2021年第一期CCAA國家注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、審核發現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項2、根據《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機密D、秘密3、文件化信息創建和更新時，組織應確保適當的（）A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準4、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險5、ISMS文件的多少和詳細程度取于A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C6、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改7、以下對GB/T22081-2016/IS0/IEC27002:2013標準的描述，正確的是（）A、該標準屬于要求類標準B、該標準屬于指南類標準C、該標準可用于一致性評估D、組織在建立ISMS時，必須滿足該標準的所有要求8、審核計劃中不包括（）。A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排9、公司A在內審時發現部分員工計算機開機密碼少于6位，公司文件規定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優質口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育10、創建和更新文件化信息時，組織應確保適當的（）A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準11、保密性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対12、以下不屬于信息安全事態或事件的是：A、服務、設備或設施的丟失B、系統故障或超負載C、物理安全要求的違規D、安全策略變更的臨時通知13、桌面系統級聯狀態下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除14、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內容過濾D、進行流量控制15、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現場審核有關的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領導進行溝通16、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對17、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性18、根據GB/T22080-2016標準，審核中下列哪些章節不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A19、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護20、形成ISMS審核發現時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性21、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?22、根據GB17859《計算機信息系統安全保護等級劃分準則》,計算機信息系統安全保護能力分為（）等級。A、5B、6C、3D、423、依據GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監視和評審范疇的是（）。A、監視和評審服務級別協議的符合性B、監視和評審服務方人員聘用和考核的流程C、監視和評審服務交付遵從協議規定的安全要求的程度D、監視和評審服務方跟蹤處理信息安全事件的能力24、依據GB/T22080，關于職責分離，以下說法正確的是(）A、信息安全政策的培訓者與審計之間的職責分離B、職責分離的是不同管理層級之間的職責分離C、信息安全策略的制定者與受益者之間的職責分離D、職責分離的是不同用戶組之間的職責分離25、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層26、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發布D、信息安全策略需要定期或在重大變化時進行評審27、關于文件管理下列說法錯誤的是（）A、文件發布前應得到批準，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準C、應確保文件保持清晰，易于識別D、作廢文件應及時銷毀，防止錯誤使用28、依據GB/T22080/ISO/IEC27001中控制措施的要求，關于網絡服務的訪問控制策略,以下正確的是()A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規防火墻實現對內部用戶訪問外部網絡的訪問控制29、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬30、關于信息系統登錄的管理，以下說法不正確的是（）A、網絡安全等級保護中，三級以上系統需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優質口令31、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網絡故障32、關于信息安全連續性，以下說法正確的是（）A、信息安全連續性即IT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定33、管理體系是實現組織目標的方針、（）、指南和相關資源的框架A、目標B、規程C、文件D、記錄34、組織應（），以確信相關過程按計劃得到執行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產生文件化信息達到必要的程度35、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統36、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新37、()是風險管理的重要一環。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序38、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域39、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督40、在根據組織規模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程二、多項選擇題41、關于審核發現，以下說法正確的是：（）A、審核發現是收集的審核證據對照審核準則進行評價的結果B、審核發現包括正面的和負面的發現C、審核發現是審核結論的輸入D、審核發現是制定審核準則的依據42、根據《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務重大決策中的秘密事項B、國民經濟和社會發展中的秘密事項C、科學技術中的秘密事項D、國防建設和武裝力量活動中的秘密事項43、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對44、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差45、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS46、操作系統的基本功能有(）A、存儲管理B、文件管理C、設備管理D、處理器管理47、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標48、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發放了公司財務總監、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發放了手機，允許其使用手機在指定區域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區域D、某公司門禁系統的時鐘比公司視頻監控系統的時鐘慢約10分鐘49、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入50、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理51、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規避風險52、某組織在酒店組織召開內容敏感的會議，根據GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質會議資料留下由服務生統一回收，這符合A8,3的要求53、關于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則54、計算機信息系統的安全保護，應保障;（）A、計算機及相關和配套設備的安全B、設施(含網絡)的安全C、運行壞境的安全D、計算機功能的正常發揮55、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新三、判斷題56、容量管理策略可以考慮增加容量或降低容量要求（）57、組織應適當保留信息安全目標文件化信息（）58、IT系統日志信息保存所需的資源不屬于容量管理的范圍（）59、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）60、“資產清單”包含與信息生命周期有關的資產，與信息的創建、處理、存儲、傳輸、刪除和銷毀無關聯的資產不在“資產清單”的范圍內。（）61、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網絡的有效帶寬。（）62、組織業務運行使用云基礎設施服務,同時員工通過自有手機APP執行業務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）63、最高管理層應確保與信息安全相關角色的職責和權限得到分配和溝通。64、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）65、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）

參考答案一、單項選擇題1、C解析:管理體系審核指南3,4審核發現是將收集的審核證據對照審核準則進行評價的結果，故選C2、B3、D4、C解析:參考GB/T20984-2007信息安全風險評估規范，3,12殘余風險是指采取了安全措施后，信息系統仍然可能存在的風險。故選C5、D6、D解析:數字簽名就是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和完整性并保護數據，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D7、B8、A9、A10、D解析:27001,7,5,2創建和更新，創建和更新文件化信息時，組織應確保適當的標識和描述；格式和介質；對適宜性和充分性的評審和批準11、B12、D13、A14、A15、A16、B解析:so9000-20153,4,1過程，利用輸入產生輸出的相互關聯或相互作用的一組活動。故選B17、A18、A19、A20、C21、A22、A23、B24、B25、C26、D27、D28、B29、B30、C解析:應確保秘密鑒別信息的保密性，確保鑒別信息得到適當的保護，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護，故選C31、C32、B33、B34、B35、D36、B37、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監視和風險評審。因此風險處置計劃是風險管理的重要一環，故選