2024年商業(yè)經(jīng)濟(jì)行業(yè)技能考試-ISMS信息安全管理體系審核員筆試考試歷年真題含答案

2024年商業(yè)經(jīng)濟(jì)行業(yè)技能考試-ISMS信息安全管理體系審核員筆試考試歷年真題薈萃含答案（圖片大小可自由調(diào)整）第1卷一.參考題庫(共75題)1.關(guān)于管理體系"審核"，以下說法正確的是（）A、審核是基于文審的方法。B、審核是驗(yàn)收性的抽樣方法。C、審核須采用基于證據(jù)的方法。D、審核抽樣取決于審核的總?cè)巳諗?shù)。2.信息系統(tǒng)審計(jì)需考慮（）A、信息系統(tǒng)審計(jì)的控制措施B、信息系統(tǒng)審計(jì)工具的保護(hù)C、技術(shù)符含性核查D、知識產(chǎn)權(quán)3.以下不屬于"責(zé)任分割"原則范疇的做法是：（）A、不同職級人員工作區(qū)域隔離。B、保持安全審核人員的獨(dú)立性。C、授權(quán)者、操作者和監(jiān)視者三者責(zé)任分離。D、事件報(bào)告人員與事件處理人員職責(zé)分離。4.在認(rèn)證審核時(shí)，審核組在現(xiàn)場有權(quán)限自行決定變更的事項(xiàng)包括（）A、簾核準(zhǔn)則B、審核人日數(shù)C、審核路線D、應(yīng)受審核的業(yè)務(wù)過程5.對程序源代碼訪問控制的目的包括（）A、避免無意識的變更B、以減少潛在的計(jì)算機(jī)程序的破壞C、以防引入非授權(quán)功能D、維護(hù)所有軟件更新的版本控制6.認(rèn)證結(jié)論的最終正式發(fā)布由審核組長決定。7.關(guān)于IT系統(tǒng)審計(jì)，以下說法正確的是（）A、IT系統(tǒng)審計(jì)是發(fā)現(xiàn)系統(tǒng)脆弱性的有效手段，不可刪減B、組織經(jīng)評估認(rèn)為IT系統(tǒng)審計(jì)的風(fēng)險(xiǎn)不可接受時(shí)，可以刪減C、組織認(rèn)為IT系統(tǒng)審計(jì)成本太高時(shí)，可以刪減D、組織自己不具備實(shí)施IT系統(tǒng)審計(jì)的能力時(shí)，可以刪減8.認(rèn)證審核時(shí)，對于審核組提出的不符合審核準(zhǔn)則的審核發(fā)現(xiàn)，以下說法正確的是（）A、受審核方負(fù)責(zé)采取糾正措施，糾正措施的實(shí)施是審核活動(dòng)的一部分B、審核組須驗(yàn)證糾正措施的有效性，糾正措施的實(shí)施不是審核活動(dòng)的一部分C、審核組須就不符合項(xiàng)的原因分析提出建議，確定糾正措施是否正確D、采取糾正措施是受審核方的職責(zé)，審核組什么都不做9.在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙10.系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)11.關(guān)于口令管理系統(tǒng)，描述正確的有（）A、口令是確認(rèn)用戶具有訪問計(jì)算機(jī)服務(wù)的授權(quán)的主要手段之一B、維護(hù)用戶以前使用的口令的記錄，并防止重復(fù)使用C、分開存儲口令文件和應(yīng)用系統(tǒng)數(shù)據(jù)D、不允許用戶變更自己的口令12.管理體系審核的抽樣過程是（）A、由受審核方負(fù)責(zé)策劃系統(tǒng)性的抽樣方案。B、驗(yàn)收性質(zhì)的抽樣，決定是否可以認(rèn)證通過。C、通過對總體的評價(jià)來推斷樣本信息。D、調(diào)査性質(zhì)的抽樣，有棄真的風(fēng)險(xiǎn)和取偽的風(fēng)險(xiǎn)。13.認(rèn)證審核前，審核組長須與受審核方確認(rèn)審核的可行性，特別應(yīng)考慮（）A、核實(shí)組織申請認(rèn)證范圍內(nèi)需接受審核的組織結(jié)構(gòu)、場所分布等基本信息B、注總審核的程序性安排事先應(yīng)對受審核組織保密C、注意審核擬訪問的文件、記錄、場所等事先應(yīng)對受審核組織保密D、要求受審核組織做好準(zhǔn)備向?qū)徍私M開放所有信息的訪問權(quán)14.以下屬于管理體系審核發(fā)現(xiàn)的是（）A、審核員看到的物理入口控制方式B、審核員看到的信息系統(tǒng)資源閾值。C、審核員看到的移動(dòng)介質(zhì)的使用與規(guī)定要求的符合性D、審核員看到的項(xiàng)目質(zhì)量保證活動(dòng)與CMMI規(guī)程的符合性15.在市核中發(fā)現(xiàn)了正在使用的某個(gè)文件，這是（）。A、審核準(zhǔn)則B、審核發(fā)現(xiàn)C、審核證據(jù)D、車核結(jié)論16.據(jù)國家發(fā)布的規(guī)定，以下哪些人員不得在一個(gè)認(rèn)證機(jī)構(gòu)從事認(rèn)證活動(dòng)（）A、已經(jīng)在另外一個(gè)認(rèn)證機(jī)構(gòu)從事認(rèn)證活動(dòng)的人員B、國家公務(wù)員C、從事認(rèn)證咨詢活動(dòng)的人員D、已經(jīng)與認(rèn)證咨詢機(jī)構(gòu)簽訂合同的認(rèn)證咨詢?nèi)藛T17.依據(jù)GB/T22080，風(fēng)險(xiǎn)評估過程包含（）A、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的活動(dòng)B、風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)處置的活動(dòng)C、風(fēng)險(xiǎn)識別與風(fēng)險(xiǎn)分析的活動(dòng)D、風(fēng)險(xiǎn)處置和估計(jì)參與風(fēng)險(xiǎn)的活動(dòng)18.