2021年第四期CCAA注冊審核員復習題—ISMS信息安全管理體系一、單項選擇題1、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性2、ISMS管理評審的輸出應包括（）A、可能影響ISMS的任何變更B、以往風險評估沒有充分強調的脆弱點或威脅C、風險評估和風險處理計劃的更新D、改進的建議3、關于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISCVIEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護4、《中華人民共和國認證認可條例》規定，認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請。A、2年B、3年C、4年D、5年5、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保6、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規程C、對信息安全事件進行響應D、在組織內通報信息安全事件7、由認可機構對認證機構、檢測機構、實驗室從事評審、審核的認證活動人員的能力和執業資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審8、《計算機信息系統安全保護條例》規定：對計算機信息系統中發生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內9、容災的目的和實質是（）A、數據備份B、系統的C、業務連續性管理D、防止數據被破壞10、下面哪一種功能不是防火墻的主要功能?A、協議過濾B、應用網關C、擴展的日志記錄能力D、包交換11、關于信息安全產品的使用，以下說法正確的是:（）A、對于所有的信息系統，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統，己列入信息安全產品認征目錄的，應取得國家信息安全產品人證機構頒發的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞12、為信息系統用戶注冊時，以下正確的是:（）A、按用戶的職能或業務角色設定訪問權B、組共享用戶ID按組任務的最大權限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權13、依據GB/T22080/ISO/IEC27001中控制措施的要求，關于網絡服務的訪問控制策略,以下正確的是()A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規防火墻實現對內部用戶訪問外部網絡的訪問控制14、關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑15、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發、測試和運行環境的分離C、物理安全邊界D、在安全區域工作16、控制影響信息安全的變更，包括（)A、組織、業務活動、信息及處理設施和系統變更B、組織、業務過程、信息處理設施和系統變更C、組織、業務過程、信息及處理設施和系統變更D、組織、業務活動、信息處理設施和系統變更17、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層18、局域網環境下與大型計算機環境下的本地備份方式在（）方面有主要區別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協議19、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明20、關于系統運行日志，以下說法正確的是：（)A、系統管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應納入容量管理C、日志管理即系統審計日志管理D、組織的安全策略應決定系統管理員的活動是否有記入曰志21、下面哪個不是典型的軟件開發模型？（）A、變換型B、漸增型C、瀑布型D、結構型22、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當的保護C、確保信息得到保護D、確保信息按照其級別得到處理23、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用24、拒絕服務攻擊損害了信息系統哪一項性能（）A、完整性B、可用性C、保密性D、可靠性25、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業務的敏感程度C、資產的折損率D、以上全部26、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改27、可用性是指（）A、根據授權實體的要求可訪問和利用的特性B、信息不能被未授權的個人，實體或者過程利用或知悉的特性C、保護資產的準確和完整的特性D、反映事物真實情況的程度28、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄29、組織應按照本標準的要求（）信息安全管理體系。A、策劃、實現、監視、和持續改進B、建立、實施、監視、和持續改進C、建立、實現、維護、和持續改進D、策劃、實施、維護、和持續改進30、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性31、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對32、ISMS關鍵成功因素之一是用于評價信息安全管理執行情況和改進反饋建議的（）系統A、報告B、傳遞C、評價D、測量33、下列()不是創建和維護測量要執行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發和更新測量D、建立測量文檔并確定實施優先級34、漏洞檢測的方法分為（）A、靜態檢測B、動態測試C、混合檢測D、以上都是35、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式36、為了達到組織災難恢復的要求，備份時間間隔不能超過（）。A、服務水平目標（SLO)B、恢復點目標（RPO)C、恢復時間目標（RTO)D、最長可接受終端時間（MAO)37、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?38、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部39、文件化信息指（）A、組織創建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件40、審核證據是指（）A、與審核準則有關的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對二、多項選擇題41、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高42、設計一個信息安全風險管理工具，應包括如下模塊（）。A、資產識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程43、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益44、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發起方實施或委托風險評估服務技術支持方實施D、由信息系統上級管理部門組織的風險評估45、審核計劃中應包括（）A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排46、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差47、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓48、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對49、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入50、管理評審的輸出包括（）A、管理評審報告B、持續改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求51、在信息安全事件管理中，（）是員工應該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發現并報告安全事件D、發現立即處理安全事件52、含有高等級敏感信息的設備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術破壞或刪除C、多次的寫覆蓋D、徹底破壞53、在設計和應用安全區域工作規程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區域內進行不受監督的工作C、使用的安全區域宜上鎖并定期予以評審D、經授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機54、第二階段審核中，應重點審核被審核單位的（）。A、最高管理者的領導力B、與信息安全有關的風險C、基于風險評估和風險處置過程D、ISMS有效性55、《互聯網信息服務管理辦法》中對()類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類三、判斷題56、“資產清單”包含與信息生命周期有關的資產，與信息的創建、處理、存儲、傳輸、刪除和銷毀無關聯的資產不在“資產清單”的范圍內。（）57、組織應適當保留信息安全目標文件化信息（）58、組織業務運行使用云基礎設施服務,同時員工通過自有手機APP執行業務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）59、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一（）60、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。61、糾正是指為消除已發現的不符合或其他不的原因所采取的措施。（）62、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）63、中華人民共和國境內的計算機信息系統的安全保護,適用本條例。未聯網的微型計算機的安全保護辦法,另行制定。64、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）65、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）

參考答案一、單項選擇題1、A2、C3、A4、D5、A解析:理解組織及其環境6、D7、B8、C9、C10、D11、B12、A13、B14、C15、B16、B17、C18、B解析:局域網是指家庭或是辦公室，或者其他環境中小型網絡。而大型計算機環境是指類似服務器的大型網絡。兩者本地備份差別主要體現在容錯能力上，故選B19、B20、B21、A22、A23、A24、B25、B26、D解析:數字簽名就是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和完整性并保護數據，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D27、A28、D29、C30、C31、D解析:應嚴格限制對軟件包的調整以保護其完整性32、D33、D34、D解析:漏洞檢測分為被動檢測（靜態），主動檢測（動態），綜合檢測（混合檢測）。故選D35、C36、C37、B38、D39、C40、A二、多項選擇題41、A,B,C42、A,B,C,D解析:所有選項均符合，本題選ABCD43、A,B,C,D44、A,C45、A,B解析:參考270013,2信