信息安全管理體系內(nèi)審員考試試題

信息安全管理體系內(nèi)審員考試試題一、單項(xiàng)選擇題（每題3分，共45分）

從以下每題的幾個(gè)答案中選擇一個(gè)你認(rèn)為最合適的，并將答案代號(hào)填入（）中。1．ISO/IEC27001從______的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。（）a）客戶(hù)安全要求b）組織整體業(yè)務(wù)風(fēng)險(xiǎn)(正確答案)c）信息安全法律法規(guī)d）以上都不對(duì)2．組織聲稱(chēng)符合ISO/IEC27001時(shí)，______的要求可刪減。（

）a）第4章b）第5章c）第7章d）附錄A(正確答案)3．審核準(zhǔn)則是指_____（）a）一組方針、程序或要求(正確答案)b）一組能夠證實(shí)的記錄、事實(shí)陳述或其他信息c）一組約束審核行為的規(guī)范d）以上都不對(duì)4．審核計(jì)劃______(

)a）應(yīng)由受審核方確認(rèn)，可適當(dāng)調(diào)整(正確答案)b）一經(jīng)確定，不能改動(dòng)c）受審核方可隨意改動(dòng)d）以上都不對(duì)5．以下哪一種描述不適合信息安全管理體系？（

）a）是指國(guó)家對(duì)各重要信息系統(tǒng)實(shí)施信息安全管理的行政管理結(jié)構(gòu)(正確答案)b）是整個(gè)管理體系的一部分，它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的c）建立信息安全方針和目標(biāo)，并實(shí)現(xiàn)這些目標(biāo)的相互關(guān)聯(lián)或相互作用的一組要素d）包括信息安全管理機(jī)構(gòu)、體系文件及相關(guān)資源等要素6．以下針對(duì)信息安全系統(tǒng)審核的敘述，哪個(gè)是不正確的？（

）a）審核方案應(yīng)予以事先規(guī)劃b）目的在于確保信息安全管理體系的控制目標(biāo)與控制措施是否有效地實(shí)施與維持c）基于對(duì)業(yè)務(wù)的了解，應(yīng)由各部門(mén)主管審計(jì)其所負(fù)責(zé)的業(yè)務(wù)(正確答案)d）對(duì)于審核結(jié)果應(yīng)有適當(dāng)?shù)母M(jìn)措施7．信息安全風(fēng)險(xiǎn)評(píng)估的基本要素（

）a）資產(chǎn)、可能性、影響b）資產(chǎn)、脆弱性、威脅(正確答案)c）可能性、資產(chǎn)、脆弱性d）脆弱性、威脅、后果8．______負(fù)責(zé)審核計(jì)劃、協(xié)調(diào)審核活動(dòng)并在審核活動(dòng)中領(lǐng)導(dǎo)審核活動(dòng)？（

）a）審核小組成員b）信息安全經(jīng)理c）審核小組組長(zhǎng)(正確答案)d）以上都不是9．公司在內(nèi)審時(shí)發(fā)現(xiàn)某員工電腦開(kāi)機(jī)密碼少于六位，以下選項(xiàng)中哪一項(xiàng)不是針對(duì)該問(wèn)題的糾正預(yù)防措施？（

）a）要求員工立即改正(正確答案)b）對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法培訓(xùn)c）通過(guò)預(yù)控進(jìn)行強(qiáng)制管控d）對(duì)所有員工進(jìn)行意識(shí)培訓(xùn)10．_______對(duì)信息安全管理負(fù)有責(zé)任？（

）a）高級(jí)管理層(正確答案)b）安全管理員c）IT管理員d）所有與信息系統(tǒng)有關(guān)的人員11．組織通過(guò)信息安全管理體系認(rèn)證則（

）a）表明組織已不存在不符合項(xiàng)b）表明體系具備保護(hù)組織信息資產(chǎn)的能力c）表明組織已達(dá)到了其信息安全目標(biāo)d）以上都不對(duì)(正確答案)12．以下對(duì)于“信息安全方針”的敘述，哪個(gè)是不正確的？（

