信息安全管理體系內(nèi)審員考試試題

信息安全管理體系內(nèi)審員考試試題一、單項選擇題（每題3分，共45分）

從以下每題的幾個答案中選擇一個你認(rèn)為最合適的，并將答案代號填入（）中。1．ISO/IEC27001從______的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。（）a）客戶安全要求b）組織整體業(yè)務(wù)風(fēng)險(正確答案)c）信息安全法律法規(guī)d）以上都不對2．組織聲稱符合ISO/IEC27001時，______的要求可刪減。（

）a）第4章b）第5章c）第7章d）附錄A(正確答案)3．審核準(zhǔn)則是指_____（）a）一組方針、程序或要求(正確答案)b）一組能夠證實的記錄、事實陳述或其他信息c）一組約束審核行為的規(guī)范d）以上都不對4．審核計劃______(

)a）應(yīng)由受審核方確認(rèn)，可適當(dāng)調(diào)整(正確答案)b）一經(jīng)確定，不能改動c）受審核方可隨意改動d）以上都不對5．以下哪一種描述不適合信息安全管理體系？（

）a）是指國家對各重要信息系統(tǒng)實施信息安全管理的行政管理結(jié)構(gòu)(正確答案)b）是整個管理體系的一部分，它是基于業(yè)務(wù)風(fēng)險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的c）建立信息安全方針和目標(biāo)，并實現(xiàn)這些目標(biāo)的相互關(guān)聯(lián)或相互作用的一組要素d）包括信息安全管理機構(gòu)、體系文件及相關(guān)資源等要素6．以下針對信息安全系統(tǒng)審核的敘述，哪個是不正確的？（

）a）審核方案應(yīng)予以事先規(guī)劃b）目的在于確保信息安全管理體系的控制目標(biāo)與控制措施是否有效地實施與維持c）基于對業(yè)務(wù)的了解，應(yīng)由各部門主管審計其所負責(zé)的業(yè)務(wù)(正確答案)d）對于審核結(jié)果應(yīng)有適當(dāng)?shù)母M措施7．信息安全風(fēng)險評估的基本要素（

）a）資產(chǎn)、可能性、影響b）資產(chǎn)、脆弱性、威脅(正確答案)c）可能性、資產(chǎn)、脆弱性d）脆弱性、威脅、后果8．______負責(zé)審核計劃、協(xié)調(diào)審核活動并在審核活動中領(lǐng)導(dǎo)審核活動？（

）a）審核小組成員b）信息安全經(jīng)理c）審核小組組長(正確答案)d）以上都不是9．公司在內(nèi)審時發(fā)現(xiàn)某員工電腦開機密碼少于六位，以下選項中哪一項不是針對該問題的糾正預(yù)防措施？（

）a）要求員工立即改正(正確答案)b）對員工進行優(yōu)質(zhì)口令設(shè)置方法培訓(xùn)c）通過預(yù)控進行強制管控d）對所有員工進行意識培訓(xùn)10．_______對信息安全管理負有責(zé)任？（

）a）高級管理層(正確答案)b）安全管理員c）IT管理員d）所有與信息系統(tǒng)有關(guān)的人員11．組織通過信息安全管理體系認(rèn)證則（

）a）表明組織已不存在不符合項b）表明體系具備保護組織信息資產(chǎn)的能力c）表明組織已達到了其信息安全目標(biāo)d）以上都不對(正確答案)12．以下對于“信息安全方針”的敘述，哪個是不正確的？（

）a）管理層應(yīng)設(shè)定一個明確的政策方向，展現(xiàn)對信息安全的支持與承諾b）安全方針應(yīng)以適當(dāng)方式向所有員工公布與宣導(dǎo)c）信息安全方針應(yīng)有專人依據(jù)規(guī)定的審核過程對其進行維護與審核d）信息安全方針一經(jīng)確定即無法修改(正確答案)13．信息安全管理體系認(rèn)證（

）a）應(yīng)審核ISMS范圍內(nèi)的所有部門和所有人員b）指導(dǎo)受審核方改進的過程(正確答案)c）尋找不符合項的過程d）可為受審核方提供控制措施的實施建議14．下列哪個要素可以不作為ISMS審核時間判斷的依據(jù)？（

）a）ISMS的復(fù)雜度b）高層管理者對信息安全問題的重視程度(正確答案)c）ISMS范圍內(nèi)執(zhí)行的業(yè)務(wù)的類型d）適用于認(rèn)證的標(biāo)準(zhǔn)和法規(guī)15．在認(rèn)證過程中，“根據(jù)審核報告，確定糾正措施”是______的職責(zé)。(

)a）審核組長b）審核組c）受審核方(正確答案)d）以上都不對二、多項選擇題（每題3分，共15分）

從以下每題的答案中選擇一個或多個你認(rèn)為合適的，并將答案代號填入（）中。1．ISMS第1階段審核的目的是_______（

）a）獲取對組織信息安全管理體系的了解和認(rèn)識(正確答案)b）了解客戶組織的審核準(zhǔn)備狀態(tài)(正確答案)c）為計劃2階段審核提供重點(正確答案)d）確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求(正確答案)2．按照審核的先后順序劃分，審核包括_________（

）a）第一階段審核(正確答案)b）第二階段審核(正確答案)c）監(jiān)督審核(正確答案)d）再認(rèn)證審核(正確答案)3．審核方案和審核計劃的區(qū)別包括_________（

）a）范圍不同b）制定者不同(正確答案)c）實施者不同(正確答案)d）內(nèi)容不同(正確答案)4．以下_______屬于審核組長的職責(zé)（

）a）確定審核的需要和目的(正確答案)b）組織編制現(xiàn)場審核有關(guān)的工作文件c）主持首末次會議和審核組會議(正確答案)d）代表審核方與受審核方領(lǐng)導(dǎo)進行溝通(正確答案)5．審核計劃中應(yīng)涵蓋_______（

）a）本次及其后續(xù)審核的時間安排b）審核準(zhǔn)則(正確答案)c）審核組成員及分工(正確答案)d）審核的日程安排(正確答案)三、判斷題（每題4分，共40分）

下列各題中，你認(rèn)為正確的選擇“對”，錯誤的選擇“錯”。1．糾正是指為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。對錯(正確答案)2．因信息安全問題在任何組織中都可能存在，所以組織在實施ISMS時，不能刪減標(biāo)準(zhǔn)中任何安全控制措施的條款。對錯(正確答案)3．信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。對錯(正確答案)4．記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。對(正確答案)錯5．資產(chǎn)越重要，其安全風(fēng)險值就越大。對錯(正確答案)6．信息安全管理體系審核組內(nèi)必須有一名技術(shù)專家，提供信息安全的專門知識。對錯(正確答案)7．審核證據(jù)是指與審核有關(guān)的，并且能夠證實的記錄、事實陳述或其他信息。對(正確答案)錯8．審