ISMS信息安全管理體系基礎(chǔ)考前點題卷二（題庫）

ISMS信息安全管理體系基礎(chǔ)考前點題卷二（題庫）[單選題]1.信息安全管理體系審核是用來確定（）（江南博哥）A.組織的管理效率B.產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C.信息安全管理體系滿足審核準(zhǔn)則的程度D.信息安全手冊與標(biāo)準(zhǔn)的符合程度參考答案：C[單選題]2.信息安全控制措施是指（）A.管理信息安全風(fēng)險的一種方法B.規(guī)程指南C.信息安全技術(shù)D.以上都不對參考答案：A參考解析：共1條1[單選題]3.訪問控制是指確定（）以及實施訪問權(quán)限的過程。A.用戶權(quán)限B.可給予哪些主體訪問權(quán)利C.可被用戶訪問的資源D.系統(tǒng)是否遭受入侵參考答案：B[單選題]5.下列不屬于GB/T22080-2016/IS0/IEC27001:2013附錄A中A8資產(chǎn)管理規(guī)定的控制目標(biāo)的是（）A.資產(chǎn)歸還B.資產(chǎn)分發(fā)C.資產(chǎn)的處理D.資產(chǎn)清單參考答案：B[單選題]6.下列信息系統(tǒng)安全說法正確的是（）A.加固所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備就可以保證網(wǎng)絡(luò)的安全B.只要資金允許就可以實現(xiàn)絕對的安全C.斷開所有的服務(wù)可以保證信息系統(tǒng)的安全D.信息系統(tǒng)安全狀態(tài)會隨著業(yè)務(wù)的變化而變化，因此網(wǎng)絡(luò)安全狀態(tài)需要根據(jù)業(yè)務(wù)而調(diào)整相應(yīng)的網(wǎng)絡(luò)安全策略參考答案：D[單選題]7.安全標(biāo)簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略？（）A.基本角色的策略B.基于身份的策略C.用戶向?qū)У牟呗訢.強制性訪問控制策略參考答案：D[單選題]8.訪問控制是為了保護(hù)信息的（）A.完整性和機密性B.可用性和機密性C.可用性和完整性D.以上都是參考答案：A[單選題]9.關(guān)于入侵檢測，以下不正確的是（）A.入侵檢測是一個采集知識的過程B.入侵檢測指信息安全事件響應(yīng)過程C.分析反常的使用模式是入侵檢測模式之一D.入侵檢測包括收集被利用脆弱性發(fā)生的時間信息參考答案：B[單選題]10.文件化信息是指（）A.組織創(chuàng)建的文件B.組織擁有的文件C.組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D.對組織有價值的文件參考答案：C[單選題]11.加強網(wǎng)絡(luò)安全性的最重要的基礎(chǔ)措施是（）A.設(shè)計有效的網(wǎng)絡(luò)安全策略B.選擇更安全的操作系統(tǒng)C.安裝殺毒軟件D.加強安全教育參考答案：A[單選題]12.GB/T22080_2016ASO/IEC27001:2013標(biāo)準(zhǔn)附錄A有（）安全域。A.18個B.16個C.15個D.14個參考答案：D[單選題]13.信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:A.對資產(chǎn)擁有財產(chǎn)權(quán)的人B.使用資產(chǎn)的人C.有權(quán)限變更資產(chǎn)安全屬性的人D.資產(chǎn)所在部門負(fù)責(zé)人參考答案：C[單選題]14.下列管理評審的方式，哪個不滿足標(biāo)準(zhǔn)的要求？（）A.組織外部評審團(tuán)隊通過會議的方式對管理體系適宜性、有效性和充分性進(jìn)行評審B.通過網(wǎng)絡(luò)會議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評審C.通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進(jìn)行評審D.通過材料評審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評審參考答案：A[單選題]15.下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）可用于備份？（）A.需要使用網(wǎng)絡(luò)附加存儲設(shè)備（NAS）時B.不能使用TCP/IP的環(huán)境中C.需要備份舊的備份系統(tǒng)不能處理的文件許可時D.要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時參考答案：A[單選題]16.依據(jù)GB/T22080/IEC27001，不屬于第三方服務(wù)監(jiān)視和評審范疇的是：（）A.監(jiān)視和評審服務(wù)級別協(xié)議的符合性B.監(jiān)視和評審服務(wù)方人員聘用和考核的流程C.監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D.監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力參考答案：B[單選題]17.依據(jù)GB/T22080/ISO/IEC27001，制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A.業(yè)務(wù)戰(zhàn)略B.法律法規(guī)要求C.合同要求D.以上全部參考答案：D[單選題]18.在信息安全管理體系審核時，應(yīng)遵循（）原則。A.保密性和基于準(zhǔn)則的B.保密性和基于風(fēng)險的C.系統(tǒng)性和基于風(fēng)險的D.