2024年商業(yè)經濟行業(yè)技能考試-ISMS信息安全管理體系審核員筆試歷年真題薈萃含答案

2024年商業(yè)經濟行業(yè)技能考試-ISMS信息安全管理體系審核員筆試歷年真題薈萃含答案（圖片大小可自由調整）第1卷一.參考題庫(共30題)1.下面哪一種安全技術是鑒別用戶身份的最好方法（）A、智能卡B、生物測量技術C、挑戰(zhàn)-響應令牌D、用戶身份識別碼和口令2.為了實現(xiàn)在網絡上自動標識設備，以下做法錯誤的是（）A、啟用動DHCP動態(tài)分配IP地址功能B、為網絡設備分配固定IP地址。C、將每一臺計算機MAC與一個IP地址綁定D、采取有效措施禁止修改MAC3.管理體系初次認證審核時，第一階段審核應（）A、對受審核方管理體系的策劃進行審核和評價，對應標準策劃部分條款的要求。B、對受審核方管理體系的內部審核及管理評審的有效性進行審核和評價。C、對受審核方管理體系文件的符合性、適宜性和有效注進行審核和評價。D、對受審核方管理體系文件進行審核和符合性評價。4.關于審核組的現(xiàn)場審核，以下說法錯誤的是（）A、審核組在審核期間現(xiàn)場可根據(jù)受審核方實際情況及時變更審核范圍。B、審核組在審核期間現(xiàn)場可調整審核路線和審核資源分配。C、審核組遇到重大風險應報告委托方以決定后續(xù)措施。D、審核組遇到重大風險應報告受審核方以決定后續(xù)措施。5.認證結論的最終正式發(fā)布由審核組長決定。6.審核原則是審核員從事審核活動應遵循的基本要求，以下什么是審核員應遵循的原則（）A、道德行為B、保守機密C、公正表達D、職業(yè)素如E、獨立性7.一個組織或安全域內所有信息處理設施」；已設精確時鐘源同步是為了（）A、便于針對使用信息處理設施的人員計算工時B、便于探測未經授權的信息處理活動的發(fā)生C、確保信息處理的及時性得到控制D、人員異地工作時統(tǒng)一作息時間8.關于"審核發(fā)現(xiàn)"，以下說法正確的是（）A、審核發(fā)現(xiàn)即審核員觀察到的事實。B、審核發(fā)現(xiàn)可以表明正面的或負面的結果。C、審核發(fā)現(xiàn)即審核組提出的不符合項報告。D、審核發(fā)現(xiàn)即審核結論意見。9.以下屬于信息安全事件的情況是（）A、通信線路出現(xiàn)未知的干擾噪聲B、郵件通信被捆綁垃圾郵件C、監(jiān)視系統(tǒng)偵測到未遂的嘗試破解密碼行為D、B+C10.系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序、數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)11.針對獲證組織擴大范圍的審核，以下說法正確的是（）A、一種特殊審核，可以和監(jiān)督審核一起進行B、是監(jiān)督審核的形式之一C、審核時抽樣的樣本范圍和監(jiān)督審核相同D、以上都對12.管理體系認證過程包含了（）A、現(xiàn)場審核首次會議開始到末次會議結束的所有活動。B、從審核準備到審核報告提交期間的所有活動。C、一次初審以及至少2次監(jiān)督審核的所有活動。D、從受理認證到證書到期期間所有的審核以及認證服務和管理活動。13.末次會議包括（）A、請受審核方確認不符合報告、并簽字B、向審核方遞交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進行討論D、以上都不準確14.可被視為可靠的電子簽名須同時符合以下條件（）A、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有B、簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制C、簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)D、簽署后對數(shù)據(jù)電文內容和形式的任何改的那個能夠被發(fā)現(xiàn)15.御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器16.依據(jù)GB/T22080，以下不是"適用性聲明〃文件必須包含的內容是（）A、實施信息安全控制措施的角色、職責和權限B、組織選擇的控制目標和控制措施，以及選擇的理由C、當前實施的控制目標和控制措施D、對附錄A中可控制目標和控制措施的刪減，以及刪減的合理性說明17.國家指定用途的特種鋼的樣材應按照“包含有信息的介質”處置。18.組織應給予信息以適當級別的保護，是指（）。