算的輸入58、風險評估過程一般應包括〔〕風險識別 (B)風險分析 (C)風險評價(D)風險處置9、治理評審的輸出應包括〔(A)與持續改進時機相關的打算變更信息安全治理體系的任何要求(C)相關方的反響(D)信息安全方針執行狀況60、以下屬于“信息處理設施”的是〔〕(A)信息處理系統(B)與信息處理相關的效勞(C)與信息處理相關的設備(D)安置信息處理設備的物理場所與設施61、以下不屬于信息安全的特有審核原則有〔〕保密性 (B)獨立性 (C)基于風險 (D)基于證據的方法2、組織的信息安全治理體系初次認證應包括的審核活動是(A)審核預備第一階段審核(C)其次階段審核(D)認證打算3〔(A)信息安全可以按過程治理，承受這種方法時不必再編制資產清單信息安全可以按工程來治理，原工程治理機制中的風險評估可替代 GB/T22080/IEC27001:2023標準中的風險評估公司各類工程的臨時場所存時間都比較短，不必納入ISMS范圍工程工程方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高4、針對敏感應用系統安全，以下正確的做法是〔。用戶嘗試登陸失敗時，明確提示其用戶名錯誤或口令錯誤。登陸之后，不活動超過規定時間強制使其退出登錄。對于修改系統核心業務運行數據的操作限定操作時間。對于數據庫系統審計人員開放不限時權限。5、以下場景中符合:標準要求的狀況是〔。某公司為保潔人員發放了公司財務總監、總經理等治理者辦公室的門禁卡，便利其在每天上班前和下班后清掃這些房間。某公司將物理區域敏感性劃分為四個等級藍色標志。網訪問客戶數據FTP，但不允許將手機帶離指定區域。某公司門禁系統的時鐘比公司視頻監視系統的時鐘慢約10分鐘。6、在信息安全大事治理中〔〕(A)報告安全方面的漏洞或弱點對漏洞進展修補覺察并報告安全大事(D)覺察馬上自理安全大事67、“云計算效勞”包括哪幾個層面？PaaS (B)SaaS (C)IaaS (D)PIIS8、對于涉密信息系統，以下說法正確的選項是〔〕(A)使用的信息安全保密產品原則上應中選用國產品使用的信息安全保密產品應當通過國家授權的檢測機構的檢測(C)使用的信息安全保密產品應從由國家審核公布的