2023年05月《ISMS信息安全管理體系審核員》試題（網友回憶版）

2023年05月《ISMS信息安全管理體系審核員》試題（網友回憶版）[單選題]1.根據GBT2080-2016標準的要求，信息安（江南博哥）全管理體系通過風險管理過程來保持信息的保密性、完整性和可用性，并為相關方樹立()信心。A.信息安全得到充分管理B.風險得到適當管理C.風險得到充分管理D.信息安全得到適當管理[單選題]2.根據GB/T22080-2016標準的要求，下列選項不屬于最高管理層用來證實對信息安全管理體系的領導和承諾的活動？()A.確保信息安全組織職責分離B.促進持續(xù)改進C.確保建立了信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致D.確保將信息安全管理體系要求整合到組織過程中[單選題]3.根據GB/T22080-2016標準，在理解組織及其環(huán)境時，組織應確定()。A.與其意圖相關的，且影響其實現(xiàn)信息安全管理能力的外部和內部事項B.與信息安全方針相關的，且影響其實現(xiàn)信息安全管理能力的內部和外部事項C.與其戰(zhàn)略相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的內部和外部事項D.與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的內部和外部事項[單選題]4.對于信息安全方針，（)是GB/T22080-2016標準所要求的。A.信息安全方針應形成文件化信息并可用B.信息安全方針文件為公司內部重要信息，不得向外部泄露C.信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D.信息安全方針是建立信息安全工作的總方向和原則，不可變更[單選題]5.根據GB/T22080-2016標準的要求，信息安全管理體系最高管理層確保信息安全管理達到()。A.預期效果B.顧客滿意C.法規(guī)要求D.法律要求[單選題]6.根據GB/T22080-2016標準的要求，相關方的要求可能包括()。A.標準、法規(guī)要求和合同義務B.法律、標準要求和合同義務C.法律、法規(guī)要求和合同義務D.法律、法規(guī)和標準要求和合同義務[單選題]7.根據GB/T22080-2016標準中控制措施的要求，有關安全登陸規(guī)程，不能接受的做法是()。A.在設備上張貼警示通告，說明只有已授權用戶才能訪問計算機B.忘記個人口令，暴力破解嘗試登陸C.輸入口令時不顯示系統(tǒng)或應用標識符，直到登陸過程已成功完成為止D.在安全登陸期間，不提供對未授權用戶有幫助作用的信息[單選題]8.根據GB/T22080-2016標準中控制措施的要求，有關系統(tǒng)軟件安全開發(fā)策略，可以不考慮下列哪一項內容？()A.項目里程碑的安全檢查點B.開發(fā)項目進度C.軟件開發(fā)生命周期中的安全指南D.開發(fā)環(huán)境的安全[單選題]9.根據GB/T22080-2016標準的要求，以下說法正確的是()。A.潛在事件發(fā)生的可能性與后果的和決定了風險的級別B.潛在事件后果的嚴重性決定了風險級別C.潛在事件發(fā)生的可能性和后果相乘決定了風險級別D.已發(fā)生事件的后果決定了風險級別[單選題]10.關于GB/T22080-2016，以下說法正確的是()。A.相關方的需求和期望是組織制定信息安全方針的輸入B.實施標準4.1～4.2，須編制“相關方管理程序”，形成文件C.組織須維護一份相關方及其需求和期望的清單D.組織應識別的相關方不隨ISMS圍而變化[單選題]11.根據GB/T22080-2016標準中控制措施的要求，應根據法律、法規(guī)、規(guī)章、合同和業(yè)務要求，確保對記錄進行保護以防止其丟失、損毀、偽造、未授權訪問和未授權發(fā)布。是()的條款的要求。A.A13.2.3B.A18.1.3C.A9.4.1D.A7.5.3[單選題]12.以下符合GB/T22080-2016標準A18.1.4條款要求的情況是()。A.認證范圍內員工的個人隱私數據得到保護B.認證范圍內涉及顧客的個人隱私數據得到保護C.認證范圍內涉及相關方的個人隱私數據得到保護D.其他選項均正確[單選題]13.根據ISO/IEC27000標準，()為組織提供了信息安全管理體系實施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27013D.ISO/IEC27003[單選題]14.根據GB/T22080-2016/ISO/1EC27001:2013標準，以下做法不正確的是()。A.應保留含有敏感信息的介質的處置記錄B.離職人員自主刪除敏感信息的即可C.必要時采用多路線路供電D.應定期檢查機房空調的有效性[單選題]15.根據GB/T22081-2016標準的要求，附錄A包含()項控制措施。A.114B.139C.143D.133[單選題]16.根據ISO/IEC27006標準，認證決定應基于審核報告中()對客戶ISMS是否通過認證的建議。A.審核組B.觀察員C.認證決定人員D.