2022年12月CCAA注冊ISMS信息安全管理體系審核員知識考試題目一、單項選擇題1、關于容量管理，以下說法不正確的是（）A、根據業務對系統性能的需求，設置閾值和監視調整機制B、針對業務關鍵性，設置資源占用的優先級C、對于關鍵業務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規劃2、《互聯網信息服務管理辦法》現行有效的版本是哪年發布的？()A、2019B、2017C、2016D、20213、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規定的最大用戶數4、下面哪一種環境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應5、風險處置是（）A、識別并執行措施來更改風險的過程B、確定并執行措施來更改風險的過程C、分析并執行措施來更改風險的過程D、選擇并執行措施來更改風險的過程6、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限7、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對8、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級9、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901110、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求11、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護12、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統有關人員13、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網絡D、安全模式下查殺不容易死機14、()屬于管理脆弱性的識別對象A、物理環境B、網絡結構C、應用系統D、技術管理15、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、網絡安全應采取必要措施防范對網絡的攻擊和侵入B、網絡安全措施包括防范對網絡的破壞C、網絡安全即采取措施保護信息在網絡中傳輸期間的安全D、網絡安全包括對信息收集、存儲、傳輸、交換、處理系統的保護16、下面哪一種功能不是防火墻的主要功能?A、協議過濾B、應用網關C、擴展的日志記錄能力D、包交換17、關于互聯網信息服務，以下說法正確的是A、互聯網服務分為經營性和非經營性兩類，其中經營性互聯網信息服務應當在電信主管部門備案B、非經營性互聯網信息服務未取得許可不得進行C、從事經營性互聯網信息服務，應符合《中華人民共和國電信條例》規定的要求D、經營性互聯網服務，是指通過互聯網向上網用戶無嘗提供具有公開性、共享性信息的服務活動18、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設,同步使用19、加密技術可以保護信息的(）A、機密性B、完整性C、可用性D、A+B20、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改21、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、做出是否換發證書的決定22、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析23、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保24、下列措施中，（）是風險管理的內容。A、識別風險B、風險優先級評價C、風險處置D、以上都是25、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略26、審核證據是指（）A、與審核準則有關的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對27、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是（）A、認證范圍內員工的個人隱私數據得到保護B、認證范圍內涉及顧客的個人隱私數據得到保護C、認證范圍內涉及相關方的個人隱私數據數據得到保護D、以上全部28、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業務的敏感程度C、資產的折損率D、以上全部29、關于文件管理下列說法錯誤的是（）A、文件發布前應得到批準，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準C、應確保文件保持清晰，易于識別D、作廢文件應及時銷毀，防止錯誤使用30、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次31、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對32、造成計算機系統不安全的因素包括（）。A、系統不及時打補丁B、使用弱口令C、連接不加密的無線網絡D、以上都對33、關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑34、系統備份與普通數據備份的不同在于，它不僅備份系統屮的數據，還備份系統中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息，以便迅速（）。A、恢復全部程序B、恢復網絡設置C、恢復所有數據D、恢復整個系統35、《中華人民共和國認證認可條例》規定,認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請A、2年B、3年C、4年D、5年36、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標C、風險評估過程記錄D、溝通記錄37、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險38、（）是建立有效的計算機病毒防御體系所需要的技術措施A、補丁管理系統、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統和防火墻D、網絡入侵檢測、防病毒系統和防火墻39、容量管理的對象包括（）A、服務器內存B、網絡通信帶寬C、人力資源D、以上全部40、在現場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業務范圍C、審核日期D、審核組任務調整二、多項選擇題41、下面哪一條措施可以防止數據泄漏（)A、數據冗余B、數據加密C、訪問控制D、密碼系統42、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對43、以下屬于信息安全管理體系審核的證據是：（）A、信息系統運行監控中心顯示的實時資源占用數據B、信息系統的閾值列表C、數據恢復測試的日志D、信息系統漏洞測試分析報告44、下列哪項屬于《認證機構管理辦法》中規定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度45、關于審核方案，以下說法正確的是A、審核方案是審核計劃的一種B、審核方案可包括一段時期內各種類型的審核C、中核方案即年度內部審梭計劃D、審核方案是審核計劃的輸入46、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益47、信息安全風險分析包括（）A、分析風險發生的原因B、確定風險級別C、評估識別的風險發生后，可能導致的潛在后果D、評估所識別的風險實際發生的可能性48、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業務連續性的知識B、有關有形和無形資產及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識49、根據《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務重大決策中的秘密事項B、國民經濟和社會發展中的秘密事項C、科學技術中的秘密事項D、國防建設和武裝力量活動中的秘密事項50、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動51、關于“不可否認性”，以下說法正確的是（）A、數字簽名是實現“不可否認性”的有效技術手段B、身份認證是實現“不可否認性”的重要環節C、數字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態或行為的發生及其源起者的能力即不可否認性52、下列有關涉密信息系統說法正確的是（）A、涉密信息系統經單位保密工作機構測試后即可投入使用B、涉密信息系統投入運行前應當經過國家保密行政管理部門審批C、涉密計算機重裝操作系統后可降為非涉密計算機使用D、未經單位信息管理部門批準不得自行重裝操作系統53、對于審核發現（）A、審核組應根據需要，在審核的適當階段共同評審審核發現B、根據審核計劃和檢査表要求，只需記錄每個不符合審核發現的審核證據C、應與受審核方一起評審不符合的審核發現，以確認審核證據的準確性，并得到受審核方的理解D、包括正面的和負面的發現54、關于審核發現，以下說法正確的是：（）A、審核發現是收集的審核證據對照審核準則進行評價的結果B、審核發現包括正面的和負面的發現C、審核發現是審核結論的輸入D、審核發現是制定審核準則的依據55、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針三、判斷題56、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）57、組織業務運行使用云基礎設施服務,同時員工通過自有手機APP執行業務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）58、從審核開始到結束,審核組長應對審核實施負責59、對不同類型的風險可以采用不同的風險接受準則，例如，導致對法律法規不符合的風險可能是不可接受的，但可能允許接受導致違背合同要求的高風險。（）60、審核方案應包括審核所需的資源，例如交通和食宿。（）61、某組織定期請第三方對其IT系統進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）62、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾63、最高管理層應建立信息安全方針、該方針應包括對持續改進信息安全管理體系的承諾。64、信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（）65、信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）

參考答案一、單項選擇題1、C2、D3、D4、D解析:短期停電即電力中斷，故選D。可中斷的電力供應5、D解析:風險處置，是指選擇并且執行措施來更改風險的過程。故選D6、C7、B8、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級9、A10、B11、A12、D13、B14、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當的措施來應對相關風險。故選D15、C解析:網絡安全法第七十六條，網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集，存儲，傳輸，交換，處理的系統。網絡安全，是指通過采取必要措施，防范對網絡的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性，保密性，可用性的能力。故選C16、D17、C18、A19、D20、D21、D22、D解析:主動攻擊會導致某些數據流的篡改和虛假數據流的產生，這類攻擊分篡改，偽造消息數據和終端（拒絕服