2023年商業(yè)經(jīng)濟行業(yè)技能考試-ISMS信息安全管理體系審核員考試沖刺-歷年真題演練帶答案

（圖片大小可任意調(diào)節(jié)）2023年商業(yè)經(jīng)濟行業(yè)技能考試-ISMS信息安全管理體系審核員考試沖刺-歷年真題演練帶答案第一卷一.參考題庫(共20題)1.以下說法正確的是（）A、信息網(wǎng)絡(luò)的物理安全要從環(huán)境安全和設(shè)備安全兩個角度來考慮B、計算機場地可以選擇在化工廠生產(chǎn)車間附近C、計算機場地在正常情況下溫度保持在18～28攝氏度D、機房供電線路和動力、照明用電可以用同一線路2.依據(jù)GB/T22080，以下屬于設(shè)備安全中的"支持性設(shè)施"的是（）A、電磁屏蔽系統(tǒng)、照明設(shè)施B、環(huán)境監(jiān)控系統(tǒng)、安全防范系統(tǒng)C、不間斷電源、消防設(shè)施、空氣調(diào)節(jié)裝置D、以上全部3.國家指定用途的特種鋼的樣材應(yīng)按照“包含有信息的介質(zhì)”處置。4.關(guān)于口令管理系統(tǒng)，描述正確的有（）A、口令是確認(rèn)用戶具有訪問計算機服務(wù)的授權(quán)的主要手段之一B、維護用戶以前使用的口令的記錄，并防止重復(fù)使用C、分開存儲口令文件和應(yīng)用系統(tǒng)數(shù)據(jù)D、不允許用戶變更自己的口令5.組織應(yīng)給予信息以適當(dāng)級別的保護，是指（）。A、應(yīng)實施盡可能先進的保護措施以確保其保密性B、應(yīng)按信息對于組織業(yè)務(wù)的關(guān)鍵性給予充分和必要的保護C、應(yīng)確保信息對于組織內(nèi)的所有員工可用D、以上都對6.第三方認(rèn)證審核時，對于審核提出的不符合項，審核組應(yīng)（）A、與受審核方共同評審不符合項以確認(rèn)不符合的條款B、與受審核方共同評審不符合項以確認(rèn)不符合事實的準(zhǔn)確性C、與受審核方共同評審不符合以確認(rèn)不符合的性質(zhì)D、以上都對7.在市核中發(fā)現(xiàn)了正在使用的某個文件，這是（）。A、審核準(zhǔn)則B、審核發(fā)現(xiàn)C、審核證據(jù)D、車核結(jié)論8.以下屬于管理體系審核發(fā)現(xiàn)的是（）A、審核員看到的物理入口控制方式B、審核員看到的信息系統(tǒng)資源閾值。C、審核員看到的移動介質(zhì)的使用與規(guī)定要求的符合性D、審核員看到的項目質(zhì)量保證活動與CMMI規(guī)程的符合性9.實施第三方信息安全管理體系審核，主要是為了：（）A、發(fā)現(xiàn)盡可能多的不符合項B、檢測信息安全產(chǎn)品質(zhì)量的符合性C、建立互利的供方關(guān)系D、證實組織的信息安全管理體系符合已確定的審核準(zhǔn)則的程度要求10.信息安全管理中，對于安全違規(guī)人員的正式紀(jì)律處理過程中必不可少的活動是（）A、警告與罰款B、就違規(guī)的詳情向所有人員通報C、評估違規(guī)對業(yè)務(wù)造成的影響D、責(zé)成違規(guī)人員修復(fù)造成的損害11.ISMS范圍內(nèi)的資產(chǎn)負(fù)責(zé)人只能是網(wǎng)絡(luò)管理員。12.信息處理設(shè)施的變更管理不包括（）A、信息處理設(shè)施用途的變更B、信息處理設(shè)施故障部件的更換C、信息處理設(shè)施軟件的升級D、以上都不對13.審核組長在末次會議上宣布的審核結(jié)論是依據(jù)（）得出的。A、審核目的B、不符合項的嚴(yán)重程度C、所有的審核發(fā)現(xiàn)D、A+BE、A+B+C14.審核準(zhǔn)則有關(guān)的并且能夠證實的記錄、事實陳述或其他信息稱為（）A、信息安全信息B、審核證據(jù)C、檢驗記錄D、信息源15.在第三方認(rèn)證審核時，（）不是審核員的職責(zé)。A、實施審核B、確定不合格項C、對發(fā)現(xiàn)的不合格項采取糾正措施D、驗證受審核方所采取糾正措施的有效性16.按照“PDCA”思路進行審核，是指（）A、按照受審核區(qū)域的信息安全管理活動的"PDCA"過程進行審核B、按照認(rèn)證機構(gòu)的“PDCA”流程進行審核C、按照認(rèn)可規(guī)范中規(guī)定的“PDCA”流程進行審核D、以上都對17.