2023年第一期ISMS信息安全管理体系CCAA审核员模拟试题含解析

2023年第一期ISMS信息安全管理体系CCAA审核员模拟试题
一、单项选择题
1、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）
A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证
B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证
C、对于离开组织的设备和资产须验证相关授权信息
D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证
2、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态
A、信息安全事态
B、信息安全事件
C、信息安全事故
D、信息安全故障
3、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的（）。

A、说明
B、声明
C、想法
D、描述
4、信息分级的目的是（）
A、确保信息按照其对组织的重要程度受到适当级别的保护
B、确保信息按照其级别得到适当的保护
C、确保信息得到保护
D、确保信息按照其级别得到处理
5、设置防火墙策略是为了(）
A、进行访问控制
B、进行病毒防范
C、进行邮件内容过滤
D、进行流量控制
6、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。

A、人为因素
B、自然灾难
C、不可抗力
D、网络故障
7、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限
B、分配岗位与权限
C、分配责任与权限
D、分配角色和权限
8、不属于公司信息资产的是（）
A、客户信息
B、公司旋转在IDC机房的服务器
C、保洁服务
D、以上都不对
9、根据GB/T22080-2016标准的要求，组织（）实施风险评估
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔且当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
10、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）
A、所需审核组能力的要求
B、客户组织的准备程度
C、所需能力的审核组成员
D、客户组织的场所分布
11、过程是指（）
A、有输入和输出的任意活动
B、通过使用资源和管理，将输入转化为输出的活动
C、所有业务活动的集合
D、以上都不对
12、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定
B、制定
C、落实
D、确保
13、依据GB/T22080/ISO/IEC27001的要求，管理者应（）
A、制定ISMS目标和计划
B、实施ISMS管理评审
C、决定接受风险的准则和风险的可接受级别
D、其他选项均不正确
14、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）
A、ISO/IECJTC1SC27
B、ISO/IECJTC13C40
C、ISO/IECTC27
D、ISO/IECTC40
15、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）
A、需要使用网络附加存储设备(NAS)时
B、不能使用TCP/IP的环境时
C、需要备份旧的备份系统不能处理的文件许可时中先创学
D、要保证跨多个数据卷的备份连续、一致时
16、GB/T29246标准为组织和个人提供（）
A、建立信息安全管理体系的基础信息
B、信息安全管理体系的介绍
C、ISMS标准族已发布标准的介绍
D、1SMS标准族中使用的所有术语和定义
17、关于容量管理，以下说法不正确的是（）
A、根据业务对系统性能的需求，设置阈值和监视调整机制
B、针对业务关键性，设置资源占用的优先级
C、对于关键业务，通过放宽阈值以避免或减少报警的干扰
D、依据资源使用趋势数据进行容量规划
18、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）
A、该标准是指南类标准
B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南
C、该标准给出了ISMS的实施指南
D、该标准的名称是《信息技术安全技术信息安全管理实用规则》
19、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?
A、其产品/过程无风险或有低的风险
B、客户的认证准备
C、仅涉及单一的活动过程
D、具有高风险的产品或过程
20、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）
A、不考虑资产的价值，基本水平的保护都会被实施
B、对所有信息资产保护都投入相同的资源
C、对信息资产实施适当水平的保护
D、信息资产过度的保护
21、关于信息系统登录口令的管理，以下做法不正确的是：()
A、必要时，使用密码技术、生物识等替代口令
B、用提示信息告知用户输入的口令是否正确
C、明确告知用户应遵从的优质口令策略
D、使用互动式管理确保用户使用优质口令
22、ISO/IEC27001所采用的过程方法是（)
A、PPTR方法
B、SMART方法
C、PDCA方法
D、SWOT方法
23、关于文件管理下列说法错误的是（）
A、文件发布前应得到批准，以确保文件是适宜的
B、必要时对文件进行评审、更新并再次批准
C、应确保文件保持清晰，易于识别
D、作废文件应及时销毁，防止错误使用
24、风险责任人是指（）
A、具有责任和权限管理一项风险的个人或实体
B、实施风险评估的组织的法人
C、实施风险评估的项目负责人或项目任务责任人
D、信息及信息处理设施的使用者
25、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）
A、下级管理员无权修改，不可删除
B、下级管理员无权修改，可以删除
C、下级管理员可以修改，可以删除
D、下级管理员可以修改，不可删除
26、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）
A、安全接口层(sSL,SecureSocketsLayer〉
B、风险隧道技术(Tunnelling)
C、数字签名
D、风险钓鱼
27、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）
A、信息安全方针
B、信息安全目标
C、风险评估过程记录
D、沟通记录
28、关于投诉处理过程的设计，以下说法正确的是：()
A、投诉处理过程应易于所有投诉者使用
B、投诉处理过程应易于所有投诉响应者使用
C、投诉处理过程应易于所有投诉处理者使用
D、投诉处理过程应易于为投诉处理付费的投诉者使用
29、关于《中华人民共和国保密法》，以下说法正确的是:（）
A、该法的目的是为了保守国家秘密而定
B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系
C、该法适用于所有组织对其敏感信息的保护
D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护
30、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略，以下正确的是（）
A、没有陈述为禁止访问的网络服务，视为允许方问的网络服务
B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接
C、对于允许访问的网络服务，按照规定的授权机制进行授权
D、以上都对
31、当获得的审核证据表明不能达到审核目的时，审核组长可以（）
A、宣布停止受审核方的生产/服务活动
B、向审核委托方和受审核方报告理由以确定适当的措施
C、宣布取消末次会议
D、以上都不可以
32、主动式射频识别卡(RFID)存在哪一种弱点?（）
A、会话被劫持
B、被窃听
C、存在恶意代码
D、被网络钓鱼攻击DR
33、()是风险管理的重要一环。

