2021年3月CCAA國家注冊審核員ISMS信息安全管理體系復習題一、單項選擇題1、保密協議或不泄露協議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規定2、在形成信息安全管理體系審核發現時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性3、下列()不是創建和維護測量要執行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發和更新測量D、建立測量文檔并確定實施優先級4、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用5、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明6、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當的保護C、確保信息得到保護D、確保信息按照其級別得到處理7、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯的職責及責任范圍8、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網絡故障9、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險10、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內員工的個人隱私數據得到保護B、認證范圍內涉及顧客的個人隱私數據得到保護C、認證范圍內涉及相關方的個人隱私數據數據得到保護D、以上全部11、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子?（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞12、《信息安全等級保護管理辦法》規定，應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評A、半年B、1年C、1,5年D、2年13、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數字D、自己做服務器14、信息系統的變更管理包括（）A、系統更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部15、信息安全事態、事件和事故的關系是（）A、事態一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態C、事態一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態16、關于系統運行日志，以下說法正確的是：（)A、系統管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應納入容量管理C、日志管理即系統審計日志管理D、組織的安全策略應決定系統管理員的活動是否有記入曰志17、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用18、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性19、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規和其它要求D、A+BE、A+C20、下列不屬于公司信息資產的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄21、(）是確保信息沒有非授權泄密，即信息不被未授權的個人、實現或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性22、容量管理的對象包括（）A、服務器內存B、網絡通信帶寬C、人力資源D、以上全部23、當操作系統發生變更時,應對業務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認24、依據GB/T22080/ISO/IEC27001中控制措施的要求，關于網絡服務的訪問控制策略,以下正確的是()A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規防火墻實現對內部用戶訪問外部網絡的訪問控制25、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞26、依據《中華人民共和國網絡安全法》，以下正確的是（）。A、檢測記錄網絡運行狀態的相關網絡日志保存不得少于2個月B、檢測記錄網絡運行狀態的相關網絡日志保存不得少于12月C、檢測記錄網絡運行狀態的相關網絡8志保存不得少于6個月D、重要數據備份保存不得少于12個月，網絡日志保存不得少于6個月27、關于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發生的時間信息28、確定資產的可用性要求須依據（）。A、授權實體的需求B、信息系統的實際性能水平C、組織可支付的經濟成本D、最高管理者的決定29、相關方的要求可以包括（）A、標準、法規要求和合同義務B、法律、標準要求和合同義務C、法律、法規和標準要求和合同義務D、法律、法規要求和合同義務30、構成風險的關鍵因素有（）A、人、財、物B、技術、管理和操作C、資產、威脅和弱點D、資產、可能性和嚴重性31、安全區域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛處進行登記C、重點機房安裝有門禁系統D、以上全部32、下列不一定要進行風險評估的是（）A、發布新的法律法規B、ISMS最高管理者人員變更C、ISMS范圍內的網絡采用新的網絡架構D、計劃的時間間隔33、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網關模式D、旁路接入模式34、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人35、經過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險36、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規定的最大用戶數37、《計算機信息系統安全保護條例》規定：對計算機信息系統中發生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內38、下面哪個不是典型的軟件開發模型？（）A、變換型B、漸增型C、瀑布型D、結構型39、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規程C、對信息安全事件進行響應D、在組織內通報信息安全事件40、管理體系是實現組織目標的方針、（）、指南和相關資源的框架A、目標B、規程C、文件D、記錄二、多項選擇題41、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內容C、不符合的原因D、不符合的性質42、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核43、建立一些規程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗證用戶身份；44、以下屬于訪問控制的是（)。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品査殺病毒45、按覆蓋的地理范圍進行分類，計算機網絡可以分為（）A、局域網B、城域網C、廣域網D、區域網46、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針47、認證機構應有驗證審核組成員背景經驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識48、A,B,C解析:gb/t20984-20077,2自評估是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統發生變化后引入的新威脅，以及系統脆弱性的完整性識別，以便于兩次評估結果對比，B正確。自評估可由發起方實施或委托風險評估服務技術支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統上級管理部門組織的或國家有關職能部門依法展開的風險評估。本題選ABC49、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動50、信息安全管理中，支持性基礎設施指：()A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、網絡設備51、評價信息安全風險，包括（）A、將風險分析的結果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優先級D、計算風險大小52、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監視和測量顧客滿意的方法之一是發調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了53、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益54、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統一領導，(）依法管理、保障安全的原則。A、創新發展B、分級應用C、服務大局D、分級負責55、管理評審的輸出應包括（）A、與持續改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執行情況三、判斷題56、組織的內外部相關方要求屬于組織的內部和外部事項”（）57、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）58、某互聯網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規定的安全控制程序，無論手機是公司配發的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)59、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）60、記錄可提供符合信息安全管理體系要求和有效運行的證據。（）61、組織應識別并提供建立、實現、維護和持續改進信息安全管理體系所需的資源。（）62、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）63、信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）64、組織應適當保留信息安全目標文件化信息。（）65、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）

參考答案一、單項選擇題1、A2、B3、D4、A5、B6、A7、B解析:根據GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任范圍，以減少未授權或無意的修改或者不當使用組織資產的機會8、C9、C解析:參考GB/T20984-2007信息安全風險評估規范，3,12殘余風險是指采取了安全措施后，信息系統仍然可能存在的風險。故選C10、D11、B12、D13、D14、D15、D16、B17、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A18、A19、E20、D21、C22、D23、B24、B25、B26、C27、B28、A解析:資產在可用性上的不同要求，依據授權實體的需求而定，故選A29、D30、C31、D32、D