2023年01月《ISMS信息安全管理體系審核員》試題（網(wǎng)友回憶版）

2023年01月《ISMS信息安全管理體系審核員》試題（網(wǎng)友回憶版）[單選題]1.根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級（江南博哥）劃分準(zhǔn)則》，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為()等級。A.5B.6C.3D.4[單選題]2.ISMS關(guān)鍵成功因素之一是用于評價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議的()系統(tǒng)。A.測量B.報(bào)告C.傳遞D.評價(jià)[單選題]3.風(fēng)險(xiǎn)識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、()A.識別可能性和影響B(tài).識別脆弱性和識別后果C.識別脆弱性和可能性D.識別脆弱性和影響[單選題]4.關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步"要求，以嚇說法正確的是()。A.指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用B.建設(shè)三級以上信息系統(tǒng)須保證子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C.建設(shè)機(jī)密及以上信息系統(tǒng)須保證子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D.以上都不對[單選題]5.根據(jù)GB/T22080-2016,應(yīng)按照既定的備份策略，對()進(jìn)行備份，并定期測試。A.信息、軟件和系統(tǒng)鏡像B.信息、軟件和數(shù)據(jù)鏡像C.數(shù)據(jù)、信息和軟件D.數(shù)據(jù)、信息和系統(tǒng)鏡像[單選題]6.關(guān)于散布圖，以下說法正確的是:()。A.是描述特性值分布區(qū)間的圖——趨勢圖B.是描述對變量關(guān)系的圖——敏布圖C.是描述特性隨時(shí)間變化趨勢的圖——趨勢圖D.是描述變量類別分布的圖——直方圖[單選題]7.有關(guān)數(shù)據(jù)中心機(jī)房中,支持性基礎(chǔ)設(shè)施不包括()A.供電、通信設(shè)施B.消防、防雷設(shè)施C.空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D.網(wǎng)絡(luò)設(shè)備[單選題]8.保密性是指()。A.根據(jù)授權(quán)實(shí)體的要求可訪問的特性B.信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C.保護(hù)信息準(zhǔn)確和完整的特性D.以上都不對[單選題]9.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)系統(tǒng)獲取、開發(fā)和維護(hù)過程中的安全問題，以下描述錯(cuò)誤的是()？A.運(yùn)營系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測試數(shù)據(jù)將帶來很大的安全風(fēng)險(xiǎn)B.系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理C.系統(tǒng)的獲取、開發(fā)和維護(hù)過程中的安全問題，不僅僅是考慮提供一個(gè)安全的開發(fā)環(huán)境，同時(shí)還要考慮開發(fā)出安全的系統(tǒng)D.系統(tǒng)的開發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好[單選題]10.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減()。A.1-10B.4-10C.4-7和9-10D.4-10和附錄A[單選題]11.下列說法不正確的是()。A.殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B.適用性聲明需要包含必要的控制及其選擇的合理性說明C.所有的信息安全活動都必須有記錄D.組織控制下的員工應(yīng)了解信息安全方針[單選題]12.在信息安全技術(shù)中，涉及信息系統(tǒng)災(zāi)難恢復(fù)，其中“恢復(fù)點(diǎn)目標(biāo)”指()？A.史難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間B.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能項(xiàng)恢復(fù)的范圍C.災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求D.災(zāi)難發(fā)生后，關(guān)鍵數(shù)據(jù)能被復(fù)原的范圍[單選題]13.按照PDCA思路進(jìn)行審核，是指()。A.按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核B.按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核C.按照受審核區(qū)域的信息安全管理活動的PDCA過程進(jìn)行審核D.按照檢查表策劃9PDCA進(jìn)行審核[單選題]14.《信息安全等級保護(hù)管理辦法》規(guī)定的5級是信息系統(tǒng)受到破壞后會對()造成嚴(yán)重?fù)p害。A.國家安全B.公共利益C.公民、法人和其他組織的合法權(quán)益D.社會秩序[單選題]15.為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過()A.服務(wù)水平目標(biāo)(SLO)B.恢復(fù)點(diǎn)目標(biāo)(RPO)C.恢復(fù)時(shí)間目標(biāo)(RTO)D.最長可接受終端時(shí)間(MAO)[單選題]16.GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于()。A.資產(chǎn)的價(jià)格B.資產(chǎn)對于業(yè)務(wù)的敏感度C.資產(chǎn)的折損率D.以上全部[單選題]17.在決定進(jìn)行第二階段審核之前，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有()。A.客戶組織的準(zhǔn)備程度B.所需能力的審核組成員C.所需審核組能力的要求D.客戶組織的場所分布[單選題]18.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，應(yīng)按計(jì)劃的時(shí)間間隔或在重大變化發(fā)生時(shí)，對組織的信息安全管理方法及其實(shí)現(xiàn)進(jìn)行的()A.