2019年11月《ISMS信息安全管理體系審核員》真題及答案

內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除2019年11月《ISMS信息安全管理體系審核員》真題及答案一、單項(xiàng)選擇題(總題數(shù):50,分?jǐn)?shù):50.0分)

1、以下可表明知識(shí)產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）

A、禁止安裝未列入白名單的軟件

B、禁止使用通過(guò)互聯(lián)網(wǎng)下載的免費(fèi)軟件

C、禁止安裝未經(jīng)驗(yàn)證的軟件包

D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)

答案:D

2、關(guān)于訪問(wèn)控制，以下說(shuō)法正確的是（）

A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制

B、三層交換機(jī)基于MAC實(shí)施訪問(wèn)控制

C、路由器根據(jù)路由表確定最短路徑

D、強(qiáng)制訪問(wèn)控制中，用戶標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別，即可讀該文件

答案:C

3、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略，以下正確的是（）

A、沒(méi)有陳述為禁止訪問(wèn)的網(wǎng)絡(luò)服務(wù)，視為允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)

B、對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過(guò)無(wú)線、VPN等多種手段鏈接

C、對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)

D、以上都對(duì)

答案:C

4、最高管理者應(yīng)（）。

A、確保制定ISMS方針

B、制定ISMS目標(biāo)和計(jì)劃

C、實(shí)施ISMS內(nèi)部審核

D、主持ISMS管理評(píng)審

答案:D

5、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（）

A、風(fēng)險(xiǎn)識(shí)別

B、風(fēng)險(xiǎn)分析

C、風(fēng)險(xiǎn)評(píng)價(jià)

D、以上全部

答案:D

6、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的？（）

A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致

B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后，由審核組長(zhǎng)起草形成

C、正式的審核報(bào)告由組長(zhǎng)將報(bào)告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方

D、以上都不對(duì)

答案:A

7、對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）

A、認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動(dòng)

B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力

C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求

D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力

答案:B

8、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說(shuō)法不正確的是（）

A、以電子或其它方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人的各種信息屬于個(gè)人信息

B、自然人的身份證號(hào)碼、電話號(hào)碼屬于個(gè)人信息

C、自然人的姓名、住址不屬于個(gè)人信息

D、自然人的出生日期屬于個(gè)人信息

答案:C

9、進(jìn)入重要機(jī)構(gòu)時(shí)，在門衛(wèi)處登記屬于以下哪種措施？（）

A、訪問(wèn)控制

B、身份鑒別

C、審計(jì)

D、標(biāo)記

答案:B

10、關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說(shuō)法正確的是

A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

B、建設(shè)三級(jí)以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用

C、建設(shè)機(jī)密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用

D、以上都不對(duì)

答案:A

11、關(guān)于顧客滿意，以下說(shuō)法正確的是：（）

A、顧客沒(méi)有抱怨，表示顧客滿意

B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意

C、顧客認(rèn)為其要求己得到滿足，即意味著顧客滿意

D、組織認(rèn)為顧客要求己得到滿足，即意味著顧客滿意

答案:C

12、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。

A、做好資產(chǎn)分類是其基礎(chǔ)

B、采用組織固定資產(chǎn)臺(tái)賬即可

C、無(wú)需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者

D、A+B

答案:A

13、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評(píng)審范疇的是（）。

A、監(jiān)視和評(píng)審服務(wù)級(jí)別協(xié)議的符合性

B、監(jiān)視和評(píng)審服務(wù)方人員聘用和考核的流程

C、監(jiān)視和評(píng)審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度

D、監(jiān)視和評(píng)審服務(wù)方跟蹤處理信息安全事件的能力

答案:B

14、某公司計(jì)劃升級(jí)現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識(shí)別登錄系統(tǒng)，訪問(wèn)關(guān)鍵數(shù)據(jù)實(shí)施時(shí)需要()

A、所有受信的PC機(jī)用戶履行的登記、注冊(cè)手續(xù)（或稱為：初始化手續(xù)）

B、完全避免失誤接受的風(fēng)險(xiǎn)（即：把非授權(quán)者錯(cuò)誤識(shí)別為授權(quán)者的風(fēng)險(xiǎn)）

C、在指紋識(shí)別的基礎(chǔ)上增加口令保護(hù)

D、保護(hù)非授權(quán)用戶不可能訪問(wèn)到關(guān)鍵數(shù)據(jù)

答案:A

15、組織應(yīng)（）

A、分離關(guān)鍵的職責(zé)及責(zé)任范圍

B、分離沖突的職責(zé)及貴任范圍

C、分離重要的職責(zé)及責(zé)任范圍

D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍

答案:B

解析:

根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無(wú)意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)

