2022年9月ISMS信息安全管理體系CCAA審核員考試題目一、單項選擇題1、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業務戰略B、法律法規要求C、合同要求D、以上全部2、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準3、在考慮網絡安全策略時，應該在網絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷4、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息5、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼6、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權限控制C、數據加密D、數據備份7、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險8、關于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執行網絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據路由表確定最短路徑D、強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件9、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對10、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析11、依據GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監視和評審范疇的是（）。A、監視和評審服務級別協議的符合性B、監視和評審服務方人員聘用和考核的流程C、監視和評審服務交付遵從協議規定的安全要求的程度D、監視和評審服務方跟蹤處理信息安全事件的能力12、計算機病毒是計算機系統中一類隱藏在（）上蓄意破壞的搗亂程序A、內存B、軟盤C、存儲介質D、網絡13、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網絡故障14、當操作系統發生變更時，應對業務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認15、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對16、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估17、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次18、系統備份與普通數據備份的不同在于，它不僅備份系統中的數據，還備份系統中安裝的應用程序，數據庫系統、用戶設置、系統參數等信息，以便迅速（）A、恢復全部程序B、恢復網絡設置C、恢復所有數據D、恢復整個系統19、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域20、GB/T22080標準中所指資產的價值取決于（）A、資產的價格B、資產對于業務的敏感度C、資產的折損率D、以上全部21、審核證據是指（）A、與審核準則有關的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對22、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果23、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統與互聯網的連接即可防范惡意軟件B、安裝入侵探測系統即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件24、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎信息B、信息安全管理體系的介紹C、ISMS標準族已發布標準的介紹D、1SMS標準族中使用的所有術語和定義25、—家投資顧問商定期向客戶發送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發送前，用投資顧問商的私鑰數字簽名郵件D、電子郵件發送前，用投資顧問商的私鑰加密郵件26、在現場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業務范圍C、審核日期D、審核組任務調整27、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監視和評審階段D、ISMS保持和改進階段28、()是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態A、信息安全事態B、信息安全事件C、信息安全事故D、信息安全故障29、下列不一定要進行風險評估的是（）A、發布新的法律法規B、ISMS最高管理者人員變更C、ISMS范圍內的網絡采用新的網絡架構D、計劃的時間間隔30、風險責任人是指（）A、具有責任和權限管理一項風險的個人或實體B、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者31、由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執業資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審32、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現的結果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B33、()屬于管理脆弱性的識別對象A、物理環境B、網絡結構C、應用系統D、技術管理34、相關方的要求可以包括（）A、標準、法規要求和合同義務B、法律、標準要求和合同義務C、法律、法規和標準要求和合同義務D、法律、法規要求和合同義務35、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況36、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統管理員C、風險轉移到組織D、組織的某個虛擬小組負責人37、《計算機信息系統安全保護條例》規定：對計算機信息系統中發生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內38、依據GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監視和評審范疇的是（）。A、監視和評審服務級別協議的符合性B、監視和評審服務方人員聘用和考核的流程C、監視和評審服務交付遵從協議規定的安全要求的程度D、監視和評審服務方跟蹤處理信息安全事件的能力39、以下說法不正確的是(）A、應考慮組織架構與業務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新40、《信息安全管理體系審核指南》中規定,ISMS的規模不包括（)A、體系覆蓋的人數B、使用的信息系統的數量C、用戶的數量D、其他選項都正確二、多項選擇題41、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準42、以下（）活動是ISMS監視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施43、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入44、下列哪些屬于網絡攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊45、關于目標，下列說法正確的是（）A、目標現的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品46、認證機構應有驗證審核組成員背景經驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識47、管理評審的輸出包括（）A、管理評審報告B、持續改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求48、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高49、對風險安全等級三級及以上系統，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數據采用安全標記C、系統管理員可任意訪問日志記錄D、三年開展一次網絡安全等級測評工作50、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制51、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標52、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必須（）A、對其進行試用B、對員工的背景進行適當的驗證檢查C、在任用條款與合同中指導安全職責D、面試53、含有高等級敏感信息的設備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術破壞或刪除C、多次的寫覆蓋D、徹底破壞54、風險處置的可選措施包括（）。A、風險識別B、風險分析C、風險轉移D、風險減緩55、在信息安全事件管理中，（）是員工應該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發現并報告安全事件D、發現立即處理安全事件三、判斷題56、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）57、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）58、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）59、組織應持續改進信息安全管理體系的適宜性、充分性和有效性。（）60、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾。（）61、組織ISMS的相關方的需求和期望由組織戰略決策層的決定（）62、中華人民共和國境內的計算機信息系統的安全保護,適用本條例。未聯網的微型計算機的安全保護辦法,另行制定。63、從審核開始到結束,審核組長應對審核實施負責64、客戶所有場所業務的范圍相同，且在同一ISMS下運行，并接受統一的管理、內部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)65、計算機信息系統是由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統（）

參考答案一、單項選擇題1、D2、A3、B4、C5、C6、D7、D8、C9、C10、C11、B12、C13、C14、B解析:2700214,2,3運行平臺變更后對應用的技術評審，當運行平臺發生變更時，應對業務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B15、D解析:應嚴格限制對軟件包的調整以保護其完整性16、D17、D18、D19、A20、B21、A22、C23、D24、D25、C26、D27、C28、A29、D30、A31、B