信息安全审核知识试题汇编

2024年3月CCAA国家注册ISMS信息安全管理体系审核员知识模拟试题一、单项选择题1、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

A、主要结构B、容错能力C、网络拓扑D、局域网协议2、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以3、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密4、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。

A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密5、主动式射频识别卡(RFID)存在哪一种弱点?（）A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR6、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份7、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B8、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。

A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段9、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是10、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件11、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A、静态B、动态C、均可D、静态达到50%以上即可12、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素13、计算机病毒系指_____。

2021年第三期CCAA国家注册ISMS信息安全管理体系审核员知识复习题一、单项选择题1、依据GB/T22080-2016标准，符合性要求包括（）A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对2、为信息系统用户注册时，以下正确的是:（）A、按用户的职能或业务角色设定访问权B、组共享用户ID按组任务的最大权限注册C、预设固定用户ID并留有冗余，以保障可用性D、避免频繁变更用户访问权3、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞4、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准5、当获得的审核证据表明不能达到审核目的时，申核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理中以确定适当的措施C、宣布取消末次会议D、以上各项都不可以6、ISMS管理评审的输出应包括（）A、可能影响ISMS的任何变更B、以往风险评估没有充分强调的脆弱点或威胁C、风险评估和风险处理计划的更新D、改进的建议7、依据GB/T22080/ISO/IEC27001的要求，管理者应（）A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确8、关于《中华人民共和国保密法》，以下说法正确的是：（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护9、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部10、下列那些事情是审核员不必要做的？（）A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式11、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程12、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、202113、信息处理设施的变更管理包括:A、信息处理设施用途的变更B、信息处理设施故障部件的更换C、信息处理设施软件的升级D、其他选项均正确14、（）是建立有效的计算机病毒防御体系所需要的技术措施。

信息安全技术试题库（含答案）一、单选题（共100题，每题1分，共100分）1.硬件防火墙的平台架构不包括A、IAAS架构B、X86架构C、ASIC架构D、NP架构正确答案：A2.在制定一套好的安全管理策略时,制定者首先必须( )。

A、与技术员进行有效沟通B、与监管者进行有效沟通C、与决策层进行有效沟通D、与用户进行有效沟通正确答案：C3.信息安全管理体系审核，包括两个方面的审核，即A、管理和流程B、控制和技术C、管理和技术D、控制和流程正确答案：C4.下列关于信息的四种定义中，我国学者钟义信先生提出的是A、信息是事物运动的状态和状态变化的方式B、信息是人们在适应外部世界且这种适应反作用于外部世界的过程中，同外部世界进行相互交换的内容的名称C、信息是反映事物的形式、关系和差异的东西D、信息是用于减少不确定性的东西正确答案：A5.属于哈希函数特点的是A、单向性B、扩充性C、可逆性D、低灵敏性正确答案：A答案解析：哈希函数是一种将任意长度的消息压缩到固定长度的消息摘要的函数。

它具有以下特点： A. 单向性：哈希函数是单向的，即从哈希值无法推出原始数据。

这是哈希函数最重要的特点之一。

B. 扩充性：哈希函数具有扩充性，即可以对任意长度的数据进行哈希计算，得到固定长度的哈希值。

C. 可逆性：哈希函数是不可逆的，即从哈希值无法推出原始数据。

与单向性相同。

D. 低灵敏性：哈希函数的输出值对输入值的微小变化非常敏感，即输入值的微小变化会导致输出值的大幅度变化。

综上所述，选项A正确，属于哈希函数的特点之一。

6.关于国家秘密,机关、单位应当根据工作需要,确定具体的A、保密期限、解密时间，或者解密条件B、保密条件、保密期限，或者解密期限C、保密条件、解密条件,或者解密期限D、保密条件、保密期限，或者解密条件正确答案：A7.IPSec协议属于( )。

A、介于二、三层之间的隧道协议B、第三层隧道协议C、传输层的VPN协议D、第二层隧道协议正确答案：B8.在ISMA架构的具体实施中，下列关于安全事件记录的描述错误的是A、安全事件的记录是信息资产B、安全事件的记录要进行密级标记C、电子媒体的记录应进行备份D、安全事件的记录保存不受任何约束正确答案：D9.下列关于加密算法应用范围的描述中，正确的是A、DSS用于数字签名，RSA用于加密和签名B、DSS用于密钥交换, IDEA用于加密和签名C、DSS用于数字签名，MD5用于加密和签名D、DSS用于加密和签名，MD5用于完整性校验正确答案：A10.下列关于栈的描述中，正确的是()。

