2022年12月CCAA國家注冊審核員考試題目—ISMS信息安全管理體系知識一、單項選擇題1、信息安全管理中，關于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術脆弱性B、軟件開發人員為方便維護留的后門是脆弱性的一種C、識別資產脆弱性時應考慮資產的固有特性，不包括當前安全控制措施D、使信息系統與網絡物理隔離可杜絕其脆弱性被威脅利用的機會2、《信息安全等級保護管理辦法》規定，應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評A、半年B、1年C、1,5年D、2年3、《中華人民共和國認證認可條例》規定,認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請A、2年B、3年C、4年D、5年4、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼5、風險識別過程中需要識別的方面包括：資產識別、識別威脅、識別現有控制措施、（）。A、識別可能性和影響B、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響6、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務7、審核發現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項8、在現場審核結束之前，下列哪項活動不是必須的？（）A、關于客戶組織ISMS與認證要求之間的符合性說明B、審核現場發現的不符合C、提供審核報告D、聽取客戶對審核發現提出的問題9、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督10、形成ISMS審核發現時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性11、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域12、涉及運行系統驗證的審計要求和活動，應（）A、謹慎地加以規劃并取得批準，以便最小化業務過程的中斷B、謹慎地加以規劃并取得批準，以便最大化保持業務過程的連續C、謹慎地加以實施并取得批準，以便最小化業務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業務過程的連續13、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態組成，它們具有損害業務運行和威脅信息安全的極大可能性A、已經發生B、可能發生C、意外D、A+B+C14、確定資產的可用性要求須依據（）。A、授權實體的需求B、信息系統的實際性能水平C、組織可支付的經濟成本D、最高管理者的決定15、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規范性文件的所有要求16、管理體系是實現組織目標的方針、（）、指南和相關資源的框架A、目標B、規程C、文件D、記錄17、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結論B、認證決定人員不宜推翻審核組的負面結論C、認證機構應對客戶組織的ISMS至少進行一次完整的內部審核D、認證機構必須遵從客戶組織規定的內部審核和管理評審的周期18、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、以上全部19、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法20、ISMS文件的多少和詳細程度取決于()A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對21、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對22、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、作出是否換發證書的決定23、根據GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發生時B、應按計劃的時間間隔且當重大變更提出或發生時C、只需在重大變更發生時D、只需按計劃的時間間隔24、當獲得的審核證據表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當的措施C、宣布取消末次會議D、以上各項都不可以25、依據GB/T22080/ISO/IEC27001，建立資產清單即：（）A、列明信息生命周期內關聯到的資產，明確其對組織業務的關鍵性B、完整采用組織的固定資產臺賬，同時指定資產負責人C、資產價格越高，往往意味著功能越全，因此資產重要性等級就越高D、A+B26、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況27、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是28、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略29、某公司計劃升級現有的所有PC機，使其用戶可以使用指紋識別登錄系統，訪問關鍵數據實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續（或稱為：初始化手續）B、完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權用戶不可能訪問到關鍵數據30、《計算機信息系統安全保護條例》中所稱計算機信息系統，是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統B、計算機及其相關的設備、設施，不包括軟件C、計算機運算環境的總和，但不含網絡D、一個組織所有計算機的總和，包括未聯網的微型計算機31、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統有關人員32、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督33、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性34、下列中哪個活動是組織發生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執行信息安全風險評估C、開展內部審核D、開展管理評審35、下面哪一種環境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應36、下列不屬于公司信息資產的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄37、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層38、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤39、你所在的組織正在計劃購置一套適合多種系統的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價40、某公司進行風險評估后發現公司的無線網絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規避C、風險轉移D、風險減緩二、多項選擇題41、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益42、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是（）A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后43、以下屬于“信息處理設施”的是（）A、信息處理系統B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施44、以下做法正確的是（）A、使用生產系統數據測試時,應先將數據進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業務案例和數據C、員工調換項目組時，其愿使用計算機中的項目數據經妥善刪除后可帶入新項目組使用D、信息系統管理域內所有的終端啟動屏幕保護時間應一致45、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴46、關于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則47、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉移48、以下（）活動是ISMS監視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施49、對于信息安全方針,（）是GB/T22080-2016標準要求的A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審50、第二階段審核中，應重點審核被審核單位的（）。A、最高管理者的領導力B、與信息安全有關的風險C、基于風險評估和風險處置過程D、ISMS有效性51、公司M將信息系統運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協議規定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內52、以下（）活動是ISMS監視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施53、以下屬于訪問控制的是（)。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品査殺病毒54、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入55、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益三、判斷題56、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）57、組織的內外部相關方要求屬于組織的內部和外部事項”（）58、較低的恢復時間目標會有更長的中斷時間。（）59、IS0/IEC27006是ISO/IEC17021的相關要求的補充。（）60、某組織按信息的敏感性等級將其物理區域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）61、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬62、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）63、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。64、敏感標記表示客體安全級別并描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據（）。65、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）

參考答案一、單項選擇題1、B2、D3、D4、C5、B解析:27005信息安全風險管理8,2,,1風險識別，包括資產識別，威脅識別，現有控制措施識別，脆弱性識別，后果識別。故選B6、A7、C8、C9、B10、C11、A12、A13、C解析:信息安全事件，指一個或一系列意外或不期望的信息安全事態組成，他們極有可能損害業務運行并威脅信息安全。故選C14、A解析:資產在可用性上的不同要求，依據授權實體的需求而定，故選A15、D16、B17、B18、D19、C20、D21、D解析:應嚴格限制對軟件包的調整以保護其完整性22、D解析:監督審核是現場審核，但不一定是對整個體系的審核，并應與其他監督活動一起策劃，以使認證機構能對獲證客戶管理體系在認證周期內持續滿足要求保持信任。相關管理體系標準的每次監督審核應包括對以下方面的審查：（1）內部審核和管理評審；