2022年9月CCAA注冊ISMS信息安全管理體系審核員知識模擬試題一、單項選擇題1、當操作系統發生變更時,應對業務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認2、信息是消除（）的東西A、不確定性B、物理特性C、不穩定性D、干擾因素3、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內員工的個人隱私數據得到保護B、認證范圍內涉及顧客的個人隱私數據得到保護C、認證范圍內涉及相關方的個人隱私數據數據得到保護D、以上全部4、下列()不是創建和維護測量要執行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發和更新測量D、建立測量文檔并確定實施優先級5、下列哪一種情況下，網絡數據管理協議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環境時C、需要備份舊的備份系統不能處理的文件許可時中先創學D、要保證跨多個數據卷的備份連續、一致時6、容量管理的對象包括（）A、信息系統內存B、辦公室空間和基礎設施C、人力資源D、以上全部7、下面哪個不是典型的軟件開發模型？（）A、變換型B、漸增型C、瀑布型D、結構型8、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數的密碼D、10位的綜合型密碼9、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、做出是否換發證書的決定10、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、作出是否換發證書的決定11、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況12、根據《互聯網信息服務管理辦法》規定，國家對經營性互聯網信息服務實行()A、國家經營B、地方經營C、備案制度D、許可制度13、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改14、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序15、當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當的措施C、宣布取消末次會議D、以上都不可以16、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪向的形式C、以遠程視頻的形式D、以上都対17、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對18、經過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險19、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4020、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略21、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意22、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當的保護C、確保信息得到保護D、確保信息按照其級別得到處理23、關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂（）協議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任24、在我國《信息安全等級保護管理辦法》中將信息系統的安全等級分為（）級A、3B、4C、5D、625、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式26、對保密文件復印件張數核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續性27、局域網環境下與大型計算機環境下的本地備份方式在（）方面有主要區別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協議28、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域29、關于容量管理，以下說法不正確的是（）A、根據業務對系統性能的需求，設置閾值和監視調整機制B、針對業務關鍵性，設置資源占用的優先級C、對于關鍵業務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規劃30、信息安全管理體系是用來確定（)A、組織的管理效率B、產品和服務符合有關法律法規程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度31、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果32、根據ISO/IEC27001中規定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布33、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護34、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700535、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是36、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬37、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對38、風險評價是指（）A、系統地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協調活動D、以上都對39、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析40、由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執業資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審二、多項選擇題41、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規避風險42、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監視、測量、分析和評價的過程B、適用的監視、測量、分析和評價的方法C、需要被監視和測量的內容D、監視、測量、分析和評價的執行人員43、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理44、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規避風險45、關于審核發現，以下說法正確的是：（）A、審核發現是收集的審核證據對照審核準則進行評價的結果B、審核發現包括正面的和負面的發現C、審核發現是審核結論的輸入D、審核發現是制定審核準則的依據46、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標47、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性48、A,B,C解析:gb/t20984-20077,2自評估是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估，A正確。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統發生變化后引入的新威脅，以及系統脆弱性的完整性識別，以便于兩次評估結果對比，B正確。自評估可由發起方實施或委托風險評估服務技術支持方實施，C正確。D錯誤，主體錯誤，檢查評估是信息系統上級管理部門組織的或國家有關職能部門依法展開的風險評估。本題選ABC49、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類50、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對51、在設計和應用安全區域工作規程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區域內進行不受監督的工作C、使用的安全區域宜上鎖并定期予以評審D、經授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機52、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置53、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發起方實施或委托風險評估服務技術支持方實施D、由信息系統上級管理部門組織的風險評估54、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴55、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后三、判斷題56、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）57、組織應持續改進信息安全管理體系的適宜性、充分性和有效性。（）58、容量管理策略可以考慮增加容量或降低容量要求。（）59、《中華人民共和國網絡安全法》中的“網絡運營者”，指網絡服務提供者，不包括其他類型的網絡所有者和管理者。（）60、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統，并降低進入該系統的無意錯誤操作導致的影響（）61、某組織租用第三方數據中心機房托管其IT系統設備，因此認證審核時不必審核計算機機房物理安全的相關內容()62、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一（）63、創建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。64、組織ISMS的相關方的需求和期望由組織戰略決策層的決定（）65、某互聯網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規定的安全控制程序，無論手機是公司配發的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)

參考答案一、單項選擇題1、B2、A3、D4、D5、A6、D7、A8、D9、D10、D解析:監督審核是現場審核，但不一定是對整個體系的審核，并應與其他監督活動一起策劃，以使認證機構能對獲證客戶管理體系在認證周期內持續滿足要求保持信任。相關管理體系標準的每次監督審核應包括對以下方面的審查：（1）內部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現獲證客戶目標和各管理體系的預期結果方面的有效性；（5）為持續改進而策劃的活動的進展；（6）持續的運作控制；（7）任何變更；（8）標志的使用和（或）任何其他對認證資格的引用。綜上A,B,C項均是監督審核的目的，故選D。另外，再認證的策劃和及時實施，才能確保認證能在到期前及時更新，監督審核不能決定是否換發證書11、B12、D13、D解析:數字簽名就是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和完整性并保護數據，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D14、D15、B16、A17、C18、D19、A20、D21、C22、A23、A解析:《中華人民共和國網絡安全法》第36條，關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂安全保密協議，明確安全