选择题信息安全风险评估的基本要素包括（）A. 资产、可能性、影响B. 资产、脆弱性、威胁C. 可能性、资产、脆弱性答案：B当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A. 隔离和迁移B. 评审和测试C. 评审和隔离D. 验证和确认答案：B信息安全管理体系（ISMS）中，关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统A. 报告B. 传递C. 评价D. 测量答案：D以下关于SSL协议的说法正确的是（）A. SSL协议主要用于解密机制B. SSL协议主要用于加密机制C. SSL协议与数据完整性无关D. SSL协议无法保护用户隐私答案：B填空题信息安全风险评估的要素包括资产、威胁和脆弱性。

网络入侵检测系统可以检测外部黑客的攻击行为以及内部攻击者的操作行为。

计算机病毒是一种能够侵入计算机系统并复制传播的程序。

ISO/IEC 27001是国际公认的信息安全管理体系标准。

数据备份是防止数据丢失的重要手段之一。

简答题简述信息安全风险评估的流程信息安全风险评估的流程主要包括以下几个步骤：确定评估范围和目标、收集资产信息、识别威胁和脆弱性、评估风险（包括可能性和影响）、制定风险处理计划、监控和评审风险评估过程。

描述防火墙的主要功能和作用防火墙的主要功能和作用包括：过滤进出网络的数据包，阻止未经授权的访问；设置访问控制策略，保护内部网络免受外部攻击；监控网络流量，记录和分析安全事件；通过NAT（网络地址转换）隐藏内部网络结构，增强网络安全性。

为什么需要定期更新操作系统和应用程序的补丁？定期更新操作系统和应用程序的补丁是为了修复已知的漏洞和安全问题，防止黑客利用这些漏洞进行攻击。

随着技术的发展，新的安全威胁不断出现，而补丁更新是保持系统安全性的重要手段之一。

简述什么是计算机病毒，并给出预防措施计算机病毒是一种能够侵入计算机系统并复制传播的程序，它会破坏数据、干扰计算机运行或窃取敏感信息。

选择题在信息安全体系注册审核员考试中，以下哪项是关于“风险评估”的正确描述？A. 风险评估只需在信息系统建设初期进行一次B. 风险评估是信息安全管理体系的持续性活动C. 风险评估仅关注技术层面的威胁和脆弱性D. 风险评估的目的是消除所有信息安全风险（正确答案）B以下哪项不是信息安全体系注册审核员在审核过程中需要遵循的原则？A. 公正性B. 保密性C. 主观性D. 独立性（正确答案）C在信息安全管理体系（ISMS）中，以下哪项是“控制措施”的实例？A. 信息安全方针B. 风险评估报告C. 访问控制策略D. 信息安全目标（正确答案）C信息安全体系注册审核员在审核过程中，发现受审核方存在严重不符合项时，应首先采取的措施是？A. 立即向受审核方管理层报告B. 在审核报告中详细记录C. 与受审核方共同确认不符合项D. 要求受审核方立即整改（正确答案）C以下哪项不是信息安全体系注册审核员考试的内容范围？A. 信息安全管理体系标准（如ISO/IEC 27001）B. 审核原则、程序和技术C. 网络安全攻防技术D. 信息安全管理体系的建立和实施（正确答案）C在信息安全体系注册审核中，以下哪项是“审核证据”的实例？A. 审核员的个人经验B. 受审核方的口头陈述C. 审核员对受审核方信息系统的直接观察结果D. 审核员对信息安全风险的主观判断（正确答案）C信息安全体系注册审核员在审核准备阶段，以下哪项不是必须完成的工作？A. 熟悉审核范围B. 制定审核计划C. 预测审核结果D. 了解受审核方的信息安全管理体系（正确答案）C以下哪项不是信息安全体系注册审核员在形成审核结论时需要考虑的因素？A. 审核过程中发现的不符合项B. 受审核方对不符合项的纠正措施C. 受审核方的信息安全绩效历史D. 审核员的个人喜好（正确答案）D在信息安全体系注册审核员考试中，关于“审核范围”的描述，以下哪项是正确的？A. 审核范围仅限于受审核方的信息系统技术层面B. 审核范围由审核员根据经验自行确定C. 审核范围应明确包括受审核方的所有信息安全相关活动D. 审核范围可以随意更改（正确答案）C。

