2024年第二期CCAA注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略2、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果3、關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑4、以下哪些可由操作人員執行？（)A、審批變更B、更改配置文件C、安裝系統軟件D、添加/刪除用戶5、文件化信息指（）A、組織創建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件6、由認可機構對認證機構、檢測機構、實驗室從事評審、審核的認證活動人員的能力和執業資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審7、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準8、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意9、下列哪一種情況下，網絡數據管理協議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環境時C、需要備份舊的備份系統不能處理的文件許可時中先創學D、要保證跨多個數據卷的備份連續、一致時10、對于交接區域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設備設施予以檢查驗證,對于離開組織的設備設施則不必驗證B、對于離開組織的設備設施予以檢查驗證,對于進入組織的設備設施則不必驗證C、對于進入和離開組織的設備設施均須檢查驗證D、對于進入和離開組織的設備設施，驗證攜帶者身份信息;可替代對設備設施的驗證11、在我國《信息安全等級保護管理辦法》中將信息系統的安全等級分為（）級A、3B、4C、5D、612、關于信息安全管理體系認證，以下說法正確的是：A、負責作出認證決定的人員中應至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應參與審核D、負責作出認證決定的人員應包含參與了預審核的人員13、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬14、風險識別過程中需要識別的方面包括:資產識別、識別威脅、識別現有控制措施、(）A、識別可能性和影響B、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響15、關于信息安全連續性，以下說法正確的是（）A、信息安全連續性即IT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定16、口令管理系統應該是（）,并確保優質的口令A、唯一式B、交互式C、專人管理式D、A+B+C17、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901118、公司A在內審時發現部分員工計算機開機密碼少于6位，公司文件規定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優質口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育19、依據GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確20、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用21、《中華人民共和國認證認可條例》規定，認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請。A、2年B、3年C、4年D、5年22、在形成信息安全管理體系審核發現時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性23、依據GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析B、確保信息按照其對組織的重要程度受到適當水平的保護C、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責任24、關于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISCVIEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護25、下面哪一種環境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應26、關于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現的順序C、信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中D、信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性27、構成風險的關鍵因素有（）A、人、財、物B、技術、管理和操作C、資產、威脅和弱點D、資產、可能性和嚴重性28、（）屬于管理脆弱性的識別對象。A、物理環境B、網絡結構C、應用系統D、技術管理29、關于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網絡中“釣魚”軟件的存在，是網絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部30、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪向的形式C、以遠程視頻的形式D、以上都対31、管理員通過桌面系統下發IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態B、斷開網絡并持續阻斷C、彈出提示街口對其發出警告D、鎖定鍵盤鼠標32、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限33、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求34、當發現不符合項時，組織應對不符合做出反應，適用時（）。A、采取措施，以控制并予以糾正B、對產生的影響進行處理C、分析產生原因D、建立糾正措施以避免再發生35、下列哪項不是監督審核的目的？（）A、驗證認證通過的ISMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續符合認證要求D、作出是否換發證書的決定36、信息安全管理體系是用來確定（)A、組織的管理效率B、產品和服務符合有關法律法規程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度37、應定期評審信息系統與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準38、關于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執行網絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據路由表確定最短路徑D、強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件39、保密協議或不泄露協議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規定40、根據GB/T22080-2016/ISO/IEC27001:2013標準，以下做法不正確的是（）A、保留含有敏感信息的介質的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應定期檢查機房空調的有效性二、多項選擇題41、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核42、在信息安全事件管理中，（）是所有員工應該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發現并報告安全事件D、發現立即處理安全事件43、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發放了公司財務總監、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發放了手機，允許其使用手機在指定區域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區域D、某公司門禁系統的時鐘比公司視頻監控系統的時鐘慢約10分鐘44、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監視和測量顧客滿意的方法之一是發調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了45、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后46、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監視測量的結果C、審核結果D、信息安全方針完成情況47、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求48、公司M將信息系統運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協議規定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內49、關于“不可否認性”，以下說法正確的是（）A、數字簽名是實現“不可否認性”的有效技術手段B、身份認證是實現“不可否認性”的重要環節C、數字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態或行為的發生及其源起者的能力即不可否認性50、以下屬于訪問控制的是（）。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品查殺病毒51、根據《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務重大決策中的秘密事項B、國民經濟和社會發展中的秘密事項C、科學技術中的秘密事項D、國防建設和武裝力量活動中的秘密事項52、關于審核發現，以下說法正確的是：（）A、審核發現是收集的審核證據對照審核準則進行評價的結果B、審核發現包括正面的和負面的發現C、審核發現是審核結論的輸入D、審核發現是制定審核準則的依據53、信息安全管理體系范圍和邊界的確定依據包括（）A、業務B、組織C、物理D、資產和技術54、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫療、保健C、知識類D、教育類55、管理評審的輸入應包括（）。A、相關方的反饋B、不符合和糾正措施C、信息安全目標完成情況D、業務連續性演練結果三、判斷題56、組織應適當保留信息安全目標文件化信息。（）57、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）58、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）59、創建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。60、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）61、最高管理層應確保與信息安全相關角色的職責和權限得到分配和溝通。62、某組織定期請第三方對其IT系統進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）63、組織應識別并提供建立、實現、維護和持續改進信息安全管理體系所需的資源。（）64、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。65、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）

參考答案一、單項選擇題1、D2、C3、C4、C5、C6、B7、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現信息安全管理體系過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。cnas-cc1702認證規范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認證的依據，故選B8、C9、A10、C11、C12、C13、B14、B15、B16、B17、A18、A19、D解析:信息安全目標及其實現規劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續的適宜性，充分性，和有效性。而管理評審的實施執行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D20、A21、D22、B23、B24、A25、D解析:短期停電即電力中斷，故選D。可中斷的電力供應26、B解析:引言中明確表述，標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現的順序27、C28、D29、C30、A31、D32、C33、B34、A解析:參考2700110,1當發生不符合時，組織應：對不符合做出反應，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A35、D解析:監督審核是現場審核，但不一定是對整個體系的審核，并應與其他監督活動一起策劃，以使認證機構能對獲證客戶管理體系在認證周期內持續滿足要求保持信任。相關管理體系標準的每次監督審核應包括對以下方面的審查：（1）內部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現獲證客戶目標和各管理體系的預期結果方面的有效性；（5）為持續改進而策劃