在本地服務(wù)器上不啟動動態(tài)主機配置協(xié)議（DHCP），可以：（）A、降低未授權(quán)訪問網(wǎng)絡(luò)資源的風(fēng)險B、不適用于小型網(wǎng)絡(luò)C、能自動分配IP地址D、增加無線加密協(xié)議（WEP）相關(guān)的風(fēng)險18.信息安全管理體系中提到的"資產(chǎn)責(zé)任人"是指（）A、對資產(chǎn)擁有財產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負(fù)責(zé)人19.基于風(fēng)險的考慮，組織應(yīng)予以管理的第三方服務(wù)的變更包括（）A、服務(wù)級別的變更B、第三方后臺服務(wù)流程的變更C、服務(wù)定義的變更D、服務(wù)提供人員的變更20.以下符合“責(zé)任分割”原則的做法是（）A、不同職級人員工作區(qū)域隔離B、保持安全審核人員的獨立性C、授權(quán)者、操作者和監(jiān)視者三者責(zé)任分離D、事件報告人員與事件處理人員職責(zé)分離第二卷一.參考題庫(共20題)1.應(yīng)用系統(tǒng)的設(shè)計與實施宜確保導(dǎo)致完整性損壞的處理故障的風(fēng)險減至最小，要考慮的特定范圍包括（）A、確認(rèn)系統(tǒng)生成的輸入數(shù)據(jù)B、使用添加、修改和刪除功能，以實現(xiàn)數(shù)據(jù)變更C、使用適當(dāng)?shù)囊?guī)程恢復(fù)故障，以確保數(shù)據(jù)的正確處理D、防范利用緩沖區(qū)超出/益處進行的攻擊2.信息安全災(zāi)備管理中，關(guān)于災(zāi)難恢復(fù)能力，以下說法正確的是（）A、恢復(fù)能力等級越高，恢復(fù)時間目標(biāo)越短，恢復(fù)點目標(biāo)越近B、恢復(fù)能力等級越低，恢復(fù)時間目標(biāo)越長，恢復(fù)點目標(biāo)越長C、恢復(fù)能力等級越低，恢復(fù)時間目標(biāo)越短，恢復(fù)點目標(biāo)越長D、恢復(fù)能力等級越高，恢復(fù)時間目標(biāo)越長，恢復(fù)點目標(biāo)越長3.監(jiān)視和評審ISMS，應(yīng)考慮（）A、統(tǒng)計和評估已造成不良后果的安全違規(guī)和事件，不包括未造成不良后果的事件。B、針對網(wǎng)絡(luò)安全事件，不包括管理性安全措施執(zhí)行情況。C、迅速識別試圖的和得逞的安全違規(guī)事件，包括技術(shù)符合性事件和管理性安全措施執(zhí)行情況。D、針對管理性安全措施執(zhí)行情況，不包括技術(shù)符合性事件。4.數(shù)字簽名可以有效對付的電子信總安全的風(fēng)險是盜竊。5.ISO/IEC27001是（）A、以信息安全為主題的管理標(biāo)準(zhǔn)B、與信息安全相關(guān)的技術(shù)性標(biāo)準(zhǔn)C、編制業(yè)務(wù)連續(xù)性計劃的指南D、以上都不是6.在網(wǎng)絡(luò)訪問控制中，對外部連接的用戶鑒別時，宜考慮（）A、回?fù)芤?guī)程B、硬件令牌或詢問C、使用回?fù)苷{(diào)制解調(diào)器控制措施，可以使用呼叫轉(zhuǎn)發(fā)的網(wǎng)絡(luò)服務(wù)D、基于密碼技術(shù)的方法7.組織應(yīng)進行安全需求分析，規(guī)定對安全控制的要求，由（）A、組織需建立新的信息系統(tǒng)時B、組織的原有信息系統(tǒng)擴容或升級時C、組織向顧客交付軟件系統(tǒng)時D、A+B8.ISMS文件的多少和詳細程度取于（）A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C9.御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器10.1999年，我國發(fā)布的第一個信息安全等級保護的國家標(biāo)準(zhǔn)GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求。A、7B、8C、6D、511.