2021年第一期CCAA注冊ISMS信息安全管理體系審核員知識復習題一、單項選擇題1、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級2、容量管理的對象包括（）A、信息系統內存B、辦公室空間和基礎設施C、人力資源D、以上全部3、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息4、在我國信息系統安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求5、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業務戰略B、法律法規要求C、合同要求D、以上全部6、以下對GB/T22081-2016/IS0/IEC27002:2013標準的描述，正確的是（）A、該標準屬于要求類標準B、該標準屬于指南類標準C、該標準可用于一致性評估D、組織在建立ISMS時，必須滿足該標準的所有要求7、關于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求已得到滿足，即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意8、系統備份與普通數據備份的不同在于，它不僅備份系統中的數據，還備份系統中安裝的應用程序，數據庫系統、用戶設置、系統參數等信息，以便迅速（）A、恢復全部程序B、恢復網絡設置C、恢復所有數據D、恢復整個系統9、管理者應（）A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內部審核D、確保ISMS管理評審的執行10、以下不屬于信息安全事態或事件的是：A、服務、設備或設施的丟失B、系統故障或超負載C、物理安全要求的違規D、安全策略變更的臨時通知11、描述組織采取適當的控制措施的文檔是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序12、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現的結果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B13、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況14、計算機病毒系指_____。A、生物病毒感染B、細菌感染C、被損壞的程序D、特制的具有損壞性的小程序15、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確16、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現場審核有關的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領導進行溝通17、設備維護維修時，應考慮的安全措施包括：（）A、維護維修前，按規定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權的新增功能C、敏感部件進行物理銷毀而不予送修D、以上全部18、ISMS文件的多少和詳細程度取決于()A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對19、依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業秘密D、其他選項均正確20、根據《互聯網信息服務管理辦法》規定，國家對經營性互聯網信息服務實行（）A、國家經營B、地方經營C、許可制度D、備案制度21、下列管理評審的方式，哪個不滿足標準的要求?(）A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網絡會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審22、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700523、最高管理者應（）。A、確保制定ISMS方針B、制定ISMS目標和計劃C、實施ISMS內部審核D、主持ISMS管理評審24、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保25、某公司進行風險評估后發現公司的無線網絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規避C、風險轉移D、風險減緩26、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務27、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估28、完整性是指()A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、保護資產保密和可用的特性29、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、網絡安全應采取必要措施防范對網絡的攻擊和侵入B、網絡安全措施包括防范對網絡的破壞C、網絡安全即采取措施保護信息在網絡中傳輸期間的安全D、網絡安全包括對信息收集、存儲、傳輸、交換、處理系統的保護30、口令管理系統應該是（）,并確保優質的口令A、唯一式B、交互式C、專人管理式D、A+B+C31、()屬于管理脆弱性的識別對象A、物理環境B、網絡結構C、應用系統D、技術管理32、下列()不是創建和維護測量要執行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發和更新測量D、建立測量文檔并確定實施優先級33、下面哪個不是典型的軟件開發模型？（）A、變換型B、漸增型C、瀑布型D、結構型34、保密性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対35、公司A在內審時發現部分員工計算機開機密碼少于6位，公司文件規定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優質口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育36、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性37、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規定的最大用戶數38、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性39、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析40、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對二、多項選擇題41、關于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則42、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果43、下列有關涉密信息系統說法正確的是（）A、涉密信息系統經單位保密工作機構測試后即可投入使用B、涉密信息系統投入運行前應當經過國家保密行政管理部門審批C、涉密計算機重裝操作系統后可降為非涉密計算機使用D、未經單位信息管理部門批準不得自行重裝操作系統44、《互聯網信息服務管理辦法》中對()類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類45、管理評審的輸出應包括（）A、與持續改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執行情況46、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針47、按覆蓋的地理范圍進行分類，計算機網絡可以分為（）A、局域網B、城域網C、廣域網D、區域網48、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核49、關于涉密信息系統的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯網及其他公共信息網絡B、涉密計算機只有采取了適當防護措施才可接入互聯網C、涉密信息系統中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經安全技術處理不得改作其他用途50、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理51、對于涉密信息系統，以下說法正確的是（）A、使用的信息安全保密產品原則上應選擇國產產品B、使用的信息安全保密產品應當通過國家保密局授權的檢測機構檢測C、使用的信息安全保密產品應當通過國家保密局審核發布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平52、計算機信息系統的安全保護，應保障（）A、計算機及相關配套設施的安全B、網絡安全C、運行環境安全D、計算機功能和正常發揮53、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理54、關于目標，下列說法正確的是（）A、目標現的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品55、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴三、判斷題56、容量管理策略可以考慮增加容量或降低容量要求（）57、訪問控制列表指由主體以及主體對客體的訪問權限所組成列表。58、某組織定期請第三方對其IT系統進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）59、最高管理層應建立信息安全方針、該方針應包括對持續改進信息安全管理體系的承諾。60、最高管理層應確保方針得到建立（）61、某組織在生產系統上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）62、計算機信息系統是由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統（）63、審核組可以由一個人組成。（）64、IT系統日志保存所需的資源不屬于容量管理的范圍。（）65、客戶所有場所業務的范圍相同，且在同一ISMS下運行，并接受統一的管理、內部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)

參考答案一、單項選擇題1、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級2、D3、C4、D5、D6、B7、C8、D9、A10、D11、B12、A13、B14、D15、D解析:信息處理設施，任何的信息處理系統，服務或基礎設施，或其安裝的物理位置，abc選項均屬于信息處理設施變更管理范疇，故選D16、A17、D18、D19、D解析:網絡安全法第45條，依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D20、C解析:《互聯網信息服務管理辦法》，國家對經營性互聯網信息服務實行許可制度；對非經營性互聯網信息服務實行備案制度，故選C21、A22、B23、D24、A解析:理解組織及其環境25、B26、A27、D28、C29、C解析:網絡安全法第七十六條，網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集，存儲，傳輸，交換，處理的系統。網絡安全，是指通過采取必要措施，防范對網絡的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性，保密性，可用性的能力。故選C30、B31、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當的措施來應對相關風險。故選D32、D33、A34、B35、A36、A37、D38、C39、C40、D二、多項選擇題41、A,B,D42、A,B,C,D43、B,D44、A,B,D45、A,B46、應以安全的方式將臨時秘密鑒別信息提供給用戶；應避免使用外部防火未受保護的（明文）電子郵件。綜上本題選BCD47、A,B,C48、A,B,C,D解析:參考本法第二條，在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的監督管理