2021年第四期CCAA國家注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、相關方的要求可以包括（）A、標準、法規要求和合同義務B、法律、標準要求和合同義務C、法律、法規和標準要求和合同義務D、法律、法規要求和合同義務2、在我國信息系統安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求3、對于可能超越系統和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單4、管理員通過桌面系統下發IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態B、斷開網絡并持續阻斷C、彈出提示街口對其發出警告D、鎖定鍵盤鼠標5、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內容過濾D、進行流量控制6、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法7、依據GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監視和評審范疇的是（）。A、監視和評審服務級別協議的符合性B、監視和評審服務方人員聘用和考核的流程C、監視和評審服務交付遵從協議規定的安全要求的程度D、監視和評審服務方跟蹤處理信息安全事件的能力8、依據GB/T22080，關于職責分離，以下說法正確的是(）A、信息安全政策的培訓者與審計之間的職責分離B、職責分離的是不同管理層級之間的職責分離C、信息安全策略的制定者與受益者之間的職責分離D、職責分離的是不同用戶組之間的職責分離9、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果10、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對11、當操作系統發生變更時，應對業務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認12、根據ISO/IEC27001中規定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布13、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網關模式D、旁路接入模式14、組織應（），以確信相關過程按計劃得到執行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產生文件化信息達到必要的程度15、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域16、計算機信息系統安全專用產品是指：（）A、用于保護計算機信息系統安全的專用硬件和軟件產品B、按安全加固要求設計的專用計算機C、安裝了專用安全協議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產品17、物理安全周邊的安全設置應考慮：（）A、區域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區或其他功能區C、入侵探測和報警機制D、A+C18、創建和更新文件化信息時，組織應確保適當的（）A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準19、關于備份，以下說法正確的是(）A、備份介質中的數據應定期進行恢復測試B、如果組織刪減了“信息安全連續性”要求，同機備份或備份本地存放是可接受的C、發現備份介質退化后應考慮數據遷移D、備份信息不是管理體系運行記錄，不須規定保存期20、信息安全管理中，關于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術脆弱性B、軟件開發人員為方便維護留的后門是脆弱性的一種C、識別資產脆弱性時應考慮資產的固有特性，不包括當前安全控制措施D、使信息系統與網絡物理隔離可杜絕其脆弱性被威脅利用的機會21、下列措施中，（）是風險管理的內容。A、識別風險B、風險優先級評價C、風險處置D、以上都是22、文件化信息創建和更新時，組織應確保適當的（)A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業性的評審和批準23、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改24、設備維護維修時，應考慮的安全措施包括：（）A、維護維修前，按規定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權的新增功能C、敏感部件進行物理銷毀而不予送修D、以上全部25、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態組成，它們具有損害業務運行和威脅信息安全的極大可能性A、已經發生B、可能發生C、意外D、A+B+C26、下列關于DMZ區的說法錯誤的是()A、DMZ可以訪問內部網絡B、通常DMZ包含允許來自互聯網的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內部網絡可以無限制地訪問夕卜部網絡以及DMZD、有兩個DMZ的防火墻環境的典型策略是主防火墻采用NAT方式工作27、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)28、ISMS文件的多少和詳細程度取決于()A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對29、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700530、依據GB/T22080-2016/IS0/IEC27001:2013，以下關于資產清單正確的是（）。A、做好資產分類是其基礎B、采用組織固定資產臺賬即可C、無需關注資產產權歸屬者D、A+B31、關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑32、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用33、根據GB/T22080-2016/ISO/IEC27001:2013標準，以下做法不正確的是（）A、保留含有敏感信息的介質的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應定期檢查機房空調的有效性34、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?35、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險36、口令管理系統應該是（）,并確保優質的口令A、唯一式B、交互式C、專人管理式D、A+B+C37、依據GB/T22080/ISO/IEC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規防火墻實現對內部用戶訪問外部網絡的訪問控制38、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限39、以下說法不正確的是(）A、應考慮組織架構與業務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新40、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網絡故障二、多項選擇題41、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴42、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動43、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核44、網絡常見的拓撲形式有（）A、星型B、環型C、總線D、樹型45、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動46、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統一領導，(）依法管理、保障安全的原則。A、創新發展B、分級應用C、服務大局D、分級負責47、信息安全管理中，支持性基礎設施指：()A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、網絡設備48、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類49、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴50、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益51、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓52、對于審核發現（）A、審核組應根據需要，在審核的適當階段共同評審審核發現B、根據審核計劃和檢査表要求，只需記錄每個不符合審核發現的審核證據C、應與受審核方一起評審不符合的審核發現，以確認審核證據的準確性，并得到受審核方的理解D、包括正面的和負面的發現53、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS54、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是（）A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后55、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性三、判斷題56、“資產清單”包含與信息生命周期有關的資產，與信息的創建、處理、存儲、傳輸、刪除和銷毀無關聯的資產不在“資產清單”的范圍內。（）57、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）58、實習審核員可以獨立完成審核任務。（）59、記錄可提供符合信息安全管理體系要求和有效運行的證據。（）60、最高管理層應確保方針得到建立（）61、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）62、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾63、較低的恢復時間目標會有更長的中斷時間。（）64、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）65、組織的內外部相關方要求屬于組織的內部和外部事項”（）

參考答案一、單項選擇題1、D2、D3、D4、D5、A6、C7、B8、B9、C10、B解析:so9000-20153,4,1過程，利用輸入產生輸出的相互關聯或相互作用的一組活動。故選B11、B解析:2700214,2,3運行平臺變更后對應用的技術評審，當運行平臺發生變更時，應對業務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B12、C13、D14、B15、A16、A17、D18、D解析:27001,7,5,2創建和更新，創建和更新文件化信息時，組織應確保適當的標識和描述；格式和介質；對適宜性和充分性的評審和批準19、A20、B21、D22、D23、D解析:數字簽名就是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和完整性并保護數據，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D24、D25、C解析:信息安全事件