可被視為可靠的電子簽名須同時符合以下條件（）A、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有B、簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制C、簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)D、簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改的那個能夠被發(fā)現(xiàn)12.信息安全管理中，識別資產(chǎn)時須考慮（）A、優(yōu)先識別計算機信息系統(tǒng)相關(guān)的資產(chǎn)B、依據(jù)財務(wù)資產(chǎn)臺賬C、ISMS范圍內(nèi)對組織業(yè)務(wù)有價值的資產(chǎn)D、不包括制造設(shè)備13.審核人曰數(shù)的計算方式是審核天數(shù)乘以（）A、審核組中審核員+實習(xí)審核員+技術(shù)專家+觀察員的總?cè)藬?shù)B、審核組中審核員+實習(xí)審核員的總?cè)藬?shù)C、審核組中審核員的總?cè)藬?shù)D、審核組中審核員+實習(xí)審核員+技術(shù)專家的總?cè)藬?shù)14.國家信息安全等級保護采?。ǎ〢、自主定級、自主保護的原則B、國家保密部門定級、自主保護的原則C、公安部門定級、自主保護的原則D、國家保密部門定級、公安部門監(jiān)督保護的原則15.對程序源代碼訪問控制的目的包括（）A、避免無意識的變更B、以減少潛在的計算機程序的破壞C、以防引入非授權(quán)功能D、維護所有軟件更新的版本控制16.一個組織或安全域內(nèi)所有信息處理設(shè)施」；已設(shè)精確時鐘源同步是為了（）A、便于針對使用信息處理設(shè)施的人員計算工時B、便于探測未經(jīng)授權(quán)的信息處理活動的發(fā)生C、確保信息處理的及時性得到控制D、人員異地工作時統(tǒng)一作息時間17."適用性聲明”應(yīng)描述選擇的控制措施，以及選擇的理由。18.受審核組織對于不符合項原因分析的準(zhǔn)確性是影響糾正措施有效性的因素之一。19.在認(rèn)證審核時，一階段審核是（）A、是了解受審方ISMS是否正常運行的過程B、是必須進行的C、不是必須的過程D、以上都不準(zhǔn)確20.信息系統(tǒng)審計需考慮（）A、信息系統(tǒng)審計的控制措施B、信息系統(tǒng)審計工具的保護C、技術(shù)符含性核查D、知識產(chǎn)權(quán)第三卷一.參考題庫(共20題)1.是否或如何為辦公室增加物理安全防護設(shè)計取決于（）A、該辦公室業(yè)務(wù)活動涉及資產(chǎn)的關(guān)鍵性程度B、該辦公室資產(chǎn)被非授權(quán)訪問或信息泄露的可能性C、安全防護方案的技術(shù)難度和成本D、A+B2.從安全的角度來看，能提前做好安全防范準(zhǔn)備的組織，對安全事件的處理不恰當(dāng)?shù)氖牵ǎ〢、較高的成本，較小的事件，較慢的恢復(fù)B、中等成本，中等的事件，屮等速度的恢復(fù)C、較低的成本，較小的事件，較快的恢復(fù)D、較高的成本，較大的事件，較快的恢復(fù)3.認(rèn)證結(jié)論的最終正式發(fā)布由審核組長決定。4.審核員的檢查表應(yīng)（）A、事先提交受審核方評審確認(rèn)B、基于審核準(zhǔn)則事先編制C、針對不同的受審核組織應(yīng)統(tǒng)一格式和內(nèi)容D、由審核組長負(fù)責(zé)編制審核組使用的檢查表5.審核須采用基于證據(jù)的方法。6.信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指（）A、對資產(chǎn)擁有財產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負(fù)責(zé)人7.下列說法不正確的是（）。A、審核組可以由一名或多名審核員組成B、至少配備一名經(jīng)認(rèn)可具有專業(yè)能力的成員C、實習(xí)審核員可在技術(shù)專家指導(dǎo)下承擔(dān)審核任務(wù)D、審核組長通常由高級審核員擔(dān)任8.認(rèn)證審核初審時，可以不進行第一階段現(xiàn)場審核的條件之一是（）A、審核組考慮時間效率可用一個階段審核完成所有的審核準(zhǔn)則要求B、審核組長己充分了解受審核方的信息安全管理過程C、受審核方認(rèn)為一個階段的審核能完成全部的審核要求D、不允許第一階段不進行現(xiàn)場審核的情況9.