對于第三方服務(wù)提供方，以下描述正確的是（）A、為了監(jiān)視和評審第三方提供的服務(wù)，第三方人員提供服務(wù)時(shí)應(yīng)有人員全程陪同B、應(yīng)定期度量和評價(jià)第三方遵從商定的安全策略和服務(wù)水平的程度C、第三方服務(wù)提供方應(yīng)有符合ITIL的流程D、第三方服務(wù)的變更須向組織呈報(bào)以備案19.以下可接受的正確做法是（）A、使用網(wǎng)盤存儲涉及國家秘密的信息。B、IT系統(tǒng)維護(hù)人員使用自用的計(jì)算機(jī)對涉密計(jì)算機(jī)系統(tǒng)進(jìn)行測試C、將涉密移動(dòng)硬盤的信息簡單刪除后作為普通存儲裝置使用D、被確定涉及國家秘密的計(jì)算機(jī)系統(tǒng)即切斷其可與互聯(lián)網(wǎng)的連接20.應(yīng)用結(jié)束時(shí)終止活動(dòng)的會話，除非采—種合造的鎖定機(jī)制保證其安全，符合信息安全的（）措施A、使用網(wǎng)絡(luò)服務(wù)的策略B、清空桌雨和屏幕策略C、無人值守的用P設(shè)備D、使用密碼的控制策略21.信息處理設(shè)施的變更管理不包括（）A、信息處理設(shè)施用途的變更B、信息處理設(shè)施故障部件的更換C、信息處理設(shè)施軟件的升級D、以上都不對22.不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤B、及時(shí)、可靠升級反病毒產(chǎn)品C、新購置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測D、整理磁盤23.標(biāo)準(zhǔn)GB/T22080中“支持性設(shè)施”指的是（）A、UPS電源B、電力設(shè)施C、空調(diào)系統(tǒng)D、消防設(shè)施24.當(dāng)計(jì)劃對組織的遠(yuǎn)程辦公系統(tǒng)進(jìn)行加密吋，應(yīng)該首先冋答下面哪一個(gè)問題？（）A、什么樣的數(shù)據(jù)屬于機(jī)密信息B、員工需要訪問什么樣的系統(tǒng)和數(shù)據(jù)C、需要什么樣類型的訪問D、系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度25.應(yīng)用系統(tǒng)應(yīng)在設(shè)計(jì)時(shí)考慮對輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)進(jìn)行確認(rèn)的措施。26.ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險(xiǎn)評估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅C、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃的更新D、改進(jìn)的建議27.在本地服務(wù)器上不啟動(dòng)動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP），可以：（）A、降低未授權(quán)訪問網(wǎng)絡(luò)資源的風(fēng)險(xiǎn)B、不適用于小型網(wǎng)絡(luò)C、能自動(dòng)分配IP地址D、增加無線加密協(xié)議（WEP）相關(guān)的風(fēng)險(xiǎn)28.GB/T22080標(biāo)準(zhǔn)中所指"組織與外部方交換信息和軟件的協(xié)議"必須包含的內(nèi)容是（）A、相關(guān)各方的信息安全責(zé)任和義務(wù)B、相關(guān)各方的商務(wù)利益C、相關(guān)各方的技術(shù)支持責(zé)任D、質(zhì)量保證條款29.風(fēng)險(xiǎn)處置計(jì)劃應(yīng)包含計(jì)劃的目標(biāo)、職責(zé)分配、財(cái)務(wù)預(yù)算及時(shí)間表。30.認(rèn)證審核時(shí)，審核組擬抽査的樣本應(yīng)（）A、山受審核方熟悉的人員事先選取，做好準(zhǔn)備B、由審核組明確總體并在受控狀態(tài)下獨(dú)立抽樣C、由審核組和受審核方人員協(xié)商抽樣D、由受審核方安排的向?qū)?shí)施抽樣31.組織應(yīng)進(jìn)行安全需求分析，規(guī)定對安全控制的要求，由（）A、組織需建立新的信息系統(tǒng)時(shí)B、組織的原有信息系統(tǒng)擴(kuò)容或升級時(shí)C、組織向顧客交付軟件系統(tǒng)時(shí)D、A+B32.實(shí)施第三方信息安全管理體系審核，主要是為了：（）A、發(fā)現(xiàn)盡可能多的不符合項(xiàng)B、檢測信息安全產(chǎn)品質(zhì)量的符合性C、建立互利的供方關(guān)系D、證實(shí)組織的信息安全管理體系符合已確定的審核準(zhǔn)則的程度要求33.管理體系認(rèn)證過程包含了（）A、現(xiàn)場審核首次會議開始到末次會議結(jié)束的所有活動(dòng)。B、從審核準(zhǔn)備到審核報(bào)告提交期間的所有活動(dòng)。C、一次初審以及至少2次監(jiān)督審核的所有活動(dòng)。