內(nèi)部評審B.第三方評審C.系統(tǒng)評審D.獨(dú)立評審[單選題]19.國家秘密的保密期限應(yīng)為:()A.絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B.絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C.絕密不超過二十五年，機(jī)密不超過十五年,秘密不超過五年D.絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年[單選題]20.某公司進(jìn)行風(fēng)險(xiǎn)評估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患，為了處置這個(gè)風(fēng)險(xiǎn)，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于()A.風(fēng)險(xiǎn)接收B.風(fēng)險(xiǎn)規(guī)避C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩[單選題]21.ISMS不-定必須保留的文件化信息有()。A.適用性聲明B.信息安全風(fēng)險(xiǎn)評估過程記錄C.管理評審結(jié)果D.重要業(yè)務(wù)系統(tǒng)操作指南[單選題]22.殘余風(fēng)險(xiǎn)是指:()。A.風(fēng)險(xiǎn)評估前，以往活動遺留的風(fēng)險(xiǎn)B.風(fēng)險(xiǎn)評估后，對以往活動遺留的風(fēng)險(xiǎn)的估值C.風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D.風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低[單選題]23.信息安全管理體系標(biāo)準(zhǔn)族中關(guān)于信息安全管理體系建設(shè)指南的標(biāo)準(zhǔn)是()A.ISO/IEC27003B.ISO/IEC27004C.ISO/IEC27005D.ISO/IEC27002[單選題]24.有關(guān)信息安全管理，風(fēng)險(xiǎn)評估的方法比起基線的方法，其主要的優(yōu)勢在于確保()A.不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會被實(shí)施B.對所有信息資產(chǎn)保護(hù)都投入相同的資源C.對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D.信息資產(chǎn)過度的保護(hù)[單選題]25.某公司財(cái)務(wù)管理數(shù)據(jù)職能提供給授權(quán)的用戶，安全管理采取措施確保不能被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉，這樣就可以確保數(shù)據(jù)的哪個(gè)方面的安全性得到保障。()A.保密性B.完整性C.可用性D.穩(wěn)定性[單選題]26.TCP/IP協(xié)議層次結(jié)構(gòu)由()。A.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D.其他選項(xiàng)均不正確[單選題]27.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定:對計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在()向當(dāng)?shù)乜h級以上人民政府公安機(jī)關(guān)報(bào)告。A.8小時(shí)內(nèi)B.12小時(shí)內(nèi)C.24小時(shí)內(nèi)D.48小時(shí)內(nèi)[單選題]28.形成ISMS審核發(fā)現(xiàn)時(shí)，不需要考慮的是()A.所實(shí)施控制措施與適用性聲明的符合性B.適用性聲明的完備性和合理性C.所實(shí)施控制措施的時(shí)效性D.所實(shí)施控制措施的有效性[單選題]29.根據(jù)GB/T22086-2016的要求，內(nèi)部審核是為了確保信息安全管理體系()A.實(shí)現(xiàn)和維護(hù)的符合性B.實(shí)現(xiàn)和維護(hù)的適宜性C.適宜的實(shí)現(xiàn)和維護(hù)D.有效的實(shí)現(xiàn)和維護(hù)[單選題]30.某數(shù)據(jù)中心申請ISMS認(rèn)證的范圍為IDC基礎(chǔ)設(shè)施服務(wù)的提供”，對此以下說法正確的是()。A.A.8可以刪減B.A.12可以刪減C.A.14可以刪減D.以上都對[單選題]31.對于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明()A.認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動B.其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動的能力C.認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D.認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動的能力[單選題]32.信息系統(tǒng)的安全保護(hù)等級分為()。A.三級B.五級C.四級D.二級[單選題]33.公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開機(jī)密碼少于六位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須六位及以上，那么下列選項(xiàng)中哪一項(xiàng)不是針對該問題的糾正措施？()？A.要求員工立刻改正B.對員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C.通過域控進(jìn)行強(qiáng)制管理D.對所有員工進(jìn)行意識教育[單選題]34.被黑客控制的計(jì)算機(jī)常被稱為()。A.蠕蟲B.肉雞C.灰鴿子D.木馬[單選題]35.依據(jù)GB/T22080,信息的標(biāo)記應(yīng)表明:()。A.相關(guān)供應(yīng)商信息、日期、資產(chǎn)序列號B.其敏感性和關(guān)鍵性的類別和或等級C.所屬部和批準(zhǔn)人D.信息的性質(zhì)，如軟件，文檔[單選題]36.關(guān)于信息安全連續(xù)性，以下說法正確的是()。A.信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B.信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C.信息處理設(shè)施的冗余即兩個(gè)或多個(gè)服務(wù)器互備D.信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定[單選題]37.GB/T29246標(biāo)準(zhǔn)由()提出并歸口。