）a）管理層應(yīng)設(shè)定一個(gè)明確的政策方向，展現(xiàn)對(duì)信息安全的支持與承諾b）安全方針應(yīng)以適當(dāng)方式向所有員工公布與宣導(dǎo)c）信息安全方針應(yīng)有專(zhuān)人依據(jù)規(guī)定的審核過(guò)程對(duì)其進(jìn)行維護(hù)與審核d）信息安全方針一經(jīng)確定即無(wú)法修改(正確答案)13．信息安全管理體系認(rèn)證（

）a）應(yīng)審核ISMS范圍內(nèi)的所有部門(mén)和所有人員b）指導(dǎo)受審核方改進(jìn)的過(guò)程(正確答案)c）尋找不符合項(xiàng)的過(guò)程d）可為受審核方提供控制措施的實(shí)施建議14．下列哪個(gè)要素可以不作為ISMS審核時(shí)間判斷的依據(jù)？（

）a）ISMS的復(fù)雜度b）高層管理者對(duì)信息安全問(wèn)題的重視程度(正確答案)c）ISMS范圍內(nèi)執(zhí)行的業(yè)務(wù)的類(lèi)型d）適用于認(rèn)證的標(biāo)準(zhǔn)和法規(guī)15．在認(rèn)證過(guò)程中，“根據(jù)審核報(bào)告，確定糾正措施”是______的職責(zé)。(

)a）審核組長(zhǎng)b）審核組c）受審核方(正確答案)d）以上都不對(duì)二、多項(xiàng)選擇題（每題3分，共15分）

從以下每題的答案中選擇一個(gè)或多個(gè)你認(rèn)為合適的，并將答案代號(hào)填入（）中。1．ISMS第1階段審核的目的是_______（

）a）獲取對(duì)組織信息安全管理體系的了解和認(rèn)識(shí)(正確答案)b）了解客戶(hù)組織的審核準(zhǔn)備狀態(tài)(正確答案)c）為計(jì)劃2階段審核提供重點(diǎn)(正確答案)d）確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求(正確答案)2．按照審核的先后順序劃分，審核包括_________（

）a）第一階段審核(正確答案)b）第二階段審核(正確答案)c）監(jiān)督審核(正確答案)d）再認(rèn)證審核(正確答案)3．審核方案和審核計(jì)劃的區(qū)別包括_________（

）a）范圍不同b）制定者不同(正確答案)c）實(shí)施者不同(正確答案)d）內(nèi)容不同(正確答案)4．以下_______屬于審核組長(zhǎng)的職責(zé)（

）a）確定審核的需要和目的(正確答案)b）組織編制現(xiàn)場(chǎng)審核有關(guān)的工作文件c）主持首末次會(huì)議和審核組會(huì)議(正確答案)d）代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通(正確答案)5．審核計(jì)劃中應(yīng)涵蓋_______（

）a）本次及其后續(xù)審核的時(shí)間安排b）審核準(zhǔn)則(正確答案)c）審核組成員及分工(正確答案)d）審核的日程安排(正確答案)三、判斷題（每題4分，共40分）

下列各題中，你認(rèn)為正確的選擇“對(duì)”，錯(cuò)誤的選擇“錯(cuò)”。1．糾正是指為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。對(duì)錯(cuò)(正確答案)2．因信息安全問(wèn)題在任何組織中都可能存在，所以組織在實(shí)施ISMS時(shí)，不能刪減標(biāo)準(zhǔn)中任何安全控制措施的條款。對(duì)錯(cuò)(正確答案)3．信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。對(duì)錯(cuò)(正確答案)4．記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。對(duì)(正確答案)錯(cuò)5．資產(chǎn)越重要，其安全風(fēng)險(xiǎn)值就越大。對(duì)錯(cuò)(正確答案)6．信息安全管理體系審核組內(nèi)必須有一名技術(shù)專(zhuān)家，提供信息安全的專(zhuān)門(mén)知識(shí)。對(duì)錯(cuò)(正確答案)7．審核證據(jù)是指與審核有關(guān)的，并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息。對(duì)(正確答案)錯(cuò)8．審