2022年第一期CCAA國家注冊審核員ISMS信息安全管理體系考試題目一、單項選擇題1、造成計算機系統不安全的因素包括（）。A、系統不及時打補丁B、使用弱口令C、連接不加密的無線網絡D、以上都對2、()是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態A、信息安全事態B、信息安全事件C、信息安全事故D、信息安全故障3、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對4、依據GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監視和評審范疇的是（）。A、監視和評審服務級別協議的符合性B、監視和評審服務方人員聘用和考核的流程C、監視和評審服務交付遵從協議規定的安全要求的程度D、監視和評審服務方跟蹤處理信息安全事件的能力5、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息6、關于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現的順序C、信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中D、信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性7、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果8、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對9、依據GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析10、在根據組織規模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程11、風險評價是指（）A、系統地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協調活動D、以上都對12、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用13、（）是建立有效的計算機病毒防御體系所需要的技術措施。A、補丁管理系統、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統和防火墻D、網絡入侵檢測、防病毒系統和防火墻14、當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當的措施C、宣布取消末次會議D、以上都不可以15、在我國信息系統安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求16、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復17、《信息安全等級保護管理辦法》規定，應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評A、半年B、1年C、1,5年D、2年18、在運行階段，組織應（）A、策劃信息安全風險處置計劃，保留文件化信息B、實現信息安全風險處置計劃，保留文件化信息C、測量信息安全風險處置計劃，保留文件化信息D、改進信息安全風險處置計劃，保留文件化信息19、根據《互聯網信息服務管理辦法》規定，國家對經營性互聯網信息服務實行()A、國家經營B、地方經營C、備案制度D、許可制度20、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄21、物理安全周邊的安全設置應考慮：（）A、區域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區或其他功能區C、入侵探測和報警機制D、A+C22、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬23、控制影響信息安全的變更，包括（)A、組織、業務活動、信息及處理設施和系統變更B、組織、業務過程、信息處理設施和系統變更C、組織、業務過程、信息及處理設施和系統變更D、組織、業務活動、信息處理設施和系統變更24、下列哪一種情況下，網絡數據管理協議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環境時C、需要備份舊的備份系統不能處理的文件許可時中先創學D、要保證跨多個數據卷的備份連續、一致時25、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是26、安全區域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛處進行登記C、重點機房安裝有門禁系統D、以上全部27、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保28、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統有關人員29、依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業秘密D、其他選項均正確30、《計算機信息系統安全保護條例》規定：對計算機信息系統中發生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內31、下列不屬于取得認證機構資質應滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數量的專職認證人員32、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數的密碼D、10位的綜合型密碼33、信息系統的變更管理包括（）A、系統更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部34、安全掃描可以實現（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數據包攻擊分析所有的數據流35、關于互聯網信息服務，以下說法正確的是A、互聯網服務分為經營性和非經營性兩類，其中經營性互聯網信息服務應當在電信主管部門備案B、非經營性互聯網信息服務未取得許可不得進行C、從事經營性互聯網信息服務，應符合《中華人民共和國電信條例》規定的要求D、經營性互聯網服務，是指通過互聯網向上網用戶無嘗提供具有公開性、共享性信息的服務活動36、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發布D、信息安全策略需要定期或在重大變化時進行評審37、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準38、依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對39、關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂（）協議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任40、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、以上全部二、多項選擇題41、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容42、關于審核發現，以下說法正確的是：（）A、審核發現是收集的審核證據對照審核準則進行評價的結果B、審核發現包括正面的和負面的發現C、審核發現是審核結論的輸入D、審核發現是制定審核準則的依據43、《中華人民共和國認證認可條例》制定的目的是為了規范認證認可活動，提高產品、服務的（），促進經濟和社會的發展。A、質量B、數量C、管理水平D、競爭力44、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產的行為B、破壞或使資產失去預期功能的行為C、訪問,使用資產行為D、監視和獲取資產使用狀態信息的行為45、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益46、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監視、測量、分析和評價的過程B、適用的監視、測量、分析和評價的方法C、需要被監視和測量的內容D、監視、測量、分析和評價的執行人員47、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS48、根據《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務重大決策中的秘密事項B、國民經濟和社會發展中的秘密事項C、科學技術中的秘密事項D、國防建設和武裝力量活動中的秘密事項49、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果50、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針51、某組織在酒店組織召開內容敏感的會議，根據GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質會議資料留下由服務生統一回收，這符合A8,3的要求52、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內容C、不符合的原因D、不符合的性質53、計算機信息系統的安全保護，應保障（）A、計算機及相關配套設施的安全B、網絡安全C、運行環境安全D、計算機功能和正常發揮54、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核55、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類三、判斷題56、容量管理策略可以考慮增加容量或降低容量要求。（）57、IS0/IEC27006是ISO/IEC17021的相關要求的補充。（）58、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾59、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）60、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。61、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）62、某組織定期請第三方對其IT系統進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）63、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）64、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）65、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）

參考答案一、單項選擇題1、D2、A3、D4、B5、C6、B解析:引言中明確表述，標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現的順序7、C8、B解析:so9000-20153,4,1過程，利用輸入產生輸出的相互關聯或相互作用的一組活動。故選B9、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當水平的保護。對比四個選項，c項更能突出對組織的重要程度，故選C10、D解析:高風險的產品或過程應增加審核時間要素11、B12、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A13、D14、B15、D16、C17、D18、B19、D20、D21、D22、B23、B24、A25、D26、D27、A解析:理解組織及其環境28、D29、D解析:網絡安全法第45條，依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D30、C31、C32、D33、D34、C35、C36、D37、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現信息安全管理體系過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。cnas-cc1702認證規范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認證的依據，故選B38、C39、A解析:《中華人民共和國網絡安全法》第36條，關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供