ITSMS审核员考试审核知识试卷201606一、单选题1、对于目标不确定性的影响是〔A、风险评估B、风险C、不符合D、风险处置2、管理体系是〔A、应用知识和技能获得预期结果的本领的系统B、可引导识别改进的机会或记录良好实践的系统C、对实际位置、组织单元、活动和过程描述的系统D、建立方针和目标并实现这些目标的体系3、审核的特征在于其遵循〔A、充分性。

有效性和适宜性B、非营利性C、若干原则D、客观性4、审核员在〔应保持客观性A、整个审核过程B、全部审核过程C、完整审核过程D、现场审核过程5、如果审核目标、范围或准则发生变化,应根据〔修改审核计划A、顾客建议B、需要C、认可规范D。

认证程序6、在审核过程中,出现了利益冲突和能力方面的问题,审核组的〔规模和组成可能有必要加以调整。

A、审核员和技术专家B、审核组长和审核员C、规模和组成D、实习审核员7、从审核开始直到审核完成,〔都应对审核的实施负责。

A、管理者代表B、审核方案人员C、认证机构D、审核组长8、当审核不可行时,应向审核委托方提出〔替代建议并与受审核方协商一致。

A、合理化建议B、替代建议C、终止建议D、调整建议9、文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的〔A、目标和范围B、方针和目标C、方案和计划D、标准和法规10、在编制审核计划时,审核组长不应考虑一下方面〔A、适当的抽样技术B、审核组的组成及其整体能力C、审核对组织形成的风险D、企业文化11、对于初次审核和〔,审核计划的内容和详略程度可以有所不同A、监督审核。

内部审核和外部审核B、随后的审核、内部审核和外部审核C、监督审核、再认证审核和例外审核D、预审核、一阶段审核和二阶段审核12、如果在审核计划所规定的时间框架内提供的文件〔不适宜、不充分,审核组长应告知审核方案管理人员和受审核方A、不适宜、不充分B、不是最新版本C、未经过审批D、不完整、不批准13、观察员应承担由审核委托方和受审核方〔约定的与健康安全相关的义务A、规定的B、法定的C、约定的D、确定的14、只有能够〔信息方可作为审核证据。

信息安全审核知识试题 Document number：NOCG-YUNOO-BUYTT-UU986-1986UTITSMS审核员考试审核知识试卷201606一、单选题1、对于目标不确定性的影响是（）A、风险评估B、风险C、不符合D、风险处置2、管理体系是（）A、应用知识和技能获得预期结果的本领的系统B、可引导识别改进的机会或记录良好实践的系统C、对实际位置、组织单元、活动和过程描述的系统D、建立方针和目标并实现这些目标的体系3、审核的特征在于其遵循（）A、充分性。

有效性和适宜性B、非营利性C、若干原则D、客观性4、审核员在（）应保持客观性A、整个审核过程B、全部审核过程C、完整审核过程D、现场审核过程5、如果审核目标、范围或准则发生变化,应根据（）修改审核计划A、顾客建议B、需要C、认可规范 D。

认证程序6、在审核过程中，出现了利益冲突和能力方面的问题，审核组的（规模和组成）可能有必要加以调整。

A、审核员和技术专家B、审核组长和审核员C、规模和组成D、实习审核员7、从审核开始直到审核完成，（）都应对审核的实施负责。

A、管理者代表B、审核方案人员C、认证机构D、审核组长8、当审核不可行时，应向审核委托方提出（替代建议）并与受审核方协商一致。

A、合理化建议B、替代建议C、终止建议D、调整建议9、文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的（）A、目标和范围B、方针和目标C、方案和计划D、标准和法规10、在编制审核计划时，审核组长不应考虑一下方面（）A、适当的抽样技术B、审核组的组成及其整体能力C、审核对组织形成的风险D、企业文化11、对于初次审核和（），审核计划的内容和详略程度可以有所不同A、监督审核。

