2022年第一期CCAA國家注冊審核員復習題—ISMS信息安全管理體系知識一、單項選擇題1、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、做出是否換發證書的決定2、根據GB17859《計算機信息系統安全保護等級劃分準則》,計算機信息系統安全保護能力分為（）等級。A、5B、6C、3D、43、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規則》4、《信息安全等級保護管理辦法》規定，應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評A、半年B、1年C、1,5年D、2年5、組織應（），以確信相關過程按計劃得到執行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產生文件化信息達到必要的程度6、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權限控制C、數據加密D、數據備份7、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?8、ISMS文件的多少和詳細程度取決于()A、組織的規模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對9、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析10、完整性是指()A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、保護資產保密和可用的特性11、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析12、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確13、物理安全周邊的安全設置應考慮：（）A、區域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區或其他功能區C、入侵探測和報警機制D、A+C14、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環節識別B、風險分析C、管理方案D、A+CE、A+B15、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞16、當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當的措施C、宣布取消末次會議D、以上都不可以17、根據《互聯網信息服務管理辦法》規定，國家對經營性互聯網信息服務實行（）A、國家經營B、地方經營C、許可制度D、備案制度18、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統是否遭受入侵19、下列不屬于公司信息資產的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄20、下列不一定要進行風險評估的是（）A、發布新的法律法規B、ISMS最高管理者人員變更C、ISMS范圍內的網絡采用新的網絡架構D、計劃的時間間隔21、《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700522、設備維護維修時，應考慮的安全措施包括：（）A、維護維修前，按規定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權的新增功能C、敏感部件進行物理銷毀而不予送修D、以上全部23、依據GB/T22080，關于職責分離，以下說法正確的是(）A、信息安全政策的培訓者與審計之間的職責分離B、職責分離的是不同管理層級之間的職責分離C、信息安全策略的制定者與受益者之間的職責分離D、職責分離的是不同用戶組之間的職責分離24、訪問控制是確保對資產的訪問，是基于（）要求進行授權和限制的手段。A、用戶權限B、可被用戶訪問的資料C、系統是否遭受入侵D、可給予哪些主體訪問25、文件化信息指（）A、組織創建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件26、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統27、描述組織采取適當的控制措施的文檔是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序28、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次29、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略30、關于信息安全管理體系認證，以下說法正確的是：A、負責作出認證決定的人員中應至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應參與審核D、負責作出認證決定的人員應包含參與了預審核的人員31、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是32、當發生不符合時，組織應（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應，適用時：采取措施，以控制予以糾正；處理后果33、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果34、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改35、根據GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發生時B、應按計劃的時間間隔且當重大變更提出或發生時C、只需在重大變更發生時D、只需按計劃的時間間隔36、下面哪一種環境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應37、以下說法不正確的是(）A、應考慮組織架構與業務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新38、對于可能超越系統和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單39、監督、檢查、指導計算機信息系統安全保護工作是（）對計算機信息系統安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局40、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對二、多項選擇題41、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類42、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動43、認證機構應有驗證審核組成員背景經驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識44、公司M將信息系統運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協議規定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內45、下列哪些屬于網絡攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊46、《中華人民共和國網絡安全法》適用于在中華人民共和國境內（）網絡，以及網絡安全的監督管理。A、建設B、運營C、維護D、使用47、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發放了公司財務總監、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發放了手機，允許其使用手機在指定區域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區域D、某公司門禁系統的時鐘比公司視頻監控系統的時鐘慢約10分鐘48、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產的行為B、破壞或使資產失去預期功能的行為C、訪問,使用資產行為D、監視和獲取資產使用狀態信息的行為49、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是（）A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后50、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態度和能力B、組織的規模和活動的類型C、人員的能力D、管理系統的復雜程度51、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定52、以下屬于“信息處理設施”的是（）A、信息處理系統B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施53、以下說法不正確的是（）A、信息安全管理體系審核是信息系統審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業務連續性管理體系認證，則信息安全管理體系審核可略過風險評估54、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據工作需要僅獲得最小的知悉權限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息55、審核計劃中應包括（）A、本次及其后續審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排三、判斷題56、審核組可以由一個人組成。（）57、某組織定期請第三方對其IT系統進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）58、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）59、組織的內外部相關方要求屬于組織的內部和外部事項”（）60、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）61、組織業務運行使用云基礎設施服務,同時員工通過自有手機APP執行業務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）62、組織應識別并提供建立、實現、維護和持續改進信息安全管理體系所需的資源。（）63、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾64、IT系統日志保存所需的資源不屬于容量管理的范圍。（）65、完全備份就是對全部數據庫數據進行備份。（）

參考答案一、單項選擇題1、D2、A3、D4、D5、B6、D7、B8、D9、D解析:主動攻擊會導致某些數據流的篡改和虛假數據流的產生，這類攻擊分篡改，偽造消息數據和終端（拒絕服務）。被動攻擊中攻擊者不對數據信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數據。通常包括竊聽，流量分析，破解弱加密的數據流等攻擊方式。故選D10、C11、C12、B13、D14、B15、B16、B17、C解析:《互聯網信息服務管理辦法》，國家對經營性互聯網信息服務實行許可制度；對非經營性互聯網信息服務實行備案制度，故選C18、A解析:訪問控制，確保對資產的訪問是基于業務和安全要求進行授權和限制的手段。A表述更為全面，B,C選項過于細化，故選A19、D20、D21、B22、D23、B24、D25、C26、D27、B28、A29、D30、C31、D32、D