2024年8月ISMS信息安全管理體系CCAA審核員復(fù)習(xí)題一、單項(xiàng)選擇題1、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對2、信息安全管理中，關(guān)于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術(shù)脆弱性B、軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種C、識(shí)別資產(chǎn)脆弱性時(shí)應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機(jī)會(huì)3、下列不屬于取得認(rèn)證機(jī)構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認(rèn)證人員4、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級(jí)以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機(jī)密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對5、以下不屬于信息安全事態(tài)或事件的是：A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時(shí)通知6、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A7、風(fēng)險(xiǎn)處置是（）A、識(shí)別并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程B、確定并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程C、分析并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程D、選擇并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程8、下列中哪個(gè)活動(dòng)是組織發(fā)生重大變更后一定要開展的活動(dòng)？（）A、對組織的信息安全管理體系進(jìn)行變更B、執(zhí)行信息安全風(fēng)險(xiǎn)評估C、開展內(nèi)部審核D、開展管理評審9、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)10、關(guān)于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時(shí)限和訪問類型B、對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致11、下列不一定要進(jìn)行風(fēng)險(xiǎn)評估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計(jì)劃的時(shí)間間隔12、—家投資顧問商定期向客戶發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件13、關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時(shí)，使用密碼技術(shù)、生物識(shí)等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動(dòng)式管理確保用戶使用優(yōu)質(zhì)口令14、下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析15、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人的各種信息屬于個(gè)人信息B、自然人的身份證號(hào)碼、電話號(hào)碼屬于個(gè)人信息C、自然人的姓名、住址不屬于個(gè)人信息D、自然人的出生日期屬于個(gè)人信息16、數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險(xiǎn)？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改17、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保18、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)評估程序19、TCP/IP協(xié)議層次結(jié)構(gòu)由（）A、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D、其他選項(xiàng)均不正確20、安全掃描可以實(shí)現(xiàn)（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流21、關(guān)于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)?22、進(jìn)入重要機(jī)構(gòu)時(shí)，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計(jì)D、標(biāo)記23、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)24、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專人管理式D、A+B+C25、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、作出是否換發(fā)證書的決定26、風(fēng)險(xiǎn)評價(jià)是指（）A、系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和評估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D、以上都對27、計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲(chǔ)介質(zhì)D、網(wǎng)絡(luò)28、下列哪項(xiàng)對于審核報(bào)告的描述是錯(cuò)誤的?（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價(jià)以后由審核組長起草形成C、正式的審核報(bào)告由組長將報(bào)告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對29、（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障30、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期31、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊與標(biāo)準(zhǔn)的符合程度32、風(fēng)險(xiǎn)責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓wB、實(shí)施風(fēng)險(xiǎn)評估的組織的法人C、實(shí)施風(fēng)險(xiǎn)評估的項(xiàng)目負(fù)責(zé)人或項(xiàng)目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者33、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時(shí)候開始，如何測量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何評價(jià)結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時(shí)候開始，如何評價(jià)結(jié)果34、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱為（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)35、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制36、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布37、下列措施中，（）是風(fēng)險(xiǎn)管理的內(nèi)容。A、識(shí)別風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)優(yōu)先級(jí)評價(jià)C、風(fēng)險(xiǎn)處置D、以上都是38、訪問控制是指確定（）以及實(shí)施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵39、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動(dòng)的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C40、在認(rèn)證審核時(shí)，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確二、多項(xiàng)選擇題41、以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)42、“云計(jì)算服務(wù)”包括哪幾個(gè)層面?A、PaasB、SaasC、laasD、PII.S43、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類44、關(guān)于信息安全風(fēng)險(xiǎn)自評估，下列選項(xiàng)正確的是（）A、是指信息系統(tǒng)擁有、運(yùn)營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估B、周期性的自評估可以在評估流程上適當(dāng)簡化C、可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施D、由信息系統(tǒng)上級(jí)管理部門組織的風(fēng)險(xiǎn)評估45、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于（）A、指導(dǎo)組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實(shí)施指南C、審核員實(shí)施審核的依據(jù)D、以上都不對46、“云計(jì)算機(jī)服務(wù)”包括哪幾個(gè)層面？（）A、PaasB、SaaSC、IaaSD、PIIS47、不符合項(xiàng)報(bào)告應(yīng)包括A、不符合事實(shí)的描述B、不符合的標(biāo)準(zhǔn)條款及內(nèi)容C、不符合的原因D、不符合的性質(zhì)48、某金融服務(wù)公司為其個(gè)人注冊會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會(huì)員背景姿料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會(huì)討論的信息49、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時(shí)不必再編制資產(chǎn)清單B、信息安全可以按項(xiàng)目來管理，原項(xiàng)目管理機(jī)制中的風(fēng)險(xiǎn)評估可替代GC/T22080-2016/I.SO/IED27001:2013標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)評估C、公司各類項(xiàng)日的臨時(shí)場所存在時(shí)間都較短，不必納入ISMS范圍D、工程項(xiàng)目方案因包含設(shè)計(jì)圖紙等核心技術(shù)信息，其敏感性等級(jí)定義為最高50、對于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評審51、針對敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤B、登錄之后，不活動(dòng)超過規(guī)定時(shí)間強(qiáng)制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D、對于數(shù)據(jù)庫系統(tǒng)審計(jì)人員開放不限時(shí)權(quán)限52、《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全,（）A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會(huì)公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益53、風(fēng)險(xiǎn)處置包括（)A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)計(jì)劃C、風(fēng)險(xiǎn)控制D、風(fēng)險(xiǎn)轉(zhuǎn)移54、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動(dòng)還是異常波動(dòng)55、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場所等的冗余配置B、定期或?qū)崟r(shí)進(jìn)行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)D、有保障信息安全連續(xù)性水平的過程和程序文件三、判斷題56、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）57、考慮了組織所實(shí)施的活動(dòng)，即可確定組織信息安全管理體系范圍。58、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）59、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）60、容量管理策略可以考慮增加容量或降低容量要求（）61、從審核開始到結(jié)束,審核組長應(yīng)對審核實(shí)施負(fù)責(zé)62、敏感信息通過網(wǎng)絡(luò)傳輸時(shí)必須加密處理。（)63、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評價(jià)準(zhǔn)則。（）64、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）65、GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)（）

參考答案一、單項(xiàng)選擇題1、B2、B3、C4、A5、D6、A7、D解析:風(fēng)險(xiǎn)處置，是指選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程。故選D8、B9、D10、B11、D12、C13、B14、D解析:主動(dòng)攻擊會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）。被動(dòng)攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，截取/竊聽是指為未經(jīng)用戶同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽，流量分析，破解弱加密的數(shù)據(jù)流等攻擊方式。故選D15、C16、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和完整性并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造，篡改或是抵賴。故選D17、A18、B19、C20、C21、A22、B23、A24、B25、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個(gè)體系的審核，并應(yīng)與其他監(jiān)督活動(dòng)一起策劃，以使認(rèn)證機(jī)構(gòu)能對獲證客戶管理體系在認(rèn)證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管