2023年第二期CCAA注冊審核員復習題—ISMS信息安全管理體系一、單項選擇題1、下列中哪個活動是組織發生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執行信息安全風險評估C、開展內部審核D、開展管理評審2、下面哪一種功能不是防火墻的主要功能?A、協議過濾B、應用網關C、擴展的日志記錄能力D、包交換3、對于較大范圍的網絡，網絡隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對4、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析5、依據GB/T22080，關于職責分離，以下說法正確的是(）A、信息安全政策的培訓者與審計之間的職責分離B、職責分離的是不同管理層級之間的職責分離C、信息安全策略的制定者與受益者之間的職責分離D、職責分離的是不同用戶組之間的職責分離6、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、建設關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、建設三級以上信息系統須保證安全子系統同步規劃、同步建設、同步使用C、建設機密及以上信息系統須保證安全子系統同步規劃、同步建設、同步使用D、以上都不對7、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估8、()是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態A、信息安全事態B、信息安全事件C、信息安全事故D、信息安全故障9、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險10、構成風險的關鍵因素有（）A、人、財、物B、技術、管理和操作C、資產、威脅和弱點D、資產、可能性和嚴重性11、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數的密碼D、10位的綜合型密碼12、《中華人民共和國認證認可條例》規定,認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請A、2年B、3年C、4年D、5年13、容量管理的對象包括（）A、服務器內存B、網絡通信帶寬C、人力資源D、以上全部14、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設,同步使用15、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、作出是否換發證書的決定16、信息系統的變更管理包括（）A、系統更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部17、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?18、可用性是指（）A、根據授權實體的要求可訪問和利用的特性B、信息不能被未授權的個人，實體或者過程利用或知悉的特性C、保護資產的準確和完整的特性D、反映事物真實情況的程度19、《計算機信息系統安全保護條例》規定：對計算機信息系統中發生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內20、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部21、依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業秘密D、其他選項均正確22、管理員通過桌面系統下發IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態B、斷開網絡并持續阻斷C、彈出提示街口對其發出警告D、鎖定鍵盤鼠標23、對保密文件復印件張數核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續性24、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對25、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統管理員C、風險轉移到組織D、組織的某個虛擬小組負責人26、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩定性、保密性、完整性27、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對28、國家秘密的保密期限應為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年29、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結果D、重要業務系統操作指南30、審核證據是指（）A、與審核準則有關的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對31、風險評價是指（）A、系統地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協調活動D、以上都對32、經過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險33、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改34、容量管理的對象包括（）A、信息系統內存B、辦公室空間和基礎設施C、人力資源D、以上全部35、（）是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯的一個先前未知的狀態。A、信息安全事態B、信息安全事件C、信息安全事故D、信息安全故障36、漏洞檢測的方法分為（）A、靜態檢測B、動態測試C、混合檢測D、以上都是37、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當的工作文件B、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見38、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現的結果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B39、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環節識別B、風險分析C、管理方案D、A+CE、A+B40、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數據竊聽B、誤操作C、數據流分析D、數據篡改二、多項選擇題41、以下（）活動是ISMS監視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施42、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益43、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規避風險44、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業務連續性的知識B、有關有形和無形資產及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識45、管理評審的輸出包括（）A、管理評審報告B、持續改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求46、信息安全管理體系范圍和邊界的確定依據包括（）A、業務B、組織C、物理D、資產和技術47、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容48、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針49、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發放了公司財務總監、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發放了手機，允許其使用手機在指定區域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區域D、某公司門禁系統的時鐘比公司視頻監控系統的時鐘慢約10分鐘50、下面哪一條措施可以防止數據泄漏（)A、數據冗余B、數據加密C、訪問控制D、密碼系統51、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益52、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標53、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理54、以下做法正確的是（）A、使用生產系統數據測試時,應先將數據進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業務案例和數據C、員工調換項目組時，其愿使用計算機中的項目數據經妥善刪除后可帶入新項目組使用D、信息系統管理域內所有的終端啟動屏幕保護時間應一致55、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求（）A、設定備份策B、定期測試備份介質C、定期備份D、定期測試信息和軟件三、判斷題56、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。57、記錄可提供符合信息安全管理體系要求和有效運行的證據。（）58、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）59、實習審核員可以獨立完成審核任務。（）60、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）61、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）62、當需要時，組織可設計控制，或識別來自任何來源的控制。（）63、組織ISMS的相關方的需求和期望由組織戰略決策層的決定（）64、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）65、信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）

參考答案一、單項選擇題1、B2、D3、B4、D解析:主動攻擊會導致某些數據流的篡改和虛假數據流的產生，這類攻擊分篡改，偽造消息數據和終端（拒絕服務）。被動攻擊中攻擊者不對數據信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數據。通常包括竊聽，流量分析，破解弱加密的數據流等攻擊方式。故選D5、B6、A7、D8、A9、D10、C11、D12、D13、D14、A15、D解析:監督審核是現場審核，但不一定是對整個體系的審核，并應與其他監督活動一起策劃，以使認證機構能對獲證客戶管理體系在認證周期內持續滿足要求保持信任。相關管理體系標準的每次監督審核應包括對以下方面的審查：（1）內部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現獲證客戶目標和各管理體系的預期結果方面的有效性；（5）為持續改進而策劃的活動的進展；（6）持續的運作控制；（7）任何變更；（8）標志的使用和（或）任何其他對認證資格的引用。綜上A,B,C項均是監督審核的目的，故選D。另外，再認證的策劃和及時實施，才能確保認證能在到期前及時更新，監督審核不能決定是否換發證書16、D17、B18、A19、C20、D21、D解析:網絡安全法第45條，依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D22、D23、A24、B解析:so9000-20153,4,1過程，利用輸入產生輸出的相互關聯或相互作用的一組活動。故選B25、C26、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B27、D28、A解析:國家秘密的保密期限,除有特殊規定外,絕密級事項不超過三十年,機密級事項不超過二十年,秘密級事項不超過十年29、D30、A31、B32、D33、D解析:數字簽名就是附加在數據單元上的