2022年第三期CCAA国家注册审核员复习题-ISMS信息安全管理体系知识含解析

2022年第三期CCAA国家注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程2、设备维护维修时，应考虑的安全措施包括：（）A、维护维修前，按规定程序处理或清除其中的信息B、维护维修后，检查是否有未授权的新增功能C、敏感部件进行物理销毁而不予送修D、以上全部3、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力4、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南5、信息安全风险的基本要素包括（）A、资产、可能性、影响B、资产、脆弱性、威胁C、可能性、资产、脆弱性D、脆弱性、威胁、后果6、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准7、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通8、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用9、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的（）。A、说明B、声明C、想法D、描述10、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机11、Saas是指(）A、软件即服务B、服务平台即月勝C、服务应用即服务D、服务瞇即服务12、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対13、经过风险处理后遗留的风险是（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险14、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审15、当获得的审核证据表明不能达到审核目的时，申核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理中以确定适当的措施C、宣布取消末次会议D、以上各项都不可以16、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请A、2年B、3年C、4年D、5年17、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限18、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》19、下面哪个不是《中华人民共和国密码法》中密码的分类？（）A、核心密码B、普通密码C、国家密码D、商用密码20、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。A、搞抵赖性B、完整性C、机密性D、可用性21、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对22、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果23、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响24、下列措施中不能用于防止非授权访问的是（）A、采取密码技术B、采用最小授权C、采用权限复查D、采用日志记录25、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D、数据备份26、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项27、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离28、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。A、4-10B、1-10C、4-7和9-10D、4-10和附录A29、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力30、文件化信息创建和更新时，组织应确保适当的（)A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准31、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志32、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对33、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作34、关于适用性声明下面描述错误的是(）A、包含附录A中控制删减的合理性说明B、不包含未实现的控制C、包含所有计划的控制D、包含附录A的控制及其选择的合理性说明35、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素36、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理37、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）A、对组织的信息安全管理体系进行变更B、执行信息安全风险评估C、开展内部审核D、开展管理评审38、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼39、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告A、8小时内B、12小时内C、24小时内D、48小时内40、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C二、多项选择题41、依据GB/T22080，经管理层批准，定期评审的信息安全策略包括（）A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略42、信息安全管理体系审核应遵循的原则包括:（）A、诚实守信B、保密性C、基于风险D、基于事实的决策方法43、组织的信息安全管理体系初次认证应包括的审核活动是A、审核准备B、第一阶段审核C、第二阶段审核D、认证决定44、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类45、组织建立的信息安全目标，应（）。A、是可测量的B、与信息安全方针一致C、得到沟通D、适当时更新46、含有高等级敏感信息的设备的处置可采取（）A、格式化处理B、采取使原始信息不可获取的技术破坏或删除C、多次的写覆盖D、彻底破坏47、第二阶段审核中，应重点审核被审核单位的（）。A、最高管理者的领导力B、与信息安全有关的风险C、基于风险评估和风险处置过程D、ISMS有效性48、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后49、以下说法不正确的是（）A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了50、依据GB/Z20986，确定为重大社会影响的情况包括（）A、涉及到一个或多个城市的大部分地区B、威胁到国家安全C、扰乱社会秩序D、对经济建设设有重大负面影响51、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机52、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格率D、过程中存在偶然波动还是异常波动53、以下属于信息安全管理体系审核证据的是（）A、信息系统的阈值列表B、信息系统运行监控中心显示的实时资源占用数据C、数据恢复测试的日志D、信息系统漏洞测试分析报告54、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训55、以下说法不正确的是（）A、信息安全管理体系审核是信息系统审计的一种B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估三、判断题56、组织的内外部相关方要求属于组织的内部和外部事项”（）57、组织应持续改进信息安全管理体系的适宜性、充分性和有效性。（）58、审核员由实习审核员转审核员之前，至少必须通过4次完整体系20天的审核。（）59、通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，可以称这种新出现的计算机病毒是原来计算机病毒的变形。60、组织的业务连续性策略即其信息安全连续性策略。61、GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准（）62、拒绝服务器攻击包括消耗目标服务器的可用资源或消耗网络的有效带宽63、“资产清单”包含与信息生命周期有关的资产，与信息的创建、处理、存储、传输、删除和销毁无关联的资产不在“资产清单”的范围内。（）64、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。（）65、客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核（)

参考答案一、单项选择题1、D解析:高风险的产品或过程应增加审核时间要素2、D3、B4、D5、B6、B解析:iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制