D、從受理認(rèn)證到證書到期期間所有的審核以及認(rèn)證服務(wù)和管理活動(dòng)。34.審核范圍的確定應(yīng)考慮（）A、組織的管理權(quán)限B、組織的活動(dòng)領(lǐng)域C、組織的現(xiàn)場區(qū)域D、覆蓋的時(shí)期35.為了防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問，正確的做法是（）A、定期變更用戶名和登錄口令B、按照訪問控制策略限制用戶訪問應(yīng)用系統(tǒng)功能C、隔離敏感系統(tǒng)D、B+C36.對于所釘擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)通過（）過程進(jìn)行評審。A、薄弱環(huán)節(jié)識別B、風(fēng)險(xiǎn)分析C、管理方案D、A+CE、A+B37.殘余風(fēng)險(xiǎn)是（）A、低于可接受風(fēng)險(xiǎn)水平的風(fēng)險(xiǎn)B、高于可接受風(fēng)險(xiǎn)水平的風(fēng)險(xiǎn)C、經(jīng)過風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)D、未經(jīng)處置的風(fēng)險(xiǎn)38.依據(jù)GB/T22080，以下屬于設(shè)備安全中的"支持性設(shè)施"的是（）A、電磁屏蔽系統(tǒng)、照明設(shè)施B、環(huán)境監(jiān)控系統(tǒng)、安全防范系統(tǒng)C、不間斷電源、消防設(shè)施、空氣調(diào)節(jié)裝置D、以上全部39.為了實(shí)現(xiàn)在網(wǎng)絡(luò)上自動(dòng)標(biāo)識設(shè)備，以下做法錯(cuò)誤的是（）A、啟用動(dòng)DHCP動(dòng)態(tài)分配IP地址功能B、為網(wǎng)絡(luò)設(shè)備分配固定IP地址。C、將每一臺計(jì)算機(jī)MAC與一個(gè)IP地址綁定D、采取有效措施禁止修改MAC40.審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息稱為（）A、信息安全信息B、審核證據(jù)C、檢驗(yàn)記錄D、信息源41.信息安全管理體系內(nèi)部審核就是信息系統(tǒng)審計(jì)。42.信息安全管理體系認(rèn)證審核時(shí)，為了獲取審核證據(jù)，應(yīng)考慮的信息源為（）A、受審核方的辦公自動(dòng)化系統(tǒng)管理與維護(hù)相關(guān)的過程和活動(dòng)B、受審核方場所內(nèi)已確定為涉及國家秘密的相關(guān)過程和活動(dòng)C、受審核方的核心財(cái)務(wù)系統(tǒng)的管理與維護(hù)相關(guān)的過程和活動(dòng)D、受審核方中請認(rèn)證范_內(nèi)的業(yè)務(wù)過程和活動(dòng)43.信息安全的符合性檢查包括（）A、法律法規(guī)符合性B、技術(shù)標(biāo)準(zhǔn)符合性C、安全策略符合性D、內(nèi)部審核活動(dòng)44.文件控制指的是文件編制、評審、批準(zhǔn)、發(fā)放、修訂、作廢等過程的控制。45.信息安全管理中，"防止濫用信息處理設(shè)施"是為了防止（）A、工作場所出現(xiàn)“公私不分"的情況B、組織信息保密性受損C、組織資產(chǎn)可用性受損D、B+C46.依據(jù)GB/T22080，為防止信息未授權(quán)的泄露或不當(dāng)使用，介質(zhì)處置時(shí)的信息處理規(guī)程須規(guī)定：（）A、向介質(zhì)寫入信息時(shí)如何確保符合安全要求B、介質(zhì)在改變用途前如何妥善處理信息確保符合安全要求C、介質(zhì)在棄置前如何妥善處理信息確保符合安全要求D、A+B+C47.受審核組織對于不符合項(xiàng)原因分析的準(zhǔn)確性是影響糾正措施有效性的因素之一。48.確定組織的信息安全管理體系范圍應(yīng)依據(jù)（）A、組織整體業(yè)務(wù)活動(dòng)的性質(zhì)B、組織計(jì)算機(jī)信息系統(tǒng)以及其他技術(shù)的特性C、組織的資產(chǎn)所處的位置和物理環(huán)境D、以上全部49.第三方認(rèn)證審核時(shí)確定審核范圍的程序是（）A、組織提出、與審核組協(xié)商、認(rèn)證機(jī)構(gòu)確認(rèn)、認(rèn)證合同規(guī)定B、組織申請、認(rèn)證機(jī)構(gòu)評審、認(rèn)證合同規(guī)定、審核組確認(rèn)C、組織提出、與咨詢機(jī)構(gòu)協(xié)商、認(rèn)證機(jī)構(gòu)確認(rèn)D、認(rèn)證機(jī)構(gòu)提出、與組織協(xié)商、審核組確認(rèn)、認(rèn)證合同規(guī)定50.ISMS文件的多少和詳細(xì)程度取于（）A、組織的規(guī)模和活動(dòng)的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C51.信息安全管理體系認(rèn)證是（）A、與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實(shí)活動(dòng)B、對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價(jià)C、信息安全管理體系認(rèn)證是合格評定活動(dòng)的一種D、是信息安全風(fēng)險(xiǎn)管理的實(shí)施活動(dòng)52.