2024年3月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系一、單項選擇題1、《信息安全等級保護管理辦法》規定，應加強沙密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每（）至少進行次保密檢查或者系統測評。A、半年B、1年C、1.5年D、2年2、描述組織采取適當的控制措施的文檔是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序3、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發、測試和運行環境的分離C、物理安全邊界D、在安全區域工作4、審核發現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項5、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞6、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼7、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對8、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內員工的個人隱私數據得到保護B、認證范圍內涉及顧客的個人隱私數據得到保護C、認證范圍內涉及相關方的個人隱私數據數據得到保護D、以上全部9、建立ISMS體系的目的，是為了充分保護信息資產并給予（）信息A、相關方B、供應商C、顧客D、上級機關10、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權限控制C、數據加密D、數據備份11、ISMS文件的多少和詳細程度取決于()A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對12、關于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權方式、時限和訪問類型B、對于多任務訪問，一次性賦予全任務權限C、物理區域的管理規定須遵從物理區域的訪問控制策D、物理區域訪問控制策略應與其中的資產敏感性一致13、加密技術可以保護信息的(）A、機密性B、完整性C、可用性D、A+B14、有關信息安全管理，風險評估的方法比起基線的方法，主要的優勢在于它確保(）A、不考慮資產的價值，基本水平的保護都會被實施B、對所有信息資產保護都投入相同的資源C、對信息資產實施適當水平的保護D、信息資產過度的保護15、根據ISO/IEC27001中規定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布16、《計算機信息系統安全保護條例》中所稱計算機信息系統，是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統B、計算機及其相關的設備、設施，不包括軟件C、計算機運算環境的總和，但不含網絡D、一個組織所有計算機的總和，包括未聯網的微型計算機17、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業務戰略B、法律法規要求C、合同要求D、以上全部18、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩定性、保密性、完整性19、根據GB/T22080-2016中控制措施的要求，關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑20、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪向的形式C、以遠程視頻的形式D、以上都対21、關于信息安全連續性，以下說法正確的是：A、信息安全連續性即FT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定22、依據GB/T29246,控制目標指描述控制的實施結果所要達到的目標的（）。A、說明B、聲明C、想法D、描述23、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務24、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性25、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰略方向一致26、管理者應（）A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內部審核D、確保ISMS管理評審的執行27、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數的密碼D、10位的綜合型密碼28、密碼技術不適用于控制下列哪種風險？（）A、數據在傳輸中被竊取的風險B、數據在傳輸中被篡改的風險C、數據在傳輸中被損壞的風險D、數據被非授權訪問的風險29、管理員通過桌面系統下發IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態B、斷開網絡并持續阻斷C、彈出提示街口對其發出警告D、鎖定鍵盤鼠標30、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統管理員C、風險轉移到組織D、組織的某個虛擬小組負責人31、信息安全管理體系的設計應考慮（）A、組織的戰B、組織的目標和需求C、組織的業務過程性質D、以上全部32、在根據組織規模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程33、計算機信息系統安全專用產品是指：（）A、用于保護計算機信息系統安全的專用硬件和軟件產品B、按安全加固要求設計的專用計算機C、安裝了專用安全協議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產品34、訪問控制是確保對資產的訪問，是基于（）要求進行授權和限制的手段。A、用戶權限B、可被用戶訪問的資料C、系統是否遭受入侵D、可給予哪些主體訪問35、在我國信息系統安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求36、在形成信息安全管理體系審核發現時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性37、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任和權限D、分配角色和權限38、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果39、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數字D、自己做服務器40、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次二、多項選擇題41、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后42、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發布公司內部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉化其微信群會討論的信息43、最高管理層應建立信息安全方針,方針應（）A、對相關方可用B、包括對持續改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜44、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性45、下列哪項屬于《認證機構管理辦法》中規定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度46、下面哪一條措施可以防止數據泄漏（)A、數據冗余B、數據加密C、訪問控制D、密碼系統47、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準48、以下屬于訪問控制的是（）。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品查殺病毒49、公司M將信息系統運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協議規定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內50、關鍵信息基礎設施包括三大部分，分別是（）。A、關鍵基礎設施B、基礎信息網絡C、重要信息系統D、重要互聯網應用系統51、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調查C、投訴響應、溝通決定D、投訴終止52、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴53、某游戲開發公司按客戶的設計資料構建游戲場景和任務的基礎要素模塊，為方便各項目組討論，公司創建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創建了項目數據子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權B、獲得sharefolder訪問權者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權D、H人員不定期刪除sharefolder數據以釋放容量，此活動是容量管理，游戲開發人員不參與54、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動55、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發放了公司財務總監、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發放了手機，允許其使用手機在指定區域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區域D、某公司門禁系統的時鐘比公司視頻監控系統的時鐘慢約10分鐘三、判斷題56、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）57、審核方案應包括審核所需的資源，例如交通和食宿。（）58、某互聯網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規定的安全控制程序，無論手機是公司配發的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)59、某組織租用第三方數據中心機房托管其IT系統設備，因此認證審核時不必審核計算機機房物理安全的相關內容()60、最高管理層應確保與信息安全相關角色的職責和權限得到分配和溝通。61、組織應適當保留信息安全目標文件化信息。（）62、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一。63、組織業務運行使用云基礎設施服務,同時員工通過自有手機APP執行業務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）64、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）65、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬

參考答案一、單項選擇題1、D2、B3、B4、C解析:管理體系審核指南3,4審核發現是將收集的審核證據對照審核準則進行評價的結果，故選C5、B6、D7、C8、D9、A10、D11、D12、B13、D14、C15、C16、A17、D18、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B19、C20、A21、B22、B解析:參考27000，控制目標指，描述實施控制的實施結果所要達到的目標的聲明。故選B23、A24、C25、B26、A27、D28