内部审核和外部审核B、随后的审核、内部审核和外部审核C、监督审核、再认证审核和例外审核D、预审核、一阶段审核和二阶段审核12、如果在审核计划所规定的时间框架内提供的文件（不适宜、不充分），审核组长应告知审核方案管理人员和受审核方A、不适宜、不充分B、不是最新版本C、未经过审批D、不完整、不批准13、观察员应承担由审核委托方和受审核方（约定的）与健康安全相关的义务A、规定的B、法定的C、约定的D、确定的14、只有能够（）信息方可作为审核证据。

2024年8月CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、下列不属于取得认证机构资质应满足条件的是（）。

A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员2、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时3、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据4、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力5、PKI的主要组成不包括(）A、SSLB、CRC、CAD、RA6、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码7、组织应（）A、分离关键的职责及责任范围B、分离冲突的职责及贵任范围C、分离重要的职责及责任范围D、分离关联的职责及责任范围8、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》9、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作10、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）A、下级管理员无权修改，不可删除B、下级管理员无权修改，可以删除C、下级管理员可以修改，可以删除D、下级管理员可以修改，不可删除11、关于互联网信息服务，以下说法正确的是A、互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务，是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动12、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改13、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。

2023年10月CCAA注册ISMS信息安全管理体系审核员知识复习题一、单项选择题1、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

A、主要结构B、容错能力C、网络拓扑D、局域网协议2、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素3、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对4、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙5、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录6、被黑客控制的计算机常被称为(）A、蠕虫B、肉鸡C、灰鸽子D、木马7、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换8、为信息系统用户注册时，以下正确的是:（）A、按用户的职能或业务角色设定访问权B、组共享用户ID按组任务的最大权限注册C、预设固定用户ID并留有冗余，以保障可用性D、避免频繁变更用户访问权9、下面哪个不是《中华人民共和国密码法》中密码的分类？（）A、核心密码B、普通密码C、国家密码D、商用密码10、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力11、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、作出是否换发证书的决定12、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确13、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

2023年3月CCAA国家注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性2、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性3、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性B、完整性C、机密性D、可用性4、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定5、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果6、ISO/IEC27701是（）A、是一份基于27002的指南性标准B、是27001和27002的隐私保护方面的扩展C、是ISMS族以外的标准D、在隐私保护方面扩展了270001的要求7、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯8、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审9、系统备份与普通数据备份的不同在于，它不仅备份系统屮的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。

A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统10、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对11、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南12、关于《中华人民共和国保密法》，以下说法正确的是：（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护13、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）A、认证范围内员工的个人隐私数据得到保护B、认证范围内涉及顾客的个人隐私数据得到保护C、认证范围内涉及相关方的个人隐私数据数据得到保护D、以上全部14、在运行阶段，组织应（）A、策划信息安全风险处置计划，保留文件化信息B、实现信息安全风险处置计划，保留文件化信息C、测量信息安全风险处置计划，保留文件化信息D、改进信息安全风险处置计划，保留文件化信息15、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵16、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离17、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性18、被黑客控制的计算机常被称为(）A、蠕虫B、肉鸡C、灰鸽子D、木马19、依据GB/T22080/ISO/IEC27001的要求，管理者应（）A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确20、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更21、信息安全基本属性是（）。

2021年10月ISMS信息安全管理体系审核员考试试题[单选题]1.ISO/IEC27001描述的风险分析过程不包括()A.分析风险发生的原因B.确定风险级别C.评估识别的风险发生后，可能导致的潜在后果（江南博哥）D.评估所识别的风险实际发生的可能性[单选题]2.依据GB/T22080,网络隔离指的是()A.不同网络运营商之间的隔离B.不同用户组之间的隔离C.内网与外网的隔离D.信息服务，用户及信息系统[单选题]3.有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保()A.不考虑资产的价值，基本水平的保护都会被实施B.对所有信息资产保护都投入相同的资源C.对信息资产实施适当水平的保护D.信息资产过度的保护[单选题]4.在以下认为的恶意攻击行为中，属于主动攻击的是()A.数据窃听B.误操作C.数据流分析D.数据篡改[单选题]5.ISO/IEC27001所采用的过程方法是()A.PPTR方法B.SMART方法C.PDCA方法D.SWOT方法[单选题]6.以下哪些可由操作人员执行？()A.审批变更B.更改配置文件C.安装系统软件D.添加/删除用户[单选题]7.《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起()内，认可机构不再接受其注册申请。