A、應實施盡可能先進的保護措施以確保其保密性B、應按信息對于組織業(yè)務的關鍵性給予充分和必要的保護C、應確保信息對于組織內的所有員工可用D、以上都對19.ISO/IEC27001是（）A、以信息安全為主題的管理標準B、與信息安全相關的技術性標準C、編制業(yè)務連續(xù)性計劃的指南D、以上都不是20.對于所釘擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B21.管理體系審核的抽樣過程是（）A、由受審核方負責策劃系統(tǒng)性的抽樣方案。B、驗收性質的抽樣，決定是否可以認證通過。C、通過對總體的評價來推斷樣本信息。D、調査性質的抽樣，有棄真的風險和取偽的風險。22.現(xiàn)場審核的結束是指（）。A、末次會議結束B、對不符合項糾正措施進行驗證后C、發(fā)了經批準的審核報告時D、監(jiān)督審核結束23.信息安全管理體系內部審核就是信息系統(tǒng)審計。24.應用系統(tǒng)應在設計時考慮對輸入數(shù)據(jù)、內部處理和輸出數(shù)據(jù)進行確認的措施。25.建設網絡中的一個設備發(fā)生故障，星型局域網更容易面臨前全面的癱瘓26.當計劃對組織的遠程辦公系統(tǒng)進行加密吋，應該首先冋答下面哪一個問題？（）A、什么樣的數(shù)據(jù)屬于機密信息B、員工需要訪問什么樣的系統(tǒng)和數(shù)據(jù)C、需要什么樣類型的訪問D、系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度27.管理體系認證是（）A、與管理體系有關的規(guī)定要求得到滿足的證實活動。B、對信息系統(tǒng)是否滿足有關的規(guī)定要求的評價。C、管理體系認證不是合格評定活動。D、是信息系統(tǒng)風險管理的實施活動。28.組織應進行安全需求分析，規(guī)定對安全控制的要求，當（）A、組織需建立新的信息系統(tǒng)時B、組織的原有信息系統(tǒng)擴容或升級時C、組織向顧客交付軟件系統(tǒng)時D、A+B29.網頁防篡改技術的0的是保護網頁發(fā)布信息的：（）A、保密性?B、完整性C、可用性?D、以上全部30.依據(jù)GB/T22080，信息系統(tǒng)在開發(fā)時應考慮信息安全要求，這包括（）A、管理人員應提醒使用者在使用應用系統(tǒng)時注意確認輸入輸出。B、質量人員介入驗證輸入輸出數(shù)據(jù)。C、應用系統(tǒng)在設計時考慮對輸入數(shù)據(jù)、內部處理和輸出數(shù)據(jù)進行確認的措施。D、在用戶須知中增加“提醒”或"警告"內容。第1卷參考答案一.參考題庫1.參考答案:B2.參考答案:A3.參考答案:D4.參考答案:A5.參考答案:錯誤6.參考答案:A,B,C,D7.參考答案:B8.參考答案:B9.參考答案:D10.參考答案:D11.參考答案:A12.參考答案:D13.參考答案:D14.參考答案:A,B,C,D15.參考答案:D16.參考答案:A17.參考答案:正確18.參考答案:B19.參考答案:A20.參考答案:B21.參考答案:D22.參考答案:A23.參考答案:錯誤24.參考答案:正確25.參考答案:正確26.參考答案:D27.參考答案:A28.參考答案:D29.參考答案:B30.參考答案:C第2卷一.參考題庫(共30題)1.對于安全違規(guī)人員的正式紀律處理過程包括違規(guī)對業(yè)務造成的影響的評價。2.1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求。A、7B、8C、6D、53.ISMS管理評審的輸出應包括（）A、可能影響ISMS的任何變更B、以往風險評估沒有充分強調的脆弱點或威脅C、風險評估和風險處理計劃的更新D、改進的建議4.關于保密性，以下說法正確的是（）A、規(guī)定被授權的個人和實體，同時規(guī)定訪問時間和訪問范圍以及訪問類型。B、職級越高可訪問信息范圍越大。C、默認情況下IT系統(tǒng)維護人員可以任何類型訪問所有信息。D、顧客對信息的訪問權按顧客需求而定。5.只有在員工離職時，才需要撤銷其訪問權。6.以下屬于信息安全管理體系審核發(fā)現(xiàn)的是（）A、審核員看到的物理入口控制方式B、審核員看到的信息系統(tǒng)資源閾值C、審核員看到的移動介質的使用與安全策略的符合性D、審核員看到的項目質量保證活動與CMMI規(guī)程的符合性7.在第三方認證審核時，（）不是審核員的職責。A、實施審核B、確定不合格項C、對發(fā)現(xiàn)的不合格項采取糾正措施D、驗證受審核方所采取糾正措施的有效性8.