16、關(guān)于入侵檢測(cè)，以下不正確的是：（）

A、入侵檢測(cè)是一個(gè)采集知識(shí)的過(guò)程

B、入侵檢測(cè)指信息安全事件響應(yīng)過(guò)程

C、分析反常的使用模式是入侵檢測(cè)模式之一

D、入侵檢測(cè)包括收集被利用脆弱性發(fā)生的時(shí)間信息

答案:B

17、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）

A、管理手冊(cè)

B、適用性聲明

C、風(fēng)險(xiǎn)處置計(jì)劃

D、風(fēng)險(xiǎn)評(píng)估程序

答案:B

18、—家投資顧問(wèn)商定期向客戶發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒(méi)有被修改（）

A、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰加密郵件的HASH值

B、電子郵件發(fā)送前，用投資顧問(wèn)商的公鑰加密郵件的HASH值

C、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰數(shù)字簽名郵件

D、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰加密郵件

答案:C

19、安全掃描可以實(shí)現(xiàn)（）

A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來(lái)的問(wèn)題

B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問(wèn)題

C、彌補(bǔ)防火墻對(duì)內(nèi)網(wǎng)安全威脅檢測(cè)不足的問(wèn)題

D、掃描檢測(cè)所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流

答案:C

20、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，審核組長(zhǎng)可以（）

A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)

B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧?/p>

C、宣布取消末次會(huì)議

D、以上都不可以

答案:B

21、在形成信息安全管理體系審核發(fā)現(xiàn)時(shí)，應(yīng)（）。

A、考慮適用性聲明的完備性和可用性

B、考慮適用性聲明的完備性和合理性

C、考慮適用性聲明的充分性和可用性

D、考慮適用性聲明的充分性和合理性

答案:B

22、信息系統(tǒng)的變更管理包括（）

A、系統(tǒng)更新的版本控制

B、對(duì)變更申請(qǐng)的審核過(guò)程

C、變更實(shí)施前的正式批準(zhǔn)

D、以上全部

答案:D

23、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項(xiàng)性能（）

A、完整性

B、可用性

C、保密性

D、可靠性

答案:B

24、經(jīng)過(guò)風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱為（）

A、重大風(fēng)險(xiǎn)

B、有條件的接受風(fēng)險(xiǎn)

C、不可接受的風(fēng)險(xiǎn)

D、殘余風(fēng)險(xiǎn)

答案:D

25、我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)共分幾個(gè)級(jí)別？（）

A、7

B、4

C、5

D、6

答案:C

26、完整性是指（）

A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性

B、信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性

C、保護(hù)資產(chǎn)準(zhǔn)確和完整的特性

D、以上都不對(duì)

答案:C

27、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：()

A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款

B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性

C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)

D、以上都對(duì)

答案:B

28、關(guān)于信息安全策略，下列說(shuō)法正確的是（）

A、信息安全策略可以分為上層策略和下層策

B、信息安全方針是信息安全策略的上層部分

C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布

D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審

答案:D

29、關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是：（）

A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)

B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小

C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制

D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑

答案:C

30、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)

A、半年

B、1年

C、1,5年

D、2年

答案:D

31、在現(xiàn)場(chǎng)審核結(jié)束之前，下列哪項(xiàng)活動(dòng)不是必須的？（）

A、關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說(shuō)明

B、審核現(xiàn)場(chǎng)發(fā)現(xiàn)的不符合

C、提供審核報(bào)告

D、聽取客戶對(duì)審核發(fā)現(xiàn)提出的問(wèn)題

答案:C

32、()可用來(lái)保護(hù)信息的真實(shí)性、完整性

A、數(shù)字簽名

B、惡意代碼

C、風(fēng)險(xiǎn)評(píng)估

D、容災(zāi)和數(shù)據(jù)備份

答案:A

33、物理安全周邊的安全設(shè)置應(yīng)考慮：（）

A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類

B、重點(diǎn)考慮計(jì)算機(jī)機(jī)房，而不是辦公區(qū)或其他功能區(qū)

C、入侵探測(cè)和報(bào)警機(jī)制

D、A+C

答案:D

34、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）

A、組織和員工雙方的信息安全職責(zé)和責(zé)任

B、員工的信息安全職責(zé)和責(zé)任

C、組織的信息安全職責(zé)和責(zé)任

D、紀(jì)律處罰規(guī)定

答案:A

35、如果信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害，則應(yīng)具備的保護(hù)水平為：（）

A、三級(jí)

B、二級(jí)

C、四級(jí)

D、五級(jí)