認(rèn)證審核時(shí)，審核擬抽査的樣本應(yīng)（）A、由受審核方熟悉的人員事先選取，做好準(zhǔn)備。B、由審核組明確總體并在受控狀態(tài)下獨(dú)立抽樣。C、由審核組和受審核方人員協(xié)商抽樣。D、由受審核方安排的向?qū)?shí)施抽樣。53.記錄作為信息安全管理體系運(yùn)行的證據(jù)，應(yīng)具有可追溯性。54.現(xiàn)場審核的結(jié)束是指（）。A、末次會議結(jié)束B、對不符合項(xiàng)糾正措施進(jìn)行驗(yàn)證后C、發(fā)了經(jīng)批準(zhǔn)的審核報(bào)告時(shí)D、監(jiān)督審核結(jié)束55.對于針對信息系統(tǒng)的軟件包，以下說法正確的是（）A、組織應(yīng)具有有能力的人員，以便隨時(shí)對軟件包進(jìn)行適用性修改。B、應(yīng)盡量勸阻對軟件包實(shí)施變更，以規(guī)避變更的風(fēng)險(xiǎn)。C、軟件包不必作為配置項(xiàng)進(jìn)行管理。D、軟件包的安裝必須由其開發(fā)商實(shí)施安裝。56.在認(rèn)證審核時(shí)，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過程B、是必須進(jìn)行的C、不是必須的過程D、以上都不準(zhǔn)確57.與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其它信息稱為：（）A、審核證據(jù)B、安全信息C、記錄D、a+b+c58."適用性聲明”應(yīng)描述選擇的控制措施，以及選擇的理由。59.加密技術(shù)可以提高可用性。60.在網(wǎng)絡(luò)訪問控制中，對外部連接的用戶鑒別時(shí)，宜考慮（）A、回?fù)芤?guī)程B、硬件令牌或詢問C、使用回?fù)苷{(diào)制解調(diào)器控制措施，可以使用呼叫轉(zhuǎn)發(fā)的網(wǎng)絡(luò)服務(wù)D、基于密碼技術(shù)的方法61.信息安全管理的持續(xù)改進(jìn)就是信息系統(tǒng)技術(shù)的不斷升級。62.第三方認(rèn)證時(shí)的監(jiān)督審核不一定是對整個(gè)體系的審核，以下說法正確的是（）A、組織獲得認(rèn)證范圍內(nèi)的職能區(qū)域可以抽查，但標(biāo)準(zhǔn)條款不可以抽查B、組織獲得認(rèn)證范圍內(nèi)的業(yè)務(wù)過程可以抽沓，但職能區(qū)域不可以抽杳C、組織獲得認(rèn)證范圍內(nèi)的業(yè)務(wù)過程和職能區(qū)域都不可以抽查，僅標(biāo)準(zhǔn)條款可以抽杳D、標(biāo)準(zhǔn)條款可以抽查，但針對內(nèi)審和管理評審以及持續(xù)改進(jìn)方面的審核不可缺少63.在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動(dòng)。A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件64.國家指定用途的特種鋼的樣材應(yīng)按照“包含有信息的介質(zhì)”處置。65.關(guān)于審核組的現(xiàn)場審核，以下說法錯(cuò)誤的是（）A、審核組在審核期間現(xiàn)場可根據(jù)受審核方實(shí)際情況及時(shí)變更審核范圍。B、審核組在審核期間現(xiàn)場可調(diào)整審核路線和審核資源分配。C、審核組遇到重大風(fēng)險(xiǎn)應(yīng)報(bào)告委托方以決定后續(xù)措施。D、審核組遇到重大風(fēng)險(xiǎn)應(yīng)報(bào)告受審核方以決定后續(xù)措施。66.依據(jù)GB/T22080，以下不是"適用性聲明〃文件必須包含的內(nèi)容是（）A、實(shí)施信息安全控制措施的角色、職責(zé)和權(quán)限B、組織選擇的控制目標(biāo)和控制措施，以及選擇的理由C、當(dāng)前實(shí)施的控制目標(biāo)和控制措施D、對附錄A中可控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明67.認(rèn)證審核時(shí)，審核組應(yīng)（）。A、在審核前將審核計(jì)劃提交受審核方確認(rèn)B、在審核結(jié)朿時(shí)將簾核計(jì)劃提交受屯核方確認(rèn)C、隨著審核的進(jìn)展與受審核方共同確認(rèn)審核計(jì)劃D、將審核計(jì)劃提交審核委托方批準(zhǔn)即可68.為防止業(yè)務(wù)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)失誤或?yàn)?zāi)難的影響，應(yīng)（）A、定義恢復(fù)的優(yōu)先順序B、定義恢復(fù)時(shí)間指標(biāo)C、按事件管理流程進(jìn)行處置D、針對業(yè)務(wù)中斷進(jìn)行風(fēng)險(xiǎn)評估69.審核組中的技術(shù)專家是（）A、為審核組提供文化、法律、技術(shù)等方面知識咨詢的人員B、特別負(fù)責(zé)對受審核方的專業(yè)技術(shù)過程進(jìn)行審核的人員C、審核期間為受審核方提供技術(shù)咨詢的人員D、從專業(yè)的角度對審核員的審核進(jìn)行觀察評價(jià)的人員70.