系統(tǒng)性和基于準(zhǔn)則的參考答案：B[單選題]19.保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A.組織和員工雙方的信息安全職責(zé)和責(zé)任B.員工的信息安全職責(zé)和責(zé)任C.組織的信息安全職責(zé)和責(zé)任D.紀(jì)律處罰規(guī)定參考答案：A[單選題]20.開發(fā)、測試和（）設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風(fēng)險A.配置B.系統(tǒng)C.終端D.運行參考答案：D[單選題]21.關(guān)于文件管理下列說法錯誤的是（）A.文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B.必要時對文件進(jìn)行評審.更新并再次批準(zhǔn)C.應(yīng)確保文件保持清晰，易于識別D.作廢文件應(yīng)及時銷毀，防止錯誤使用參考答案：D[單選題]22.信息系統(tǒng)審計（）A.是發(fā)現(xiàn)信息系統(tǒng)脆弱性的手段之一B.應(yīng)在系統(tǒng)運行期間進(jìn)行，以便于準(zhǔn)確地發(fā)現(xiàn)弱點C.審核工具在組織內(nèi)應(yīng)公開可獲取，以便于提升員工的能力D.只要定期進(jìn)行，就可以替代內(nèi)部ISMS審核參考答案：A[單選題]23.描述與組織信息安全管理體系相關(guān)的和適用的控制措施的文檔是（）A.信息安全管理體系方針B.適用性聲明C.信息安全管理體系范圍D.風(fēng)險評估程序參考答案：B[單選題]24.風(fēng)險處置計劃，應(yīng)（）A.獲得風(fēng)險責(zé)任人的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)B.獲得最高管理者的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)C.獲得風(fēng)險部門負(fù)責(zé)人的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)D.獲得管理者代表的批準(zhǔn)，同時獲得對殘余風(fēng)險的批準(zhǔn)參考答案：A[單選題]25.對于信息安全方針，（）是GB/T22080-2016/IS0/IEC27001:2013所要求的。A.信息安全方針應(yīng)形成文件B.信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C.信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D.信息安全方針是建立信息安全工作的總方向和原則，不可變更參考答案：A[單選題]26.GB/T22080-2016標(biāo)準(zhǔn)中所指資產(chǎn)的價值取決于（）A.資產(chǎn)的價格B.資產(chǎn)對于業(yè)務(wù)的敏感度C.資產(chǎn)的折損率D.以上全部參考答案：B[單選題]27.虛擬專用網(wǎng)（VPN）的數(shù)據(jù)保密性，是通過什么實現(xiàn)的？（）A.安全接口層（SSL，SecureSocketsLayer）B.風(fēng)險險道技術(shù)（Tunnelling）C.數(shù)字簽名D.風(fēng)險釣魚參考答案：B[單選題]28.《計算機信息系統(tǒng)安全保護(hù)條例》中所稱計算機信息系統(tǒng)，是指：（）A.對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)B.計算機及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C.計算機運算環(huán)境的總和，但不含網(wǎng)絡(luò)D.—個組織所有計算機的總和，包括未聯(lián)網(wǎng)的微型計算機參考答案：A[單選題]29.關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說法正確的是：（）A.互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B.非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C.從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D.經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動參考答案：C[單選題]30.信息分級的目的是（）A.確保信息按照其對組織的重要程度受到適當(dāng)級別的保護(hù)B.確保信息按照其級別得到適當(dāng)?shù)谋Ｗo(hù)C.確保信息得到保護(hù)D.確保信息按照其級別得到處理參考答案：A[單選題]31.某種網(wǎng)絡(luò)安全威脅是通過非法手段對數(shù)據(jù)進(jìn)行惡意修改，這種安全威脅屬于（）A.竊聽數(shù)據(jù)B.破壞數(shù)據(jù)完整性C.破壞數(shù)據(jù)可用性D.物理安全威脅參考答案：B[單選題]32.容量管理的對象是（）A.信息系統(tǒng)內(nèi)存B.辦公室空間和基礎(chǔ)設(shè)施C.人力資源D.A+B+C參考答案：D[單選題]33.信息安全管理體系的設(shè)計應(yīng)考慮（）A.組織的戰(zhàn)略B.組織的目標(biāo)和需求C.組織的業(yè)務(wù)過程性質(zhì)D.以上全部參考答案：D[單選題]34.信息安全是保證信息的保密性、完整性、（）。A.充分性B.適宜性C.可用性D.有效性參考答案：C[單選題]35.ISMS文件的多少和詳細(xì)程度取決于（）A.