信息安全管理体系ISMS真题-案例分析及参考答案

2023年第二期CCAA国家注册审核员复习题—ISMS信息安全管理体系一、单项选择题1、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B2、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价3、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告A、8小时内B、12小时内C、24小时内D、48小时内4、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性5、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许方问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对6、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式7、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对8、ISO/IEC27001所采用的过程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法9、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应10、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A、静态B、动态C、均可D、静态达到50%以上即可11、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码12、信息安全基本属性是（）。

2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题（含答案）1.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：()A.二级B.三级C.四级D.五级2.当访问单位服务器时，响应速度明显减慢时，最有可能受到了哪一种攻击?()A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务3.《中华人民共和国保密法》规定了国家秘密的范围和密级，国家秘密的密级分为()。

A.低级和高级两个级别B.普密、商密两个级别C.绝密、机密、秘密三个级别D.—密、二密、三密、四密四个级别4.风险过程中，是需要识别的方面包括资产识别，威胁识别，现有控制措施识别和()A.识别可能性和识别稳定性B.识别脆弱性和识别后果C.识别脆弱性和识别可能性D.识别脆弱性和识别稳定性5.信息管理体系审核指南规定，ISMS规模不包括()A.组织控制下开展工作的人员总数以及相关方合同方B.组织的部门数量C.覆盖场所的数量D.信息系统的数量6.《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。

A.半年B.—年C.两年D.1.5年7.信息是()A.干扰因素B.不稳定因素C.物理特性D.不确定性8.数字签名要预先使用hash函数的原因A.保证密文能准确还原成明文B.缩小签名的长度C.提高密文的计算速度D.多一道加密工序，使密文更难破解9.以下不是ISMS体系中，利益相关方的对象A.认为自己受到决策影响人和组织B.认为自己影响决策的人和组织C.可能受到决策影响的人和组织D.可能影响决策的人和组织答案：10.下列哪项不是SSE-CMm的过程()A.工程过程B.保证过程C.分享过程D.设计过程11.管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的管理方式不包括()A.自动恢复其IP至原绑定状态B.断开网络并持续阻断C.弹出提示窗口对其发出警D.锁定键盘鼠标12.GB/T29246标准为组织和个人提供()A.建立信息安全管理体系的基础信息B.信息安全管理体系的介绍C.ISMS标准族已发布标准的介绍D.ISMS标准族中使用的所有术语和定义13.在规划如何达到信息安全目标时，组织应确定()A.要做什么，有什么可用资源，由谁负责,什么时候开始如何测量结果B.要做什么,需要什么资源，由谁负责，什么时候完成,如何测量结果C.要做什么,需要什么资源，由谁负责，什么时候完成,如何评价结果D.要做什么，有什么可用资源由谁执行什么时候幵始，如何评价结果14.下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应15.《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()A.1个月B.3个月C.6个月D.12个月16.经过风险处理后遗留的风险通常称为()A.重大风险B.有条件的接受风险C.不可接受的风险D.残余风险17.下列关于DMZ区的说法错误的是()A.DMZ可以访问内部网络。

2021年9月CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力2、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述，正确的是（）A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时，必须满足该标准的所有要求3、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换4、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机5、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督6、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码7、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制8、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份9、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性10、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度11、造成计算机系统不安全的因素包括（）。

2021年9月CCAA国家注册审核员模拟试题—ISMS信息安全管理体系一、单项选择题1、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审2、以下哪些可由操作人员执行？（)A、审批变更B、更改配置文件C、安装系统软件D、添加/删除用户3、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析4、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许方问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对5、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划6、关于防范恶意软件，以下说法正确的是：（）A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件7、关于内部审核下面说法不正确的是(）。

A、组织应定义每次审核的审核准则和范围B、通过内部审核确定ISMS得到有效实施和维护C、组织应建立、实施和维护一个审核方案D、组织应确保审核结果报告至管理层8、关于《中华人民共和国保密法》，以下说法正确的是:（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护9、下列哪项对于审核报告的描述是错误的?（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对10、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析11、信息安全管理中,以下哪一种描述能说明“完整性”（）。

ISMS信息安全技术真题案例分析参考答案试题一（25分）阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】某市电力公司准备在其市区及各县实施远程无线抄表系统，代替人工抄表。

经过考察，电力公司指定了国外的S公司作为远程无线抄表系统的无线模块提供商，并选定本市F智能电气公司作为项目总包单位，负责购买相应的无线模块，开发与目前电力运营系统的接口，进行全面的项目管理和系统集成工作。

