2021年3月CCAA注冊審核員ISMS信息安全管理體系模擬試題一、單項選擇題1、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統與互聯網的連接即可防范惡意軟件B、安裝入侵探測系統即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件2、以下哪些可由操作人員執行？（)A、審批變更B、更改配置文件C、安裝系統軟件D、添加/刪除用戶3、以下不屬于信息安全事態或事件的是：A、服務、設備或設施的丟失B、系統故障或超負載C、物理安全要求的違規D、安全策略變更的臨時通知4、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?5、對于可能超越系統和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單6、信息安全事態、事件和事故的關系是（）A、事態一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態C、事態一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態7、系統備份與普通數據備份的不同在于，它不僅備份系統屮的數據，還備份系統中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息，以便迅速（）。A、恢復全部程序B、恢復網絡設置C、恢復所有數據D、恢復整個系統8、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改9、《中華人民共和國密碼法》規定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、—密、二密、三密、四密四個級別10、《信息技術安全技術信息安全治理》對應的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701411、管理體系是實現組織目標的方針、（）、指南和相關資源的框架A、目標B、規程C、文件D、記錄12、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設,同步使用13、下列措施中，（）是風險管理的內容。A、識別風險B、風險優先級評價C、風險處置D、以上都是14、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪問的形式C、以遠程視頻的形式D、以上都對15、在現場審核結束之前，下列哪項活動不是必須的？（）A、關于客戶組織ISMS與認證要求之間的符合性說明B、審核現場發現的不符合C、提供審核報告D、聽取客戶對審核發現提出的問題16、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對17、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規程C、對信息安全事件進行響應D、在組織內通報信息安全事件18、由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執業資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審19、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當的保護C、確保信息得到保護D、確保信息按照其級別得到處理20、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準21、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數據D、網絡地址欺騙22、按照PDCA思路進行審核，是指（）A、按照受審核區域的信息安全管理活動的PDCA過程進行審核B、按照認證機構的PDCA流程進行審核C、按照認可規范中規定的PDCA流程進行審核D、以上都對23、ISMS管理評審的輸出應考慮變更對安全規程和控制措施的影響，但不包括（）A、業務要求變更B、合同義務變更C、安全要求的變更D、以上都不對24、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規定的最大用戶數25、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網關模式D、旁路接入模式26、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結果D、重要業務系統操作指南27、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確28、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統是否遭受入侵29、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統管理員C、風險轉移到組織D、組織的某個虛擬小組負責人30、最高管理者應（）。A、確保制定ISMS方針B、制定ISMS目標和計劃C、實施ISMS內部審核D、主持ISMS管理評審31、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、以上全部32、安全區域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛處進行登記C、重點機房安裝有門禁系統D、以上全部33、依據GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確34、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息35、關于信息安全產品的使用，以下說法正確的是:（）A、對于所有的信息系統，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統，己列入信息安全產品認征目錄的，應取得國家信息安全產品人證機構頒發的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞36、下面哪一種環境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應37、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改38、《互聯網信息服務管理辦法》現行有效的版本是哪年發布的？()A、2019B、2017C、2016D、202139、組織在確定與ISMS相關的內部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內容C、溝通時間D、溝通對象40、容災的目的和實質是（）A、數據備份B、系統的C、業務連續性管理D、防止數據被破壞二、多項選擇題41、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理42、按覆蓋的地理范圍進行分類，計算機網絡可以分為（）A、局域網B、城域網C、廣域網D、區域網43、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發起方實施或委托風險評估服務技術支持方實施D、由信息系統上級管理部門組織的風險評估44、GB/T28450審核方案管理的內容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規模45、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新46、評價信息安全風險，包括（）A、將風險分析的結果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優先級D、計算風險大小47、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核48、《中華人民共和國認證認可條例》制定的目的是為了規范認證認可活動，提高產品、服務的（），促進經濟和社會的發展。A、質量B、數量C、管理水平D、競爭力49、針對敏感應用系統安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規定時間強制使其退出登錄C、對于修改系統核心業務運行數據的操作限定操作時間D、對于數據庫系統審計人員開放不限時權限50、審核計劃中應包括（）A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排51、下列屬于“開發安全”活動的是（）。A、應規范用戶修改軟件包，必須的修改應嚴格管制B、應用系統若有變更，應進行適當審核與測試C、軟件應盡量采用自行開發避免外包或采購D、軟件的采購應注意其是否內藏隱密通道及特洛伊木馬程序52、以下屬于信息安全管理體系審核的證據是：（）A、信息系統運行監控中心顯示的實時資源占用數據B、信息系統的閾值列表C、數據恢復測試的日志D、信息系統漏洞測試分析報告53、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是（）A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后54、管理評審的輸出包括（）A、管理評審報告B、持續改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求55、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理三、判斷題56、糾正是指為消除己發現的不符合或其他不期望情況的原因所采取的措施。（）57、對不同類型的風險可以采用不同的風險接受準則，例如，導致對法律法規不符合的風險可能是不可接受的，但可能允許接受導致違背合同要求的高風險。（）58、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）59、中華人民共和國境內的計算機信息系統的安全保護,適用本條例。未聯網的微型計算機的安全保護辦法,另行制定。60、客戶所有場所業務的范圍相同，且在同一ISMS下運行，并接受統一的管理、內部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)61、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）62、組織應適當保留信息安全目標文件化信息（）63、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）64、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）65、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）

參考答案一、單項選擇題1、D2、C3、D4、B5、D6、D7、D8、D解析:數字簽名就是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和完整性并保護數據，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D9、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機密，秘密三級10、D11、B12、A13、D14、A15、C16、B解析:so9000-20153,4,1過程，利用輸入產生輸出的相互關聯或相互作用的一組活動。故選B17、D18、B19、A20、A21、A22、A23、D解析:270019,3管理評審，管理評審的輸出應包括與持續改進機會相關的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應控制影響信息安全的變更，包括組織，業務過程，信息處理設施和系統變更。因此A,B,C選項的變更均符合變更管理，故選D24、D25、D26、D27、B28、A解析:訪問控制，確保對資產的訪問是基于業務和安全要求進行授權和限制的手段。A表述更為全面，B,C選項過于細化，故選A29、C30、D31、D32、D33、D解析:信息安全目標及其實現規劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續的適宜性，充分性，和有效性。而管理評審的實施執行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D34、C35、B36、D37、D38、D39、A40、C二、多項選擇題41、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理體系及本標準要求的文件化信息應得到控制，以確保：在需要的時間和地點，是可用的和適宜使用的；得到充分的保護（如避免保密性損失，不恰當使用，完整性受損失等）。為控制文件化信息，適用時，組織應強調下列活動：1,分發、訪問、檢索和使用；2,存儲和保護，包括保持可讀性；3,控制變更（如版本控制）；4