2022年12月CCAA國家注冊審核員復習題—ISMS信息安全管理體系一、單項選擇題1、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業(yè)務的敏感程度C、資產的折損率D、以上全部2、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法3、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意4、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結論B、認證決定人員不宜推翻審核組的負面結論C、認證機構應對客戶組織的ISMS至少進行一次完整的內部審核D、認證機構必須遵從客戶組織規(guī)定的內部審核和管理評審的周期5、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡釣魚攻擊DR6、關于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定7、對于較大范圍的網(wǎng)絡，網(wǎng)絡隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網(wǎng)絡D、以上都對8、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布9、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)10、關于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質口令11、物理安全周邊的安全設置應考慮：（）A、區(qū)域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C12、()是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障13、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡地址欺騙14、對于可能超越系統(tǒng)和應用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內B、建立禁止使用的實用程序清單C、緊急響應時所使用的實用程序不需要授權D、建立、授權機制和許可使用的實用程序清單15、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估16、容量管理的對象包括（）A、信息系統(tǒng)內存B、辦公室空間和基礎設施C、人力資源D、以上全部17、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當?shù)谋ＷoC、確保信息得到保護D、確保信息按照其級別得到處理18、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用19、信息安全管理體系是用來確定（)A、組織的管理效率B、產品和服務符合有關法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度20、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對21、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設備和資產須驗證其是否符合安全策略，對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證，對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產，驗證攜帶者身份信息，可替代對設備設施的驗證22、依據(jù)GB/T22080/IS0/IEC27001，關于網(wǎng)絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網(wǎng)絡服務，視為允許訪問的網(wǎng)絡服務B、對于允許訪問的網(wǎng)絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網(wǎng)絡服務，按照規(guī)定的授權機制進行授權D、以上都對23、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風險轉移到組織D、組織的某個虛擬小組負責人24、建立ISMS體系的目的，是為了充分保護信息資產并給予（）信息A、相關方B、供應商C、顧客D、上級機關25、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準26、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結構B、容錯能力C、網(wǎng)絡拓撲D、局域網(wǎng)協(xié)議27、確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程其所用，是指（）A、完整性B、可用性C、機密性D、抗抵賴性28、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年29、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明30、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審31、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務角色設定訪問權B、組共享用戶ID按組任務的最大權限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權32、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險33、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年34、以下關于認證機構的監(jiān)督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構的監(jiān)督方案應由認證機構和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監(jiān)督35、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級36、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責？（）A、審查、任用條款和條件B、管理責任、信息安全意識教育和培訓C、任用終止或變更的責任D、以上都不對37、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新38、在現(xiàn)場審核結束之前，下列哪項活動不是必須的？（）A、關于客戶組織ISMS與認證要求之間的符合性說明B、審核現(xiàn)場發(fā)現(xiàn)的不符合C、提供審核報告D、聽取客戶對審核發(fā)現(xiàn)提出的問題39、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低40、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結果D、審核中的觀察項二、多項選擇題41、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務重大決策中的秘密事項B、國民經濟和社會發(fā)展中的秘密事項C、科學技術中的秘密事項D、國防建設和武裝力量活動中的秘密事項42、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高43、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產品査殺病毒44、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)45、《互聯(lián)網(wǎng)信息服務管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類46、評價信息安全風險，包括（）A、將風險分析的結果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優(yōu)先級D、計算風險大小47、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了48、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處理49、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發(fā)放了公司財務總監(jiān)、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數(shù)核心項目人員發(fā)放了手機，允許其使用手機在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘50、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了51、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告52、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核53、關于涉密信息系統(tǒng)的管理，以下說法正確的是：（)A、涉密計算機、存儲設備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡B、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網(wǎng)C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機未經安全技術處理不得改作其他用途54、以下做法正確的是（）A、使用生產系統(tǒng)數(shù)據(jù)測試時,應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調換項目組時，其愿使用計算機中的項目數(shù)據(jù)經妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致55、以下屬于“信息處理設施”的是（）A、信息處理系統(tǒng)B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施三、判斷題56、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）57、審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）58、敏感信息通過網(wǎng)絡傳輸時必須加密處理。（)59、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）60、客戶所有場所業(yè)務的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)61、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）62、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）63、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)（）。64、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導致的影響（）65、計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）

參考答案一、單項選擇題1、B2、C3、C4、B5、B6、B7、B8、C9、D10、C解析:應確保秘密鑒別信息的保密性，確保鑒別信息得到適當?shù)谋Ｗo，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護，故選C11、D12、A13、A14、D15、D16、D17、A18、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A19、C20、B21、C22、C23、C24、A25、A26、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡。而大型計算機環(huán)境是指類似服務器的大型網(wǎng)絡。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B27、C28、D29、B30、D31、A32、D33、D34、B35、C解析:參考