2021年3月CCAA國家注冊ISMS信息安全管理體系審核員知識復習題一、單項選擇題1、信息安全管理中，關于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術脆弱性B、軟件開發人員為方便維護留的后門是脆弱性的一種C、識別資產脆弱性時應考慮資產的固有特性，不包括當前安全控制措施D、使信息系統與網絡物理隔離可杜絕其脆弱性被威脅利用的機會2、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息3、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?4、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網絡釣魚攻擊DR5、在現場審核結束之前，下列哪項活動不是必須的？（）A、關于客戶組織ISMS與認證要求之間的符合性說明B、審核現場發現的不符合C、提供審核報告D、聽取客戶對審核發現提出的問題6、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩定性、保密性、完整性7、漏洞檢測的方法分為（）A、靜態檢測B、動態測試C、混合檢測D、以上都是8、關于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執行網絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據路由表確定最短路徑D、強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件9、組織應()與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保10、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發布D、信息安全策略需要定期或在重大變化時進行評審11、對保密文件復印件張數核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續性12、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域13、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低14、進入重要機構時，在門衛處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記15、相關方的要求可以包括（）A、標準、法規要求和合同義務B、法律、標準要求和合同義務C、法律、法規和標準要求和合同義務D、法律、法規要求和合同義務16、對于可能超越系統和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單17、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對18、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規和其它要求D、A+BE、A+C19、《中華人民共和國密碼法》規定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、—密、二密、三密、四密四個級別20、關于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網絡中“釣魚”軟件的存在，是網絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部21、在根據組織規模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程22、依據GB/T22080-2016/IS0/IEC27001:2013，以下關于資產清單正確的是（）。A、做好資產分類是其基礎B、采用組織固定資產臺賬即可C、無需關注資產產權歸屬者D、A+B23、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、網絡安全應采取必要措施防范對網絡的攻擊和侵入B、網絡安全措施包括防范對網絡的破壞C、網絡安全即采取措施保護信息在網絡中傳輸期間的安全D、網絡安全包括對信息收集、存儲、傳輸、交換、處理系統的保護24、對于較大范圍的網絡，網絡隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對25、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯的職責及責任范圍26、跨國公司的I.S經理打算把現有的虛擬專用網(VPN.,virtualpriavtenetwork)升級，采用通道技術使其支持語音I.P電話(VOI.P,voice-overI.P)服務，那么，需要首要關注的是（）。A、服務的可靠性和質量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸的保密D、數據傳輸的保密27、在運行階段，組織應（）A、策劃信息安全風險處置計劃，保留文件化信息B、實現信息安全風險處置計劃，保留文件化信息C、測量信息安全風險處置計劃，保留文件化信息D、改進信息安全風險處置計劃，保留文件化信息28、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略29、信息安全管理體系的設計應考慮（）A、組織的戰B、組織的目標和需求C、組織的業務過程性質D、以上全部30、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改31、局域網環境下與大型計算機環境下的本地備份方式在（）方面有主要區別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協議32、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新33、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準34、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護35、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當的工作文件B、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見36、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設,同步使用37、審核發現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項38、描述組織采取適當的控制措施的文檔是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序39、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估40、《信息安全等級保護管理辦法》規定,應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評。A、半年B、1年C、1.5年D、2年二、多項選擇題41、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS42、網絡常見的拓撲形式有（）A、星型B、環型C、總線D、樹型43、在設計和應用安全區域工作規程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區域內進行不受監督的工作C、使用的安全區域宜上鎖并定期予以評審D、經授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機44、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規避風險45、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新46、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差47、信息安全風險分析包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性48、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益49、含有高等級敏感信息的設備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術破壞或刪除C、多次的寫覆蓋D、徹底破壞50、下面哪一條措施可以防止數據泄漏（)A、數據冗余B、數據加密C、訪問控制D、密碼系統51、風險處置的可選措施包括（）。A、風險識別B、風險分析C、風險轉移D、風險減緩52、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果53、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準54、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針55、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入三、判斷題56、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一。57、某組織租用第三方數據中心機房托管其IT系統設備，因此認證審核時不必審核計算機機房物理安全的相關內容()58、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）59、組織ISMS的相關方的需求和期望由組織戰略決策層的決定（）60、組織的內外部相關方要求屬于組織的內部和外部事項”（）61、最高管理層應確保方針得到建立（）62、組織應識別并提供建立、實現、維護和持續改進信息安全管理體系所需的資源。（）63、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。64、信息安全風險準則包括風險接受準則和風險評價準則。（）65、某組織在生產系統上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）

參考答案一、單項選擇題1、B2、C3、A4、B5、C6、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B7、D解析:漏洞檢測分為被動檢測（靜態），主動檢測（動態），綜合檢測（混合檢測）。故選D8、C9、A10、D11、A12、A13、D14、B15、D16、D17、C18、E19、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機密，秘密三級20、C21、D22、A23、C解析:網絡安全法第七十六條，網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集，存儲，傳輸，交換，處理的系統。網絡安全，是指通過采取必要措施，防范對網絡的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性，保密性，可用性的能力。故選C24、B25、B解析: