2021年第四期CCAA注冊審核員復習題—ISMS信息安全管理體系知識一、單項選擇題1、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務2、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態組成，它們具有損害業務運行和威脅信息安全的極大可能性A、已經發生B、可能發生C、意外D、A+B+C3、訪問控制是確保對資產的訪問，是基于（）要求進行授權和限制的手段。A、用戶權限B、可被用戶訪問的資料C、系統是否遭受入侵D、可給予哪些主體訪問4、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內容過濾D、進行流量控制5、保密協議或不泄露協議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規定6、文件化信息創建和更新時，組織應確保適當的（）A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準7、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是8、依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對9、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對10、《計算機信息系統安全保護條例》中所稱計算機信息系統，是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統B、計算機及其相關的設備、設施，不包括軟件C、計算機運算環境的總和，但不含網絡D、一個組織所有計算機的總和，包括未聯網的微型計算機11、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統與互聯網的連接即可防范惡意軟件B、安裝入侵探測系統即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件12、涉及運行系統驗證的審計要求和活動，應（）A、謹慎地加以規劃并取得批準，以便最小化業務過程的中斷B、謹慎地加以規劃并取得批準，以便最大化保持業務過程的連續C、謹慎地加以實施并取得批準，以便最小化業務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業務過程的連續13、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析14、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部15、關于信息安全連續性，以下說法正確的是（）A、信息安全連續性即IT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定16、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發生的可能性，但不能降低安全事件的潛在影響17、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規和其它要求D、A+BE、A+C18、風險責任人是指（）A、具有責任和權限管理一項風險的個人或實體B、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者19、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業務的敏感程度C、資產的折損率D、以上全部20、監督、檢查、指導計算機信息系統安全保護工作是（）對計算機信息系統安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局21、下面哪一種環境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應22、關于信息系統登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應遵從的優質口令策略D、使用互動式管理確保用戶使用優質口令23、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人24、對于較大范圍的網絡，網絡隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對25、（）是建立有效的計算機病毒防御體系所需要的技術措施。A、補丁管理系統、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統和防火墻D、網絡入侵檢測、防病毒系統和防火墻26、下面哪一種環境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應27、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、做出是否換發證書的決定28、《計算機信息系統安全保護條例》規定：對計算機信息系統中發生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內29、信息安全管理體系是用來確定（)A、組織的管理效率B、產品和服務符合有關法律法規程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度30、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網絡釣魚攻擊DR31、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪向的形式C、以遠程視頻的形式D、以上都対32、下列管理評審的方式，哪個不滿足標準的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網絡會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審33、國家秘密的保密期限應為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年34、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準35、保密性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対36、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當的保護C、確保信息得到保護D、確保信息按照其級別得到處理37、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意38、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式39、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數據竊聽B、誤操作C、數據流分析D、數據篡改40、《信息安全等級保護管理辦法》規定，應加強沙密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每（）至少進行次保密檢查或者系統測評。A、半年B、1年C、1.5年D、2年二、多項選擇題41、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類42、不符合項報告應包括A、不符合事實的描述B、不符合的標準條款及內容C、不符合的原因D、不符合的性質43、關于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則44、管理評審的輸出包括（）A、管理評審報告B、持續改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求45、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果46、《互聯網信息服務管理辦法》中對()類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類47、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發布公司內部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉化其微信群會討論的信息48、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對49、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理50、關于目標，下列說法正確的是（）A、目標現的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品51、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制52、關鍵信息基礎設施包括三大部分，分別是（）。A、關鍵基礎設施B、基礎信息網絡C、重要信息系統D、重要互聯網應用系統53、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監視、測量、分析和評價的過程B、適用的監視、測量、分析和評價的方法C、需要被監視和測量的內容D、監視、測量、分析和評價的執行人員54、對于信息安全方針,（）是GB/T22080-2016標準要求的A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審55、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監視和測量顧客滿意的方法之一是發調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了三、判斷題56、某組織在生產系統上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）57、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）58、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一。59、通過修改某種已知計算機病毒的代碼，使其能夠躲過現有計算機病毒檢測程序時，可以稱這種新出現的計算機病毒是原來計算機病毒的變形。60、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統，并降低進入該系統的無意錯誤操作導致的影響（）61、實習審核員可以獨立完成審核任務。（）62、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）63、風險處置計劃和信息安全殘余風險應獲得最高管理者的授受和批準。（）64、創建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。65、容量管理策略可以考慮增加容量或降低容量要求（）

參考答案一、單項選擇題1、A2、C解析:信息安全事件，指一個或一系列意外或不期望的信息安全事態組成，他們極有可能損害業務運行并威脅信息安全。故選C3、D4、A5、A6、D7、D8、C9、B10、A11、D12、A13、D解析:主動攻擊會導致某些數據流的篡改和虛假數據流的產生，這類攻擊分篡改，偽造消息數據和終端（拒絕服務）。被動攻擊中攻擊者不對數據信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數據。通常包括竊聽，流量分析，破解弱加密的數據流等攻擊方式。故選D14、D15、B16、D17、E18、A19、B20、B21、D22、B23、C24、B25、D26、D解析:短期停電即電力中斷，故選D。可中斷的電力供應27、D28、C29、C30、B31、A32、A33、