A.2年B.3年C.4年D.5年[单选题]8.《信息技术安全技术信息安全治理》对应的国际标准号为()A.ISO/IEC27011B.ISO/IEC27012C.ISO/IEC27013D.ISO/IEC27014[单选题]9.文件化信息指()A.组织创建的文件B.组织拥有的文件C.组织要求控制和维护的信息及包含该信息的介质D.对组织有价值的文件[单选题]10.由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是()A.认证B.认可C.审核D.评审[单选题]11.根据《中华人民共和国国家秘密法》，国家秘密的最高密级为()A.特密B.绝密C.机密D.秘密[单选题]12.被黑客控制的计算机常被称为()A.蠕虫B.肉鸡C.灰鸽子D.木马[单选题]13.防火墙提供的接入模式不包括()A.透明模式B.混合模式C.网关模式D.旁路接入模式[单选题]14.设置防火墙策略是为了()A.进行访问控制B.进行病毒防范C.进行邮件内容过滤D.进行流量控制[单选题]15.组织在确定与ISMS相关的内部和外部沟通需求时可以不包括() A.沟通周期B.沟通内容C.沟通时间D.沟通对象[单选题]16.审核抽样时，可以不考虑的因素是()A.场所差异B.管理评审的结果C.最高管理者D.内审的结果[单选题]17.PKI的主要组成不包括()A.SSLB.CRC.CAD.RA[单选题]18.ISO/IEC27701是()A.是一份基于27002的指南性标准B.是27001和27002的隐私保护方面的扩展C.是ISMS族以外的标准D.在隐私保护方面扩展了270001的要求[单选题]19.根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A.警告B.罚款C.没收违法所得D.吊销许可证[单选题]20.关于内部审核下面说法不正确的是()。

2022年12月ISMS信息安全管理体系CCAA审核员考试题目一、单项选择题1、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数2、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、63、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A、警告B、罚款C、没收违法所得D、吊销许可证4、对于外部方提供的软件包，以下说法正确的是：（）A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对5、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证6、最高管理者应（）。

A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审7、涉及运行系统验证的审计要求和活动，应（）A、谨慎地加以规划并取得批准，以便最小化业务过程的中断B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准，以便最小化业务过程的中断D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续8、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低9、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。

2024年第二期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意2、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部3、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证4、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A、三级B、二级C、四级D、五级5、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20216、（）是建立有效的计算机病毒防御体系所需要的技术措施。

A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙7、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通8、ISMS文件的多少和详细程度取于A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C9、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志10、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用11、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件12、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更13、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯14、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低15、应定期评审信息系统与组织的（）的符合性。

2023年10月CCAA国家注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机2、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月3、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗4、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险5、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程6、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定7、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作8、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据9、信息安全管理中，关于脆弱性，以下说法正确的是()。

信息安全内审员考试试卷（含答案）一、选择题（每题2分，共40分）1. 信息安全的目的是保护信息系统的哪些方面？（D）A. 可用性B. 完整性C. 机密性D. 以上都是答案：D2. 以下哪个不是信息安全的基本要素？（B）A. 可用性B. 可靠性C. 可控性D. 可信性答案：B3. 信息安全内审员的职责不包括以下哪项？（D）A. 对信息系统进行安全评估B. 提出改进措施和建议C. 监督实施改进措施D. 直接参与信息系统的开发和维护答案：D4. 信息安全等级保护分为几个等级？（C）A. 2级B. 3级C. 5级D. 7级答案：C5. 以下哪个不是信息安全风险管理的步骤？（C）A. 风险识别B. 风险评估C. 风险消除D. 风险监控答案：C6. 以下哪个不是我国信息安全法律法规体系的一部分？（D）A. 《中华人民共和国网络安全法》B. 《信息安全技术-信息系统安全等级保护基本要求》C. 《信息安全技术-网络安全等级保护基本要求》D. 《美国爱国者法案》答案：D7. 以下哪个不是信息安全事件的分类？（C）A. 安全攻击B. 安全漏洞C. 安全事故D. 安全事件答案：C8. 信息安全事件应急响应的目的是以下哪个？（A）A. 尽快恢复正常业务B. 查明事故原因C. 挖掘攻击者的身份D. 对外发布事故信息答案：A9. 以下哪个不是信息安全策略的组成部分？（B）A. 安全目标B. 安全制度C. 安全措施D. 安全培训答案：B10. 信息安全意识培训不包括以下哪个方面？（D）A. 信息安全法律法规B. 信息安全基本概念C. 信息安全风险防范D. 编程技巧答案：D二、填空题（每题2分，共20分）11. 信息安全内审员应具备的专业知识包括：信息安全管理、______、______、______等。