一個(gè)組織或安全域內(nèi)所有信息處理設(shè)施」；已設(shè)精確時(shí)鐘源同步是為了（）A、便于針對使用信息處理設(shè)施的人員計(jì)算工時(shí)B、便于探測未經(jīng)授權(quán)的信息處理活動(dòng)的發(fā)生C、確保信息處理的及時(shí)性得到控制D、人員異地工作時(shí)統(tǒng)一作息時(shí)間71.某軟件企業(yè)自行開發(fā)了用于管理其軟件產(chǎn)品的配置管理工具，以下說法錯(cuò)誤的是（）A、該企業(yè)用于向顧客交付的軟件產(chǎn)品的測試數(shù)據(jù)應(yīng)認(rèn)真加以選擇、保護(hù)和控制B、該企業(yè)的配置管理工具的測試數(shù)據(jù)應(yīng)認(rèn)真加以選擇、保護(hù)和控制C、該企業(yè)配置管理工具不是向顧客交付的成果，因此其測試數(shù)據(jù)不是需要保護(hù)的對象D、該企業(yè)配置管理庫中的配置項(xiàng)應(yīng)識別為信息安全相關(guān)資產(chǎn)72.TCP/IP協(xié)議族包含的面向連接的協(xié)議處于傳輸層。73.關(guān)于商用密碼技術(shù)和產(chǎn)品，以下說法不正確的是（）A、任何組織不得隨意進(jìn)口密碼產(chǎn)品，但可以出口商用密碼產(chǎn)品。B、商用密碼技術(shù)屬于國家秘密。C、商用密碼是對不涉及國家秘密的內(nèi)容進(jìn)行加密保護(hù)的產(chǎn)品。D、商用密碼產(chǎn)品的用戶不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品。74.信息安全管理中的應(yīng)急預(yù)案應(yīng)指（）A、如何獲取備份數(shù)據(jù)的計(jì)劃。B、描述應(yīng)急響應(yīng)方法與措施的計(jì)劃。C、規(guī)定如何獲取災(zāi)后恢復(fù)所需資源以及技術(shù)措施的計(jì)劃。D、以上全部。75.以下可認(rèn)定為審核范圍變更的事項(xiàng)是（）A、受審核組織增加一個(gè)制造場所B、受審核組織職能單元和人員規(guī)模增加C、受審核組織業(yè)務(wù)過程增加D、以上全部第2卷一.參考題庫(共75題)1.信息安全管理即信息系統(tǒng)設(shè)施的維護(hù)。2.以下屬于信息安全事件的情況是（）A、通信線路出現(xiàn)未知的干擾噪聲B、郵件通信被捆綁垃圾郵件C、監(jiān)視系統(tǒng)偵測到未遂的嘗試破解密碼行為D、B+C3.審核組在現(xiàn)場審核期間可保持靈活、變通，根據(jù)受審核方實(shí)際情況及時(shí)變更審核范圍。4.關(guān)于"糾正措施"，以下說法正確的是（）A、針對不符合的原因分析必須采用“因果分析法”B、審核組對于不符合項(xiàng)原因分析的準(zhǔn)確性影響糾正措施的有效性C、受審核方對于不符合項(xiàng)原因分析的準(zhǔn)確性是影響糾正措施有效性的因素之一D、以上都對5.虛擬專用網(wǎng)（VPN）提供以下哪一種功能？（）A、對網(wǎng)絡(luò)嗅探器隱藏信息B、強(qiáng)制實(shí)施安全策略C、檢測到網(wǎng)絡(luò)錯(cuò)誤和用戶對網(wǎng)絡(luò)資源的濫用D、制定訪問規(guī)則6.在第三方認(rèn)證審核時(shí)，（）不是審核員的職責(zé)。A、實(shí)施審核B、確定不合格項(xiàng)C、對發(fā)現(xiàn)的不合格項(xiàng)采取糾正措施D、驗(yàn)證受審核方所采取糾正措施的有效性7.組織使用的開源軟件不須考慮其技術(shù)脆弱性。8.內(nèi)審、管理評審是信息安全管理體系監(jiān)視和測量的方法。9.國家信息安全等級保護(hù)采?。ǎ〢、自主定級、自主保護(hù)的原則B、國家保密部門定級、自主保護(hù)的原則C、公安部門定級、自主保護(hù)的原則D、國家保密部門定級、公安部門監(jiān)督保護(hù)的原則10.認(rèn)證審核前，審核祖長須與受審核方確認(rèn)審核的可行性，特別應(yīng)考慮（）A、核實(shí)組織申請認(rèn)證范圍內(nèi)需接受審核的組織結(jié)構(gòu)、場所分布等基本信息B、注意審核的程序性安排事先應(yīng)對受審核組織保密C、注意審核擬訪問的文件、記錄、場所等事先應(yīng)對受審核組織保密D、要求受審核組織做好準(zhǔn)備向?qū)徍私M開放所有信息的訪問權(quán)11.信息安全管理中，以下哪一種描述能說明“完整性"（）A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況12.信息安全管理中，”遠(yuǎn)程訪問”指（）A、訪問者的物理位置與被訪問客體不在一個(gè)城市B、問者的物理位置與被訪問客體的距離大于30米C、訪問者的物理位置與被訪問客體的距離大于15米D、訪問者從并不永久連接到所訪問網(wǎng)絡(luò)的終端訪問資源13.關(guān)于保密性，以下說法正確的是（）A、規(guī)定被授權(quán)的個(gè)人和實(shí)體，同時(shí)規(guī)定訪問時(shí)間和訪問范圍以及訪問類型。B、職級越高可訪問信息范圍越大。C、默認(rèn)情況下IT系統(tǒng)維護(hù)人員可以任何類型訪問所有信息。D、顧客對信息的訪問權(quán)按顧客需求而定。14.ISO/IEC27001是（）A、以信息安全為主題的管理標(biāo)準(zhǔn)B、與信息安全相關(guān)的技術(shù)性標(biāo)準(zhǔn)C、編制業(yè)務(wù)連續(xù)性計(jì)劃的指南D、以上都不是15.