2021年第二期CCAA國家注冊審核員復習題—ISMS信息安全管理體系知識一、單項選擇題1、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果2、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況3、下列措施中，（）是風險管理的內容。A、識別風險B、風險優先級評價C、風險處置D、以上都是4、風險評價是指（）A、系統地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協調活動D、以上都對5、()是風險管理的重要一環。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序6、關于系統運行日志，以下說法正確的是：（)A、系統管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應納入容量管理C、日志管理即系統審計日志管理D、組織的安全策略應決定系統管理員的活動是否有記入曰志7、關于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執行網絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據路由表確定最短路徑D、強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件8、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統有關人員9、關于互聯網信息服務，以下說法正確的是A、互聯網服務分為經營性和非經營性兩類，其中經營性互聯網信息服務應當在電信主管部門備案B、非經營性互聯網信息服務未取得許可不得進行C、從事經營性互聯網信息服務，應符合《中華人民共和國電信條例》規定的要求D、經營性互聯網服務，是指通過互聯網向上網用戶無嘗提供具有公開性、共享性信息的服務活動10、口令管理系統應該是（）,并確保優質的口令A、唯一式B、交互式C、專人管理式D、A+B+C11、下列()不是創建和維護測量要執行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發和更新測量D、建立測量文檔并確定實施優先級12、根據ISO/IEC27001中規定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布13、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對14、下列管理評審的方式，哪個不滿足標準的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網絡會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審15、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規程C、對信息安全事件進行響應D、在組織內通報信息安全事件16、風險識別過程中需要識別的方面包括：資產識別、識別威脅、識別現有控制措施、（）。A、識別可能性和影響B、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響17、對全國密碼工作實行統一領導的機構是(）A、中央密碼工作領導機構B、國家密碼管理部門C、中央國家機關D、全國人大委員會18、關于信息安全連續性，以下說法正確的是（）A、信息安全連續性即IT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定19、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內員工的個人隱私數據得到保護B、認證范圍內涉及顧客的個人隱私數據得到保護C、認證范圍內涉及相關方的個人隱私數據數據得到保護D、以上全部20、根據《互聯網信息服務管理辦法》規定，國家對經營性互聯網信息服務實行()A、國家經營B、地方經營C、備案制度D、許可制度21、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規定的最大用戶數22、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估23、當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當的措施C、宣布取消末次會議D、以上都不可以24、某公司計劃升級現有的所有PC機，使其用戶可以使用指紋識別登錄系統，訪問關鍵數據實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續（或稱為：初始化手續）B、完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權用戶不可能訪問到關鍵數據25、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發、測試和運行環境的分離C、物理安全邊界D、在安全區域工作26、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復27、()可用來保護信息的真實性、完整性A、數字簽名B、惡意代碼C、風險評估D、容災和數據備份28、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人29、確定資產的可用性要求須依據（）。A、授權實體的需求B、信息系統的實際性能水平C、組織可支付的經濟成本D、最高管理者的決定30、漏洞檢測的方法分為（）A、靜態檢測B、動態測試C、混合檢測D、以上都是31、對于獲準認可的認證機構，認可機構證明（）A、認證機構能夠開展認證活動B、其在特定范圍內按照標準具有從事認證活動的能力C、認證機構的每張認證證書都符合要求D、認證機構具有從事相應認證活動的能力32、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保33、—家投資顧問商定期向客戶發送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發送前，用投資顧問商的私鑰數字簽名郵件D、電子郵件發送前，用投資顧問商的私鑰加密郵件34、下面哪一種環境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應35、桌面系統級聯狀態下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除36、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督37、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是38、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬39、《中華人民共和國網絡安全法》中的"三同步"要求，以下說法正確的是（）A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用40、安全區域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛處進行登記C、重點機房安裝有門禁系統D、以上全部二、多項選擇題41、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態度和能力B、組織的規模和活動的類型C、人員的能力D、管理系統的復雜程度42、針對敏感應用系統安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規定時間強制使其退出登錄C、對于修改系統核心業務運行數據的操作限定操作時間D、對于數據庫系統審計人員開放不限時權限43、在信息安全事件管理中，（）是員工應該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發現并報告安全事件D、發現立即處理安全事件44、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中45、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理46、信息安全方針應（）A、形成文件化信息并可用B、與組織內外相關方全面進行溝通C、確保符合組織的戰略方針D、適當時，對相關方可用47、《中華人民共和國認證認可條例》制定的目的是為了規范認證認可活動，提高產品、服務的（），促進經濟和社會的發展。A、質量B、數量C、管理水平D、競爭力48、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容49、對于審核發現（）A、審核組應根據需要，在審核的適當階段共同評審審核發現B、根據審核計劃和檢査表要求，只需記錄每個不符合審核發現的審核證據C、應與受審核方一起評審不符合的審核發現，以確認審核證據的準確性，并得到受審核方的理解D、包括正面的和負面的發現50、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求51、審核計劃中應包括（）A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排52、以下屬于信息安全管理體系審核證據的是（）A、信息系統的閾值列表B、信息系統運行監控中心顯示的實時資源占用數據C、數據恢復測試的日志D、信息系統漏洞測試分析報告53、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發布公司內部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉化其微信群會討論的信息54、以下屬于“信息處理設施”的是（）A、信息處理系統B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施55、評價信息安全風險，包括（）A、將風險分析的結果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優先級D、計算風險大小三、判斷題56、當需要時，組織可設計控制，或識別來自任何來源的控制。（）57、審核組可以由一個人組成。（）58、組織業務運行使用云基礎設施服務,同時員工通過自有手機APP執行業務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）59、對不同類型的風險可以采用不同的風險接受準則，例如，導致對法律法規不符合的風險可能是不可接受的，但可能允許接受導致違背合同要求的高風險。（）60、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）61、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）62、審核方案應包括審核所需的資源，例如交通和食宿。（）63、糾正是指為消除己發現的不符合或其他不期望情況的原因所采取的措施。（）64、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）65、敏感信息通過網絡傳輸時必須加密處理。（)

參考答案一、單項選擇題1、C2、B3、D4、B5、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監視和風險評審。因此風險處置計劃是風險管理的重要一環，故選C6、B7、C8、D9、C10、B11、D12、C13、D14、A15、D16、B解析:27005信息安全風險管理8,2,,1風險識別，包括資產識別，威脅識別，現有控制措施識別，脆弱性識別，后果識別。故選B17、A18、B19、D20、D21、D22、D23、B24、A25、B26、C27、A28、C29、A解析:資產在可用性上的不同要求，依據授權實體的需求而定，故選A30、D解析:漏洞檢測分為被動檢測（靜態），主動檢測（動態），綜合檢測（混合檢測）。故選D31、B32、A33、C34、D解析:短期停電即電力中斷，故選D。可中斷的電力供應35、A36、B37、D38、B39、A40、D