2024年商業(yè)經(jīng)濟行業(yè)技能考試-ISMS信息安全管理體系審核員歷年高頻考點試卷專家薈萃含答案

2024年商業(yè)經(jīng)濟行業(yè)技能考試-ISMS信息安全管理體系審核員歷年高頻考點試卷專家薈萃含答案（圖片大小可自由調(diào)整）第1卷一.參考題庫(共25題)1.信息系統(tǒng)安全保護法律規(guī)范的基本原則是（）A、誰主管誰負責的原則B、全面管理的原則C、預防為主的原則D、風險管理的原則2.依據(jù)GB/T22080，組織與員工的保密性協(xié)議的內(nèi)容應（）A、規(guī)定的保密責任永久有效B、內(nèi)容不可變更C、反映組織信息保護需要的保密性或不泄露協(xié)議要求D、A+C3.為防止業(yè)務中斷，保護關鍵業(yè)務過程免受信息系統(tǒng)失誤或災難的影響，應（）A、定義恢復的優(yōu)先順序B、定義恢復時間指標C、按事件管理流程進行處置D、針對業(yè)務中斷進行風險評估4.對于所釘擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B5.依據(jù)GB/T22080，風險評估過程包含（）A、風險分析和風險評價的活動B、風險管理和風險處置的活動C、風險識別與風險分析的活動D、風險處置和估計參與風險的活動6.關于"審核發(fā)現(xiàn)"，以下說法正確的是（）A、審核發(fā)現(xiàn)即審核員觀察到的事實。B、審核發(fā)現(xiàn)可以表明正面的或負面的結果。C、審核發(fā)現(xiàn)即審核組提出的不符合項報告。D、審核發(fā)現(xiàn)即審核結論意見。7.組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C8.審核人曰數(shù)的計算方式是審核天數(shù)乘以（）A、審核組中審核員+實習審核員+技術專家+觀察員的總人數(shù)B、審核組中審核員+實習審核員的總人數(shù)C、審核組中審核員的總人數(shù)D、審核組中審核員+實習審核員+技術專家的總人數(shù)9.將收集到的審核證據(jù)對照（）進行評價的結果是審核發(fā)現(xiàn)。A、GB/T22080標準B、法律、法規(guī)要求C、審核準則D、信息安全管理體系文件10.審核的工作文件包括（）A、檢杳表B、審核抽樣計劃C、信息記錄表格D、a+b+c11.依據(jù)GB/T22080，信息的標記應表明（）A、相關供應商信息、日期、資產(chǎn)序列號B、其敏感性和關鍵性的類別和等級C、所屬部門和批準人D、信息的性質(zhì)，如軟件、文檔12.加密技術可以提高可用性。13.應用結束時終止活動的會話，除非采—種合造的鎖定機制保證其安全，符合信息安全的（）措施A、使用網(wǎng)絡服務的策略B、清空桌雨和屏幕策略C、無人值守的用P設備D、使用密碼的控制策略14.下面哪一種安全技術是鑒別用戶身份的最好方法（）A、智能卡B、生物測量技術C、挑戰(zhàn)-響應令牌D、用戶身份識別碼和口令15.下列說法不正確的是（）。A、審核組可以由一名或多名審核員組成B、至少配備一名經(jīng)認可具有專業(yè)能力的成員C、實習審核員可在技術專家指導下承擔審核任務D、審核組長通常由高級審核員擔任16.虛擬專用網(wǎng)（VPN）提供以下哪一種功能？（）A、對網(wǎng)絡嗅探器隱藏信息B、強制實施安全策略C、檢測到網(wǎng)絡錯誤和用戶對網(wǎng)絡資源的濫用D、制定訪問規(guī)則17.“責任分割”適用于信息系統(tǒng)管理員和操作員的活動。18.設立信息安全管理體系認證機構，須得到以下哪個機構的批準，方可在中國境內(nèi)從事認證活動（）A、中國合格評定國家認可委員會B、中國國家認證認可監(jiān)督管理委員會C、中國認證認可協(xié)會D、工商注冊管理部門19.關于審核結論，以下說法正確的是（）A、審核組綜合了所有審核證據(jù)進行合理推斷的結果B、審核組綜合了所有審核證據(jù)與受審核方充分協(xié)商的結果C、審核組權衡了不符合的審核發(fā)現(xiàn)的數(shù)量及嚴重程度后得出的結果D、審核組考慮了審核目的和所有審核發(fā)現(xiàn)后得出的審核結果20.