A、管理手册
B、适用性声明
C、风险处置计划
D、风险管理程序
34、风险评估过程一般应包括（）
A、风险识别
B、风险分析
C、风险评价
D、以上全部
35、在认证审核时，一阶段审核是（）
A、是了解受审方ISMS是否正常运行的过程
B、是必须进行的
C、不是必须的过程
D、以上都不准确
36、国家秘密的保密期限应为:（）
A、绝密不超过三十年，机密不超过二十年，秘密不超过十年
B、绝密不低于三十年，机密不低于二十年，秘密不低于十年
C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年
D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年
37、依据GB/T22080，关于职责分离，以下说法正确的是(）
A、信息安全政策的培训者与审计之间的职责分离
B、职责分离的是不同管理层级之间的职责分离
C、信息安全策略的制定者与受益者之间的职责分离
D、职责分离的是不同用户组之间的职责分离
38、关于信息安全连续性，以下说法正确的是：
A、信息安全连续性即FT设备运行的连续性
B、信息安全连续性应是组织业务连续性的一部分
C、信息处理设施的冗余即指两个或多个服务器互备
D、信息安全连续性指标由IT系统的性能决定
39、信息分类方案的目的是（）
A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘
B、划分信息载体所属的职能以便于明确管理责任
C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则
D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析
40、加密技术可以保护信息的(）
A、机密性
B、完整性
C、可用性
D、A+B
二、多项选择题
41、信息安全风险分析包括（）
A、分析风险发生的原因
B、确定风险级别
C、评估识别的风险发生后，可能导致的潜在后果
D、评估所识别的风险实际发生的可能性
42、按覆盖的地理范围进行分类，计算机网络可以分为（）
A、局域网
B、城域网
C、广域网
D、区域网
43、对于信息安全方针,（）是GB/T22080-2016标准要求的
A、信息安全方针应形成文件
B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方
C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义
D、信息安全方针应定期实施评审
44、为控制文件化信息，适用时，组织应强调以下哪些活动？（）
A、分发，访问，检索和使用
B、存储和保护，包括保持可读性
C、控制变更（例如版本控制）
D、保留和处理
45、审核计划中应包括（）
A、本次及其后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的日程安排
46、关于“不可否认性”，以下说法正确的是（）
A、数字签名是实现“不可否认性”的有效技术手段
B、身份认证是实现“不可否认性”的重要环节
C、数字时间戳是“不可否认性”的关键属性
D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性
47、信息安全管理体系审核组的能力包括:（）
A、信息安全事件处理方法和业务连续性的知识
B、有关有形和无形资产及其影响分析的知识
C、风险管理过程和方法的知识
D、信息安全管理体系的控制措施及其实施的知识
48、下面哪一条措施可以防止数据泄漏（)
A、数据冗余
B、数据加密
C、访问控制
D、密码系统
49、关于审核委托方，以下说法正确的是（）
A、认证审核的委托方即受审核方
B、受审核方是第一方审核的委托方
C、受审核方的行政上级作为委托方时是第二方审核
D、组织对其外包服务提供方的审核是第二方审核
50、某组织在酒店组织召开内容敏感的会议，根据GB/T22080-2016/ISO/IEC27001:2013标准，以下说法正确的是（）
A、会议开始前及持续期间开启干扰机，这符合A11,2的要求
B、进入会议室人员被要求手机不得带入，这符合A11,1的要求
C、对于可进入会议室提供茶水服务的酒店服务生进行筛选，这符合A11,1的要求
D、要求参会人员在散会时将纸质会议资料留下由服务生统一回收，这符合A8,3的要求
51、下列属于“开发安全”活动的是（）。

