2021年第一期CCAA注冊ISMS信息安全管理體系審核員知識模擬試題一、單項選擇題1、信息安全風險的基本要素包括（）A、資產、可能性、影響B、資產、脆弱性、威脅C、可能性、資產、脆弱性D、脆弱性、威脅、后果2、造成計算機系統不安全的因素包括（）。A、系統不及時打補丁B、使用弱口令C、連接不加密的無線網絡D、以上都對3、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次4、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、作出是否換發證書的決定5、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?6、()是風險管理的重要一環。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序7、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對8、以下說法不正確的是(）A、應考慮組織架構與業務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新9、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬10、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準11、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次12、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人13、關于系統運行日志，以下說法正確的是：（)A、系統管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應納入容量管理C、日志管理即系統審計日志管理D、組織的安全策略應決定系統管理員的活動是否有記入曰志14、保密性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対15、下列哪一種情況下，網絡數據管理協議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環境時C、需要備份舊的備份系統不能處理的文件許可時中先創學D、要保證跨多個數據卷的備份連續、一致時16、在我國信息系統安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求17、風險識別過程中需要識別的方面包括：資產識別、識別威脅、識別現有控制措施、（）。A、識別可能性和影響B、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響18、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901119、關于備份，以下說法正確的是(）A、備份介質中的數據應定期進行恢復測試B、如果組織刪減了“信息安全連續性”要求，同機備份或備份本地存放是可接受的C、發現備份介質退化后應考慮數據遷移D、備份信息不是管理體系運行記錄，不須規定保存期20、下列中哪個活動是組織發生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執行信息安全風險評估C、開展內部審核D、開展管理評審21、建立ISMS體系的目的，是為了充分保護信息資產并給予（）信息A、相關方B、供應商C、顧客D、上級機關22、根據《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機密D、秘密23、口令管理系統應該是（）,并確保優質的口令A、唯一式B、交互式C、專人管理式D、A+B+C24、形成ISMS審核發現時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性25、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網絡釣魚攻擊DR26、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發、測試和運行環境的分離C、物理安全邊界D、在安全區域工作27、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果28、關于信息安全連續性，以下說法正確的是（）A、信息安全連續性即IT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定29、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估30、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯的職責及責任范圍31、管理者應（）A、制定ISMS方針B、制定ISMS目標和專劃C、實施ISMS內部審核D、確保ISMS管理評審的執行32、依據GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設備和資產須驗證其是否符合安全策略，對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證，對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產，驗證攜帶者身份信息，可替代對設備設施的驗證33、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域34、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態組成，它們具有損害業務運行和威脅信息安全的極大可能性A、已經發生B、可能發生C、意外D、A+B+C35、在根據組織規模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程36、在形成信息安全管理體系審核發現時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性37、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析38、《信息安全等級保護管理辦法》規定，應加強沙密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每（）至少進行次保密檢查或者系統測評。A、半年B、1年C、1.5年D、2年39、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明40、相關方的要求可以包括（）A、標準、法規要求和合同義務B、法律、標準要求和合同義務C、法律、法規和標準要求和合同義務D、法律、法規要求和合同義務二、多項選擇題41、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性42、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對43、信息安全風險分析包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性44、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴45、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動46、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據工作需要僅獲得最小的知悉權限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息47、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益48、為確保員工和合同方理解其職責、并適合其角色，在員工任用之前，必須（）A、對其進行試用B、對員工的背景進行適當的驗證檢查C、在任用條款與合同中指導安全職責D、面試49、對風險安全等級三級及以上系統，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數據采用安全標記C、系統管理員可任意訪問日志記錄D、三年開展一次網絡安全等級測評工作50、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類51、管理評審的輸入應包括（）。A、相關方的反饋B、不符合和糾正措施C、信息安全目標完成情況D、業務連續性演練結果52、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定53、設計一個信息安全風險管理工具，應包括如下模塊（）。A、資產識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程54、下列哪些是SSL支持的內容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data55、《互聯網信息服務管理辦法》中對()類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類三、判斷題56、組織的業務連續性策略即其信息安全連續性策略。57、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一（）58、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。59、信息安全風險準則包括風險接受準則和風險評價準則。（）60、最高管理層應確保方針得到建立（）61、審核組可以由一個人組成。（）62、組織應持續改進信息安全管理體系的適宜性、充分性和有效性。（）63、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）64、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）65、較低的恢復時間目標會有更長的中斷時間。（）

參考答案一、單項選擇題1、B2、D3、A4、D解析:監督審核是現場審核，但不一定是對整個體系的審核，并應與其他監督活動一起策劃，以使認證機構能對獲證客戶管理體系在認證周期內持續滿足要求保持信任。相關管理體系標準的每次監督審核應包括對以下方面的審查：（1）內部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現獲證客戶目標和各管理體系的預期結果方面的有效性；（5）為持續改進而策劃的活動的進展；（6）持續的運作控制；（7）任何變更；（8）標志的使用和（或）任何其他對認證資格的引用。綜上A,B,C項均是監督審核的目的，故選D。另外，再認證的策劃和及時實施，才能確保認證能在到期前及時更新，監督審核不能決定是否換發證書5、A6、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監視和風險評審。因此風險處置計劃是風險管理的重要一環，故選C7、D8、C9、B10、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現信息安全管理體系過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。cnas-cc1702認證規范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認證的依據，故選B11、D12、C13、B14、B15、A16、D17、B解析:27005信息安全風險管理8,2,,1風險識別，包括資產識別，威脅識別，現有控制措施識別，脆弱性識別，后果識別。故選B18、A19、A20、B21、A22、B23、B24、C25、B26、B27、C28、B29、D30、B解析:根據GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任