2021年6月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用2、應定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準3、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是4、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用5、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確6、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵7、關于互聯(lián)網(wǎng)信息服務，以下說法正確的是A、互聯(lián)網(wǎng)服務分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務應當在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務未取得許可不得進行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務活動8、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準9、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件10、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改11、口令管理系統(tǒng)應該是（）,并確保優(yōu)質(zhì)的口令A、唯一式B、交互式C、專人管理式D、A+B+C12、一家投資顧問商定期向客戶發(fā)送有關經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件13、關于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權方式、時限和訪問類型B、對于多任務訪問，一次性賦予全任務權限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應與其中的資產(chǎn)敏感性一致14、組織應()與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保15、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?16、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術對其分析17、設備維護維修時，應考慮的安全措施包括：（）A、維護維修前，按規(guī)定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權的新增功能C、敏感部件進行物理銷毀而不予送修D(zhuǎn)、以上全部18、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡地址欺騙19、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)D、以上全部20、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區(qū)域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區(qū)域21、下列措施中，（）是風險管理的內(nèi)容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是22、進入重要機構(gòu)時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記23、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶24、以下可表明知識產(chǎn)權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數(shù)25、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D、審核中的觀察項26、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準27、關于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令28、完整性是指()A、根據(jù)授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、保護資產(chǎn)保密和可用的特性29、關于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應定期進行恢復測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期30、我國網(wǎng)絡安全等級保護共分幾個級別？（）A、7B、4C、5D、631、當獲得的審核證據(jù)表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以32、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結(jié)論B、認證決定人員不宜推翻審核組的負面結(jié)論C、認證機構(gòu)應對客戶組織的ISMS至少進行一次完整的內(nèi)部審核D、認證機構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期33、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低34、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、435、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡拓撲D、局域網(wǎng)協(xié)議36、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意37、關于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令38、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎設施C、人力資源D、以上全部39、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞40、（）是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障二、多項選擇題41、訪問控制包括()A、網(wǎng)絡和網(wǎng)絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制42、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)43、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對44、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核45、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中46、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核47、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模48、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求49、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施D、顧客不投訴并不意味著顧客滿意了50、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務技術支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估51、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息52、計算機信息系統(tǒng)的安全保護，應保障（）A、計算機及相關配套設施的安全B、網(wǎng)絡安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮53、設計一個信息安全風險管理工具，應包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程54、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)55、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定三、判斷題56、從審核開始到結(jié)束,審核組長應對審核實施負責57、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）58、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網(wǎng)絡的有效帶寬。（）59、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。60、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）61、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）62、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）63、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）64、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）65、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）

參考答案一、單項選擇題1、A2、D3、D4、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A5、B6、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務和安全要求進行授權和限制的手段。A表述更為全面，B,C選項過于細化，故選A7、C8、D9、D10、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D11、B12、C13、B14、A15、A16、C17、D18、A19、D20、A21、D22、B23、C24、D25、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準則進行評價的結(jié)果，故選C26、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時，組織應確保適當?shù)臉俗R和描述；格式和介質(zhì)；對適宜性和充分性的評審和批準27、C解析:應確保秘密鑒別信息的保密性，確保鑒別信息得到適當?shù)谋Ｗo，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護，故選C28、C29、A30、C31、B32、B