2024年3月CCAA注冊審核員模擬試題—ISMS信息安全管理體系知識一、單項選擇題1、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對2、關于信息安全管理體系認證，以下說法正確的是：A、負責作出認證決定的人員中應至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應參與審核D、負責作出認證決定的人員應包含參與了預審核的人員3、監督、檢查、指導計算機信息系統安全保護工作是（）對計算機信息系統安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局4、組織在確定與ISMS相關的內部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內容C、溝通時間D、溝通對象5、根據GB/T22080-2016中控制措施的要求，關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑6、依據GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監視和評審范疇的是（）。A、監視和評審服務級別協議的符合性B、監視和評審服務方人員聘用和考核的流程C、監視和評審服務交付遵從協議規定的安全要求的程度D、監視和評審服務方跟蹤處理信息安全事件的能力7、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC408、關于信息系統登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應遵從的優質口令策略D、使用互動式管理確保用戶使用優質口令9、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?10、《中華人民共和國認證認可條例》規定,認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請A、2年B、3年C、4年D、5年11、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞12、對于較大范圍的網絡，網絡隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對13、物理安全周邊的安全設置應考慮：（）A、區域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區或其他功能區C、入侵探測和報警機制D、A+C14、下面哪個不是典型的軟件開發模型？（）A、變換型B、漸增型C、瀑布型D、結構型15、當發生不符合時，組織應（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應，適用時：采取措施，以控制予以糾正；處理后果16、一家投資顧問商定期向客戶發送有關經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發送前，用投資項問商的私鑰數字簽名郵件D、電子郵件發送前，用投資顧向商的私鑰加密郵件17、安全掃描可以實現（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數據包攻擊分析所有的數據流18、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態組成，它們具有損害業務運行和威脅信息安全的極大可能性A、已經發生B、可能發生C、意外D、A+B+C19、在根據組織規模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程20、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對21、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發、測試和運行環境的分離C、物理安全邊界D、在安全區域工作22、在考慮網絡安全策略時，應該在網絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷23、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改24、在規劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，如何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果25、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次26、對于獲準認可的認證機構，認可機構證明（）A、認證機構能夠開展認證活動B、其在特定范圍內按照標準具有從事認證活動的能力C、認證機構的每張認證證書都符合要求D、認證機構具有從事相應認證活動的能力27、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限28、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確29、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息30、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901131、由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執業資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審32、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對33、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保34、關于容量管理，以下說法不正確的是（）A、根據業務對系統性能的需求，設置閾值和監視調整機制B、針對業務關鍵性，設置資源占用的優先級C、對于關鍵業務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規劃35、關于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發生的時間信息36、下列關于DMZ區的說法錯誤的是()A、DMZ可以訪問內部網絡B、通常DMZ包含允許來自互聯網的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內部網絡可以無限制地訪問夕卜部網絡以及DMZD、有兩個DMZ的防火墻環境的典型策略是主防火墻采用NAT方式工作37、下列不屬于取得認證機構資質應滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數量的專職認證人員38、依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業秘密D、其他選項均正確39、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對40、某公司進行風險評估后發現公司的無線網絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于（）A、風險接受B、風險規避C、風險轉移D、風險減緩二、多項選擇題41、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監視測量的結果C、審核結果D、信息安全方針完成情況42、常規控制圖主要用于區分（）A、過程處于穩態還是非穩態B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動43、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發放了公司財務總監、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數核心項目人員發放了手機，允許其使用手機在指定區域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區域D、某公司門禁系統的時鐘比公司視頻監控系統的時鐘慢約10分鐘44、操作系統的基本功能有(）A、存儲管理B、文件管理C、設備管理D、處理器管理45、以下做法正確的是（）A、使用生產系統數據測試時,應先將數據進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業務案例和數據C、員工調換項目組時，其愿使用計算機中的項目數據經妥善刪除后可帶入新項目組使用D、信息系統管理域內所有的終端啟動屏幕保護時間應一致46、關于“信息安全連續性”，以下正確的做法包括:（）A、人員、設備、設施、場所等的冗余配置B、定期或實時進行數據備份C、考慮業務關鍵性確定恢復優先順序和目標D、有保障信息安全連續性水平的過程和程序文件47、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理48、針對敏感應用系統安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規定時間強制使其退出登錄C、對于修改系統核心業務運行數據的操作限定操作時間D、對于數據庫系統審計人員開放不限時權限49、撤銷對信息和信息處理設施的訪問權針對的是（）A、組織雇員離職的情況B、組織雇員轉崗的情況C、臨時任務結束的情況D、員工出差50、下列說法正確的是（）A、殘余風險需要獲得風險責任人的批準B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應了解信息安全方針51、計算機信息系統的安全保護，應保障（）A、計算機及相關配套設施的安全B、網絡安全C、運行環境安全D、計算機功能和正常發揮52、對于審核發現（）A、審核組應根據需要，在審核的適當階段共同評審審核發現B、根據審核計劃和檢査表要求，只需記錄每個不符合審核發現的審核證據C、應與受審核方一起評審不符合的審核發現，以確認審核證據的準確性，并得到受審核方的理解D、包括正面的和負面的發現53、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處理54、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制55、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是（）A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后三、判斷題56、完全備份就是對全部數據庫數據進行備份。（）57、糾正是指為消除已發現的不符合或其他不的原因所采取的措施。（）58、信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）59、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一（）60、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）61、最高管理層應確保方針得到建立（）62、審核方案應包括審核所需的資源，例如交通和食宿。（）63、組織應識別并提供建立、實現、維護和持續改進信息安全管理體系所需的資源。（）64、組織的業務連續性策略即其信息安全連續性策略。65、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾

參考答案一、單項選擇題1、B2、C3、B4、A5、C6、B7、A8、B9、A10、D11、B12、B13、D14、A15、D16、C17、C18、C解析:信息安全事件，指一個或一系列意外或不期望的信息安全事態組成，他們極有可能損害業務運行并威脅信息安全。故選C19、D解析:高風險的產品或過程應增加審核時間要素20、C21、B22、B23、D24、C25、D26、B27、C28、D解析:信息處理設施，任何的信息處理系統，服務或基礎設施，或其安裝的物理位置，abc選項均屬于信息處理設施變更管理范疇，故選D29、C30、A31、B32、C33、A34、C35、B36、A37、C38、D解析:網絡安全法第45條，依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息，隱私和商業秘密嚴格保密，不得泄露，出售或者非法向他人提供。故選D39、A40、B二、多項選擇題41、A,B,C42、A,B,C,D43、B,C44、A,B,C,D45、A,C46、A,B,C,D47、A,B,C,D解析:270017,5,3文件化