2022年第四期CCAA注冊審核員ISMS信息安全管理體系考試題目一、單項選擇題1、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督2、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設,同步使用3、根據ISO/IEC27001中規定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布4、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析5、下列不屬于取得認證機構資質應滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數量的專職認證人員6、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低7、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼8、國家秘密的保密期限應為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年9、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督10、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現場審核有關的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領導進行溝通11、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級12、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統13、你所在的組織正在計劃購置一套適合多種系統的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價14、下面哪個不是典型的軟件開發模型？（）A、變換型B、漸增型C、瀑布型D、結構型15、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規定的最大用戶數16、某公司進行風險評估后發現公司的無線網絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規避C、風險轉移D、風險減緩17、在現場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業務范圍C、審核日期D、審核組任務調整18、審核發現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項19、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是20、我國網絡安全等級保護共分幾個級別？（）A、7B、4C、5D、621、對于可能超越系統和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單22、（）是建立有效的計算機病毒防御體系所需要的技術措施A、補丁管理系統、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統和防火墻D、網絡入侵檢測、防病毒系統和防火墻23、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果24、在我國《信息安全等級保護管理辦法》中將信息系統的安全等級分為（）級A、3B、4C、5D、625、計算機信息系統安全專用產品是指：（）A、用于保護計算機信息系統安全的專用硬件和軟件產品B、按安全加固要求設計的專用計算機C、安裝了專用安全協議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產品26、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網絡中“釣魚”軟件的存在，是網絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部27、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略28、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子?（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞29、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新30、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人31、監督、檢查、指導計算機信息系統安全保護工作是（）對計算機信息系統安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局32、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網關模式D、旁路接入模式33、由認可機構對認證機構、檢測機構、實驗室從事評審、審核的認證活動人員的能力和執業資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審34、關于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權方式、時限和訪問類型B、對于多任務訪問，一次性賦予全任務權限C、物理區域的管理規定須遵從物理區域的訪問控制策D、物理區域訪問控制策略應與其中的資產敏感性一致35、依據GB/T22080/ISO/IEC27001中控制措施的要求，關于網絡服務的訪問控制策略,以下正確的是()A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規防火墻實現對內部用戶訪問外部網絡的訪問控制36、依據《中華人民共和國網絡安全法》，以下正確的是（）。A、檢測記錄網絡運行狀態的相關網絡日志保存不得少于2個月B、檢測記錄網絡運行狀態的相關網絡日志保存不得少于12月C、檢測記錄網絡運行狀態的相關網絡8志保存不得少于6個月D、重要數據備份保存不得少于12個月，網絡日志保存不得少于6個月37、《信息安全管理體系審核指南》中規定,ISMS的規模不包括（)A、體系覆蓋的人數B、使用的信息系統的數量C、用戶的數量D、其他選項都正確38、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎信息B、信息安全管理體系的介紹C、ISMS標準族已發布標準的介紹D、1SMS標準族中使用的所有術語和定義39、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪問的形式C、以遠程視頻的形式D、以上都對40、造成計算機系統不安全的因素包括（）。A、系統不及時打補丁B、使用弱口令C、連接不加密的無線網絡D、以上都對二、多項選擇題41、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數:10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審42、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性43、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監視和測量顧客滿意的方法之一是發調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了44、下列有關涉密信息系統說法正確的是（）A、涉密信息系統經單位保密工作機構測試后即可投入使用B、涉密信息系統投入運行前應當經過國家保密行政管理部門審批C、涉密計算機重裝操作系統后可降為非涉密計算機使用D、未經單位信息管理部門批準不得自行重裝操作系統45、計算機信息系統的安全保護，應保障（）A、計算機及相關配套設施的安全B、網絡安全C、運行環境安全D、計算機功能和正常發揮46、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統一領導，(）依法管理、保障安全的原則。A、創新發展B、分級應用C、服務大局D、分級負責47、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B、公司使用微信群發布公司內部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉發其微信群會議上討論的信息48、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定49、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發放了公司財務總監、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發放了手機，允許其使用手機在指定區域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區域D、某公司門禁系統的時鐘比公司視頻監控系統的時鐘慢約10分鐘50、審核計劃中應包括（）A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排51、在設計和應用安全區域工作規程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區域內進行不受監督的工作C、使用的安全區域宜上鎖并定期予以評審D、經授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機52、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類53、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態度和能力B、組織的規模和活動的類型C、人員的能力D、管理系統的復雜程度54、管理評審的輸出應包括（）A、與持續改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執行情況55、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標三、判斷題56、通過修改某種已知計算機病毒的代碼，使其能夠躲過現有計算機病毒檢測程序時，可以稱這種新出現的計算機病毒是原來計算機病毒的變形。57、創建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。58、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬59、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）60、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統，并降低進入該系統的無意錯誤操作導致的影響（）61、實習審核員可以獨立完成審核任務。（）62、組織應持續改進信息安全管理體系的適宜性、充分性和有效性（）63、組織的內外部相關方要求屬于組織的內部和外部事項”（）64、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）65、敏感信息通過網絡傳輸時必須加密處理。（)

參考答案一、單項選擇題1、B2、A3、C4、C5、C6、D7、D8、A解析:國家秘密的保密期限,除有特殊規定外,絕