F公司的杨经理是该项目的项目经理。

在初步了解用户的需求后，F公司立即着手系统的开发与集成工作。

5个月后，整套系统安装完成，通过初步调试后就交付用户使用。

但从系统运行之日起，不断有问题暴露，电力公司要求F公司负责解决。

可其中很多问题，比如数据实时采集时间过长、无线传输时数据丢失，甚至有关技术指标不符合国家电表标准等等，均涉及到无线模块。

于是杨经理同S公司联系并要求解决相关技术问题，而此时S公司因内部原因退出中国大陆市场。

因此，系统不得不面临改造。

【问题1】（6分）请用300字以内文字指出F公司在项目执行过程中有何不妥。

【问题2】（9分）风险识别是风险管理的重要活动。

请简要说明风险识别的主要内容并指出选用S公司无线模块产品存在哪些风险？【问题3】（10分）请用400字以内文字说明项目经理应采取哪些办法解决上述案例中的问题。

参考答案：[问题一] 请用300字以内文字指出F公司项目执行过程中有何不妥。

答案：1. 没有建立完善的项目管理体系或制定合理的项目管理计划并遵照执行。

2. 需求开发与需求管理不规范，没有严格进行需求定义与验证，也没有形成书面的《系统需求规格说明书》。

3. 缺乏全面的质量管理，缺少完整的测试计划和测试活动，没有系统的验收标准或验收流程不规范。

4. 整个开发过程缺乏用户参与，比如进行阶段式的验收，阶段性成果的签字确认。

5. 缺乏对分包商（S公司）的监督管理，尤其是对S公司无线模块产品的质量管理6. 没有了解或咨询国家或行业的相关标准、技术规范。

2023年10月CCAA国家注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作2、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

A、主要结构B、容错能力C、网络拓扑D、局域网协议3、某公司进行风险评估后发现公司的无线网络存在大的安全隐患、为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）A、风险接受B、风险规避C、风险转移D、风险减缓4、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度5、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据6、关于信息安全管理中的“脆弱性”，以下正确的是:（）A、脆弱性是威胁的一种，可以导致信息安全风险B、网络中“钓鱼”软件的存在，是网络的脆弱性C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D、以上全部7、组织应（）A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质8、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统A、报告B、传递C、评价D、测量9、以下哪个选项不是ISMS第一阶段审核的目的（）A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求10、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应11、末次会议包括（）A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确12、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。

2023年1月ISMS真题试卷（带题目解析）一、单选题(共40题，每题1.5分，共60分)1、根据GB 17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为( )等级。

A. 5B. 6C. 3D. 4解析：见GB 17859-1999，1 范围2、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的( )系统。

A. 测量B. 报告C. 传递D. 评价解析：见GB/T 29246-2017，3.6 ISMS 关键成功因素3、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、( )。

A. 识别可能性和影响B. 识别脆弱性和识别后果C. 识别脆弱性和可能性D. 识别脆弱性和影响解析：见GB/T 31722-2015，8 信息安全风险评估4、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是( )。

A. 指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用 B. 建设三级以上信息系统须保证子系统同步规划、同步建设、同步使用C.建设机密及以上信息系统须保证子系统同步规划、同步建设、同步使用 D. 以上都不对解析：见本法第三十三条5、根据GB/T22080-2016，应按照既定的备份策略，对( )进行备份，并定期测试。

A. 信息、软件和系统镜像B. 信息、软件和数据镜像C. 数据、信息和软件D. 数据、信息和系统镜像解析：见GB/T 22080-2016，A.12.3.1 信息备份6、关于散布图，以下说法正确的是：( )。

A. 是描述特性值分布区间的图——趋势图B. 是描述一对变量关系的图——散布图C. 是描述特性随时间变化趋势的图——趋势图D. 是描述变量类别分布的图——直方图解析：专业常识7、有关数据中心机房中，支持性基础设施不包括( )。

A. 供电、通信设施B. 消防、防雷设施C. 空调及新风系统、水气暖供应系统D. 网络设备解析：见GB/T 22081-2016，11.2.2 支持性设施8、保密性是指( )。

2024年第二期CCAA注册审核员模拟试题—ISMS信息安全管理体系一、单项选择题1、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统2、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南3、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改4、下列不属于取得认证机构资质应满足条件的是（）。

A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员5、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定6、按照PDCA思路进行审核，是指（）A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对7、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任8、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通9、被黑客控制的计算机常被称为(）A、蠕虫C、灰鸽子D、木马10、在信息安全管理体系审核时，应遵循（）原则。