2023年第二期ISMS信息安全管理体系CCAA审核员模拟试题含解析

2023年第二期ISMS信息安全管理体系CCAA审核员模拟试题
一、单项选择题
1、最高管理者应（）。

A、确保制定ISMS方针
B、制定ISMS目标和计划
C、实施ISMS内部审核
D、主持ISMS管理评审
2、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）
A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求
B、标准中所表述要求的顺序反映了这些要求要实现的顺序
C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中
D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性
3、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式
A、警告
B、罚款
C、没收违法所得
D、吊销许可证
4、风险处置是（）
A、识别并执行措施来更改风险的过程
B、确定并执行措施来更改风险的过程
C、分析并执行措施来更改风险的过程
D、选择并执行措施来更改风险的过程
5、信息分级的目的是（）
A、确保信息按照其对组织的重要程度受到适当级别的保护
B、确保信息按照其级别得到适当的保护
C、确保信息得到保护
D、确保信息按照其级别得到处理
6、描述组织采取适当的控制措施的文档是（）
A、管理手册
B、适用性声明
C、风险处置计划
D、风险评估程序
7、信息安全管理中，支持性基础设施指：（）
A、供电、通信设施
B、消防、防雷设施
C、空调及新风系统、水气暖供应系统
D、以上全部
8、形成ISMS审核发现时，不需要考虑的是（）
A、所实施控制措施与适用性声明的符合性
B、适用性声明的完备性和适宜性
C、所实施控制措施的时效性
D、所实施控制措施的有效性
9、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？
A、硬件和软件
B、技术和制度
C、管理员和用户
D、物理安全和软件缺陷
10、信息安全管理体系是用来确定（)
A、组织的管理效率
B、产品和服务符合有关法律法规程度
C、信息安全管理体系满足审核准则的程度
D、信息安全手册与标准的符合程度
11、以下不属于信息安全事态或事件的是：
A、服务、设备或设施的丢失
B、系统故障或超负载
C、物理安全要求的违规
D、安全策略变更的临时通知
12、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）
A、自动恢复其IP至原绑定状态
B、断开网络并持续阻断
C、弹出提示街口对其发出警告
D、锁定键盘鼠标
13、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）
A、下级管理员无权修改，不可删除
B、下级管理员无权修改，可以删除
C、下级管理员可以修改，可以删除
D、下级管理员可以修改，不可删除
14、风险处置计划，应（）
A、获得风险责任人的批准，同时获得对残余风险的批准
B、获得最高管理者的批准，同时获得对残余风险的批准
C、获得风险部门负责人的批准，同时获得对残余风险的批准
D、获得管理者代表的批准，同时获得对残余风险的批准
15、风险评价是指（）
A、系统地使用信息来识别风险来源和评估风险
B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程
C、指导和控制一个组织相关风险的协调活动
D、以上都对
16、组织确定的信息安全管理体系范围应（）
A、形成文件化信息并可用
B、形成记录并可用
C、形成文件和记录并可用
D、形成程字化信息并可用
17、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

A、主要结构
B、容错能力
C、网络拓扑
D、局域网协议
18、下列()不是创建和维护测量要执行的活动。

A、开展测量活动
B、识别当前支持信息需求的安全实践
C、开发和更新测量
D、建立测量文档并确定实施优先级
19、在每天下午5点使计算机结束时断开终端的连接属于（）
A、外部终端的物理安全
B、通信线的物理安全
C、窃听数据
D、网络地址欺骗
20、以下哪个选项不是ISMS第一阶段审核的目的（）
A、获取对组织信息安全管理体系的了解和认识
B、了解客户组织的审核准备状态
C、为计划2阶段审核提供重点
D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求
21、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）
A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘
B、划分信息载体所属的职能以便于明确管理责任
C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则
D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析
22、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请
A、2年
B、3年
C、4年
D、5年
23、关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议和保密义务与责任。

