2022年第一期CCAA國家注冊審核員考試題目—ISMS信息安全管理體系一、單項選擇題1、依據GB/T22080/ISO/1EC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許方問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對2、信息系統的變更管理包括（）A、系統更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部3、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內容過濾D、進行流量控制4、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督5、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果6、當發現不符合項時，組織應對不符合做出反應，適用時（）。A、采取措施，以控制并予以糾正B、對產生的影響進行處理C、分析產生原因D、建立糾正措施以避免再發生7、以下不屬于信息安全事態或事件的是：A、服務、設備或設施的丟失B、系統故障或超負載C、物理安全要求的違規D、安全策略變更的臨時通知8、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意9、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督10、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況11、對于交接區域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設備設施予以檢查驗證,對于離開組織的設備設施則不必驗證B、對于離開組織的設備設施予以檢查驗證,對于進入組織的設備設施則不必驗證C、對于進入和離開組織的設備設施均須檢查驗證D、對于進入和離開組織的設備設施，驗證攜帶者身份信息;可替代對設備設施的驗證12、依據GB/T22080/ISO/IEC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規防火墻實現對內部用戶訪問外部網絡的訪問控制13、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對14、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保15、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統有關人員16、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)17、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?18、系統備份與普通數據備份的不同在于，它不僅備份系統中的數據，還備份系統中安裝的應用程序，數據庫系統、用戶設置、系統參數等信息，以便迅速（）A、恢復全部程序B、恢復網絡設置C、恢復所有數據D、恢復整個系統19、關于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執行網絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據路由表確定最短路徑D、強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件20、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低21、對保密文件復印件張數核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續性22、容量管理的對象包括（）A、信息系統內存B、辦公室空間和基礎設施C、人力資源D、以上全部23、形成ISMS審核發現時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性24、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對25、審核證據是指（）A、與審核準則有關的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對26、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、以上全部27、(）是確保信息沒有非授權泄密，即信息不被未授權的個人、實現或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性28、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網絡故障29、關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑30、()是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態A、信息安全事態B、信息安全事件C、信息安全事故D、信息安全故障31、在根據組織規模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程32、《信息技術安全技術信息安全治理》對應的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701433、創建和更新文件化信息時，組織應確保適當的（）。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準34、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復35、下面哪個不是典型的軟件開發模型？（）A、變換型B、漸增型C、瀑布型D、結構型36、根據《信息安全等級保護管理辦法》,對于違反信息安全法律、法規行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證37、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險38、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼39、文件化信息創建和更新時，組織應確保適當的（）A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準40、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對二、多項選擇題41、對于涉密信息系統，以下說法正確的是（）A、使用的信息安全保密產品原則上應選擇國產產品B、使用的信息安全保密產品應當通過國家保密局授權的檢測機構檢測C、使用的信息安全保密產品應當通過國家保密局審核發布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平42、網絡常見的拓撲形式有（）A、星型B、環型C、總線D、樹型43、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發起方實施或委托風險評估服務技術支持方實施D、由信息系統上級管理部門組織的風險評估44、下面哪一條措施可以防止數據泄漏（)A、數據冗余B、數據加密C、訪問控制D、密碼系統45、關于目標，下列說法正確的是（）A、目標現的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品46、以下（）活動是ISMS監視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施47、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類48、以下屬于信息安全管理體系審核的證據是：（）A、信息系統運行監控中心顯示的實時資源占用數據B、信息系統的閾值列表C、數據恢復測試的日志D、信息系統漏洞測試分析報告49、下列屬于“開發安全”活動的是（）。A、應規范用戶修改軟件包，必須的修改應嚴格管制B、應用系統若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發避免外包或采購D、軟件的采購應注意其是否內藏隱密通道及特洛伊木馬程序50、對風險安全等級三級及以上系統，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數據采用安全標記C、系統管理員可任意訪問日志記錄D、三年開展一次網絡安全等級測評工作51、以下屬于訪問控制的是（）。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品查殺病毒52、操作系統的基本功能有(）A、存儲管理B、文件管理C、設備管理D、處理器管理53、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓54、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S55、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發放了公司財務總監、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發放了手機，允許其使用手機在指定區域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區域D、某公司門禁系統的時鐘比公司視頻監控系統的時鐘慢約10分鐘三、判斷題56、信息安全風險準則包括風險接受準則和風險評價準則。（）57、IT系統日志保存所需的資源不屬于容量管理的范圍。（）58、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）59、容量管理策略可以考慮增加容量或降低容量要求（）60、信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）61、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）62、當需要時，組織可設計控制，或識別來自任何來源的控制。（）63、較低的恢復時間目標會有更長的中斷時間。（）64、客戶所有場所業務的范圍相同，且在同一ISMS下運行，并接受統一的管理、內部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)65、審核方案應包括審核所需的資源，例如交通和食宿。（）

參考答案一、單項選擇題1、C2、D3、A4、B5、C6、A解析:參考2700110,1當發生不符合時，組織應：對不符合做出反應，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A7、D8、C9、B10、B11、C12、B解析:網絡和網絡服務的訪問，應僅向用戶提供他們已獲專門授權使用的網絡和網絡服務的訪問。cd選項錯誤，必須是已授權用戶才可訪問。A選項錯誤，在家登錄，不符合安全訪問控制策略。故選B13、C14、A15、D16、C17、B18、D19、C20、D21、A22、D23、C24、B25、A26、D27、C28、C29、C30、A31、D32、D33、D34、C35、A36、A37、D38、C39、D40、D解析:應嚴格限制對軟件包的調整以保護其完整性二、多項選擇題41、A,B,C42、A,B,C,D43、A,C44、B,C,D45、A,B,D4