2022年第一期CCAA注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、下列措施中，（）是風險管理的內容。A、識別風險B、風險優先級評價C、風險處置D、以上都是2、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統漏洞C、應用程序BUGD、人員的不良操作習慣3、審核計劃中不包括（）。A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排4、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業務戰略B、法律法規要求C、合同要求D、以上全部5、下列措施中不能用于防止非授權訪問的是（）A、采取密碼技術B、采用最小授權C、采用權限復查D、采用日志記錄6、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意7、（）屬于管理脆弱性的識別對象。A、物理環境B、網絡結構C、應用系統D、技術管理8、ISMS文件的多少和詳細程度取于A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C9、風險評價是指（）A、系統地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協調活動D、以上都對10、下列哪項對于審核報告的描述是錯誤的?（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對11、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準12、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性13、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰略方向一致14、對于獲準認可的認證機構，認可機構證明（）A、認證機構能夠開展認證活動B、其在特定范圍內按照標準具有從事認證活動的能力C、認證機構的每張認證證書都符合要求D、認證機構具有從事相應認證活動的能力15、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險16、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發生的可能性，但不能降低安全事件的潛在影響17、在我國信息系統安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求18、關于容量管理，以下說法不正確的是（）A、根據業務對系統性能的需求，設置閾值和監視調整機制B、針對業務關鍵性，設置資源占用的優先級C、對于關鍵業務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規劃19、有關信息安全管理，風險評估的方法比起基線的方法，主要的優勢在于它確保(）A、不考慮資產的價值，基本水平的保護都會被實施B、對所有信息資產保護都投入相同的資源C、對信息資產實施適當水平的保護D、信息資產過度的保護20、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級21、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞22、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求23、《中華人民共和國認證認可條例》規定，認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請。A、2年B、3年C、4年D、5年24、下面哪一種功能不是防火墻的主要功能?A、協議過濾B、應用網關C、擴展的日志記錄能力D、包交換25、風險責任人是指（）A、具有責任和權限管理一項風險的個人或實體B、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者26、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改27、涉及運行系統驗證的審計要求和活動，應（）A、謹慎地加以規劃并取得批準，以便最小化業務過程的中斷B、謹慎地加以規劃并取得批準，以便最大化保持業務過程的連續C、謹慎地加以實施并取得批準，以便最小化業務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業務過程的連續28、文件化信息指（）A、組織創建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件29、安全掃描可以實現（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數據包攻擊分析所有的數據流30、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結論B、認證決定人員不宜推翻審核組的負面結論C、認證機構應對客戶組織的ISMS至少進行一次完整的內部審核D、認證機構必須遵從客戶組織規定的內部審核和管理評審的周期31、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700532、當操作系統發生變更時,應對業務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認33、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督34、拒絕服務攻擊損害了信息系統哪一項性能（）A、完整性B、可用性C、保密性D、可靠性35、根據GB/T22080-2016/ISO/IEC27001:2013標準，以下做法不正確的是（）A、保留含有敏感信息的介質的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應定期檢查機房空調的有效性36、當操作系統發生變更時，應對業務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認37、《信息安全等級保護管理辦法》規定，應加強沙密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每（）至少進行次保密檢查或者系統測評。A、半年B、1年C、1.5年D、2年38、控制影響信息安全的變更，包括（)A、組織、業務活動、信息及處理設施和系統變更B、組織、業務過程、信息處理設施和系統變更C、組織、業務過程、信息及處理設施和系統變更D、組織、業務活動、信息處理設施和系統變更39、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次40、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規和其它要求D、A+BE、A+C二、多項選擇題41、針對敏感應用系統安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規定時間強制使其退出登錄C、對于修改系統核心業務運行數據的操作限定操作時間D、對于數據庫系統審計人員開放不限時權限42、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理43、建立一些規程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗證用戶身份；44、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數:10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審45、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益46、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態度和能力B、組織的規模和活動的類型C、人員的能力D、管理系統的復雜程度47、管理評審的輸出應包括（）A、與持續改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執行情況48、依據GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區B、威脅到國家安全C、擾亂社會秩序D、對經濟建設設有重大負面影響49、A,B,C解析:gb/t20984-20077,2自評估是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統發生變化后引入的新威脅，以及系統脆弱性的完整性識別，以便于兩次評估結果對比，B正確。自評估可由發起方實施或委托風險評估服務技術支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統上級管理部門組織的或國家有關職能部門依法展開的風險評估。本題選ABC50、根據《互聯網信息服務管理辦法》,從事非經營性互聯網信息服務，應當向（）電信管理機構或者國務院信息產業主管部門辦理備案手續。A、省B、自治區C、直轄市D、特別行政區51、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標52、以下屬于訪問控制的是（）。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品查殺病毒53、關于“不可否認性”，以下說法正確的是（）A、數字簽名是實現“不可否認性”的有效技術手段B、身份認證是實現“不可否認性”的重要環節C、數字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態或行為的發生及其源起者的能力即不可否認性54、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新55、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置三、判斷題56、最高管理層應建立信息安全方針、該方針應包括對持續改進信息安全管理體系的承諾。57、記錄可提供符合信息安全管理體系要求和有效運行的證據。（）58、組織應持續改進信息安全管理體系的適宜性、充分性和有效性。（）59、糾正是指為消除己發現的不符合或其他不期望情況的原因所采取的措施。（）60、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾61、某互聯網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規定的安全控制程序，無論手機是公司配發的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)62、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）63、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）64、“資產清單”包含與信息生命周期有關的資產，與信息的創建、處理、存儲、傳輸、刪除和銷毀無關聯的資產不在“資產清單”的范圍內。（）65、通過修改某種已知計算機病毒的代碼，使其能夠躲過現有計算機病毒檢測程序時，可以稱這種新出現的計算機病毒是原來計算機病毒的變形。

參考答案一、單項選擇題1、D2、A3、A4、D5、D6、C7、D8、D9、B10、A11、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現信息安全管理體系過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。cnas-cc1702認證規范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認證的依據，故選B12、C13、B14、B15、D16、D17、D18、C19、C20、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級21、B22、B23、D24、D25、A26、D解析:數字簽名就是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和完整性并保護數據，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D27、A28、C29、C30、B31、B32、B33、B34、B35、B36、B解析:2700214,2