審核員[單選題]17.根據GB/T28450標準，ISMS文件評審不包括()。A.信息安全管理手冊的充分性B.風險評估報告的合理性C.適用性聲明的完備性和合理性D.風險處置計劃的完備性[單選題]18.ISO/IEC27701是()A.ISO/IEC27001和ISO/IEC27002在隱私保護方面的擴展B.是ISMS族以外的標準C.在隱私保護方面擴展了ISO/IEC27001的要求D.是一份基于ISO/IEC27002的指南性標準[單選題]19.某公司進行風險評估后發(fā)現(xiàn)公司的無線網絡存在大的安全隱患，為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于()。A.風險接受B.風險規(guī)避C.風險轉移D.風險減緩[單選題]20.風險偏好是組織尋求或保留風險的()。A.行動B.計劃C.意愿D.批復[單選題]21.根據GB/T20986，由于保障信息系統(tǒng)正常運行所必須的外圍設施出現(xiàn)故障而導致的信息安全事件是()。A.其他設備設施故障B.外圍保障設施故障C.人為破壞事故D.軟硬件自身故障[單選題]22.根據GB/T29246，信息處理設施不包括()。A.信息系統(tǒng)B.系統(tǒng)和設施安置的物理場所C.人及文檔D.服務和基礎設施[單選題]23.依據GB/T29246，以()的組合來表示風險的大小。A.后果和其可能性B.資產和其可能性C.資產和其脆弱性D.后果和其脆弱性[單選題]24.關于GB17859，以下說法正確的是()。A.特定的法律法規(guī)引用該標準在引用的范圍內視為強制性標準B.這是一份推薦性標準C.這是一份強制性標準D.組織選擇使用該標準在選擇的范圍內視為強制性標準[單選題]25.根據GB/T25058《信息安全技術網絡安全等級保護實施指南》，對等級保護對象實施等級保護的基本流程包括，等級保護對象()階段、總體安全規(guī)劃階段、安全設計與實施階段、安全運行與維護階段和定級對象終止階段。？A.備案與風險評估B.定級與風險管理C.定級與風險評估D.定級與備案[單選題]26.以下哪個不是威脅？()A.錯誤使用B.文獻缺乏C.電磁輻射D.權力濫用[單選題]27.拒絕服務攻擊損害了下列哪一種信息安全特性？(）A.完整性B.可用性C.機密性(保密性)D.可靠性[單選題]28.某種網絡安全威脅是通過非法手段對數據進行惡意修改，這種安全威脅屬于()。A.竊聽數據B.破壞數據完整性C.破壞數據可用性D.物理安全威脅[單選題]29.當訪問某資源存在不存活的鏈接時，會導致非法用戶冒用并進行重放攻擊的可能性，因此應采取()控制措施。A.密碼控制B.密鑰控制C.會話超時D.遠程訪問控制[單選題]30.在以下人為的惡意攻擊行為中，屬于主動攻擊的是()？A.數據竊聽B.誤操作C.數據流分析D.數據篡改[單選題]31.用戶訪問某Web站，用戶直接采取的安全措施是()。A.服務器數據備份B.防火墻過濾數據包C.用戶輸入登錄口令D.核心交換機的熱備[單選題]32.以下不屬于描述性統(tǒng)計技術的是()。A.正態(tài)分布B.散布圖C.帕累托圖D.直方圖[單選題]33.關于密碼技術，以下哪項屬于非對稱密碼技術？()A.RSAB.DESC.3DESD.AES[單選題]34.對于“監(jiān)控系統(tǒng)”的存取與使用，下列說法正確的是()。A.監(jiān)控系統(tǒng)所產生的記錄可由用戶任意存取B.應保持時鐘同步C.只有當系統(tǒng)發(fā)生異常事件及其他安全相關事件時才需進行監(jiān)控D.監(jiān)控系統(tǒng)投資額龐大，并會影響系統(tǒng)效能，因此可以予以暫時省略[單選題]35.SaaS指()。A.軟件即服務B.平臺即服務C.應用即服務D.基礎設施即服務[單選題]36.建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證()。A.安全技術措施同步規(guī)劃、同步建設、同步使用B.三級以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用C.秘密級以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用D.機密級及以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用[單選題]37.根據(中華人民共和國密碼法》所稱密碼，以下說法不正確的是()。A.國家密碼管理部門負責管理全國的密碼工作，市級以上地方各級密碼管理部門負責管理本行政區(qū)域的密碼工作B.密碼是指采用特定變換的方法對信息進行加密保護、安全認證的技術、產品和服務C.秘密工作堅持總體國家安全觀D.密碼分為核心密碼、普通密碼和商用密碼[單選題]38.根據《互聯(lián)網信息服務管理辦法》，以下哪個說法是錯誤的？()？A.互聯(lián)網信息服務提供者應當在其網站主頁的顯著位置標明其經營許可證編號或者備案編號B.互聯(lián)網信息服務提供者變更服務項目、網站網址等事項的，應當提前30日向原審核、發(fā)證或者備案機關辦理變更手續(xù)C.