與信息處理或通信系統(tǒng)的問題有關(guān)的用戶或系統(tǒng)程序所報告的故障進行處置，處置規(guī)則包括（）A、評審糾正措施，以及所采取措施給予了充分的授權(quán)B、評審故障日志，以確保故障已得到令人滿意的解決C、如果具有出錯記錄的系統(tǒng)功能，宜確保該功能處于開啟狀態(tài)D、評審糾正措施，以確保沒有損害控制措施10.審核人日數(shù)的計算方式是審核天數(shù)乘以（）A、審核組中審核員+實習(xí)審核員+技術(shù)專家+觀察員的總?cè)藬?shù)B、審核組中審核員+實習(xí)審核員的總?cè)藬?shù)C、審核組中審核員的總?cè)藬?shù)D、審核組屮審核員+實審核員+技術(shù)專家的總?cè)藬?shù)11.管理體系認(rèn)證是（）A、與管理體系有關(guān)的規(guī)定要求得到滿足的證實活動。B、對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價。C、管理體系認(rèn)證不是合格評定活動。D、是信息系統(tǒng)風(fēng)險管理的實施活動。12.對一段時間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計分析（）A、屬于事件管理B、屬于問題管理C、屬于變更管理D、屬于配置管理13.管理體系審核的抽樣過程是（）A、由受審核方負(fù)責(zé)策劃系統(tǒng)性的抽樣方案。B、驗收性質(zhì)的抽樣，決定是否可以認(rèn)證通過。C、通過對總體的評價來推斷樣本信息。D、調(diào)査性質(zhì)的抽樣，有棄真的風(fēng)險和取偽的風(fēng)險。14.依據(jù)GB/T22080，組織監(jiān)視外包軟件開發(fā)應(yīng)考慮（）A、監(jiān)督外包方及時交付軟件的能力B、監(jiān)督外包方的開發(fā)成果物質(zhì)量C、確保外包方的開發(fā)滿足組織安全需求D、驗證外包方的開發(fā)過程符合CMMI要求15.依據(jù)GB/T22080，信息系統(tǒng)在開發(fā)時應(yīng)考慮信息安全要求，這包括（）A、管理人員應(yīng)提醒使用者在使用應(yīng)用系統(tǒng)時注意確認(rèn)輸入輸出。B、質(zhì)量人員介入驗證輸入輸出數(shù)據(jù)。C、應(yīng)用系統(tǒng)在設(shè)計時考慮對輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)進行確認(rèn)的措施。D、在用戶須知中增加“提醒”或"警告"內(nèi)容。16.按照”PDCA“思路進行審核，是指（）A、按照受審核區(qū)域活動的"PDCA"過程進行審核。B、按照認(rèn)證機構(gòu)的"PDCA"流程進行審核。C、按照認(rèn)可規(guī)范中規(guī)定的"PDCA"流程進行審核。D、以上都對。17.內(nèi)審的目的是確定ISMS體系是否符合策劃的安排并得到有效實施與保持。18.與審核準(zhǔn)則有關(guān)的并且能夠證實的記錄、事實陳述或其它信息稱為：（）A、審核證據(jù)B、安全信息C、記錄D、a+b+c19.以下說法正確的是（）A、審核組的每一次審核，均應(yīng)向委托所是交審核報告。B、認(rèn)證審核的一階段審核可視情況決定是否需要提交審核報告。C、監(jiān)督審核不要求提交審核報告。D、特殊審核可視情況決定是否需要提交審核報告。20.開發(fā)和支持過程中的安全，包括（）A、變更控制規(guī)程B、操作系統(tǒng)變更后應(yīng)用的技術(shù)評審C、對程序源代碼的訪問控制D、軟件包變更的限制第一卷參考答案一.參考題庫1.正確答案:A,C2.正確答案:D3.正確答案:正確4.正確答案:A,B,C5.正確答案:B6.正確答案:D7.正確答案:A8.正確答案:C9.正確答案:D10.正確答案:C11.正確答案:錯誤12.正確答案:D13.正確答案:E14.正確答案:B15.正確答案:C16.正確答案:A17.正確答案:A18.正確答案:C19.正確答案:A,C,D20.正確答案:B,C,D第二卷參考答案一.參考題庫1.正確答案:A,B,C,D2.正確答案:A3.正確答案:C4.正確答案:錯誤5.正確答案:A6.正確答案:A,B,D7.正確答案:D8.正確答案:D9.正確答案:D10.正確答案:D11.正確答案:A,B,C,D12.正確答案:C