2022年第四期信息安全管理體系CCAA審核員考試題目一、單項選擇題1、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況2、在信息安全管理體系審核時，應遵循（）原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權原則最小特權原則是信息系統安全的最基本原則D、建立阻塞點原則阻塞點就是在網絡系統對外連接通道內，可以被系統管理人員進行監控的連接控制點。3、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人4、組織應（）A、采取過程的規程安全處置不需要的介質B、采取文件的規程安全處置不需要的介質C、采取正式的規程安全處置不需要的介質D、采取制度的規程安全處置不需要的介質5、我國網絡安全等級保護共分幾個級別？（）A、7B、4C、5D、66、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對7、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網關模式D、旁路接入模式8、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對9、GB/T22080標準中所指資產的價值取決于（）A、資產的價格B、資產對于業務的敏感度C、資產的折損率D、以上全部10、下列不屬于公司信息資產的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄11、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準12、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式13、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果14、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級15、根據《互聯網信息服務管理辦法》，互聯網接入服務提供者應當記錄上網用戶的(）A、用戶帳號、上網時間、訪問端口信息B、用戶帳戶、上網時間、訪問內容C、用戶帳號、訪問IP地址、用戶計算機型號D、上網時間、用戶帳號、互聯網地址16、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網絡D、安全模式下查殺不容易死機17、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監視和評審階段D、ISMS保持和改進階段18、依據GB/T29246,控制目標指描述控制的實施結果所要達到的目標的（）。A、說明B、聲明C、想法D、描述19、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現場審核有關的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領導進行溝通20、（）屬于管理脆弱性的識別對象。A、物理環境B、網絡結構C、應用系統D、技術管理21、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限22、關于容量管理，以下說法不正確的是（）A、根據業務對系統性能的需求，設置閾值和監視調整機制B、針對業務關鍵性，設置資源占用的優先級C、對于關鍵業務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規劃23、—家投資顧問商定期向客戶發送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發送前，用投資顧問商的私鑰數字簽名郵件D、電子郵件發送前，用投資顧問商的私鑰加密郵件24、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901125、《計算機信息系統安全保護條例》規定：對計算機信息系統中發生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內26、關于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執行網絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據路由表確定最短路徑D、強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件27、公司A在內審時發現部分員工計算機開機密碼少于6位，公司文件規定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優質口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育28、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保29、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA30、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統是否遭受入侵31、管理體系是實現組織目標的方針、（）、指南和相關資源的框架A、目標B、規程C、文件D、記錄32、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對33、對于交接區域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設備設施予以檢查驗證,對于離開組織的設備設施則不必驗證B、對于離開組織的設備設施予以檢查驗證,對于進入組織的設備設施則不必驗證C、對于進入和離開組織的設備設施均須檢查驗證D、對于進入和離開組織的設備設施，驗證攜帶者身份信息;可替代對設備設施的驗證34、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統35、下列不屬于取得認證機構資質應滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數量的專職認證人員36、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪問的形式C、以遠程視頻的形式D、以上都對37、關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂（）協議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任38、()可用來保護信息的真實性、完整性A、數字簽名B、惡意代碼C、風險評估D、容災和數據備份39、對全國密碼工作實行統一領導的機構是(）A、中央密碼工作領導機構B、國家密碼管理部門C、中央國家機關D、全國人大委員會40、管理員通過桌面系統下發IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態B、斷開網絡并持續阻斷C、彈出提示街口對其發出警告D、鎖定鍵盤鼠標二、多項選擇題41、信息安全風險分析包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性42、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是（）A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后43、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴44、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準45、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后46、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定47、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求48、關于目標，下列說法正確的是（）A、目標現的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品49、在信息安全事件管理中，（）是所有員工應該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發現并報告安全事件D、發現立即處理安全事件50、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓51、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規避風險52、下列有關涉密信息系統說法正確的是（）A、涉密信息系統經單位保密工作機構測試后即可投入使用B、涉密信息系統投入運行前應當經過國家保密行政管理部門審批C、涉密計算機重裝操作系統后可降為非涉密計算機使用D、未經單位信息管理部門批準不得自行重裝操作系統53、對于審核發現（）A、審核組應根據需要，在審核的適當階段共同評審審核發現B、根據審核計劃和檢査表要求，只需記錄每個不符合審核發現的審核證據C、應與受審核方一起評審不符合的審核發現，以確認審核證據的準確性，并得到受審核方的理解D、包括正面的和負面的發現54、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類55、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統一領導，(）依法管理、保障安全的原則。A、創新發展B、分級應用C、服務大局D、分級負責三、判斷題56、組織的業務連續性策略即其信息安全連續性策略。正確錯誤57、最高管理層應確保與信息安全相關角色的職責和權限得到分配和溝通。正確錯誤58、組織應持續改進信息安全管理體系的適宜性、充分性和有效性。（）正確錯誤59、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）正確錯誤60、某組織租用第三方數據中心機房托管其IT系統設備，因此認證審核時不必審核計算機機房物理安全的相關內容()正確錯誤61、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統，并降低進入該系統的無意錯誤操作導致的影響（）正確錯誤62、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）正確錯誤63、IT系統日志信息保存所需的資源不屬于容量管理的范圍（）正確錯誤64、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。正確錯誤65、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）正確錯誤

參考答案一、單項選擇題1、B2、B3、C4、C5、C6、B解析:so9000-20153,4,1過程，利用輸入產生輸出的相互關聯或相互作用的一組活動。故選B7、D8、D解析:應嚴格限制對軟件包的調整以保護其完整性9、B10、D11、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現信息安全管理體系過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。cnas-cc1702認證規范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認證的依據，故選B12、C13、C14、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級15、D16、B17、C18、B解析:參考27000，控制目標指，描述實施控制的實施結果所要達到的目標的聲明。故選B19、A20、D21、C22、C23、C24、A25、C26、C27、A28、A解析