非經營性互聯(lián)網信息服務提供者可以從事有償服務D.互聯(lián)網信息服務提供者應當按照經許可或者備案的項目提供服務，不得超出經許可或者備案的項目提供服務[單選題]39.如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，則應具備的保護水平為()。A.三級B.二級C.四級D.五級[單選題]40.根據《中華人民共和國計算機信息系統(tǒng)安全保護條例》，計算機犯罪是指行為人通過()所實施的危害(）安全以及其他嚴重危害社會的并應當處以刑罰的行為。A.數據庫操作計算機信息系統(tǒng)B.計算機操作計算機信息系統(tǒng)C.數據庫操作管理信息系統(tǒng)D.計算機操作應用信息系統(tǒng)[多選題]1.根據GB/T22080-2016，()活動是ISMS建立階段完成的內容。A.確定ISMS范圍和邊界B.確定ISMS針C.確定風險評估方法并實施風險評估D.實施體系文件培訓提交答案[多選題]2.信息有其固有的生命周期，即從其()。A.創(chuàng)建和產生B.使用、傳輸C.存儲、處理D.銷毀或消失提交答案[多選題]3.根據GB/T22080-2016中控制措施的要求，關于用戶的秘密鑒別信息管理，正確的是()A.鑒別信息宜加密保存B.對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C.鑒別信息的保護可作為任用條件或條款的內容D.使用QQ遞鑒別信息提交答案[多選題]4.根據GB/T22080-2016標準中控制措施的要求，有關信息安全管理中“符合性”的敘述，正確的是()。A.組織重要記錄應予以保護B.清楚識別所有的法律和合同的要求C.要保護個人信息的數據和隱私D.避免非法使用具有知識產權的專利軟件產品提交答案[多選題]5.根據GB/T22081標準，有關安全區(qū)域的敘述，正確的是()。A.劃設為安全區(qū)域的場所已有適當管控，可容許任何人進出B.其目標是避免營運場所及信息遭到未授權存取、損害與干擾C.應設立安全區(qū)域，以滿足不同業(yè)務場景的安全需求D.在安全區(qū)域內工作時應采取額外的控制措施及指引，以強化該區(qū)域的安全性提交答案[多選題]6.根據GB/T22080-2016標準中控制措施的要求，變更管理應予以控制的風險包括()。A.組織架構、業(yè)務流程變更的風險B.信息系統(tǒng)新的組件、功能模塊發(fā)布的風險C.信息系統(tǒng)配置、物理位置變更的風險D.供應商內部的體系文件修改造成流程變更的風險提交答案[多選題]7.ISMS核目標可包括()。A.評價ISMS否充分識別B.確定信息安全控制對ISMS求和規(guī)程的符合程度C.解決信息安全要求D.評價維護和有效改進ISMS過程提交答案[多選題]8.根據GB/T29264標準，運行維護服務采用信息技術手段及方法，依據需方提出的服務級別要求，對其信息系統(tǒng)的()等提供的各種技術支持和管理服務。A.硬件B.安全C.基礎環(huán)境D.軟件提交答案[多選題]9.為了成功達成信息安全管理體系的持續(xù)改進，信息安全測量項目應當考慮()。A.基于信息安全管理體系目標的定量安全測度B.業(yè)務連續(xù)性計劃C.信息安全管理體系各過程和規(guī)程的存在D.管理層的承諾并有適當資源支持提交答案[多選題]10.訪問控制機制包括()。A.自主訪問控制B.安全標記C.客體重用D.強制訪問控制提交答案[多選題]11.關于31000標準，以下哪些說法是正確的？()A.該標準可用于任何公有、私有企業(yè)、協(xié)會、團體或個體。因此，該標準不針對任何行業(yè)或部門B.盡管該標準提供了風險管理的通用性指南，但不要求組織風險管理的統(tǒng)一性C.該標準可以應用于任何類型的風險，無論其性質及是否有積極或消極的后果D.風險管理計劃和框架的設計和實施需要考慮到特定組織的不同需求、特定目標、狀況、結構、運營、程序、職能、項目、產品、服務或資產以及展開的具體實踐提交答案[多選題]12.以下哪些是不能用來進行問責追溯的文件？()A.系統(tǒng)日志B.用戶口令C.用戶配置文件D.配置文件提交答案[多選題]13.在信息安全管理中，以下屬于“按需知悉(need-to-know)"原則的是()A.針對所需完成的工作，賦予最小集的權限B.工作人員僅需知悉可支持其完成工作任務的信息C.工作人員可訪問的信息范圍是有限的，僅在必要時可擴大范圍D.得到高層管理者批準的信息范圍是可訪問的信息提交答案[多選題]14.以下哪種說法是正確的？()A.經營性互聯(lián)網信息服務，是指通過互聯(lián)網向上網用戶有償提供信息或者網頁制作等服務活動B.非經營性互聯(lián)網信息服務，是指通過互聯(lián)網向上網用戶無償提供具有公開性、共享性信息的服務活動C.國家對經營性互聯(lián)網信息服務和非經營性互聯(lián)網信息服務均實行備案制度D.互聯(lián)網信息服務分為經營性和非經營性兩類提交答案[多選題]15.《中華人民共和國網絡安全法》適用于在中華人民共和國境內()網絡，以及網絡安全的監(jiān)督管理。A.建設B.運營C.維護D.使用