2021年6月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系一、單項選擇題1、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯的職責及責任范圍2、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次3、計算機信息系統安全專用產品是指：（）A、用于保護計算機信息系統安全的專用硬件和軟件產品B、按安全加固要求設計的專用計算機C、安裝了專用安全協議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產品4、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄5、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確6、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序7、保密協議或不泄露協議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規定8、以下哪些可由操作人員執行？（)A、審批變更B、更改配置文件C、安裝系統軟件D、添加/刪除用戶9、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規范性文件的所有要求10、由認可機構對認證機構、檢測機構、實驗室從事評審、審核的認證活動人員的能力和執業資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審11、某公司計劃升級現有的所有PC機，使其用戶可以使用指紋識別登錄系統，訪問關鍵數據實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續（或稱為：初始化手續）B、完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權用戶不可能訪問到關鍵數據12、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改13、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對14、GB/T22080標準中所指資產的價值取決于（）A、資產的價格B、資產對于業務的敏感度C、資產的折損率D、以上全部15、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估16、關于信息安全連續性，以下說法正確的是：A、信息安全連續性即FT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定17、當操作系統發生變更時，應對業務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認18、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規則》19、形成ISMS審核發現時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性20、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略21、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網絡D、安全模式下查殺不容易死機22、《中華人民共和國網絡安全法》中的"三同步"要求，以下說法正確的是（）A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用23、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數字D、自己做服務器24、根據ISO/IEC27001中規定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布25、物理安全周邊的安全設置應考慮：（）A、區域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區或其他功能區C、入侵探測和報警機制D、A+C26、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性27、下列措施中不能用于防止非授權訪問的是（）A、采取密碼技術B、采用最小授權C、采用權限復查D、采用日志記錄28、可用性是指（）A、根據授權實體的要求可訪問和利用的特性B、信息不能被未授權的個人，實體或者過程利用或知悉的特性C、保護資產的準確和完整的特性D、反映事物真實情況的程度29、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網絡故障30、關于系統運行日志，以下說法正確的是：（)A、系統管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應納入容量管理C、日志管理即系統審計日志管理D、組織的安全策略應決定系統管理員的活動是否有記入曰志31、下列哪一種情況下，網絡數據管理協議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環境時C、需要備份舊的備份系統不能處理的文件許可時中先創學D、要保證跨多個數據卷的備份連續、一致時32、風險評價是指（）A、系統地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協調活動D、以上都對33、虛擬專用網(VPN)的數據保密性，是通過什么實現的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(Tunnelling)C、數字簽名D、風險釣魚34、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統35、當獲得的審核證據表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當的措施C、宣布取消末次會議D、以上各項都不可以36、依據GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監視和評審范疇的是（）。A、監視和評審服務級別協議的符合性B、監視和評審服務方人員聘用和考核的流程C、監視和評審服務交付遵從協議規定的安全要求的程度D、監視和評審服務方跟蹤處理信息安全事件的能力37、信息安全事態、事件和事故的關系是（）A、事態一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態C、事態一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態38、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準39、下列哪項對于審核報告的描述是錯誤的?（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對40、系統備份與普通數據備份的不同在于，它不僅備份系統屮的數據，還備份系統中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息，以便迅速（）。A、恢復全部程序B、恢復網絡設置C、恢復所有數據D、恢復整個系統二、多項選擇題41、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高42、以下說法不正確的是（）A、信息安全管理體系審核是信息系統審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業務連續性管理體系認證，則信息安全管理體系審核可略過風險評估43、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差44、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉移45、審核計劃中應包括（）A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排46、下面哪一條措施可以防止數據泄漏（)A、數據冗余B、數據加密C、訪問控制D、密碼系統47、關于涉密信息系統的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯網及其他公共信息網絡B、涉密計算機只有采取了適當防護措施才可接入互聯網C、涉密信息系統中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經安全技術處理不得改作其他用途48、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監視和測量顧客滿意的方法之一是發調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了49、《互聯網信息服務管理辦法》中對()類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類50、以下做法正確的是（）A、使用生產系統數據測試時，應先將數據進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業務案例和數據C、員工調換項目組時，其原使用計算機中的項目數據經妥善刪除后可帶入新項目組使用D、信息系統管理域內所有的終端啟動屏幕保護時間應一致51、依據GB/T22080，經管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略52、信息安全風險分析包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性53、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調查C、投訴響應、溝通決定D、投訴終止54、關鍵信息基礎設施包括三大部分，分別是（）。A、關鍵基礎設施B、基礎信息網絡C、重要信息系統D、重要互聯網應用系統55、以下屬于訪問控制的是（）。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品查殺病毒三、判斷題56、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）57、審核方案應包括審核所需的資源，例如交通和食宿。（）58、當需要時，組織可設計控制，或識別來自任何來源的控制。（）59、信息安全風險準則包括風險接受準則和風險評價準則。（）60、某組織定期請第三方對其IT系統進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）61、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）62、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬63、風險處置計劃和信息安全殘余風險應獲得最高管理者的授受和批準。（）64、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）65、糾正是指為消除己發現的不符合或其他不期望情況的原因所采取的措施。（）

參考答案一、單項選擇題1、B解析:根據GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任范圍，以減少未授權或無意的修改或者不當使用組織資產的機會2、A3、A4、D5、D解析:信息處理設施，任何的信息處理系統，服務或基礎設施，或其安裝的物理位置，abc選項均屬于信息處理設施變更管理范疇，故選D6、D7、A8、C9、D10、B11、A12、D13、B解析:so9000-20153,4,1過程，利用輸入產生輸出的相互關聯或相互作用的一組活動。故選B14、B15、D16、B17、B解析:2700214,2,3運行平臺變更后對應用的技術評審，當運行平臺發生變更時，應對業務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B18、D19、C20、D21、B22、A23、D24、C25、D26、C27、D28、A29、C30、B31、A32、B33、B34、D35、B36、B37、D38、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現信息安全管理體系過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。cnas-cc1702認證規范性引用文件有cnas-cc01:2015