2022年第四期ISMS信息安全管理體系CCAA審核員模擬試題一、單項選擇題1、—家投資顧問商定期向客戶發送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發送前，用投資顧問商的私鑰數字簽名郵件D、電子郵件發送前，用投資顧問商的私鑰加密郵件2、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保3、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發、測試和運行環境的分離C、物理安全邊界D、在安全區域工作4、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、以上全部5、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結論B、認證決定人員不宜推翻審核組的負面結論C、認證機構應對客戶組織的ISMS至少進行一次完整的內部審核D、認證機構必須遵從客戶組織規定的內部審核和管理評審的周期6、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確7、ISMS文件的多少和詳細程度取于A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C8、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC409、下面哪一種環境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應10、信息系統的變更管理包括（）A、系統更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部11、當發生不符合時，組織應（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應，適用時：采取措施，以控制予以糾正；處理后果12、依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業秘密D、其他選項均正確13、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄14、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩定性、保密性、完整性15、有關信息安全管理，風險評估的方法比起基線的方法，主要的優勢在于它確保(）A、不考慮資產的價值，基本水平的保護都會被實施B、對所有信息資產保護都投入相同的資源C、對信息資產實施適當水平的保護D、信息資產過度的保護16、《信息安全等級保護管理辦法》規定,應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評。A、半年B、1年C、1.5年D、2年17、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析18、當獲得的審核證據表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當的措施C、宣布取消末次會議D、以上各項都不可以19、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統是否遭受入侵20、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準21、關于信息安全產品的使用，以下說法正確的是:（）A、對于所有的信息系統，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統，己列入信息安全產品認征目錄的，應取得國家信息安全產品人證機構頒發的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞22、《信息安全等級保護管理辦法》規定，應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評A、半年B、1年C、1,5年D、2年23、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對24、關于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISCVIEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護25、GB/T22080標準中所指資產的價值取決于（）A、資產的價格B、資產對于業務的敏感度C、資產的折損率D、以上全部26、依據GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設備和資產須驗證其是否符合安全策略，對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證，對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產，驗證攜帶者身份信息，可替代對設備設施的驗證27、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發生的可能性，但不能降低安全事件的潛在影響28、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權限控制C、數據加密D、數據備份29、以下說法不正確的是(）A、應考慮組織架構與業務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新30、關于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執行網絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據路由表確定最短路徑D、強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件31、文件化信息創建和更新時，組織應確保適當的（）A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準32、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤33、在信息安全管理體系審核時，應遵循（）原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權原則最小特權原則是信息系統安全的最基本原則D、建立阻塞點原則阻塞點就是在網絡系統對外連接通道內，可以被系統管理人員進行監控的連接控制點。34、gb17859-1999提出將信息系統的安全等級劃分為（）個等級，并提出每個級別的安全功能要求A、2B、3C、5D、735、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪問的形式C、以遠程視頻的形式D、以上都對36、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準37、桌面系統級聯狀態下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除38、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求39、（）屬于管理脆弱性的識別對象。A、物理環境B、網絡結構C、應用系統D、技術管理40、《信息安全等級保護管理辦法》規定，應加強沙密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每（）至少進行次保密檢查或者系統測評。A、半年B、1年C、1.5年D、2年二、多項選擇題41、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核42、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產的行為B、破壞或使資產失去預期功能的行為C、訪問,使用資產行為D、監視和獲取資產使用狀態信息的行為43、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對44、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制45、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規避風險46、信息安全管理體系范圍和邊界的確定依據包括（）A、業務B、組織C、物理D、資產和技術47、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調查C、投訴響應、溝通決定D、投訴終止48、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益49、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據工作需要僅獲得最小的知悉權限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息50、計算機信息系統的安全保護，應保障;（）A、計算機及相關和配套設備的安全B、設施(含網絡)的安全C、運行壞境的安全D、計算機功能的正常發揮51、A,B,C解析:gb/t20984-20077,2自評估是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統發生變化后引入的新威脅，以及系統脆弱性的完整性識別，以便于兩次評估結果對比，B正確。自評估可由發起方實施或委托風險評估服務技術支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統上級管理部門組織的或國家有關職能部門依法展開的風險評估。本題選ABC52、關于涉密信息系統的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯網及其他公共信息網絡B、涉密計算機只有采取了適當防護措施才可接入互聯網C、涉密信息系統中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經安全技術處理不得改作其他用途53、公司M將信息系統運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協議規定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內54、依據GB/T22080，經管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略55、GB/T28450審核方案管理的內容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規模三、判斷題56、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）57、當需要時，組織可設計控制，或識別來自任何來源的控制。（）58、計算機信息系統是由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統（）59、組織應識別并提供建立、實現、維護和持續改進信息安全管理體系所需的資源。（）60、組織應適當保留信息安全目標文件化信息（）61、某組織定期請第三方對其IT系統進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）62、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。63、某組織在生產系統上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）64、容量管理策略可以考慮增加容量或降低容量要求（）65、實習審核員可以獨立完成審核任務。（）

參考答案一、單項選擇題1、C2、A3、B4、D5、B6、B7、D8、A9、D10、D11、D12、D解析:網絡安全法第45條，依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D13、D14、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B15、C1