2022年第三期CCAA國家注冊審核員ISMS信息安全管理體系復習題一、單項選擇題1、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層2、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對3、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用4、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域5、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次6、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯的職責及責任范圍7、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復8、下列哪項對于審核報告的描述是錯誤的？（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對9、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網絡D、安全模式下查殺不容易死機10、依據《中華人民共和國網絡安全法》，以下正確的是（）。A、檢測記錄網絡運行狀態的相關網絡日志保存不得少于2個月B、檢測記錄網絡運行狀態的相關網絡日志保存不得少于12月C、檢測記錄網絡運行狀態的相關網絡8志保存不得少于6個月D、重要數據備份保存不得少于12個月，網絡日志保存不得少于6個月11、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA12、ISMS文件的多少和詳細程度取決于()A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對13、根據GB/T22080-2016標準，審核中下列哪些章節不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A14、關于容量管理，以下說法不正確的是（）A、根據業務對系統性能的需求，設置閾值和監視調整機制B、針對業務關鍵性，設置資源占用的優先級C、對于關鍵業務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規劃15、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700516、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準17、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子?（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞18、有關信息安全管理，風險評估的方法比起基線的方法，主要的優勢在于它確保(）A、不考慮資產的價值，基本水平的保護都會被實施B、對所有信息資產保護都投入相同的資源C、對信息資產實施適當水平的保護D、信息資產過度的保護19、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險20、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部21、建立ISMS體系的目的，是為了充分保護信息資產并給予（）信息A、相關方B、供應商C、顧客D、上級機關22、為信息系統用戶注冊時，以下正確的是:（）A、按用戶的職能或業務角色設定訪問權B、組共享用戶ID按組任務的最大權限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權23、審核證據是指（）A、與審核準則有關的，能夠證實的記錄、事實陳述或其他信息B、在審核過程中收集到的所有記錄、事實陳述或其他信息C、一組方針、程序或要求D、以上都不對24、下面哪一種環境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應25、創建和更新文件化信息時，組織應確保適當的（）。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準26、下列措施中，（）是風險管理的內容。A、識別風險B、風險優先級評價C、風險處置D、以上都是27、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發生的可能性，但不能降低安全事件的潛在影響28、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰略方向一致29、以下說法不正確的是(）A、應考慮組織架構與業務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新30、組織應（），以確信相關過程按計劃得到執行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產生文件化信息達到必要的程度31、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當的保護C、確保信息得到保護D、確保信息按照其級別得到處理32、國家秘密的保密期限應為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年33、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式34、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態組成，它們具有損害業務運行和威脅信息安全的極大可能性A、已經發生B、可能發生C、意外D、A+B+C35、依據GB/T22080/ISO/1EC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許方問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規定的授權機制進行授權D、以上都對36、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網絡釣魚攻擊DR37、關于備份，以下說法正確的是(）A、備份介質中的數據應定期進行恢復測試B、如果組織刪減了“信息安全連續性”要求，同機備份或備份本地存放是可接受的C、發現備份介質退化后應考慮數據遷移D、備份信息不是管理體系運行記錄，不須規定保存期38、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認識B、了解客戶組織的審核準備狀態C、為計劃2階段審核提供重點D、確認組織的信息安全管理體系符合標準或規范性文件的所有要求39、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對40、你所在的組織正在計劃購置一套適合多種系統的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產品時最重要的標準是什么?（）A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價二、多項選擇題41、以下說法不正確的是（）A、信息安全管理體系審核是信息系統審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業務連續性管理體系認證，則信息安全管理體系審核可略過風險評估42、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調查C、投訴響應、溝通決定D、投訴終止43、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標44、《中華人民共和國認證認可條例》制定的目的是為了規范認證認可活動，提高產品、服務的（），促進經濟和社會的發展。A、質量B、數量C、管理水平D、競爭力45、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動46、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置47、以下屬于訪問控制的是（)。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品査殺病毒48、關于“不可否認性”，以下說法正確的是（）A、數字簽名是實現“不可否認性”的有效技術手段B、身份認證是實現“不可否認性”的重要環節C、數字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態或行為的發生及其源起者的能力即不可否認性49、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統擁有、運營和使用單位發起的對本單位信息系統進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發起方實施或委托風險評估服務技術支持方實施D、由信息系統上級管理部門組織的風險評估50、對于審核發現（）A、審核組應根據需要，在審核的適當階段共同評審審核發現B、根據審核計劃和檢査表要求，只需記錄每個不符合審核發現的審核證據C、應與受審核方一起評審不符合的審核發現，以確認審核證據的準確性，并得到受審核方的理解D、包括正面的和負面的發現51、依據GB/T22080，經管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略52、計算機信息系統的安全保護，應保障（）A、計算機及相關配套設施的安全B、網絡安全C、運行環境安全D、計算機功能和正常發揮53、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對54、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類55、以下屬于信息安全管理體系審核的證據是：（）A、信息系統運行監控中心顯示的實時資源占用數據B、信息系統的閾值列表C、數據恢復測試的日志D、信息系統漏洞測試分析報告三、判斷題56、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。57、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）58、當需要時，組織可設計控制，或識別來自任何來源的控制。（）59、訪問控制列表指由主體以及主體對客體的訪問權限所組成列表。60、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統，并降低進入該系統的無意錯誤操作導致的影響（）61、糾正是指為消除已發現的不符合或其他不的原因所采取的措施。（）62、從審核開始到結束,審核組長應對審核實施負責63、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網絡的有效帶寬。（）64、IT系統日志信息保存所需的資源不屬于容量管理的范圍（）65、某互聯網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規定的安全控制程序，無論手機是公司配發的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)

參考答案一、單項選擇題1、C2、A3、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A4、A5、D6、B解析:根據GB/T22080-2016標準A6,1,2原文：應分離沖突的職責及其貴任范圍，以減少未授權或無意的修改或者不當使用組織資產的機會7、C8、A9、B10、C11、B12、D13、A14、C15、B16、A17、B18、C19、C解析:參考GB/T20984-2007信息安全風險評估規范，3,12殘余風險是指采取了安全措施后，信息系統仍然可能存在的風險。故選C20、D21、A22、A23、A24、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?5、D26、D27、D28、B29、C30、B31、A32、A