2023年10月CCAA國家注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網絡D、安全模式下查殺不容易死機2、依據《中華人民共和國網絡安全法》，以下正確的是（）。A、檢測記錄網絡運行狀態的相關網絡日志保存不得少于2個月B、檢測記錄網絡運行狀態的相關網絡日志保存不得少于12月C、檢測記錄網絡運行狀態的相關網絡8志保存不得少于6個月D、重要數據備份保存不得少于12個月，網絡日志保存不得少于6個月3、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數據D、網絡地址欺騙4、密碼技術不適用于控制下列哪種風險？（）A、數據在傳輸中被竊取的風險B、數據在傳輸中被篡改的風險C、數據在傳輸中被損壞的風險D、數據被非授權訪問的風險5、在根據組織規模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程6、保密協議或不泄露協議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規定7、下列關于DMZ區的說法錯誤的是()A、DMZ可以訪問內部網絡B、通常DMZ包含允許來自互聯網的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內部網絡可以無限制地訪問夕卜部網絡以及DMZD、有兩個DMZ的防火墻環境的典型策略是主防火墻采用NAT方式工作8、某公司計劃升級現有的所有PC機，使其用戶可以使用指紋識別登錄系統，訪問關鍵數據實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續（或稱為：初始化手續）B、完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權用戶不可能訪問到關鍵數據9、信息安全管理中，關于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術脆弱性B、軟件開發人員為方便維護留的后門是脆弱性的一種C、識別資產脆弱性時應考慮資產的固有特性，不包括當前安全控制措施D、使信息系統與網絡物理隔離可杜絕其脆弱性被威脅利用的機會10、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險11、安全區域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛處進行登記C、重點機房安裝有門禁系統D、以上全部12、信息安全風險的基本要素包括（）A、資產、可能性、影響B、資產、脆弱性、威脅C、可能性、資產、脆弱性D、脆弱性、威脅、后果13、依據GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析14、完整性是指()A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、保護資產保密和可用的特性15、根據GB/T22080-2016/ISO/IEC27001:2013標準，以下做法不正確的是（）A、保留含有敏感信息的介質的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應定期檢查機房空調的有效性16、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰略方向一致17、造成計算機系統不安全的因素包括（）。A、系統不及時打補丁B、使用弱口令C、連接不加密的無線網絡D、以上都對18、下列中哪個活動是組織發生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執行信息安全風險評估C、開展內部審核D、開展管理評審19、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務20、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況21、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明22、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)23、依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對24、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次25、物理安全周邊的安全設置應考慮：（）A、區域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區或其他功能區C、入侵探測和報警機制D、A+C26、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法27、對于獲準認可的認證機構，認可機構證明（）A、認證機構能夠開展認證活動B、其在特定范圍內按照標準具有從事認證活動的能力C、認證機構的每張認證證書都符合要求D、認證機構具有從事相應認證活動的能力28、下列管理評審的方式，哪個不滿足標準的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網絡會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審29、下面哪一種環境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應30、如果信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，則應具備的保護水平為：（）A、三級B、二級C、四級D、五級31、以下對GB/T22081-2016/IS0/IEC27002:2013標準的描述，正確的是（）A、該標準屬于要求類標準B、該標準屬于指南類標準C、該標準可用于一致性評估D、組織在建立ISMS時，必須滿足該標準的所有要求32、局域網環境下與大型計算機環境下的本地備份方式在（）方面有主要區別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協議33、GB/T22080標準中所指資產的價值取決于（）A、資產的價格B、資產對于業務的敏感度C、資產的折損率D、以上全部34、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、做出是否換發證書的決定35、容量管理的對象包括（）A、服務器內存B、網絡通信帶寬C、人力資源D、以上全部36、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是37、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統與互聯網的連接即可防范惡意軟件B、安裝入侵探測系統即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件38、文件化信息指（）A、組織創建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件39、關于信息安全連續性，以下說法正確的是（）A、信息安全連續性即IT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定40、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩定性、保密性、完整性二、多項選擇題41、風險處置的可選措施包括（）。A、風險識別B、風險分析C、風險轉移D、風險減緩42、依據GB/T22080，經管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略43、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性44、下面哪一條措施可以防止數據泄漏（)A、數據冗余B、數據加密C、訪問控制D、密碼系統45、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核46、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內容C、不符合的原因D、不符合的性質47、操作系統的基本功能有(）A、存儲管理B、文件管理C、設備管理D、處理器管理48、對于涉密信息系統，以下說法正確的是（）A、使用的信息安全保密產品原則上應選擇國產產品B、使用的信息安全保密產品應當通過國家保密局授權的檢測機構檢測C、使用的信息安全保密產品應當通過國家保密局審核發布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平49、以下屬于訪問控制的是（）。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品查殺病毒50、信息安全管理體系審核應遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法51、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益52、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網監控系統B、計算機制造企業IDC供電系統C、髙等院校網絡接入設施D、高鐵信號控制系統53、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容54、根據《互聯網信息服務管理辦法》,從事非經營性互聯網信息服務，應當向（）電信管理機構或者國務院信息產業主管部門辦理備案手續。A、省B、自治區C、直轄市D、特別行政區55、以下說法不正確的是（）A、信息安全管理體系審核是信息系統審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業務連續性管理體系認證，則信息安全管理體系審核可略過風險評估三、判斷題56、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）57、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。58、審核組可以由一個人組成。（）59、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾。（）60、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。61、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一（）62、最高管理層應建立信息安全方針、該方針應包括對持續改進信息安全管理體系的承諾。63、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾64、組織應持續改進信息安全管理體系的適宜性、充分性和有效性（）65、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）

參考答案一、單項選擇題1、B2、C3、A4、C5、D6、A7、A8、A9、B10、D11、D12、B13、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當水平的保護。對比四個選項，c項更能突出對組織的重要程度，故選C14、C15、B16、B17、D18、B19、A20、B21、B22、C23、C24、D25、D26、C27、B28、A29、D30、A31、B32、B解析:局域網是指家庭或是辦公室，或者其他環境中小型網絡。而大型計算機環境是指類似服務器的大型網絡。兩者本地備份差別主要體現在容錯能力上，故選B33、B34、D35、D36、D37、D38、C39、B40、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B二、多項選擇題41、C,D42、A,B,C,D43、A,B,D44、B,C,D45、A,B,C,D解析:參考本法第二條，在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的監督管理，適用本法。本題選ABCD46、A,B,D47、A,B,C,D48、A,B,