A、安全保密
B、安全保护
C、安全保障
D、安全责任
24、国家秘密的保密期限应为:（）
A、绝密不超过三十年，机密不超过二十年，秘密不超过十年
B、绝密不低于三十年，机密不低于二十年，秘密不低于十年
C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年
D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年
25、根据GB/T22080-2016标准的要求，组织（）实施风险评估
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔且当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
26、容量管理的对象包括（）
A、信息系统内存
B、办公室空间和基础设施
C、人力资源
D、以上全部
27、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。

A、用户权限
B、可被用户访问的资料
C、系统是否遭受入侵
D、可给予哪些主体访问
28、保密性是指（）
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、突体或过程利用或知悉的特性
C、保护信息的准确和完整的特性
D、以上都不対
29、在安全模式下杀毒最主要的理由是（）
A、安全模式下查杀病速度快
B、安全模式下查杀比较彻底
C、安全模式下查杀不连通网络
D、安全模式下查杀不容易死机
30、关于文件管理下列说法错误的是（）
A、文件发布前应得到批准，以确保文件是适宜的
B、必要时对文件进行评审、更新并再次批准
C、应确保文件保持清晰，易于识别
D、作废文件应及时销毁，防止错误使用
31、设备维护维修时，应考虑的安全措施包括：（）
A、维护维修前，按规定程序处理或清除其中的信息
B、维护维修后，检查是否有未授权的新增功能
C、敏感部件进行物理销毁而不予送修
D、以上全部
32、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性
B、监视和评审服务方人员聘用和考核的流程
C、监视和评审服务交付遵从协议规定的安全要求的程度
D、监视和评审服务方跟踪处理信息安全事件的能力
33、当发现不符合项时，组织应对不符合做出反应，适用时（）。

A、采取措施，以控制并予以纠正
B、对产生的影响进行处理
C、分析产生原因
D、建立纠正措施以避免再发生
34、关于GB/T22081标准，以下说法正确的是：（）
A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据
B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据
C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分
D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准
35、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评
A、半年
B、1年
C、1,5年
D、2年
36、关于《中华人民共和国保密法》，以下说法正确的是：（）
A、该法的目的是为了保守国家秘密而定
B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系
C、该法适用于所有组织对其敏感信息的保护
D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护
37、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。

对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。

A、半年
B、1年
C、1.5年
D、2年
38、信息安全目标应()
A、可测量
B、与信息安全方针一致
C、适当时，对相关方可用
D、定期更新
39、信息安全的机密性是指（）
A、保证信息不被其他人使用
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、根据授权实体的要求可访问的特性
D、保护信息准确和完整的特性
40、对保密文件复印件张数核对是确保保密文件的（）
A、保密性
B、完整性
C、可用性
D、连续性
二、多项选择题
41、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是
A、网络关键设备
B、网络安全专用产品
C、销售前
D、投入运行后
42、关于云计算服务中的的安全，以下说法不正确的是（）。

A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则
B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则
C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则
D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则
43、GB/T22080-2016/ISO/IEC27001:2013标准可用于（）
A、指导组织建立信息安全管理体系
B、为组织建立信息安全管理体系提供控制措施的实施指南
C、审核员实施审核的依据
D、以上都不对
44、在开展信息安全绩效和ISMS有效性评价时，组织应确定（）
A、监视、测量、分析和评价的过程
B、适用的监视、测量、分析和评价的方法
C、需要被监视和测量的内容
D、监视、测量、分析和评价的执行人员
45、以下（）活动是ISMS监视预评审阶段需完成的内容
A、实施培训和意识教育计划
B、实施ISMS内部审核
C、实施ISMS管理评审
D、采取纠正措施
46、针对敏感应用系统安全，以下正确的做法是（）。

A、用户尝试登录失败时，明确提示其用户名错误或口令错误
B、登录之后，不活动超过规定时间强制使其退出登录
C、对于修改系统核心业务运行数据的操作限定操作时间
D、对于数据库系统审计人员开放不限时权限
47、信息安全管理中，以下属于“按需知悉（need-to-know)”原则的是（）
A、根据工作需要仅获得最小的知悉权限
B、工作人员仅需要满足工作任务所需要的信息
C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围。

