2021年第二期CCAA注冊審核員考試題目—ISMS信息安全管理體系一、單項選擇題1、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結論B、認證決定人員不宜推翻審核組的負面結論C、認證機構應對客戶組織的ISMS至少進行一次完整的內部審核D、認證機構必須遵從客戶組織規定的內部審核和管理評審的周期2、信息系統的變更管理包括（）A、系統更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部3、系統備份與普通數據備份的不同在于，它不僅備份系統屮的數據，還備份系統中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息，以便迅速（）。A、恢復全部程序B、恢復網絡設置C、恢復所有數據D、恢復整個系統4、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域5、口令管理系統應該是（）,并確保優質的口令A、唯一式B、交互式C、專人管理式D、A+B+C6、《信息安全等級保護管理辦法》規定，應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評A、半年B、1年C、1,5年D、2年7、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪問的形式C、以遠程視頻的形式D、以上都對8、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數據D、網絡地址欺騙9、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規則》10、—家投資顧問商定期向客戶發送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發送前，用投資顧問商的私鑰數字簽名郵件D、電子郵件發送前，用投資顧問商的私鑰加密郵件11、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對12、《信息安全等級保護管理辦法》規定,應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評。A、半年B、1年C、1.5年D、2年13、在形成信息安全管理體系審核發現時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性14、桌面系統級聯狀態下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除15、下列措施中不能用于防止非授權訪問的是（）A、采取密碼技術B、采用最小授權C、采用權限復查D、采用日志記錄16、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準17、下面哪一種環境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應18、控制影響信息安全的變更，包括（)A、組織、業務活動、信息及處理設施和系統變更B、組織、業務過程、信息處理設施和系統變更C、組織、業務過程、信息及處理設施和系統變更D、組織、業務活動、信息處理設施和系統變更19、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網絡中“釣魚”軟件的存在，是網絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部20、文件化信息指（）A、組織創建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件21、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規定的最大用戶數22、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當的工作文件B、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見23、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對24、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果25、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?26、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對27、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式28、虛擬專用網(VPN)的數據保密性，是通過什么實現的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(Tunnelling)C、數字簽名D、風險釣魚29、訪問控制是確保對資產的訪問，是基于（）要求進行授權和限制的手段。A、用戶權限B、可被用戶訪問的資料C、系統是否遭受入侵D、可給予哪些主體訪問30、根據GB/T22080-2016標準，審核中下列哪些章節不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A31、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用32、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意33、根據GB17859《計算機信息系統安全保護等級劃分準則》,計算機信息系統安全保護能力分為（）等級。A、5B、6C、3D、434、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法35、依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對36、TCP/IP協議層次結構由（）A、網絡接口層、網絡層組成B、網絡接口層、網絡層、傳輸層組成C、網絡接口層、網絡層、傳輸層和應用層組成D、其他選項均不正確37、關于容量管理，以下說法不正確的是（）A、根據業務對系統性能的需求，設置閾值和監視調整機制B、針對業務關鍵性，設置資源占用的優先級C、對于關鍵業務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規劃38、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統是否遭受入侵39、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內容監控B、安全教育和培訓C、責任追查和懲處D、訪問控制40、()可用來保護信息的真實性、完整性A、數字簽名B、惡意代碼C、風險評估D、容災和數據備份二、多項選擇題41、審核計劃中應包括（）A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排42、以下屬于訪問控制的是（)。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品査殺病毒43、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業務連續性的知識B、有關有形和無形資產及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識44、某金融資產武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產清單中（）A、行車監控系統B、行車路線信息C、押運人員個人信息D、押運人員用槍支45、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類46、管理評審的輸出應包括（）A、與持續改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執行情況47、GB/T28450審核方案管理的內容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規模48、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差49、對風險安全等級三級及以上系統，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數據采用安全標記C、系統管理員可任意訪問日志記錄D、三年開展一次網絡安全等級測評工作50、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴51、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產的行為B、破壞或使資產失去預期功能的行為C、訪問,使用資產行為D、監視和獲取資產使用狀態信息的行為52、以下做法正確的是（）A、使用生產系統數據測試時，應先將數據進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業務案例和數據C、員工調換項目組時，其原使用計算機中的項目數據經妥善刪除后可帶入新項目組使用D、信息系統管理域內所有的終端啟動屏幕保護時間應一致53、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態度和能力B、組織的規模和活動的類型C、人員的能力D、管理系統的復雜程度54、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數:10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審55、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新三、判斷題56、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一。57、IT系統日志信息保存所需的資源不屬于容量管理的范圍（）58、“資產清單”包含與信息生命周期有關的資產，與信息的創建、處理、存儲、傳輸、刪除和銷毀無關聯的資產不在“資產清單”的范圍內。（）59、客戶所有場所業務的范圍相同，且在同一ISMS下運行，并接受統一的管理、內部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)60、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）61、完全備份就是對全部數據庫數據進行備份。（）62、計算機信息系統是由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統（）63、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）64、信息安全風險準則包括風險接受準則和風險評價準則。（）65、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）

參考答案一、單項選擇題1、B2、D3、D4、A5、B6、D7、A8、A9、D10、C11、B12、D13、B14、A15、D16、A17、D解析:短期停電即電力中斷，故選D。可中斷的電力供應18、B19、C20、C21、D22、A23、C24、C25、A26、D27、C28、B29、D30、A31、A32、C33、A34、C35、C36、C37、C38、A解析:訪問控制，確保對資產的訪問是基于業務和安全要求進行授權和限制的手段。A表述更為全面，B,C選項過于細化，故選A39、B40、A二、多項選擇題41、A,B解析:參考270013,2信息傳輸，不宜通過微信等不安全的通信方式傳輸商業秘密，本題選AB42、A,C43、A,B,