在信息安全管理中進(jìn)行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制16.定期備份和測試信息是指（）A、每次備份完成吋對備份結(jié)果進(jìn)行檢査，以確保備份效采B、對系統(tǒng)測試記錄進(jìn)行定期備份C、定期備份，定期對備份數(shù)據(jù)的完整性和可用性進(jìn)行測試D、定期檢查備份存儲介質(zhì)的容量17.末次會議包括（）A、請受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、以上都不準(zhǔn)確18.下面哪一種安全技術(shù)是鑒別用戶身份的最好方法（）A、智能卡B、生物測量技術(shù)C、挑戰(zhàn)-響應(yīng)令牌D、用戶身份識別碼和口令19.監(jiān)視、調(diào)整資源的使用并預(yù)測未來容量需求，這是為了保證（）A、資產(chǎn)的可用性滿足業(yè)務(wù)要求B、資產(chǎn)的完整性符合安全策略C、資產(chǎn)的配置具有可追溯性D、降低成本20.審核報(bào)告是（）A、受審核方的資產(chǎn)B、審核委托方和受審核方的共同資產(chǎn)C、審核委托方的資產(chǎn)D、審核組和審核委托方的資產(chǎn)21.只有在員工離職時(shí)，才需要撤銷其訪問權(quán)。22.不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時(shí)效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼23.降低風(fēng)險(xiǎn)的處置措施可以是（）A、降低某項(xiàng)威脅發(fā)生的可能性B、降低某項(xiàng)威脅導(dǎo)致的后果嚴(yán)重程度C、杜絕某項(xiàng)威脅的發(fā)生的可能性D、杜絕威脅導(dǎo)致的后果24.信息安全管理體系認(rèn)證過程包含了（）A、現(xiàn)場審核首次會議開始到末次會議結(jié)束的所有活動(dòng)B、從審核準(zhǔn)備到審核報(bào)告提交期間的所有活動(dòng)C、一次初審以及至少2次監(jiān)督審核的所有活動(dòng)D、從受理認(rèn)證到證書到期期間所有的審核以及認(rèn)證服務(wù)和管理活動(dòng)25.確定資產(chǎn)的可用性要求須依據(jù)（）A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定26.訪問信息系統(tǒng)的用戶注冊的管理不正確的做法是（）A、對用戶訪問信息系統(tǒng)和服務(wù)的授權(quán)的管理B、對用戶予以注冊時(shí)須同時(shí)考慮與訪問控制策略的一致性C、當(dāng)ID資源充裕時(shí)可允許用戶使用多個(gè)IDD、用戶在組織內(nèi)變換工作崗位時(shí)須重新評審其所用ID的訪問權(quán)27.開發(fā)和支持過程中的安全，包括（）A、變更控制規(guī)程B、操作系統(tǒng)變更后應(yīng)用的技術(shù)評審C、對程序源代碼的訪問控制D、軟件包變更的限制28.御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器29.現(xiàn)場審核吋間應(yīng)該包括（）A、文件評審時(shí)間B、首、末次會議的時(shí)間C、編寫審核報(bào)告的時(shí)間D、午餐時(shí)間30.信息安全管理體系初次認(rèn)證審核時(shí)，第一階段審核應(yīng)（）A、對受審核方信息安企管理體系的策劃進(jìn)行審核和評價(jià)，對應(yīng)GB/T22080-2008的4.2.1條要求B、對受審核方信息安全管理體系的內(nèi)部審核及管理評審的有效性進(jìn)行審核和評價(jià)C、對受審核方信息安全管理體系文件的符合性、適宜性和有效性進(jìn)行審核和評價(jià)D、對受審核方信息安全管理體系文件進(jìn)行審核和符合性評價(jià)31.對計(jì)算機(jī)病毒和危害社會公共安全的有害數(shù)據(jù)的防治研究工作由：（）A、工業(yè)和信息化部歸口難。B、公安部歸口管理。C、國家互聯(lián)網(wǎng)信息辦公室歸口管理。D、信息安全產(chǎn)品研制企業(yè)自行管理。32.是否或如何為辦公室增加物理安全防護(hù)設(shè)計(jì)取決于（）A、該辦公室業(yè)務(wù)活動(dòng)涉及資產(chǎn)的關(guān)鍵性程度B、該辦公室資產(chǎn)被非授權(quán)訪問或信息泄露的可能性C、安全防護(hù)方案的技術(shù)難度和成本D、A+B33.一個(gè)組織或安全域內(nèi)所有信息處理設(shè)施與已設(shè)精確時(shí)鐘源同步是為了（）A、便于針對使用信息處理設(shè)施的人員計(jì)算工時(shí)B、便于探測未經(jīng)授權(quán)的信息處理活動(dòng)的發(fā)生C、確保信息處理的及時(shí)性得到控制D、人員異地工作時(shí)統(tǒng)一作息時(shí)間34.審核員的檢査表應(yīng)（）A、事先提交受審核方評審確認(rèn)B、基于審核準(zhǔn)則事先編制C、針對不同的受審核組織應(yīng)統(tǒng)一格式和內(nèi)容D、由審核組長負(fù)責(zé)編制審核組使用的檢査表35.信息安全管理中的災(zāi)難恢復(fù)計(jì)劃應(yīng)描述的內(nèi)容包括（）A、災(zāi)難后信息系統(tǒng)恢復(fù)過程所需要的數(shù)據(jù)和資源B、災(zāi)難后信息系統(tǒng)恢復(fù)過程所需要的任務(wù)和行動(dòng)計(jì)劃C、A+BD、一份描述原信息系統(tǒng)配置清單的文件36.