2022年第一期CCAA國家注冊審核員ISMS信息安全管理體系模擬試題一、單項選擇題1、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、以上全部2、()是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態A、信息安全事態B、信息安全事件C、信息安全事故D、信息安全故障3、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任和權限D、分配角色和權限4、局域網環境下與大型計算機環境下的本地備份方式在（）方面有主要區別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協議5、若通過桌面系統對終端實行IP、MAC綁定，該網絡IP地址分配方式應為（）A、靜態B、動態C、均可D、靜態達到50%以上即可6、關于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISCVIEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護7、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人8、《中華人民共和國密碼法》規定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、—密、二密、三密、四密四個級別9、下面哪一種功能不是防火墻的主要功能?A、協議過濾B、應用網關C、擴展的日志記錄能力D、包交換10、漏洞檢測的方法分為（）A、靜態檢測B、動態測試C、混合檢測D、以上都是11、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內容過濾D、進行流量控制12、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意13、《中華人民共和國認證認可條例》規定,認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請A、2年B、3年C、4年D、5年14、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規程C、對信息安全事件進行響應D、在組織內通報信息安全事件15、風險評價是指（）A、系統地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協調活動D、以上都對16、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼17、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規和其它要求D、A+BE、A+C18、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎信息B、信息安全管理體系的介紹C、ISMS標準族已發布標準的介紹D、1SMS標準族中使用的所有術語和定義19、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規范性文件的所有要求20、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統與互聯網的連接即可防范惡意軟件B、安裝入侵探測系統即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件21、根據《互聯網信息服務管理辦法》規定，國家對經營性互聯網信息服務實行（）A、國家經營B、地方經營C、許可制度D、備案制度22、()屬于管理脆弱性的識別對象A、物理環境B、網絡結構C、應用系統D、技術管理23、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對24、組織應（），以確信相關過程按計劃得到執行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產生文件化信息達到必要的程度25、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督26、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式27、對于較大范圍的網絡，網絡隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對28、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息29、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發布D、信息安全策略需要定期或在重大變化時進行評審30、以下哪些可由操作人員執行？（)A、審批變更B、更改配置文件C、安裝系統軟件D、添加/刪除用戶31、經過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險32、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用33、《信息安全等級保護管理辦法》規定，應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評A、半年B、1年C、1,5年D、2年34、容量管理的對象包括（）A、信息系統內存B、辦公室空間和基礎設施C、人力資源D、以上全部35、依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對36、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統有關人員37、根據GB/T22080-2016標準，審核中下列哪些章節不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A38、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新39、加密技術可以保護信息的(）A、機密性B、完整性C、可用性D、A+B40、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性二、多項選擇題41、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益42、下列哪項屬于《認證機構管理辦法》中規定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度43、根據《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務重大決策中的秘密事項B、國民經濟和社會發展中的秘密事項C、科學技術中的秘密事項D、國防建設和武裝力量活動中的秘密事項44、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監視、測量、分析和評價的過程B、適用的監視、測量、分析和評價的方法C、需要被監視和測量的內容D、監視、測量、分析和評價的執行人員45、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置46、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類47、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益48、以下屬于訪問控制的是（)。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品査殺病毒49、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產的行為B、破壞或使資產失去預期功能的行為C、訪問,使用資產行為D、監視和獲取資產使用狀態信息的行為50、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核51、管理評審是為了確保信息安全管理體系持續的（）A、適宜性B、充分性C、有效性D、可靠性52、認證機構應有驗證審核組成員背景經驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識53、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性54、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高55、關于審核發現，以下說法正確的是：（）A、審核發現是收集的審核證據對照審核準則進行評價的結果B、審核發現包括正面的和負面的發現C、審核發現是審核結論的輸入D、審核發現是制定審核準則的依據三、判斷題56、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。57、某組織租用第三方數據中心機房托管其IT系統設備，因此認證審核時不必審核計算機機房物理安全的相關內容()58、信息安全風險準則包括風險接受準則和風險評價準則。（）59、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。60、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）61、組織應持續改進信息安全管理體系的適宜性、充分性和有效性（）62、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網絡的有效帶寬。（）63、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）64、容量管理策略可以考慮增加容量或降低容量要求（）65、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾

參考答案一、單項選擇題1、D2、A3、C4、B解析:局域網是指家庭或是辦公室，或者其他環境中小型網絡。而大型計算機環境是指類似服務器的大型網絡。兩者本地備份差別主要體現在容錯能力上，故選B5、A6、A7、C8、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機密，秘密三級9、D10、D解析:漏洞檢測分為被動檢測（靜態），主動檢測（動態），綜合檢測（混合檢測）。故選D11、A12、C13、D14、D15、B16、D17、E18、D19、D20、D21、C解析:《互聯網信息服務管理辦法》，國家對經營性互聯網信息服務實行許可制度；對非經營性互聯網信息服務實行備案制度，故選C22、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當的措施來應對相關風險。故選D23、B24、B25、B26、C27、B28、C29、D30、C31、D32、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A33、D34、D35、C36、D37、A38、B39、D40、C二、多項選擇題41、A,B,C,D42、A,C,D43、B,C,D解析:gb/t19011-2013管理體系審核指南3,6審核委托方是要求審核的組織或人員，3,7受審核方是被審核的組織。對于內部審核，審核委托方可以是受審核方或審核方案管理人員；對于外部審核，可以是監管機構、合同方或潛在用戶。A錯誤，認證審核的委托方是認