2021年第四期CCAA注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險2、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是3、風險評價是指（）A、系統地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協調活動D、以上都對4、虛擬專用網(VPN)的數據保密性，是通過什么實現的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(Tunnelling)C、數字簽名D、風險釣魚5、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數的密碼D、10位的綜合型密碼6、下列不一定要進行風險評估的是（）A、發布新的法律法規B、ISMS最高管理者人員變更C、ISMS范圍內的網絡采用新的網絡架構D、計劃的時間間隔7、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意8、依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對9、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼10、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確11、一家投資顧問商定期向客戶發送有關經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發送前，用投資項問商的私鑰數字簽名郵件D、電子郵件發送前，用投資顧向商的私鑰加密郵件12、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層13、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用14、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700515、《信息安全等級保護管理辦法》規定,應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評。A、半年B、1年C、1.5年D、2年16、進入重要機構時，在門衛處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記17、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA18、由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執業資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審19、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略20、以下哪項不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統漏洞C、應用程序BUGD、人員的不良操作習慣21、根據《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機密D、秘密22、依據GB/T22080-2016/IS0/IEC27001:2013，以下關于資產清單正確的是（）。A、做好資產分類是其基礎B、采用組織固定資產臺賬即可C、無需關注資產產權歸屬者D、A+B23、經過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險24、關于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現的順序C、信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中D、信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性25、在形成信息安全管理體系審核發現時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性26、計算機病毒是計算機系統中一類隱藏在（）上蓄意破壞的搗亂程序A、內存B、軟盤C、存儲介質D、網絡27、容量管理的對象包括（）A、服務器內存B、網絡通信帶寬C、人力資源D、以上全部28、對于交接區域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設備設施予以檢查驗證,對于離開組織的設備設施則不必驗證B、對于離開組織的設備設施予以檢查驗證,對于進入組織的設備設施則不必驗證C、對于進入和離開組織的設備設施均須檢查驗證D、對于進入和離開組織的設備設施，驗證攜帶者身份信息;可替代對設備設施的驗證29、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序30、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督31、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發生的可能性，但不能降低安全事件的潛在影響32、審核發現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項33、創建和更新文件化信息時，組織應確保適當的（）。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準34、依據GB/T22080/ISO/IEC27001，建立資產清單即：（）A、列明信息生命周期內關聯到的資產，明確其對組織業務的關鍵性B、完整采用組織的固定資產臺賬，同時指定資產負責人C、資產價格越高，往往意味著功能越全，因此資產重要性等級就越高D、A+B35、對于較大范圍的網絡，網絡隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對36、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果37、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?38、涉及運行系統驗證的審計要求和活動，應（）A、謹慎地加以規劃并取得批準，以便最小化業務過程的中斷B、謹慎地加以規劃并取得批準，以便最大化保持業務過程的連續C、謹慎地加以實施并取得批準，以便最小化業務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業務過程的連續39、根據GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓B、背景調査C、安全技能與崗位要求匹配的評估D、簽署保密協議40、容量管理的對象包括（）A、信息系統內存B、辦公室空間和基礎設施C、人力資源D、以上全部二、多項選擇題41、管理評審的輸出應包括（）A、與持續改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執行情況42、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規避風險43、以下（）活動是ISMS監視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施44、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監視測量的結果C、審核結果D、信息安全方針完成情況45、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類46、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制47、《中華人民共和國認證認可條例》制定的目的是為了規范認證認可活動，提高產品、服務的（），促進經濟和社會的發展。A、質量B、數量C、管理水平D、競爭力48、以下（）活動是ISMS監視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施49、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核50、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處理51、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴52、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對53、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S54、關于“不可否認性”，以下說法正確的是（）A、數字簽名是實現“不可否認性”的有效技術手段B、身份認證是實現“不可否認性”的重要環節C、數字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態或行為的發生及其源起者的能力即不可否認性55、計算機信息系統的安全保護，應保障（）A、計算機及相關配套設施的安全B、網絡安全C、運行環境安全D、計算機功能和正常發揮三、判斷題56、糾正是指為消除已發現的不符合或其他不的原因所采取的措施。（）57、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）58、最高管理層應建立信息安全方針、該方針應包括對持續改進信息安全管理體系的承諾。59、組織應適當保留信息安全目標文件化信息。（）60、某互聯網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規定的安全控制程序，無論手機是公司配發的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)61、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。62、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）63、容量管理策略可以考慮增加容量或降低容量要求（）64、某組織在生產系統上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）65、敏感信息通過網絡傳輸時必須加密處理。（)

參考答案一、單項選擇題1、C解析:參考GB/T20984-2007信息安全風險評估規范，3,12殘余風險是指采取了安全措施后，信息系統仍然可能存在的風險。故選C2、D3、B4、B5、D6、D7、C8、C9、C10、B11、C12、C13、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A14、B15、D16、B17、B18、B19、D20、A21、B22、A23、D24、B解析:引言中明確表述，標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現的順序25、B26、C27、D28、C29、D30、B31、D32、C33、D34、A35、B36、C37、A38、A39、A40、D二、多項選擇題41、A,B42、B,C,D43、B,C44、A,B,C45、A,B,D46、B,D47、A,D解析:略2700214,2,4軟件包變更的限制，應不鼓勵對軟件包進行修改，僅限于必要的變更，且對所有變更加以嚴格控制，A正確。12,1,4開發、測試、運行的分離，除在特殊情況下，測試不宜在運行系統上進行，B選項錯誤。C選項表述避重就輕，無論自行開發還是外包、采購都必須符合信息安全，而非限制軟件途徑。D選項正確，要進行惡