審核發(fā)現(xiàn)即審核組提出的不符合項(xiàng)報(bào)告。37.可以通過使用適宜的加密技術(shù)實(shí)現(xiàn)的安全目標(biāo)包括（）A、信息的保密性B、信息的完整性C、信息的真實(shí)性D、信息的抗抵賴性38.下列說法不正確的是（）。A、審核組可以由一名或多名審核員組成B、至少配備一名經(jīng)認(rèn)可具有專業(yè)能力的成員C、實(shí)習(xí)審核員可在技術(shù)專家指導(dǎo)下承擔(dān)審核任務(wù)D、審核組長通常由高級審核員擔(dān)任39.將收集到的審核證據(jù)對照（）進(jìn)行評價(jià)的結(jié)果是審核發(fā)現(xiàn)。A、GB/T22080標(biāo)準(zhǔn)B、法律、法規(guī)要求C、審核準(zhǔn)則D、信息安全管理體系文件40.信息安全管理體系審核的抽樣過程是（）A、調(diào)查性質(zhì)的抽樣B、驗(yàn)收性質(zhì)的抽樣C、通過對樣本的評價(jià)來推斷總體D、有棄真的風(fēng)險(xiǎn)和取偽的風(fēng)險(xiǎn)41.為了確保布纜安全，以下正確的做法是（）A、使用同一電纜管道鋪設(shè)電源電纜和通信電纜B、網(wǎng)絡(luò)電纜采用明線架設(shè)，以便于探查故障和維修C、配線盤應(yīng)盡量放置在公共可訪問區(qū)域，以便于應(yīng)急管理D、使用配線標(biāo)記和設(shè)備標(biāo)記，編制配線列表42.審核組要求受審方在不合格報(bào)告上簽字是確認(rèn)該審核發(fā)現(xiàn)。43.關(guān)于商用密碼技術(shù)和產(chǎn)品，以下說法正確的是（）。A、任何組織不得隨意進(jìn)口密碼產(chǎn)品，但可以出口商用密碼產(chǎn)品B、商用密碼技術(shù)屬于國家秘密C、商用密碼是對不涉及國家秘密的內(nèi)容進(jìn)行加密保護(hù)的產(chǎn)品D、商用密碼產(chǎn)品的用戶不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品44.信息安全災(zāi)備管理中，”恢復(fù)點(diǎn)目標(biāo)”指（）A、災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間。B、災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能項(xiàng)恢復(fù)的范圍。C、災(zāi)難發(fā)生后，系統(tǒng)和必須恢復(fù)到的時(shí)間點(diǎn)要求。D、災(zāi)難發(fā)生后，關(guān)鍵數(shù)據(jù)能被復(fù)原的范圍。45.監(jiān)視和評審ISMS是為了統(tǒng)計(jì)和評估已造成不良后果的安全違規(guī)和事件。46.風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該包含：（）A、管理措施B、資源需求C、職責(zé)分配D、a+b+c47.選擇的控制目標(biāo)和控制措施、以及選擇的原因應(yīng)記錄在下列那個(gè)文件中：（）A、安全方針B、風(fēng)險(xiǎn)評估報(bào)告C、適用性聲明D、風(fēng)險(xiǎn)處置計(jì)劃48.內(nèi)審的目的是確定ISMS體系是否符合策劃的安排并得到有效實(shí)施與保持。49.關(guān)于認(rèn)證人員執(zhí)業(yè)要求以下說法正確的是（）A、注冊審核員只能在一個(gè)認(rèn)證機(jī)構(gòu)和一個(gè)咨詢機(jī)構(gòu)執(zhí)業(yè)B、注冊審核員和認(rèn)證決定人員只能在一個(gè)認(rèn)證機(jī)構(gòu)執(zhí)業(yè)C、注冊審核員只能在一個(gè)認(rèn)證機(jī)構(gòu)執(zhí)業(yè)，非注冊的認(rèn)證決定人員不受此限制D、在咨詢機(jī)構(gòu)任專職咨詢師的人員，只能在認(rèn)證機(jī)構(gòu)任兼職認(rèn)證決定人員50.不屬于常見的危險(xiǎn)密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼51.在業(yè)務(wù)連續(xù)性管理過程中的關(guān)鍵要素包括（）A、確保人員的安全、信息處理設(shè)施和組織財(cái)產(chǎn)得到保護(hù)B、定期測試和更新已有的計(jì)劃和過程C、調(diào)整或增加訪問控制措施D、識別關(guān)鍵業(yè)務(wù)過程中涉及的所有資產(chǎn)52.對一段時(shí)間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計(jì)分析（）A、屬于事件管理B、屬于問題管理C、屬于變更管理D、屬于配置管理53.審核員的檢查表應(yīng)（）A、事先提交受審核方評審確認(rèn)B、基于審核準(zhǔn)則事先編制C、針對不同的受審核組織應(yīng)統(tǒng)一格式和內(nèi)容D、由審核組長負(fù)責(zé)編制審核組使用的檢查表54.