對于針對信息系統(tǒng)的軟件包，以下說法正確的是（）A、組織應具有有能力的人員，以便隨時對軟件包進行適用性修改。B、應盡量勸阻對軟件包實施變更，以規(guī)避變更的風險。C、軟件包不必作為配置項進行管理。D、軟件包的安裝必須由其開發(fā)商實施安裝。21.以下可接受的正確做法是（）A、使用網(wǎng)盤存儲涉及國家秘密的信息。B、IT系統(tǒng)維護人員使用自用的計算機對涉密計算機系統(tǒng)進行測試C、將涉密移動硬盤的信息簡單刪除后作為普通存儲裝置使用D、被確定涉及國家秘密的計算機系統(tǒng)即切斷其可與互聯(lián)網(wǎng)的連接22.可被視為可靠的電子簽名須同時符合以下條件（）A、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有B、簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制C、簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)D、簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改的那個能夠被發(fā)現(xiàn)23.審核組在現(xiàn)場審核期間可保持靈活、變通，根據(jù)受審核方實際情況及時變更審核范圍。24.在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡地址欺騙25.不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼第2卷一.參考題庫(共25題)1.審核準則有關的并且能夠證實的記錄、事實陳述或其他信息稱為（）A、信息安全信息B、審核證據(jù)C、檢驗記錄D、信息源2.關于商用密碼技術和產(chǎn)品，以下說法正確的是（）。A、任何組織不得隨意進口密碼產(chǎn)品，但可以出口商用密碼產(chǎn)品B、商用密碼技術屬于國家秘密C、商用密碼是對不涉及國家秘密的內(nèi)容進行加密保護的產(chǎn)品D、商用密碼產(chǎn)品的用戶不得轉讓其使用的商用密碼產(chǎn)品3.御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器4.最佳的提供本地服務器上的處理工資數(shù)據(jù)的訪問控制是（）A、記錄每次訪問的信息B、對敏感的交易事務使用單獨的密碼/口令C、使用軟件來約束授權用戶的訪問D、限制只有營業(yè)時間內(nèi)才允許系統(tǒng)訪問5.數(shù)據(jù)加密不能防止數(shù)據(jù)泄露。6.信息安全管理中，”遠程訪問”指（）A、訪問者的物理位置與被訪問客體不在一個城市B、問者的物理位置與被訪問客體的距離大于30米C、訪問者的物理位置與被訪問客體的距離大于15米D、訪問者從并不永久連接到所訪問網(wǎng)絡的終端訪問資源7.在認證審核時，審核組在現(xiàn)場有權限自行決定變更的事項包括（）A、簾核準則B、審核人日數(shù)C、審核路線D、應受審核的業(yè)務過程8.審核原則是審核員從事審核活動應遵循的基本要求，以下什么是審核員應遵循的原則（）A、道德行為B、保守機密C、公正表達D、職業(yè)素如E、獨立性9.認證審核時，審核組應（）。A、在審核前將審核計劃提交受審核方確認B、在審核結朿時將簾核計劃提交受屯核方確認C、隨著審核的進展與受審核方共同確認審核計劃D、將審核計劃提交審核委托方批準即可10.一個組織或安全域內(nèi)所有信息處理設施」；已設精確時鐘源同步是為了（）A、便于針對使用信息處理設施的人員計算工時B、便于探測未經(jīng)授權的信息處理活動的發(fā)生C、確保信息處理的及時性得到控制D、人員異地工作時統(tǒng)一作息時間11.對于用戶訪問信息系統(tǒng)使用的口令，以下說法正確的是（）A、口令必釀期更換。B、同一工作組的成員可以共享口令。C、如果使用生物識別技術，可替代口令。D、以上全部。12.據(jù)國家發(fā)布的規(guī)定，以下哪些人員不得在一個認證機構從事認證活動（）A、已經(jīng)在另外一個認證機構從事認證活動的人員B、國家公務員C、從事認證咨詢活動的人員D、已經(jīng)與認證咨詢機構簽訂合同的認證咨詢?nèi)藛T13.