信息安全管理体系审核员真题

2021年6月CCAA国家注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果2、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障3、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员4、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保5、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保6、确定资产的可用性要求须依据（）。

A、授权实体的需求B、信息系统的实际性能水平C、组织可支付的经济成本D、最高管理者的决定7、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次8、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作9、关于《中华人民共和国保密法》，以下说法正确的是:（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护10、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见11、ISMS管理评审的输出应包括（）A、可能影响ISMS的任何变更B、以往风险评估没有充分强调的脆弱点或威胁C、风险评估和风险处理计划的更新D、改进的建议12、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果13、关于信息安全管理中的“脆弱性”，以下正确的是:（）A、脆弱性是威胁的一种，可以导致信息安全风险B、网络中“钓鱼”软件的存在，是网络的脆弱性C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D、以上全部14、在现场审核结束之前，下列哪项活动不是必须的？（）A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题15、应定期评审信息系统与组织的（）的符合性。

2022年第四期CCAA国家注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是（）A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性2、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限3、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保4、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价5、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次6、关于备份，以下说法正确的是(）A、备份介质中的数据应定期进行恢复测试B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的C、发现备份介质退化后应考虑数据迁移D、备份信息不是管理体系运行记录，不须规定保存期7、计算机信息系统安全专用产品是指：（）A、用于保护计算机信息系统安全的专用硬件和软件产品B、按安全加固要求设计的专用计算机C、安装了专用安全协议的专用计算机D、特定用途（如高保密）专用的计算机软件和硬件产品8、口令管理系统应该是（）,并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C9、确定资产的可用性要求须依据（）。

A、授权实体的需求B、信息系统的实际性能水平C、组织可支付的经济成本D、最高管理者的决定10、最高管理者应（）。

2021年第四期ISMS信息安全管理体系CCAA审核员考试题目一、单项选择题1、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改2、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确3、末次会议包括（）A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确4、文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对5、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270056、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性7、关于访问控制，以下说法正确的是（）A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件8、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性9、PKI的主要组成不包括(）A、SSLB、CRC、CA10、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换11、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、612、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审13、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B14、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。

2024年第一期ISMS信息安全管理体系CCAA审核员模拟试题一、单项选择题1、下列那些事情是审核员不必要做的？（）A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式2、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议3、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险4、（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。

A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障5、为信息系统用户注册时，以下正确的是:（）A、按用户的职能或业务角色设定访问权B、组共享用户ID按组任务的最大权限注册C、预设固定用户ID并留有冗余，以保障可用性D、避免频繁变更用户访问权6、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对7、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保8、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督9、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏10、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求己得到满足，即意味着顾客满意D、组织认为顾客要求己得到满足，即意味着顾客满意11、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应12、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对13、信息安全残余风险是（）。

信息安全管理体系审核员真题HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】ISMS 201409/11一、简答1、内审不符合项完成了30/35，审核员给开了不符合，是否正确？你怎么审核？[参考]不正确。

应作如下审核：（1）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解内审不符合项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效；（2）所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。

（3）评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的控制措施即可。

综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜。

2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的，成绩从那里要，要来后一看都合格，就结束了审核，对吗？[参考]不对。

应按照标准GB/T 22080-2008条款培训、意识和能力的要求进行如下审核：（1）询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件？（2）查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基于教育、培训、经验、技术和应用能力方面的评价要求，以及相关的培训规程及评价方法；（3）查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要求？（4）了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价，是否保持记录？（5）如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适当的措施，以保证岗位人员的能力要求。

二、案例分析1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。

A 组织场所外的设备安全应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因为买的都是正版。

2022年第二期CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）A、所需审核组能力的要求B、客户组织的准备程度C、所需能力的审核组成员D、客户组织的场所分布2、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用3、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保4、组织应（），以确信相关过程按计划得到执行。

A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度5、PKI的主要组成不包括(）A、SSLB、CRC、CAD、RA6、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是7、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程8、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时9、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证C、对于离开组织的设备和资产须验证相关授权信息D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证10、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局11、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人12、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

2024年8月ISMS信息安全管理体系CCAA审核员模拟试题一、单项选择题1、按照PDCA思路进行审核，是指（）A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对2、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式3、组织应（）A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质4、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270055、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统A、报告B、传递C、评价D、测量6、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果7、描述组织采取适当的控制措施的文档是（）A、管理手册B、适用性声明C、风险处置计划D、风险评估程序8、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D、数据备份9、形成ISMS审核发现时，不需要考虑的是（）A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性10、文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对11、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。

2021年9月CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、()属于管理脆弱性的识别对象A、物理环境B、网络结构C、应用系统D、技术管理2、对于较大范围的网络，网络隔离是：（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对3、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局4、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险5、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求A、2B、3C、5D、76、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见7、（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。

A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障8、最高管理者应（）。

A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审9、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对10、关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径11、下列那些事情是审核员不必要做的？（）A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式12、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。

2022年3月CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。

A、个人信息B、隐私C、商业秘密D、其他选项均正确2、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性3、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B4、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性5、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制6、GB/T22080-2016中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部7、审核计划中不包括（）。

A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排8、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型9、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700510、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷11、主动式射频识别卡(RFID)存在哪一种弱点?（）A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR12、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求A、2B、3C、5D、713、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。

