2021年6月ISMS信息安全管理体系CCAA审核员复习题含解析

2021年6月ISMS信息安全管理体系CCAA审核员复习题一、单项选择题1、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密2、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型3、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响，但不包括（）A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都不对4、下列措施中，（）是风险管理的内容。A、识别风险B、风险优先级评价C、风险处置D、以上都是5、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督6、在现场审核结束之前，下列哪项活动不是必须的？（）A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题7、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应8、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见9、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求10、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知11、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙12、进入重要机构时，在门卫处登记属于以下哪种措施？（）A、访问控制B、身份鉴别C、审计D、标记13、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认14、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段15、计算机病毒系指_____。A、生物病毒感染B、细菌感染C、被损坏的程序D、特制的具有损坏性的小程序16、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用17、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A、静态B、动态C、均可D、静态达到50%以上即可18、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷19、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意20、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A、2年B、3年C、4年D、5年21、关于信息安全连续性，以下说法正确的是：A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定22、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数23、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对24、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复25、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标26、信息安全管理中,以下哪一种描述能说明“完整性”（）。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况27、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确28、《计算机信息系统安全保护条例》中所称计算机信息系统，是指A、对信息进行采集、加工、存储、传输、检索等处理的人机系统B、计算机及其相关的设备、设施，不包括软件C、计算机运算环境的总和，但不含网络D、一个组织所有计算机的总和，包括未联网的微型计算机29、确定资产的可用性要求须依据（）。A、授权实体的需求B、信息系统的实际性能水平C、组织可支付的经济成本D、最高管理者的决定30、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏31、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件32、关于《中华人民共和国保密法》，以下说法正确的是：（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护33、下列()不是创建和维护测量要执行的活动。A、开展测量活动B、识别当前支持信息需求的安全实践C、开发和更新测量D、建立测量文档并确定实施优先级34、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育35、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件36、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次37、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应38、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是39、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用40、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新二、多项选择题41、信息安全管理体系范围和边界的确定依据包括（）A、业务B、组织C、物理D、资产和技术42、下列哪些属于网络攻击事件（）A、钓鱼攻击B、后门攻击事件C、社会工程攻击D、DOS攻击43、《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活动，提高产品、服务的（），促进经济和社会的发展。A、质量B、数量C、管理水平D、竞争力44、信息安全是保证信息的(),另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A、可用性B、机密性C、完备性D、完整性45、对于涉密信息系统，以下说法正确的是（）A、使用的信息安全保密产品原则上应选择国产产品B、使用的信息安全保密产品应当通过国家保密局授权的检测机构检测C、使用的信息安全保密产品应当通过国家保密局审核发布的目录中选取D、总体保密水平不低于国家信息安全等级保护第四级水平46、下面哪一条措施可以防止数据泄漏（)A、数据冗余B、数据加密C、访问控制D、密码系统47、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块，为方便各项目组讨论，公司创建了一个sharefolder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是（）A、各项目人员访问该sharefolder需要得到授权B、获得sharefolder访问权者可访问该目录下所有子文件夹C、IT人员与各项目负责人共同定期评审sharefolder访问权D、H人员不定期删除sharefolder数据以释放容量，此活动是容量管理，游戏开发人员不参与48、A,B,C解析:gb/t20984-20077,2自评估是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估，A正确。周期性进行的自评估可以在评估流程上适当简化，重点针对自上次评估后系统发生变化后引入的新威胁，以及系统脆弱性的完整性识别，以便于两次评估结果对比，B正确。自评估可由发起方实施或委托风险评估服务技术支持方实施，C正确。D错误，主体错误，检查评估是信息系统上级管理部门组织的或国家有关职能部门依法展开的风险评估。本题选ABC49、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核50、以下属于“信息处理设施”的是（）A、信息处理系统B、信息处理相关的服务C、与信息处理相关的设备D、安置信息处理设备的物理场所与设施51、以下属于访问控制的是（）。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品查杀病毒52、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类53、在开展信息安全绩效和ISMS有效性评价时，组织应确定（）A、监视、测量、分析和评价的过程B、适用的监视、测量、分析和评价的方法C、需要被监视和测量的内容D、监视、测量、分析和评价的执行人员54、对于审核发现（）A、审核组应根据需要，在审核的适当阶段共同评审审核发现B、根据审核计划和检査表要求，只需记录每个不符合审核发现的审核证据C、应与受审核方一起评审不符合的审核发现，以确认审核证据的准确性，并得到受审核方的理解D、包括正面的和负面的发现55、管理评审的输入应包括（）。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果三、判断题56、组织使用云盘设施服务时，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1条款可以删减。（）57、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）58、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）59、记录可提供符合信息安全管理体系要求和有效运行的证据。（）60、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）61、当需要时，组织可设计控制，或识别来自任何来源的控制。（）62、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）63、破坏、摧毁、控制网络基础设施是网络攻击行为之一。64、在来自可信站点电子邮件中输入个人或财务信息是安全的。（）65、利用生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别。

参考答案一、单项选择题1、B2、A3、D解析:270019,3管理评审，管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。27001附录A12,1,2变更管理，应控制影响信息安全的变更，包括组织，业务过程，信息处理设施和系统变更。因此A,B,C选项的变更均符合变更管理，故选D4、D5、B6、C7、D8、A9、D10、D11、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D12、B13、B解析:2700214,2,3运行平台变更后对应用的技术评审，当运行平台发生变更时，应对业务的关键应用进行