組織應給予信息以適當級別的保護，是指（）。A、應實施盡可能先進的保護措施以確保其保密性B、應按信息對于組織業(yè)務的關鍵性給予充分和必要的保護C、應確保信息對于組織內(nèi)的所有員工可用D、以上都對14.審核組要求受審方在不合格報告上簽字是確認該審核發(fā)現(xiàn)。15.數(shù)字簽名可以有效對付的電子信總安全的風險是盜竊。16.管理體系認證審核的范圍即（）A、組織的全部經(jīng)營管理范圍。B、組織的全部信息系統(tǒng)機房所在的范圍。C、組織承諾建立、實施和保持管理體系相關的組織’?位置、過程和活動以及時期的范圍。D、組織機構中所有業(yè)務職能涉及的活動范圍。17.信息安全災備管理中，”恢復點目標”指（）A、災難發(fā)生后，信息系統(tǒng)或業(yè)務功能從停頓到必須恢復的時間。B、災難發(fā)生后，信息系統(tǒng)或業(yè)務功能項恢復的范圍。C、災難發(fā)生后，系統(tǒng)和必須恢復到的時間點要求。D、災難發(fā)生后，關鍵數(shù)據(jù)能被復原的范圍。18.訪問信息系統(tǒng)的用戶注冊的管理是（）A、對用戶訪問信息系統(tǒng)和服務的授權的管理B、對用戶予以注冊時須同時考慮與訪問控制策略的一致性C、當I（D）資源充裕時可允許用戶使用多個I（D）D、用戶在組織內(nèi)變換工作崗位吋不必重新評審其所用I（D）的訪問權19.網(wǎng)頁防篡改技術的0的是保護網(wǎng)頁發(fā)布信息的：（）A、保密性?B、完整性C、可用性?D、以上全部20.建設網(wǎng)絡中的一個設備發(fā)生故障，星型局域網(wǎng)更容易面臨前全面的癱瘓21.信息安全管理即信息系統(tǒng)設施的維護。22.1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求。A、7B、8C、6D、523.下列措施中，哪些是風險管理的內(nèi)容（）A、識別風險B、風險優(yōu)先級評價C、風險化解D、以上都是24.組織應進行安全需求分析，規(guī)定對安全控制的要求，當（）A、組織需建立新的信息系統(tǒng)時B、組織的原有信息系統(tǒng)擴容或升級時C、組織向顧客交付軟件系統(tǒng)時D、A+B25.依據(jù)GB/T22080，組織監(jiān)視外包軟件開發(fā)應考慮（）A、監(jiān)督外包方及時交付軟件的能力B、監(jiān)督外包方的開發(fā)成果物質(zhì)量C、確保外包方的開發(fā)滿足組織安全需求D、驗證外包方的開發(fā)過程符合CMMI要求第3卷一.參考題庫(共25題)1.信息安全管理體系內(nèi)部審核就是信息系統(tǒng)審計。2.信息安全管理體系審核的抽樣過程是（）A、調(diào)查性質(zhì)的抽樣B、驗收性質(zhì)的抽樣C、通過對樣本的評價來推斷總體D、有棄真的風險和取偽的風險3.在本地服務器上不啟動動態(tài)主機配置協(xié)議（DHCP），可以：（）A、降低未授權訪問網(wǎng)絡資源的風險B、不適用于小型網(wǎng)絡C、能自動分配IP地址D、增加無線加密協(xié)議（WEP）相關的風險4.第三方認證時的監(jiān)督審核不一定是對整個體系的審核，以下說法正確的是（）A、組織獲得認證范圍內(nèi)的職能區(qū)域可以抽查，但標準條款不可以抽查B、組織獲得認證范圍內(nèi)的業(yè)務過程可以抽沓，但職能區(qū)域不可以抽杳C、組織獲得認證范圍內(nèi)的業(yè)務過程和職能區(qū)域都不可以抽查，僅標準條款可以抽杳D、標準條款可以抽查，但針對內(nèi)審和管理評審以及持續(xù)改進方面的審核不可缺少5.標準GB/T22080中"物理安全周邊”指的是（）A、組織的建筑物邊界??B、計算機機房出入口?C、組織的前臺接待處?D、含有信息和信息處理設施的區(qū)域周邊6.網(wǎng)絡路由控制應遵從（）A、端到端連接最短路徑策略B、信息系統(tǒng)應用的最佳效率策略；C、確保計算機連接和信息留不違反業(yè)務應用的訪問控制策略D、A+B+C7.