2021年第一期CCAA注册审核员复习题-ISMS信息安全管理体系知识含解析

2021年第一期CCAA注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对2、风险处置计划，应（）A、获得风险责任人的批准，同时获得对残余风险的批准B、获得最高管理者的批准，同时获得对残余风险的批准C、获得风险部门负责人的批准，同时获得对残余风险的批准D、获得管理者代表的批准，同时获得对残余风险的批准3、应定期评审信息系统与组织的（）的符合性。A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准4、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时5、不属于计算机病毒防治的策略的是（）A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘6、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审7、下列措施中，（）是风险管理的内容。A、识别风险B、风险优先级评价C、风险处置D、以上都是8、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是9、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。A、人为因素B、自然灾难C、不可抗力D、网络故障10、信息安全管理中,以下哪一种描述能说明“完整性”（）。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况11、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对12、文件化信息创建和更新时，组织应确保适当的（)A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准13、信息系统的变更管理包括（）A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部14、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程15、依据《中华人民共和国网络安全法》，以下正确的是（）。A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月16、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准17、关于信息安全连续性，以下说法正确的是（）A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定18、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标19、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录20、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以21、关于访问控制策略，以下不正确的是：（）A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型B、对于多任务访问，一次性赋予全任务权限C、物理区域的管理规定须遵从物理区域的访问控制策D、物理区域访问控制策略应与其中的资产敏感性一致22、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年23、计算机信息系统安全专用产品是指：（）A、用于保护计算机信息系统安全的专用硬件和软件产品B、按安全加固要求设计的专用计算机C、安装了专用安全协议的专用计算机D、特定用途（如高保密）专用的计算机软件和硬件产品24、组织的风险责任人不可以是（）A、组织的某个部门B、某个系统管理员C、风险转移到组织D、组织的某个虚拟小组负责人25、依据GB/T22080-2016标准，符合性要求包括（）A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对26、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知27、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响28、在现场审核时，审核组有权自行决定变更的事项是（）。A、市核人日B、审核的业务范围C、审核日期D、审核组任务调整29、（）是建立有效的计算机病毒防御体系所需要的技术措施。A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙30、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数31、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、632、组织应（），以确信相关过程按计划得到执行。A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度33、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。A、半年B、1年C、1.5年D、2年34、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录35、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏36、依据GB/T22080/ISO/IEC27001中控制措施的要求，关于网络服务的访问控制策略,以下正确的是()A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制37、下列不属于取得认证机构资质应满足条件的是（）。A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员38、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新39、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞40、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象二、多项选择题41、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移42、信息安全是保证信息的(),另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A、可用性B、机密性C、完备性D、完整性43、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类44、《中华人民共和国网络安全法》的宗旨是（）A、维护网络间主权B、维按国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益45、下列属于“开发安全”活动的是（）。A、应规范用户修改软件包，必须的修改应严格管制B、应用系统若有变更，应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序46、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训47、根据《中华人民共和国密码法》，密码工作坚持总体国家安全观,遵循统一领导，(）依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责48、对于组织在风险处置过程中所选的控制措施，以下说法正确的是（）A、将所有风险都必须被降低至可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下，有意识、客观地接受风险D、规避风险49、关于涉密信息系统的管理，以下说法正确的是：（)A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途50、《中华人民共和国网络安全法》是为了保障网络安全,（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益51、某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）A、行车监控系统B、行车路线信息C、押运人员个人信息D、押运人员用枪支52、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机53、投诉处理过程应包括：（）A、投诉受理、跟踪和告知B、投诉初步评审、投诉调查C、投诉响应、沟通决定D、投诉终止54、关于审核方案，以下说法正确的是A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核C、中核方案即年度内部审梭计划D、审核方案是审核计划的输入55、不符合项报告应包括A、不符合事实的描述B、不符合的标准条款及内容C、不符合的原因D、不符合的性质三、判断题56、实习审核员可以独立完成审核任务。（）57、IS0/IEC27006是ISO/IEC17021的相关要求的补充。（）58、最高管理层应确保方针得到建立（）59、当需要时，组织可设计控制，或识别来自任何来源的控制。（）60、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。（）61、在来自可信站点电子邮件中输入个人或财务信息是安全的。（）62、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。（）63、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）64、组织应适当保留信息安全目标文件化信息。（）65、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺

参考答案一、单项选择题1、A2、A3、D4、A5、D6、D7、D8、D9、C10、B11、C12、D13、D14、D解析:高风险的产品或过程应增加审核时间要素15、C16、B解析:iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。cnas-cc1702认证规范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms认证的依据，故选B17、B18、D19、D20、B21、B22、A解析:国家秘密的保密期限,除有特殊规定