2022年第四期ISMS信息安全管理體系CCAA審核員考試題目一、單項選擇題1、關于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡中“釣魚”軟件的存在，是網(wǎng)絡的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部2、控制影響信息安全的變更，包括（)A、組織、業(yè)務活動、信息及處理設施和系統(tǒng)變更B、組織、業(yè)務過程、信息處理設施和系統(tǒng)變更C、組織、業(yè)務過程、信息及處理設施和系統(tǒng)變更D、組織、業(yè)務活動、信息處理設施和系統(tǒng)變更3、按照PDCA思路進行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核B、按照認證機構的PDCA流程進行審核C、按照認可規(guī)范中規(guī)定的PDCA流程進行審核D、以上都對4、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準5、ISMS管理評審的輸出應考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務要求變更B、合同義務變更C、安全要求的變更D、以上都不對6、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業(yè)性的評審和批準7、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產(chǎn)品或過程8、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關聯(lián)到的資產(chǎn)，明確其對組織業(yè)務的關鍵性B、完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)負責人C、資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D、A+B9、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是10、風險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響11、下列哪一種情況下，網(wǎng)絡數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡附加存儲設備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時12、當獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當?shù)拇胧〤、宣布取消末次會議D、以上都不可以13、容量管理的對象包括（）A、服務器內(nèi)存B、網(wǎng)絡通信帶寬C、人力資源D、以上全部14、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調(diào)整B、應嚴格限制對軟件包的調(diào)整以保護軟件包的保密性C、應嚴格限制對軟件包的調(diào)整以保護軟件包的完整性和可用性D、以上都不對15、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務的敏感程度C、資產(chǎn)的折損率D、以上全部16、根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發(fā)生時B、應按計劃的時間間隔且當重大變更提出或發(fā)生時C、只需在重大變更發(fā)生時D、只需按計劃的時間間隔17、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權的變更C、軟件或信息資產(chǎn)內(nèi)容構成與原件相比不發(fā)生缺失的情況D、設備系統(tǒng)的部件和配件不發(fā)生缺失的情況18、容災的目的和實質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務連續(xù)性管理D、防止數(shù)據(jù)被破壞19、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新20、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤21、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質(zhì)D、對組織有價值的文件22、風險識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響23、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明24、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃25、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局26、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應用網(wǎng)關C、擴展的日志記錄能力D、包交換27、關于系統(tǒng)運行日志，以下說法正確的是：（)A、系統(tǒng)管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應決定系統(tǒng)管理員的活動是否有記入曰志28、在形成信息安全管理體系審核發(fā)現(xiàn)時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性29、管理體系是實現(xiàn)組織目標的方針、（）、指南和相關資源的框架A、目標B、規(guī)程C、文件D、記錄30、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響31、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年32、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復33、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關于網(wǎng)絡服務的訪問控制策略,以下正確的是()A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制34、以下關于認證機構的監(jiān)督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構的監(jiān)督方案應由認證機構和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監(jiān)督35、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調(diào)活動D、以上都對36、關于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令37、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權用戶不可能訪問到關鍵數(shù)據(jù)38、完整性是指()A、根據(jù)授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、保護資產(chǎn)保密和可用的特性39、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內(nèi)審的結果40、在認證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準確二、多項選擇題41、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核42、信息安全管理體系審核應遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法43、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模44、《互聯(lián)網(wǎng)信息服務管理辦法》中對()類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類45、評價信息安全風險，包括（）A、將風險分析的結果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優(yōu)先級D、計算風險大小46、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是（）A、某公司為保潔人員發(fā)放了公司財務總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標上紅橙黃藍標志C、某公司為少數(shù)核心項目人員發(fā)放了手機，允許其使用手機在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機帶離指定區(qū)域D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘47、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員48、認證機構應有驗證審核組成員背景經(jīng)驗，特定培訓或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關的技術知識D、信息安全的知識49、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容50、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新51、在信息安全事件管理中，（）是所有員工應該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件52、管理評審的輸出應包括（）A、與持續(xù)改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執(zhí)行情況53、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估54、《中華人民共和國網(wǎng)絡安全法》的宗旨是（）A、維護網(wǎng)絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益55、下列哪項屬于《認證機構管理辦法》中規(guī)定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度三、判斷題56、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。57、創(chuàng)建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。58、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）59、較低的恢復時間目標會有更長的中斷時間。（）60、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）61、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）62、審核方案應包括審核所需的資源，例如交通和食宿。（）63、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）64、審核組可以由一個人組成。（）65、客戶所有場所業(yè)務的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)

參考答案一、單項選擇題1、C2、B3、A4、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時，組織應確保適當?shù)臉俗R和描述；格式和介質(zhì)；對適宜性和充分性的評審和批準5、D解析:270019,3管理評審，管理評審的輸出應包括與持續(xù)改進機會相關的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應控制影響信息安全的變更，包括組織，業(yè)務過程，信息處理設施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理，故選D6、D7、D8、A9、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D10、B11、A12、B13、D14、D解析:應嚴格限制對軟件包的調(diào)整以保護其完整性15、B16、A17、B18、C19、B20、D21、C2