信息安全管理中的應急預案應指（）A、如何獲取備份數(shù)據(jù)的計劃。B、描述應急響應方法與措施的計劃。C、規(guī)定如何獲取災后恢復所需資源以及技術措施的計劃。D、以上全部。9.審核的工作文件包括（）A、檢杳表B、審核抽樣計劃C、信息記錄表格D、a+b+c10.選擇的控制目標和控制措施、以及選擇的原因應記錄在下列那個文件中：（）A、安全方針B、風險評估報告C、適用性聲明D、風險處置計劃11.監(jiān)視和評審ISMS，應考慮（）A、統(tǒng)計和評估已造成不良后果的安全違規(guī)和事件，不包括未造成不良后果的事件。B、針對網絡安全事件，不包括管理性安全措施執(zhí)行情況。C、迅速識別試圖的和得逞的安全違規(guī)事件，包括技術符合性事件和管理性安全措施執(zhí)行情況。D、針對管理性安全措施執(zhí)行情況，不包括技術符合性事件。12.審核員必須到現(xiàn)場跟蹤驗證受審核方糾正措施的有效性。13.信息安全管理體系中提到的"資產責任人"是指（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人14.依據(jù)GB/T22080，組織與員工的保密性協(xié)議的內容應（）A、規(guī)定的保密責任永久有效B、內容不可變更C、反映組織信息保護需要的保密性或不泄露協(xié)議要求D、A+C15.審核須采用基于證據(jù)的方法。16.不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼17.據(jù)國家發(fā)布的規(guī)定，以下哪些人員不得在一個認證機構從事認證活動（）A、已經在另外一個認證機構從事認證活動的人員B、國家公務員C、從事認證咨詢活動的人員D、已經與認證咨詢機構簽訂合同的認證咨詢人員18.網絡路由控制應遵從（）A、端到端連接最短路徑策略B、信息系統(tǒng)應用的最佳效率策略；C、確保計算機連接和信息留不違反業(yè)務應用的訪問控制策略D、A+B+C19.以下不屬于"責任分割"原則范疇的做法是：（）A、不同職級人員工作區(qū)域隔離。B、保持安全審核人員的獨立性。C、授權者、操作者和監(jiān)視者三者責任分離。D、事件報告人員與事件處理人員職責分離。20.與審核準則有關的并且能夠證實的記錄、事實陳述或其它信息稱為：（）A、審核證據(jù)B、安全信息C、記錄D、a+b+c21.審核組中的技術專家是（）A、為審核組提供文化、法律、技術等方面知識咨詢的人員B、特別負責對受審核方的專業(yè)技術過程進行審核的人員C、審核期間為受審核方提供技術咨詢的人員D、從專業(yè)的角度對審核員的審核進行觀察評價的人員22.在本地服務器上不啟動動態(tài)主機配置協(xié)議（DHCP），可以：（）A、降低未授權訪問網絡資源的風險B、不適用于小型網絡C、能自動分配IP地址D、增加無線加密協(xié)議（WEP）相關的風險23.在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內容監(jiān)控B、安全教育和培訓C、責任追查和懲處D、訪問控制24.“責任分割”適用于信息系統(tǒng)管理員和操作員的活動。25.（）是建立有效的計算機病毒防御體系所需要的技術措施。A、防火墻B、補丁管理系統(tǒng)C、網絡入侵檢測D、殺毒軟件E、漏洞掃描26.以下可接受的正確做法是（）A、使用網盤存儲涉及國家秘密的信息。B、IT系統(tǒng)維護人員使用自用的計算機對涉密計算機系統(tǒng)進行測試C、將涉密移動硬盤的信息簡單刪除后作為普通存儲裝置使用D、被確定涉及國家秘密的計算機系統(tǒng)即切斷其可與互聯(lián)網的連接27.最佳的提供本地服務器上的處理工資數(shù)據(jù)的訪問控制是（）A、記錄每次訪問的信息B、對敏感的交易事務使用單獨的密碼/口令C、使用軟件來約束授權用戶的訪問D、限制只有營業(yè)時間內才允許系統(tǒng)訪問28.管理體系認證審核的范圍即（）A、組織的全部經營管理范圍。B、組織的全部信息系統(tǒng)機房所在的范圍。C、組織承諾建立、實施和保持管理體系相關的組織’?位置、過程和活動以及時期的范圍。D、組織機構中所有業(yè)務職能涉及的活動范圍。29.ISMS文件的多少和詳細程度取于（）A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C30.下列措施中，哪些是風險管理的內容（）A、識別風險B、風險優(yōu)先級評價C、風險化解D、以上都是第2卷參考答案一.參考題庫1.參考答案:正確