2021年3月CCAA國家注冊審核員考試題目—ISMS信息安全管理體系一、單項選擇題1、關于互聯網信息服務，以下說法正確的是A、互聯網服務分為經營性和非經營性兩類，其中經營性互聯網信息服務應當在電信主管部門備案B、非經營性互聯網信息服務未取得許可不得進行C、從事經營性互聯網信息服務，應符合《中華人民共和國電信條例》規定的要求D、經營性互聯網服務，是指通過互聯網向上網用戶無嘗提供具有公開性、共享性信息的服務活動2、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級3、容災的目的和實質是（）A、數據備份B、系統的C、業務連續性管理D、防止數據被破壞4、依據GB/T22080/ISO/IEC27001，建立資產清單即：（）A、列明信息生命周期內關聯到的資產，明確其對組織業務的關鍵性B、完整采用組織的固定資產臺賬，同時指定資產負責人C、資產價格越高，往往意味著功能越全，因此資產重要性等級就越高D、A+B5、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO190116、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求7、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保8、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統與互聯網的連接即可防范惡意軟件B、安裝入侵探測系統即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件9、根據《互聯網信息服務管理辦法》規定，國家對經營性互聯網信息服務實行（）A、國家經營B、地方經營C、許可制度D、備案制度10、相關方的要求可以包括（）A、標準、法規要求和合同義務B、法律、標準要求和合同義務C、法律、法規和標準要求和合同義務D、法律、法規要求和合同義務11、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發布D、信息安全策略需要定期或在重大變化時進行評審12、信息系統的變更管理包括（）A、系統更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部13、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩定性、保密性、完整性14、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?15、以下說法不正確的是(）A、應考慮組織架構與業務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新16、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果17、《中華人民共和國網絡安全法》中的"三同步"要求，以下說法正確的是（）A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用18、在信息安全管理體系審核時，應遵循（）原則。A、保密性和基于準則的B、保密性和基于風險的C、最小特權原則最小特權原則是信息系統安全的最基本原則D、建立阻塞點原則阻塞點就是在網絡系統對外連接通道內，可以被系統管理人員進行監控的連接控制點。19、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次20、保密性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対21、管理者應（）A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內部審核D、確保ISMS管理評審的執行22、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次23、關于信息安全管理體系認證，以下說法正確的是：A、負責作出認證決定的人員中應至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應參與審核D、負責作出認證決定的人員應包含參與了預審核的人員24、關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑25、建立ISMS體系的目的，是為了充分保護信息資產并給予（）信息A、相關方B、供應商C、顧客D、上級機關26、在根據組織規模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程27、下列關于DMZ區的說法錯誤的是()A、DMZ可以訪問內部網絡B、通常DMZ包含允許來自互聯網的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內部網絡可以無限制地訪問夕卜部網絡以及DMZD、有兩個DMZ的防火墻環境的典型策略是主防火墻采用NAT方式工作28、依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對29、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規則》30、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞31、若通過桌面系統對終端實行IP、MAC綁定，該網絡IP地址分配方式應為（）A、靜態B、動態C、均可D、靜態達到50%以上即可32、審核發現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項33、我國網絡安全等級保護共分幾個級別？（）A、7B、4C、5D、634、確定資產的可用性要求須依據（）。A、授權實體的需求B、信息系統的實際性能水平C、組織可支付的經濟成本D、最高管理者的決定35、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數的密碼D、10位的綜合型密碼36、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規范性文件的所有要求37、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況38、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對39、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統漏洞C、應用程序BUGD、人員的不良操作習慣40、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪問的形式C、以遠程視頻的形式D、以上都對二、多項選擇題41、計算機信息系統的安全保護，應保障;（）A、計算機及相關和配套設備的安全B、設施(含網絡)的安全C、運行壞境的安全D、計算機功能的正常發揮42、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據工作需要僅獲得最小的知悉權限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息43、某金融資產武裝押運服務公司擬申請ISMS認證，下列哪些應列入資產清單中（）A、行車監控系統B、行車路線信息C、押運人員個人信息D、押運人員用槍支44、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中45、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓46、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監視、測量、分析和評價的過程B、適用的監視、測量、分析和評價的方法C、需要被監視和測量的內容D、監視、測量、分析和評價的執行人員47、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類48、在信息安全事件管理中，（）是員工應該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發現并報告安全事件D、發現立即處理安全事件49、公司M將信息系統運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協議規定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內50、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發布公司內部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉化其微信群會討論的信息51、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入52、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置53、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是（）A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后54、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定55、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內容C、不符合的原因D、不符合的性質三、判斷題56、創建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。57、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）58、記錄可提供符合信息安全管理體系要求和有效運行的證據。（）59、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬60、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。61、最高管理層應確保方針得到建立（）62、組織業務運行使用云基礎設施服務,同時員工通過自有手機APP執行業務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）63、信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）64、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾65、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統，并降低進入該系統的無意錯誤操作導致的影響（）

參考答案一、單項選擇題1、C2、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級3、C4、A5、