（答案：网络安全、信息安全技术、信息安全法律法规）12. 信息安全风险评估的目的是识别和评估组织面临的______，为制定信息安全策略和措施提供依据。

2024年第一期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、Saas是指(）A、软件即服务B、服务平台即月勝C、服务应用即服务D、服务瞇即服务2、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录3、制定信息安全管理体系方针，应予以考虑的输入是（）A、业务战略B、法律法规要求C、合同要求D、以上全部4、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏5、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保6、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果8、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月9、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划10、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度11、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程12、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B13、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏14、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定15、关于信息安全管理体系认证，以下说法正确的是（）A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期16、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼17、信息分级的目的是（）A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理18、当发现不符合项时，组织应对不符合做出反应，适用时（）。

ITSMS审核员考试审核知识试卷201706一、单选题1、某制造企业A的关键工序由唯一的一台自动控制系统设备完成，该设备系统的运维外包给了一家小型私营公司B，一下哪项是ISO/IEC 20000:2011的要求？（）（A） A与B应签署运维合同或协议，运维合同或协议应考虑A的客户合同以及生产运行要求制定服务内容和指标。

（B） A与B应签署运维合同或协议，由采购部门维护B在A公司合格供应商名录中的地位。

（C） B声称能做到随叫随到，此情景下运维合同或协议可以省略（D）由B完全负责管控，A不必干涉2、投诉处理过程的有关信息的形式应（）（A）不使任何被投诉者处于不利地位（B）不使任何投诉者处于不利地位（C）不使任何外包方处于不利地位（D） IT服务方组织根据情况决定是否向投诉者披露3、某银行信用卡呼叫中心为了提高效率，制定了与每一业务对应的“标准话述”，供坐席人员应答客户关于信用卡使用的问题时使用，依据ISO/IEC20000-1:2011,这些“标准话述”的的维护和更新对应（）（A）事件管理的职责（B）问题管理的职责（C）服务设计的职责（D）服务转换的职责4、以下属于单点故障的情况是（）（A）巡检时发现的唯一故障（B）所有服务器使用一台UPS为供电，数据中心仅有此一台UPS（C）所有的IT设备使用一条专线联网，由于带宽资源充足故未构建其他线路（D）（B）+（C）5、服务连续性管理中，恢复时间目标指（）（A） IT服务复原到正常工作状态的时间（B） IT服务复原到约定的最低可用性水平的时间（C）关键服务恢复到约定的最低可用性水平的时间（D）基础设施服务恢复到约定的可用性水平的时间6、对于个人信息的使用，除法律法规另有规定外，应（）（A）得到个人信息主体的同意并按约定时间及时删除（B）得到个人信息主体所在组织的同意，不须告知个人信息主体。

（C）个人信息持有者自行决定管理措施，不须告知个人信息主体。

（D）得到个人信息主体的同意并尽可能长时间保存。

2021年第二期CCAA注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性B、完整性C、机密性D、可用性2、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护3、创建和更新文件化信息时，组织应确保适当的（）。

A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准4、对于信息安全方针，（）是ISO/IEC27001所要求的A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息，不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则，不可变更5、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新6、关于互联网信息服务，以下说法正确的是A、互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务，是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动7、关于《中华人民共和国保密法》，以下说法正确的是:（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护8、最高管理层应（），以确保信息安全管理体系符合本标准要求。