實施第三方信息安全管理體系審核，主要是為了：（）A、發(fā)現(xiàn)盡可能多的不符合項B、檢測信息安全產(chǎn)品質(zhì)量的符合性C、建立互利的供方關系D、證實組織的信息安全管理體系符合已確定的審核準則的程度要求8.ISO/IEC27001是（）A、以信息安全為主題的管理標準B、與信息安全相關的技術性標準C、編制業(yè)務連續(xù)性計劃的指南D、以上都不是9.現(xiàn)場審核的結束是指（）。A、末次會議結束B、對不符合項糾正措施進行驗證后C、發(fā)了經(jīng)批準的審核報告時D、監(jiān)督審核結束10.關于審核組的現(xiàn)場審核，以下說法錯誤的是（）A、審核組在審核期間現(xiàn)場可根據(jù)受審核方實際情況及時變更審核范圍。B、審核組在審核期間現(xiàn)場可調(diào)整審核路線和審核資源分配。C、審核組遇到重大風險應報告委托方以決定后續(xù)措施。D、審核組遇到重大風險應報告受審核方以決定后續(xù)措施。11.依據(jù)GB/T22080，以下不是"適用性聲明〃文件必須包含的內(nèi)容是（）A、實施信息安全控制措施的角色、職責和權限B、組織選擇的控制目標和控制措施，以及選擇的理由C、當前實施的控制目標和控制措施D、對附錄A中可控制目標和控制措施的刪減，以及刪減的合理性說明12.不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤13.風險處置計劃應該包含：（）A、管理措施B、資源需求C、職責分配D、a+b+c14.針對獲證組織擴大范圍的審核，以下說法正確的是（）A、一種特殊審核，可以和監(jiān)督審核一起進行B、是監(jiān)督審核的形式之一C、審核時抽樣的樣本范圍和監(jiān)督審核相同D、以上都對15.信息安全管理中的應急預案應指（）A、如何獲取備份數(shù)據(jù)的計劃。B、描述應急響應方法與措施的計劃。C、規(guī)定如何獲取災后恢復所需資源以及技術措施的計劃。D、以上全部。16.以下說法正確的是（）A、審核組的每一次審核，均應向委托所是交審核報告。B、認證審核的一階段審核可視情況決定是否需要提交審核報告。C、監(jiān)督審核不要求提交審核報告。D、特殊審核可視情況決定是否需要提交審核報告。17.對于安全違規(guī)人員的正式紀律處理過程包括違規(guī)對業(yè)務造成的影響的評價。18.受審核組織對于不符合項原因分析的準確性是影響糾正措施有效性的因素之一。19.按照”PDCA“思路進行審核，是指（）A、按照受審核區(qū)域活動的"PDCA"過程進行審核。B、按照認證機構的"PDCA"流程進行審核。C、按照認可規(guī)范中規(guī)定的"PDCA"流程進行審核。D、以上都對。20.定期備份和測試信息是指（）A、每次備份完成吋對備份結果進行檢査，以確保備份效采B、對系統(tǒng)測試記錄進行定期備份C、定期備份，定期對備份數(shù)據(jù)的完整性和可用性進行測試D、定期檢查備份存儲介質(zhì)的容量21.依據(jù)GB/T22080，為防止信息未授權的泄露或不當使用，介質(zhì)處置時的信息處理規(guī)程須規(guī)定：（）A、向介質(zhì)寫入信息時如何確保符合安全要求B、介質(zhì)在改變用途前如何妥善處理信息確保符合安全要求C、介質(zhì)在棄置前如何妥善處理信息確保符合安全要求D、A+B+C22.在市核中發(fā)現(xiàn)了正在使用的某個文件，這是（）。A、審核準則B、審核發(fā)現(xiàn)C、審核證據(jù)D、車核結論23.管理體系認證是（）A、與管理體系有關的規(guī)定要求得到滿足的證實活動。B、對信息系統(tǒng)是否滿足有關的規(guī)定要求的評價。C、管理體系認證不是合格評定活動。D、是信息系統(tǒng)風險管理的實施活動。24.審核報告是（）A、受審核方的資產(chǎn)B、審核委托方和受審核方的共同資產(chǎn)C、審核委托方的資產(chǎn)D、審核組和審核委托方的資產(chǎn)25.信息安全管理中，關于脆弱性，以下說法正確的是（）A、組織使用的開源軟件不須考慮其技術脆弱性B、軟件開發(fā)人員為方便維護留的后門是脆弱性的一種C、識別資產(chǎn)脆弱性時應考慮資產(chǎn)的固有特性，不包括當前安全控制措施使信息系D、統(tǒng)與網(wǎng)絡物理隔離可社絕其脆弱性被威脅利用的機會第1卷參考答案一.參考題庫1.參考答案:A,C,D2.參考答案:C3.參考答案:A,B,D4.參考答案:B5.參考