組織的規(guī)模和活動的類型B.過程及其相互作用的復(fù)雜程度C.人員的能力D.以上都對參考答案：D[單選題]36.關(guān)于信息安全風(fēng)險評估，以下說法正確的是（）A.如果集團(tuán)企業(yè)的各地分/子公司業(yè)務(wù)性質(zhì)相同，則針對一個分/子公司識別，評價風(fēng)險即可，其風(fēng)險評估過程和結(jié)果文件其他分/子公司可直接采用，以節(jié)省重要識別和計算的工作量B.風(fēng)險評估過程中各參數(shù)的賦值一旦確定，不應(yīng)輕易改變，以維持風(fēng)險評估的穩(wěn)定性C.組織應(yīng)基于其整體業(yè)務(wù)活動所在的環(huán)境和風(fēng)險考慮其ISMS設(shè)計D.以上都對參考答案：C[單選題]37.關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A.脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險B.網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C.允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D.以上全部參考答案：C[單選題]38.組織確定的信息安全管理體系范圍應(yīng)（）A.形成文件化信息并可用B.形成記錄并可用C.形成文件和記錄并可用D.形成程序化信息并可用參考答案：A[單選題]39.管理者應(yīng)（）A.制定ISMS方針B.制定ISMS目標(biāo)和計劃C.實施ISMS內(nèi)部審核D.確保ISMS管理評審的執(zhí)行參考答案：A[單選題]40.下列哪個選項不屬于審核組長的職責(zé)？A.確定審核的需要和目的B.組織編制現(xiàn)場審核有關(guān)的工作文件C.主持首末次會議和審核組會議D.代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通參考答案：A[單選題]41.在我國《信息安全等級保護(hù)管理辦法》中將信息系統(tǒng)的安全等級分為（）級A.3B.4C.5D.6參考答案：C[單選題]42.信息系統(tǒng)的變更管理包括（）A.系統(tǒng)更新的版本控制B.對變更申請的審核過程C.變更實施前的正式批準(zhǔn)D.以上全部參考答案：D[單選題]43.以下不屬于信息安全事態(tài)或事件的是（）A.服務(wù)、設(shè)備或設(shè)施的丟失B.系統(tǒng)故障或超負(fù)載C.物理安全要求的違規(guī)D.安全策略變更的臨時通知參考答案：D[單選題]44.最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A.分配職責(zé)與權(quán)限B.分配崗位與權(quán)限C.分配責(zé)任和權(quán)限D(zhuǎn).分配角色和權(quán)限參考答案：C[單選題]45.防止計算機中信息被竊采取的手段不包括（）A.用戶識別B.權(quán)限控制C.數(shù)據(jù)加密D.病毒控制參考答案：D[單選題]46.加強網(wǎng)絡(luò)安全性的最重要的基礎(chǔ)措施是（）A.設(shè)計有效的網(wǎng)絡(luò)安全策略B.選擇更安全的操作系統(tǒng)C.安裝殺毒軟件D.加強安全教育參考答案：A[單選題]47.安全掃描可以實現(xiàn)（）A.彌補由于認(rèn)證機制薄弱帶來的問題B.彌補由于協(xié)議本身而產(chǎn)生的問題C.彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D.掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流參考答案：C[單選題]48.拒絕服務(wù)攻擊損害了下列哪一種信息安全特性？（）A.完整性B.可用性C.機密性D.可靠性參考答案：B[單選題]49.滲透測試（）A.可能會導(dǎo)致業(yè)務(wù)系統(tǒng)無法正常運行B.是通過模擬惡意黑客攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法C.滲透測試人員在局域網(wǎng)中進(jìn)行測試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測試報告D.必須在計算機網(wǎng)絡(luò)系統(tǒng)首次使用前進(jìn)行，以確保系統(tǒng)安全參考答案：B[單選題]50.（）屬于管理脆弱性的識別對象。A.物理環(huán)境B.網(wǎng)絡(luò)結(jié)構(gòu)C.應(yīng)用系統(tǒng)D.技術(shù)管理參考答案：D[多選題]1.下列哪些選項是ISMS第一階段審核的目的？（）A.獲取對組織信息安全管理體系的了解和認(rèn)識B.了解客戶組織的審核準(zhǔn)備狀況C.為計劃二階段審核提供重點D.確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求參考答案：ABC[多選題]2.對于涉密信息系統(tǒng)，以下說法正確的是（）。A.使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)產(chǎn)品B.使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)的檢測C.使用的信息安全保密產(chǎn)品應(yīng)從由國家保密局審核發(fā)布的目錄中選取D.總體保護(hù)水平應(yīng)不低于國家信息安全等級保護(hù)第四級水平參考答案：ABC[多選題]3.風(fēng)險處置的可選措施包括（）。A.風(fēng)險識別B.風(fēng)險分析C.