A.SC27B.SAC/TC261C.SC40D.SAC/TC260[單選題]38.某公司的機(jī)房有一扇臨街的窗戶，下列風(fēng)險(xiǎn)描述中哪個(gè)風(fēng)險(xiǎn)與該種情況無關(guān)？()。？A.機(jī)房設(shè)備面臨被盜的風(fēng)險(xiǎn)B.機(jī)房設(shè)備面臨受破壞的風(fēng)險(xiǎn)C.機(jī)房設(shè)備面臨灰塵的風(fēng)險(xiǎn)D.機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)[單選題]39.根據(jù)GB/T22086-2016標(biāo)準(zhǔn)中控制措施的要求，信息安全控制措施不包括()。？A.安全策略B.物理和環(huán)境安全C.訪問控制D.安全范圍[單選題]40.GB/T22080/IEC27001:2013標(biāo)準(zhǔn)附錄A中有()個(gè)安全域。？A.18B.16C.15D.14[多選題]1.《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)()網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A.建設(shè)B.運(yùn)營C.維護(hù)D.使用提交答案[多選題]2.含有敏感信息的設(shè)備的處置可采取()。A.格式化處理B.采取使原始信息不可獲取的技術(shù)破壞或刪除C.多次的寫覆蓋D.徹底摧毀提交答案[多選題]3.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于A.指導(dǎo)組織建立信息安全管理體系B.為組織建立信息安全管理體系提供控制措施的實(shí)施指南C.審核員實(shí)施審核的依據(jù)D.以上都不對提交答案[多選題]4.對于組織在風(fēng)險(xiǎn)處置過程中所選的控制措施需()。A.將所有風(fēng)險(xiǎn)都必須被降低到可接受的級別B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移C.在滿足公司策略和方針條件下，有意識、客觀地接受風(fēng)險(xiǎn)D.規(guī)避風(fēng)險(xiǎn)提交答案[多選題]5.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對()類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度。A.新聞、出版B.醫(yī)療、保健C.知識類D.教育類提交答案[多選題]6.管理評審的輸出包括()。A.管理評審報(bào)告B.持續(xù)改進(jìn)機(jī)會相關(guān)決定C.管理評審會議紀(jì)要D.變更信息安全管理體系的任何要求提交答案[多選題]7.ISO/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A.要求類B.應(yīng)用類C.指南類D.術(shù)語類提交答案[多選題]8.設(shè)計(jì)一個(gè)信息安全風(fēng)險(xiǎn)管理I具，應(yīng)包括如下模塊A.資產(chǎn)識別與分析B.漏洞識別與分析C.風(fēng)險(xiǎn)趨勢分析D.信息安全事件管理流程提交答案[多選題]9.依據(jù)GB/T22080,建立風(fēng)險(xiǎn)評估過程，包括A.明確風(fēng)險(xiǎn)評估的職責(zé)B.定義風(fēng)險(xiǎn)接受準(zhǔn)則C.定義風(fēng)險(xiǎn)評估實(shí)施準(zhǔn)則D.編寫風(fēng)險(xiǎn)評估程序提交答案[多選題]10.審核方案應(yīng)考慮的內(nèi)容包括()。A.體系覆蓋人數(shù)B.體系覆蓋場所C.IT平臺的數(shù)量D.特權(quán)用戶數(shù)量提交答案[多選題]11.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)設(shè)備安全的相關(guān)行為，適當(dāng)?shù)氖?)。A.保護(hù)設(shè)備不受電力故障及其他電力異常影響B(tài).應(yīng)保護(hù)設(shè)備降低來自環(huán)境的威脅及災(zāi)害C.設(shè)備報(bào)廢前將信息安全清除D.保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電源與通訊纜線，以防止竊聽或破壞提交答案[多選題]12.信息安全管理體系審核范圍的確定應(yīng)考慮()。A.業(yè)務(wù)范圍和邊界B.組織的范圍和邊界C.物理范圍和邊界D.資產(chǎn)范圍和邊界提交答案[多選題]13.可被視為可靠的電子簽名,須同時(shí)符合以下條件A.簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)B.簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制C.簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)D.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有提交答案[多選題]14.依據(jù)GB/Z20986，確定為嚴(yán)重的系統(tǒng)損失的情況包括A.系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力B.系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞C.恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需代價(jià)較大D.恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件所需付出的代價(jià)對于事發(fā)組織是可承受的提交答案[多選題]15.風(fēng)險(xiǎn)處置的可選措施包括()。A.風(fēng)險(xiǎn)識別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩提交答案[判斷題]1.完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。A.正確B.錯(cuò)誤[判斷題]2.組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。A.正確B.錯(cuò)誤[判斷題]3.《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的A.正確B.錯(cuò)誤[判斷題]4.訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。A.正確B.錯(cuò)誤[判斷題]5.最高管理層應(yīng)建立信息安全方針，該方針應(yīng)包括對持續(xù)改進(jìn)信息安全智理體系的承諾。A.正確B.錯(cuò)誤[判