D、工作范围是可访问的信息
48、下列哪些是SSL支持的内容类型?（）
A、chang_cipher_spec
B、alert
C、handshakle
D、applicatlon_data
49、ISO/IEC27001标准要求以下哪些过程要形成文件化的信息？（)
A、信息安全方针
B、信息安全风险处置过程
C、沟通记录
D、信息安全目标
50、以下（）活动是ISMS建立阶段应完成的内容
A、确定ISMS的范围和边界
B、确定ISMS方针
C、确定风险评估方法和实施
D、实施体系文件培训
51、以下做法正确的是（）
A、使用生产系统数据测试时，应先将数据进行脱敏处理
B、为强化新员工培训效果，应尽可能使用真实业务案例和数据
C、员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D、信息系统管理域内所有的终端启动屏幕保护时间应一致
52、下列哪些属于网络攻击事件（）
A、钓鱼攻击
B、后门攻击事件
C、社会工程攻击
D、DOS攻击
53、组织在风险处置过程中所选的控制措施需（）
A、将所有风险都必须被降低到可接受的级别
B、可以将风险转移
C、在满足公司策略和方针条件下有意识、客观地接受风险
D、规避风险
54、某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）
A、行车监控系统
B、行车路线信息
C、押运人员个人信息
D、押运人员用枪支
55、信息安全管理体系范围和边界的确定依据包括（）
A、业务
B、组织
C、物理
D、资产和技术
三、判断题
56、风险处置计划和信息安全残余风险应获得最高管理者的接受和批准。

57、组织的业务连续性策略即其信息安全连续性策略。

58、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。

（）
59、访问控制列表指由主体以及主体对客体的访问权限所组成列表。

60、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。

61、敏感信息通过网络传输时必须加密处理。

（)
62、《中华人民共和国网络安全法》是2017年1月1日开始实施的（）
63、考虑了组织所实施的活动，即可确定组织信息安全管理体系范围。

64、审核组可以由一个人组成。

（）
65、当需要时，组织可设计控制，或识别来自任何来源的控制。

（）
参考答案
一、单项选择题
1、D
2、B
解析:
引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序
3、A
4、D
解析:
风险处置，是指选择并且执行措施来更改风险的过程。

故选D
5、A
6、B
7、D
8、C
9、B
10、C
11、D
12、D
13、A
14、A
15、B
16、A
17、B
解析:
局域网是指家庭或是办公室，或者其他环境中小型网络。

而大型计算机环境是指类似服务器的大型网络。

两者本地备份差别主要体现在容错能力上，故选B
18、D
19、A
20、D
21、C
解析:
信息分级的目的确保信息按照其对组织的重要程度受到适当水平的保护。

对比四个选项，c项更能突出对组织的重要程度，故选C
22、D
23、A
解析:
《中华人民共和国网络安全法》第36条，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

故选A 24、A
解析:
国家秘密的保密期限,除有特殊规定外,绝密级事项不超过三十年,机密级事项不超过二十
年,秘密级事项不超过十年
25、A
26、D
27、D
28、B
29、B
30、D
31、D
32、B
33、A
解析:
参考2700110,1当发生不符合时，组织应：对不符合做出反应，适用时：（1）采取措施，以控制并予以纠正（2）处理后果。

故选A
34、B
解析:
iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。

cnas-cc1702认证规范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms 认证的依据，故选B
35、D
36、A
37、D
38、B
39、B
40、A
二、多项选择题
41、A,B,C
42、A,B,D
43、A,C
44、B,C,D
45、B,C
46、B,C
47、A,B
48、A,B,C,D
49、A,B,D
50、A,B,C
51、A,C
解析:
参考27001附录A16,1，应建立信息安全事件管理的责任和规程，以便快速、有效和有序的响应事件；通过适当的管理渠道报告信息安全事态；报告任何观察到的或可以的系统或服务中的信息安全弱点；评估信息安全事态是否属于信息安全事件；按照文件化的规程响应信息安全事件；从信息安全事件学习；收集证据。

本题选AC，B和D选项不是所有员工都有权限完成的活动
52、A,B,D
53、B,C,D
54、A,B,C,D
55、A,B,C,D
三、判断题
56、正确
57、正确
58、正确
59、正确
60、正确
61、正确
62、正确
63、正确
64、正确
65、正确。