2021年第一期CCAA注冊審核員復習題—ISMS信息安全管理體系知識一、單項選擇題1、下列哪項對于審核報告的描述是錯誤的？（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對2、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準3、應定期評審信息系統與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準4、下列哪一種情況下，網絡數據管理協議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環境時C、需要備份舊的備份系統不能處理的文件許可時中先創學D、要保證跨多個數據卷的備份連續、一致時5、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤6、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發布D、信息安全策略需要定期或在重大變化時進行評審7、下列措施中，（）是風險管理的內容。A、識別風險B、風險優先級評價C、風險處置D、以上都是8、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是9、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網絡故障10、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況11、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對12、文件化信息創建和更新時，組織應確保適當的（)A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業性的評審和批準13、信息系統的變更管理包括（）A、系統更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部14、在根據組織規模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程15、依據《中華人民共和國網絡安全法》，以下正確的是（）。A、檢測記錄網絡運行狀態的相關網絡日志保存不得少于2個月B、檢測記錄網絡運行狀態的相關網絡日志保存不得少于12月C、檢測記錄網絡運行狀態的相關網絡8志保存不得少于6個月D、重要數據備份保存不得少于12個月，網絡日志保存不得少于6個月16、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準17、關于信息安全連續性，以下說法正確的是（）A、信息安全連續性即IT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定18、管理員通過桌面系統下發IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態B、斷開網絡并持續阻斷C、彈出提示街口對其發出警告D、鎖定鍵盤鼠標19、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄20、當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當的措施C、宣布取消末次會議D、以上都不可以21、關于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權方式、時限和訪問類型B、對于多任務訪問，一次性賦予全任務權限C、物理區域的管理規定須遵從物理區域的訪問控制策D、物理區域訪問控制策略應與其中的資產敏感性一致22、國家秘密的保密期限應為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年23、計算機信息系統安全專用產品是指：（）A、用于保護計算機信息系統安全的專用硬件和軟件產品B、按安全加固要求設計的專用計算機C、安裝了專用安全協議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產品24、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統管理員C、風險轉移到組織D、組織的某個虛擬小組負責人25、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對26、以下不屬于信息安全事態或事件的是：A、服務、設備或設施的丟失B、系統故障或超負載C、物理安全要求的違規D、安全策略變更的臨時通知27、風險識別過程中需要識別的方面包括:資產識別、識別威脅、識別現有控制措施、(）A、識別可能性和影響B、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響28、在現場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業務范圍C、審核日期D、審核組任務調整29、（）是建立有效的計算機病毒防御體系所需要的技術措施。A、補丁管理系統、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統和防火墻D、網絡入侵檢測、防病毒系統和防火墻30、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規定的最大用戶數31、在我國《信息安全等級保護管理辦法》中將信息系統的安全等級分為（）級A、3B、4C、5D、632、組織應（），以確信相關過程按計劃得到執行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產生文件化信息達到必要的程度33、《信息安全等級保護管理辦法》規定,應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評。A、半年B、1年C、1.5年D、2年34、下列不屬于公司信息資產的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄35、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞36、依據GB/T22080/ISO/IEC27001中控制措施的要求，關于網絡服務的訪問控制策略,以下正確的是()A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規防火墻實現對內部用戶訪問外部網絡的訪問控制37、下列不屬于取得認證機構資質應滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數量的專職認證人員38、以下說法不正確的是(）A、應考慮組織架構與業務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新39、關于信息安全產品的使用，以下說法正確的是:（）A、對于所有的信息系統，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統，己列入信息安全產品認征目錄的，應取得國家信息安全產品人證機構頒發的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞40、組織在確定與ISMS相關的內部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內容C、溝通時間D、溝通對象二、多項選擇題41、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉移42、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性43、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類44、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益45、下列屬于“開發安全”活動的是（）。A、應規范用戶修改軟件包，必須的修改應嚴格管制B、應用系統若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發避免外包或采購D、軟件的采購應注意其是否內藏隱密通道及特洛伊木馬程序46、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓47、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統一領導，(）依法管理、保障安全的原則。A、創新發展B、分級應用C、服務大局D、分級負責48、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規避風險49、關于涉密信息系統的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯網及其他公共信息網絡B、涉密計算機只有采取了適當防護措施才可接入互聯網C、涉密信息系統中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經安全技術處理不得改作其他用途50、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益51、某金融資產武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產清單中（）A、行車監控系統B、行車路線信息C、押運人員個人信息D、押運人員用槍支52、在設計和應用安全區域工作規程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區域內進行不受監督的工作C、使用的安全區域宜上鎖并定期予以評審D、經授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機53、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調查C、投訴響應、溝通決定D、投訴終止54、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入55、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內容C、不符合的原因D、不符合的性質三、判斷題56、實習審核員可以獨立完成審核任務。（）57、IS0/IEC27006是ISO/IEC17021的相關要求的補充。（）58、最高管理層應確保方針得到建立（）59、當需要時，組織可設計控制，或識別來自任何來源的控制。（）60、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）61、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）62、組織應識別并提供建立、實現、維護和持續改進信息安全管理體系所需的資源。（）63、信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）64、組織應適當保留信息安全目標文件化信息。（）65、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾

參考答案一、單項選擇題1、A2、A3、D4、A5、D6、D7、D8、D9、C10、B11、C12、D13、D14、D解析:高風險的產品或過程應增加審核時間要素15、C16、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現信息安全管理體系過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。cnas-cc1702認證規范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認證的依據，故選B17、B18、D19、D20、B21、B22、A解析:國家秘密的保密期限,除有特殊規定