可被視為可靠的電子簽名須同時(shí)符合以下條件（）A、電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有B、簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制C、簽署后對電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)D、簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改的那個(gè)能夠被發(fā)現(xiàn)55.最佳的提供本地服務(wù)器上的處理工資數(shù)據(jù)的訪問控制是（）A、記錄每次訪問的信息B、對敏感的交易事務(wù)使用單獨(dú)的密碼/口令C、使用軟件來約束授權(quán)用戶的訪問D、限制只有營業(yè)時(shí)間內(nèi)才允許系統(tǒng)訪問56.1999年，我國發(fā)布的第一個(gè)信息安全等級保護(hù)的國家標(biāo)準(zhǔn)GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（）個(gè)等級，并提出每個(gè)級別的安全功能要求。A、7B、8C、6D、557.審核組的每一次審核，均應(yīng)向委托方提交審核報(bào)告。58.審核組長在末次會議上宣布的審核結(jié)論是依據(jù)（）得出的。A、審核目的B、不符合項(xiàng)的嚴(yán)重程度C、所有的審核發(fā)現(xiàn)D、A+BE、A+B+C59.網(wǎng)絡(luò)路由控制應(yīng)遵從（）A、端到端連接最短路徑策略B、信息系統(tǒng)應(yīng)用的最佳效率策略；C、確保計(jì)算機(jī)連接和信息留不違反業(yè)務(wù)應(yīng)用的訪問控制策略D、A+B+C60.審核須采用基于證據(jù)的方法。61.審核人日數(shù)的計(jì)算方式是審核天數(shù)乘以（）A、審核組中審核員+實(shí)習(xí)審核員+技術(shù)專家+觀察員的總?cè)藬?shù)B、審核組中審核員+實(shí)習(xí)審核員的總?cè)藬?shù)C、審核組中審核員的總?cè)藬?shù)D、審核組屮審核員+實(shí)審核員+技術(shù)專家的總?cè)藬?shù)62.審核人曰數(shù)的計(jì)算方式是審核天數(shù)乘以（）A、審核組中審核員+實(shí)習(xí)審核員+技術(shù)專家+觀察員的總?cè)藬?shù)B、審核組中審核員+實(shí)習(xí)審核員的總?cè)藬?shù)C、審核組中審核員的總?cè)藬?shù)D、審核組中審核員+實(shí)習(xí)審核員+技術(shù)專家的總?cè)藬?shù)63.使用電子通信設(shè)施進(jìn)行信息交換的規(guī)程和控制宜考慮（）A、電子通信設(shè)施可接受使用的策略或指南B、檢測和防止可能通過使用電子通信傳輸?shù)膼阂獯a的規(guī)程C、維護(hù)數(shù)據(jù)的授權(quán)接受者的正式記錄D、密碼技術(shù)的使用64.組織機(jī)構(gòu)在建立和評審ISMS時(shí)，應(yīng)考慮（）A、風(fēng)險(xiǎn)評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C65.信息安全管埋體系是指（）A、信息系統(tǒng)設(shè)施B、防火墻C、組織建立信息安全方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系D、網(wǎng)絡(luò)維護(hù)人員的工作的集合66.建設(shè)網(wǎng)絡(luò)中的一個(gè)設(shè)備發(fā)生故障，星型局域網(wǎng)更容易面臨前全面的癱瘓67.關(guān)于審核結(jié)論，以下說法正確的是（）A、審核組綜合了所有審核證據(jù)進(jìn)行合理推斷的結(jié)果B、審核組綜合了所有審核證據(jù)與受審核方充分協(xié)商的結(jié)果C、審核組權(quán)衡了不符合的審核發(fā)現(xiàn)的數(shù)量及嚴(yán)重程度后得出的結(jié)果D、審核組考慮了審核目的和所有審核發(fā)現(xiàn)后得出的審核結(jié)果68.數(shù)字簽名可以有效對付的電子信總安全的風(fēng)險(xiǎn)是盜竊。69.（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A、防火墻B、補(bǔ)丁管理系統(tǒng)C、網(wǎng)絡(luò)入侵檢測D、殺毒軟件E、漏洞掃描70.信息安全管理體系認(rèn)證審核的范圍即（）A、組織的全部經(jīng)營管理范圍B、組織的全部信息安全管理范圍C、組織根據(jù)其業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性確定信息安企管理體系范圍D、組織承諾按照GB/T22080標(biāo)準(zhǔn)要求建立、實(shí)施和保持信息安全管理體系的范圍71.數(shù)據(jù)加密不能防止數(shù)據(jù)泄露。72.管理體系認(rèn)證審核的范圍即（）A、組織的全部經(jīng)營管理范圍。B、組織的全部信息系統(tǒng)機(jī)房所在的范圍。C、組織承諾建立、實(shí)施和保持管理體系相關(guān)的組織’?位置、過程和活動(dòng)以及時(shí)期的范圍。D、組織機(jī)構(gòu)中所有業(yè)務(wù)職能涉及的活動(dòng)范圍。73.信息系統(tǒng)安全保護(hù)法律規(guī)范的基本原則是（）A、誰主管誰負(fù)責(zé)的原則B、全面管理的原則C、預(yù)防為主的原則D、風(fēng)險(xiǎn)管理的原則74.管理體系初次認(rèn)證審核時(shí)，第一階段審核應(yīng)（）A、對受審核方管理體系的策劃進(jìn)