2021年10月ISMS信息安全管理体系审核员考试试题[单选题]1.ISO/IEC27001描述的风险分析过程不包括()A.分析风险发生的原因B.确定风险级别C.评估识别的风险发生后，可能导致的潜在后果（江南博哥）D.评估所识别的风险实际发生的可能性[单选题]2.依据GB/T22080,网络隔离指的是()A.不同网络运营商之间的隔离B.不同用户组之间的隔离C.内网与外网的隔离D.信息服务，用户及信息系统[单选题]3.有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保()A.不考虑资产的价值，基本水平的保护都会被实施B.对所有信息资产保护都投入相同的资源C.对信息资产实施适当水平的保护D.信息资产过度的保护[单选题]4.在以下认为的恶意攻击行为中，属于主动攻击的是()A.数据窃听B.误操作C.数据流分析D.数据篡改[单选题]5.ISO/IEC27001所采用的过程方法是()A.PPTR方法B.SMART方法C.PDCA方法D.SWOT方法[单选题]6.以下哪些可由操作人员执行？()A.审批变更B.更改配置文件C.安装系统软件D.添加/删除用户[单选题]7.《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起()内，认可机构不再接受其注册申请。

A.2年B.3年C.4年D.5年[单选题]8.《信息技术安全技术信息安全治理》对应的国际标准号为()A.ISO/IEC27011B.ISO/IEC27012C.ISO/IEC27013D.ISO/IEC27014[单选题]9.文件化信息指()A.组织创建的文件B.组织拥有的文件C.组织要求控制和维护的信息及包含该信息的介质D.对组织有价值的文件[单选题]10.由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是()A.认证B.认可C.审核D.评审[单选题]11.根据《中华人民共和国国家秘密法》，国家秘密的最高密级为()A.特密B.绝密C.机密D.秘密[单选题]12.被黑客控制的计算机常被称为()A.蠕虫B.肉鸡C.灰鸽子D.木马[单选题]13.防火墙提供的接入模式不包括()A.透明模式B.混合模式C.网关模式D.旁路接入模式[单选题]14.设置防火墙策略是为了()A.进行访问控制B.进行病毒防范C.进行邮件内容过滤D.进行流量控制[单选题]15.组织在确定与ISMS相关的内部和外部沟通需求时可以不包括() A.沟通周期B.沟通内容C.沟通时间D.沟通对象[单选题]16.审核抽样时，可以不考虑的因素是()A.场所差异B.管理评审的结果C.最高管理者D.内审的结果[单选题]17.PKI的主要组成不包括()A.SSLB.CRC.CAD.RA[单选题]18.ISO/IEC27701是()A.是一份基于27002的指南性标准B.是27001和27002的隐私保护方面的扩展C.是ISMS族以外的标准D.在隐私保护方面扩展了270001的要求[单选题]19.根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A.警告B.罚款C.没收违法所得D.吊销许可证[单选题]20.关于内部审核下面说法不正确的是()。

2021年3月ISMS信息安全管理体系CCAA审核员考试题目一、单项选择题1、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月2、信息安全管理体系是用来确定（)A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度3、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确4、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码5、根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是（）A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性6、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务7、对于较大范围的网络，网络隔离是（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对8、GB/T29246标准为组织和个人提供（）A、建立信息安全管理体系的基础信息B、信息安全管理体系的介绍C、ISMS标准族已发布标准的介绍D、1SMS标准族中使用的所有术语和定义9、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

A、主要结构B、容错能力C、网络拓扑D、局域网协议10、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D、数据备份11、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障12、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性13、关于信息安全连续性，以下说法正确的是（）A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定14、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙15、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督16、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果17、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新18、ISMS管理评审的输出应包括（）A、可能影响ISMS的任何变更B、以往风险评估没有充分强调的脆弱点或威胁C、风险评估和风险处理计划的更新D、改进的建议19、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。

2022年12月ISMS信息安全管理体系CCAA审核员考试题目一、单项选择题1、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数2、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、63、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A、警告B、罚款C、没收违法所得D、吊销许可证4、对于外部方提供的软件包，以下说法正确的是：（）A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对5、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证6、最高管理者应（）。

A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审7、涉及运行系统验证的审计要求和活动，应（）A、谨慎地加以规划并取得批准，以便最小化业务过程的中断B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准，以便最小化业务过程的中断D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续8、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低9、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。

2022年第三期CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响2、安全扫描可以实现（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流3、GB/T29246标准为组织和个人提供（）A、建立信息安全管理体系的基础信息B、信息安全管理体系的介绍C、ISMS标准族已发布标准的介绍D、1SMS标准族中使用的所有术语和定义4、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力5、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。

A、5B、6C、3D、46、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务7、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A、三级B、二级C、四级D、五级8、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部9、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录10、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任11、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是12、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份13、下列措施中不能用于防止非授权访问的是（）A、采取密码技术B、采用最小授权C、采用权限复查D、采用日志记录14、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人15、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程16、不属于计算机病毒防治的策略的是（）A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘17、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员18、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。

2024年第一期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、Saas是指(）A、软件即服务B、服务平台即月勝C、服务应用即服务D、服务瞇即服务2、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录3、制定信息安全管理体系方针，应予以考虑的输入是（）A、业务战略B、法律法规要求C、合同要求D、以上全部4、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏5、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保6、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果8、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月9、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划10、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度11、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程12、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B13、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏14、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定15、关于信息安全管理体系认证，以下说法正确的是（）A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期16、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼17、信息分级的目的是（）A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理18、当发现不符合项时，组织应对不符合做出反应，适用时（）。