A、应规范用户修改软件包，必须的修改应严格管制
B、应用系统若有变更，应进行适当审核与测试
C、软件应尽量采用自行开发避免外包或采购
D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序
52、某工程公司意图采用更为灵活的方式建立息安全管理体系，以下说法不正确的（）
A、信息安全可以按过程管理，采用这种方法时不必再编制资产清单
B、信息安全可以按项目来管理，原项目管理机制中的风险评估可替代
GC/T22080-2016/I.SO/IED27001:2013标准中的风险评估
C、公司各类项日的临时场所存在时间都较短，不必纳入ISMS范围
D、工程项目方案因包含设计图纸等核心技术信息，其敏感性等级定义为最高
53、下列哪项属于《认证机构管理办法》中规定的设立认证机构应具备的条件？（）
A、具有固定的办公场所和必备设施
B、注册资本不得少于人民币600万元
C、具有10名以上相应领域的专职认证人员
D、具有符合认证认可要求的管理制度
54、关于信息安全风险自评估，下列选项正确的是（）
A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估
B、周期性的自评估可以在评估流程上适当简化
C、可由发起方实施或委托风险评估服务技术支持方实施
D、由信息系统上级管理部门组织的风险评估
55、信息安全是保证信息的(),另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。

A、可用性
B、机密性
C、完备性
D、完整性
三、判断题
56、最高管理层应确保方针得到建立（）
57、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。

（）
58、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。

59、计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统（）
60、IT系統日志信息保存所需的資源不属于容量管理的范围（）
61、组织应持续改进信息安全管理体系的适宜性、充分性和有效性。

（）
62、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。

（）
63、“资产清单”包含与信息生命周期有关的资产，与信息的创建、处理、存储、传输、
删除和销毁无关联的资产不在“资产清单”的范围内。

（）
64、审核组可以由一个人组成。

（）
65、访问控制列表指由主体以及主体对客体的访问权限所组成列表。

参考答案
一、单项选择题
1、C
2、A
3、B
解析:
参考27000，控制目标指，描述实施控制的实施结果所要达到的目标的声明。

故选B
4、A
5、A
6、C
7、C
8、C
9、A
10、C
11、B
解析:
so9000-20153,4,1过程，利用输入产生输出的相互关联或相互作用的一组活动。

故选B
13、D
解析:
信息安全目标及其实现规划，组织应在相关职能和层级上建立信息安全目标，A项错误。

B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性，和有效性。

而管理评审的实施执行者是组织，因此B表述不准确。

C 项，27001,5.1.2组织应建立并维护信息安全风险准则，包括风险接受准则和信息安全风险评估实施准则。

而非最高管理者，因此C错误，综上故选D
14、A
15、A
16、D
17、C
18、D
19、D
20、C
21、B
22、C
23、D
24、A
25、A
26、B
27、D
28、A
30、C
31、B
32、B
33、C
解析:
参考iso/iec27005，风险管理包括风险评估，风险处置，风险接受，风险沟通，风险监视和风险评审。

因此风险处置计划是风险管理的重要一环，故选C
34、D
35、B
36、A
解析:
国家秘密的保密期限,除有特殊规定外,绝密级事项不超过三十年,机密级事项不超过二十年,秘密级事项不超过十年
37、B
38、B
39、C
40、D
二、多项选择题
41、B,C,D
42、A,B,C
43、A,D
44、A,B,C,D
270017,5,3文件化信息的控制，信息安全管理体系及本标准要求的文件化信息应得到控制，以确保：在需要的时间和地点，是可用的和适宜使用的；得到充分的保护（如避免保密性损失，不恰当使用，完整性受损失等）。

为控制文件化信息，适用时，组织应强调下列活动：1,分发、访问、检索和使用；2,存储和保护，包括保持可读性；3,控制变更（如版本控制）；4,保留和处置。

综上，本题选ABCD
45、A,B
解析:
参考270013,2信息传输，不宜通过微信等不安全的通信方式传输商业秘密，本题选AB
46、A,B,C,D
47、A,B,C,D
48、B,C,D
49、A,B,C,D
解析:
参考本法第二条，在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

本题选ABCD
50、C,D
51、A,B,C
52、A,B,C
53、A,C,D
54、A,C
55、A,B,D
三、判断题
56、正确
57、正确
58、正确
59、正确
60、正确
61、正确
62、正确
63、正确
64、正确
65、正确。