答案:A

36、容量管理的對(duì)象包括（）

A、服務(wù)器內(nèi)存

B、網(wǎng)絡(luò)通信帶寬

C、人力資源

D、以上全部

答案:D

37、下列措施中，（）是風(fēng)險(xiǎn)管理的內(nèi)容。

A、識(shí)別風(fēng)險(xiǎn)

B、風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)價(jià)

C、風(fēng)險(xiǎn)處置

D、以上都是

答案:D

38、設(shè)備維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括：（）

A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息

B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能

C、敏感部件進(jìn)行物理銷毀而不予送修

D、以上全部

答案:D

39、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說(shuō)法錯(cuò)誤的是（）

A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)

B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南

C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南

D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》

答案:D

40、信息安全控制目標(biāo)是指：（)

A、對(duì)實(shí)施信息安全控制措施擬實(shí)現(xiàn)的結(jié)果的描述

B、組織的信息安全策略集的描述

C、組織實(shí)施信息安全管理體系的總體宗旨和方向

D、A+B

答案:A

41、下列不屬于取得認(rèn)證機(jī)構(gòu)資質(zhì)應(yīng)滿足條件的是（）。

A、取得法人資格

B、有固定的場(chǎng)所

C、完成足夠的客戶案例

D、具有足夠數(shù)量的專職認(rèn)證人員

答案:C

42、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于（）

A、資產(chǎn)的價(jià)格

B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感度

C、資產(chǎn)的折損率

D、以上全部

答案:B

43、當(dāng)發(fā)生不符合時(shí)，組織應(yīng)（）。

A、對(duì)不符合做出處理，及時(shí)地：采取糾正，以及控制措施；處理后果

B、對(duì)不符合做出反應(yīng)，適用時(shí)：采取糾正，以及控制措施：處理后果

C、對(duì)不符合做出處理，及時(shí)地：采取措施，以控制予以糾正；處理后果

D、對(duì)不符合做出反應(yīng)，適用時(shí)：采取措施，以控制予以糾正；處理后果

答案:D

44、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。

A、分配職責(zé)與權(quán)限

B、分配崗位與權(quán)限

C、分配責(zé)任和權(quán)限

D、分配角色和權(quán)限

答案:C

45、關(guān)于文件管理下列說(shuō)法錯(cuò)誤的是（）

A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的

B、必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)

C、應(yīng)確保文件保持清晰，易于識(shí)別

D、作廢文件應(yīng)及時(shí)銷毀，防止錯(cuò)誤使用

答案:D

46、以下不屬于信息安全事態(tài)或事件的是：

A、服務(wù)、設(shè)備或設(shè)施的丟失

B、系統(tǒng)故障或超負(fù)載

C、物理安全要求的違規(guī)

D、安全策略變更的臨時(shí)通知

答案:D

47、關(guān)于信息安全連續(xù)性，以下說(shuō)法正確的是：

A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性

B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分

C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備

D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定

答案:B

48、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:()

A、對(duì)資產(chǎn)擁有財(cái)產(chǎn)權(quán)的人

B、使用資產(chǎn)的人

C、有權(quán)限變更資產(chǎn)安全屬性的人

D、資產(chǎn)所在部門負(fù)責(zé)人

答案:C

49、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）

A、可以降低成本

B、可以降低不同用戶組之間非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)

C、必須物理隔離和必須禁止無(wú)線網(wǎng)絡(luò)

D、以上都對(duì)

答案:B

50、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)

A、信息安全事態(tài)

B、信息安全事件

C、信息安全事故

D、信息安全故障

答案:A

二、多項(xiàng)選擇題(總題數(shù):20,分?jǐn)?shù):20.0分)

51、關(guān)于審核委托方，以下說(shuō)法正確的是：（）

A、認(rèn)證審核的委托方即受審核方

B、受審核方是第一方審核的委托方

C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核

D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核

答案:B,C,D

52、管理評(píng)審的輸入應(yīng)包括（）。

A、相關(guān)方的反饋

B、不符合和糾正措施

C、信息安全目標(biāo)完成情況

D、業(yè)務(wù)連續(xù)性演練結(jié)果

答案:A,B,C

53、下面哪一條措施可以防止數(shù)據(jù)泄漏（)

A、數(shù)據(jù)冗余

B、數(shù)據(jù)加密

C、訪問(wèn)控制

D、密碼系統(tǒng)