風(fēng)險轉(zhuǎn)移D.風(fēng)險減緩參考答案：CD[多選題]4.信息安全體系文件應(yīng)包含（）A.風(fēng)險評估報告B.風(fēng)險處置計劃C.服務(wù)目錄D.適用性聲明參考答案：ABD[多選題]5.信息安全管理體系績效測量的開發(fā)包括（）A.選擇目標(biāo)和特性B.確定分析模型C.確定測量指標(biāo)D.確定決策準(zhǔn)則參考答案：ABCD[多選題]6.以下哪幾項可以實現(xiàn)和保持對組織信息資產(chǎn)的適當(dāng)保護(hù)（）A.形成重要資產(chǎn)清單，并加以維護(hù)B.購買相同設(shè)備類型中價值最高的產(chǎn)品C.確定所有資產(chǎn)的責(zé)任人D.制定合乎公司要求的資產(chǎn)使用規(guī)則參考答案：ACD[多選題]7.網(wǎng)絡(luò)攻擊的方式包括（）A.信息搜集B.信息竊取C.系統(tǒng)利用D.資源損耗參考答案：ABCD[多選題]8.信息安全面臨哪些威脅A.信息間諜B.網(wǎng)絡(luò)訪問C.計算機病毒D.脆弱的信息系統(tǒng)參考答案：AC[多選題]9.關(guān)于信息安全風(fēng)險自評估，下列選項正確的是（）A.是指信息系統(tǒng)擁有,運營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估B.周期性的自評估可以在評估流程上適當(dāng)簡化C.可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施D.由信息系統(tǒng)上級管理部門組織的風(fēng)險評估參考答案：ABC[多選題]10.對于組織在風(fēng)險處置過程中所選的控制措施，以下說法正確的是（）A.將所有風(fēng)險都必須被降低至可接受的級別B.可以將風(fēng)險轉(zhuǎn)移C.在滿足公司策略和方針條件下，有意識,客觀地接受風(fēng)險D.規(guī)避風(fēng)險參考答案：BCD[多選題]11.信息安全管理體系認(rèn)證審核時的文件評審應(yīng)包括（）A.信息安全事件分析報告B.適用性聲明C.信息安全風(fēng)險評估報告D.信息安全風(fēng)險處置計劃參考答案：BCD[多選題]12.降低系統(tǒng)失效風(fēng)險的措施包括（）。A.監(jiān)視資源的使用，做出對于未來系統(tǒng)容量要求的預(yù)測B.在系統(tǒng)開發(fā)中使用密碼措施來保護(hù)信息的策略C.在系統(tǒng)投入運行前，進(jìn)行驗收D.對系統(tǒng)進(jìn)行備份參考答案：AC[多選題]13.評價信息安全風(fēng)險，包括（）A.將風(fēng)險分析的結(jié)果與信息安全風(fēng)險準(zhǔn)則進(jìn)行比較B.確定風(fēng)險的控制措施C.為風(fēng)險處置排序以分析風(fēng)險的優(yōu)先級D.計算風(fēng)險大小參考答案：AC[多選題]14.以下做法正確的是（）A.使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B.為強化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C.員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D.信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致參考答案：AC[多選題]15.在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是：（）A.盜取、暴露、變更資產(chǎn)的行為B.破壞、或使資產(chǎn)失去預(yù)期功能的行為C.訪問、使用資產(chǎn)的行為D.監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為參考答案：ABCD[多選題]16.計算機信息系統(tǒng)的安全保護(hù)，應(yīng)保障：（）A.計算機及相關(guān)和配套設(shè)備的安全B.設(shè)施（含網(wǎng)絡(luò)）的安全C.運行環(huán)境的安全D.計算機功能的正常發(fā)揮參考答案：ABCD[多選題]17.以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A.輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B.計算機制造企業(yè)IDC供電系統(tǒng)C.高等院校網(wǎng)絡(luò)接入設(shè)施D.高鐵信號控制系統(tǒng)參考答案：ABCD[多選題]18.下列哪些措施可以實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)？（）A.形成重要資產(chǎn)清單，并加以維護(hù)B.購買相同設(shè)備類型中價值最高的產(chǎn)品C.確定所有資產(chǎn)的責(zé)任人D.制定合乎公司要求的資產(chǎn)使用規(guī)則參考答案：ACD[多選題]19.在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定（）。A.要做什么，需要什么資源B.由誰負(fù)責(zé)，什么時候完成C.完成的目標(biāo)是什么D.如何評價結(jié)果參考答案：ABD[多選題]20.以下場景中符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求的情況是（）A.某公司為保潔人員發(fā)放了公司財務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，方便其在每天上班前和下班后打掃這些房間B.某公司將其