答案:B,C,D

54、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障（）

A、計(jì)算機(jī)及相關(guān)配套設(shè)施的安全

B、網(wǎng)絡(luò)安全

C、運(yùn)行環(huán)境安全

D、計(jì)算機(jī)功能和正常發(fā)揮

答案:A,B,C,D

55、關(guān)于云計(jì)算服務(wù)中的的安全，以下說(shuō)法不正確的是（）。

A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實(shí)施身份鑒別準(zhǔn)則

B、服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則

C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實(shí)施身份鑒別準(zhǔn)則

D、云服務(wù)客戶提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則

答案:A,B,D

56、不同組織的ISMS文件的詳略程度取決于（）

A、文件編寫人員的態(tài)度和能力

B、組織的規(guī)模和活動(dòng)的類型

C、人員的能力

D、管理系統(tǒng)的復(fù)雜程度

答案:B,C,D

57、以下（）活動(dòng)是ISMS監(jiān)視預(yù)評(píng)審階段需完成的內(nèi)容

A、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃

B、實(shí)施ISMS內(nèi)部審核

C、實(shí)施ISMS管理評(píng)審

D、采取糾正措施

答案:B,C

58、關(guān)于審核發(fā)現(xiàn)，以下說(shuō)法正確的是：（）

A、審核發(fā)現(xiàn)是收集的審核證據(jù)對(duì)照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果

B、審核發(fā)現(xiàn)包括正面的和負(fù)面的發(fā)現(xiàn)

C、審核發(fā)現(xiàn)是審核結(jié)論的輸入

D、審核發(fā)現(xiàn)是制定審核準(zhǔn)則的依據(jù)

答案:A,B,C

59、以下說(shuō)法正確的是（）

A、顧客不投訴表示顧客滿意了

B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問(wèn)卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)

C、顧客滿意測(cè)評(píng)只能通過(guò)第三方機(jī)構(gòu)來(lái)實(shí)施

D、顧客不投訴并不意味著顧客滿意了

答案:B,D

60、關(guān)于涉密信息系統(tǒng)的管理，以下說(shuō)法正確的是：（)

A、涉密計(jì)算機(jī)、存儲(chǔ)設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)

B、涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)

C、涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載

D、涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途

答案:A,C,D

61、第二階段審核中，應(yīng)重點(diǎn)審核被審核單位的（）。

A、最高管理者的領(lǐng)導(dǎo)力

B、與信息安全有關(guān)的風(fēng)險(xiǎn)

C、基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程

D、ISMS有效性

答案:A,B,C,D

62、“云計(jì)算機(jī)服務(wù)”包括哪幾個(gè)層面？（）

A、Paas

B、SaaS

C、IaaS

D、PIIS

答案:A,B,C

63、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的宗旨是（）

A、維護(hù)網(wǎng)絡(luò)空間主權(quán)

B、維護(hù)國(guó)家安全

C、維護(hù)社會(huì)公共利益

D、保護(hù)公民、法人和其他組織的合法權(quán)益

答案:A,B,C,D

64、風(fēng)險(xiǎn)處置的可選措施包括（）。

A、風(fēng)險(xiǎn)識(shí)別

B、風(fēng)險(xiǎn)分析

C、風(fēng)險(xiǎn)轉(zhuǎn)移

D、風(fēng)險(xiǎn)減緩

答案:C,D

65、公司M將信息系統(tǒng)運(yùn)維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是（）

A、與N簽署協(xié)議規(guī)定服務(wù)級(jí)別及安全要求

B、在對(duì)N公司人員服務(wù)時(shí)，接入M公司的移動(dòng)電腦事前進(jìn)行安全掃描

C、將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項(xiàng)目組組長(zhǎng)名下，由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用

D、對(duì)N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)

答案:A,B

66、以下屬于訪問(wèn)控制的是（)。

A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問(wèn)權(quán)限

B、防火墻基于IP過(guò)濾數(shù)據(jù)包

C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問(wèn)

D、病毒產(chǎn)品査殺病毒

答案:A,C

67、對(duì)風(fēng)險(xiǎn)安全等級(jí)三級(jí)及以上系統(tǒng)，以下說(shuō)法正確的是（）。

A、采用雙重身份鑒別機(jī)制

B、對(duì)用戶和數(shù)據(jù)采用安全標(biāo)記

C、系統(tǒng)管理員可任意訪問(wèn)日志記錄

D、三年開展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作

答案:A,B

68、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于（）

A、指導(dǎo)組織建立信息安全管理體系

B、為組織建立信息安全管理體系提供控制措施的實(shí)施指南

C、審核員實(shí)施審核的依據(jù)

D、以上都不對(duì)

答案:A,C

69、某組織在酒店組織召開內(nèi)容敏感的會(huì)議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下說(shuō)法正確的是（）

A、會(huì)議開始前及持續(xù)期間開啟干擾機(jī)，這符合A11,2的要求

B、進(jìn)入會(huì)議室人員被要求手機(jī)不得帶入，這符合A11,1的要求

C、對(duì)于可進(jìn)入會(huì)議室提供茶水服務(wù)的酒店服務(wù)生進(jìn)行篩選，這符合A11,