2021年9月信息安全管理體系審核員(ISMS)考試題目含解析

2021年9月信息安全管理體系審核員(ISMS)考試題目一、單項選擇題1、依據(jù)ISO/IEC20000-1:2018,服務(wù)目錄應(yīng)()A、描述服務(wù)及其結(jié)果B、由顧客制定C、是合同的一部分D、是統(tǒng)一所有服務(wù)描述的匯總2、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR3、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用4、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)5、下列哪項不是監(jiān)督審核的目的？（）A、驗證認(rèn)證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、作出是否換發(fā)證書的決定6、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩(wěn)定性、保密性、完整性7、在我國《信息安全等級保護(hù)管理辦法》中將信息系統(tǒng)的安全等級分為（）級A、3B、4C、5D、68、安全區(qū)域通常的防護(hù)措施有（）A、公司前臺的電腦顯示器背對來訪者B、進(jìn)出公司的訪客須在門衛(wèi)處進(jìn)行登記C、重點機(jī)房安裝有門禁系統(tǒng)D、以上全部9、《信息技術(shù)服務(wù)分類與代碼》規(guī)定(）屬于軟件運營服務(wù)。A、在線殺毒B、物流信息管理服務(wù)平臺C、電子商務(wù)D、在線娛樂平臺10、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結(jié)合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息11、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機(jī)密性D、可用性12、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制13、在每天下午5點使計算機(jī)結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙14、當(dāng)發(fā)生不符合時，組織應(yīng)（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應(yīng)，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應(yīng)，適用時：采取措施，以控制予以糾正；處理后果15、《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機(jī)密、秘密三個級別D、—密、二密、三密、四密四個級別16、下面哪一種屬于網(wǎng)絡(luò)上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析17、對于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）A、認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動的能力18、組織應(yīng)（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保19、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)20、監(jiān)督、檢查、指導(dǎo)計算機(jī)信息系統(tǒng)安全保護(hù)工作是（）對計算機(jī)信息系統(tǒng)安全保護(hù)履行法定職責(zé)之一A、電信管理機(jī)構(gòu)B、公安機(jī)關(guān)C、國家安全機(jī)關(guān)D、國家保密局21、ISO/IEC20000-1適用于通過ITSMS的()服務(wù)規(guī)劃、設(shè)計、轉(zhuǎn)換、交付和改進(jìn)。A、有效策劃與保持持續(xù)改進(jìn)B、有效實施與運行持續(xù)改進(jìn)C、有效實施與保持持續(xù)改進(jìn)D、有效策劃與運行持續(xù)改進(jìn)22、組織應(yīng)按照本標(biāo)準(zhǔn)的要求（）信息安全管理體系。A、策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進(jìn)B、建立、實施、監(jiān)視、和持續(xù)改進(jìn)C、建立、實現(xiàn)、維護(hù)、和持續(xù)改進(jìn)D、策劃、實施、維護(hù)、和持續(xù)改進(jìn)23、根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議,明確安全和保密義務(wù)與責(zé)任A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任24、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議25、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部26、下列措施中，（）是風(fēng)險管理的內(nèi)容。A、識別風(fēng)險B、風(fēng)險優(yōu)先級評價C、風(fēng)險處置D、以上都是27、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性28、在實施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險評估D、滲透測試和漏洞掃描不可替代風(fēng)險評估29、文件初審是評價受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對30、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理31、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定32、信息安全的機(jī)密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護(hù)信息準(zhǔn)確和完整的特性?33、以下說法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險評估進(jìn)行再評審B、應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進(jìn)行再評估C、制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響D、安全計劃應(yīng)適時更新34、ISMS關(guān)鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進(jìn)反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量35、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作36、IT部門中的所有服務(wù)是否都要包含在認(rèn)證范圍以內(nèi)？（）A、是的，整個范圍的服務(wù)都要包含在認(rèn)證范圍之內(nèi)B、只有當(dāng)其都被提供給相同的客戶群體時C、不，該范圍可限制為服務(wù)的子集D、取決于該服務(wù)為內(nèi)部提供還是外部提供37、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進(jìn)入組織的設(shè)備設(shè)施予以檢查驗證,對于離開組織的設(shè)備設(shè)施則不必驗證B、對于離開組織的設(shè)備設(shè)施予以檢查驗證,對于進(jìn)入組織的設(shè)備設(shè)施則不必驗證C、對于進(jìn)入和離開組織的設(shè)備設(shè)施均須檢查驗證D、對于進(jìn)入和離開組織的設(shè)備設(shè)施，驗證攜帶者身份信息;可替代對設(shè)備設(shè)施的驗證38、對于可能超越系統(tǒng)和應(yīng)用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實用程序清單C、緊急響應(yīng)時所使用的實用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實用程序清單39、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進(jìn)行評審40、以下關(guān)于安全接層協(xié)議(SSL)的敘述中,錯誤的是(）A、為TCP/IP連接提供服務(wù)器認(rèn)證B、為TCP/IP連接提供數(shù)據(jù)加密C、提供數(shù)據(jù)安全機(jī)制D、是一種應(yīng)用層安全協(xié)議二、多項選擇題41、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制42、按覆蓋的地理范圍進(jìn)行分類，計算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)43、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息44、風(fēng)險描述的要素包括（)A、風(fēng)險源B、原因C、后果D、事件45、下列有關(guān)涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機(jī)構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運行前應(yīng)當(dāng)經(jīng)過國家保密行政管理部門審批C、涉密計算機(jī)重裝操作系統(tǒng)后可降為非涉密計算機(jī)使用D、未經(jīng)單位信息管理部門批準(zhǔn)不得自行重裝操作系統(tǒng)46、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動47、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理48、信息安全風(fēng)險分析包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實際發(fā)生的可能性49、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息50、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略51、依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟(jì)建設(shè)設(shè)有重大負(fù)面影響52、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理53、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項B、國民經(jīng)濟(jì)和社會發(fā)展中的秘密事項C、科學(xué)技術(shù)中的秘密事項D、國防建設(shè)和武裝力量活動中的秘密事項54、網(wǎng)絡(luò)常見的拓?fù)湫问接校?A、星型B、環(huán)型C、總線型D、樹型55、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性三、判斷題56、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）正確錯誤57、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。正確錯誤58、組織使用云盤設(shè)施服務(wù)時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）正確錯誤59、審核組可以由一個人組成。（）正確錯誤60、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）正確錯誤61、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機(jī)APP完成對公司客戶的服務(wù)請求處理，但手機(jī)須安裝公司規(guī)定的安全控制程序，無論手機(jī)是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)正確錯誤62、在來自可信站點電子郵件中輸入個人或財務(wù)信息是安全的。（）正確錯誤63、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）正確錯誤64、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬正確錯誤65、風(fēng)險源是指那些可能導(dǎo)致消極后果或積極后果的因素和危害的來源。（）正確錯誤

參考答案一、單項選擇題1、A2、B3、A4、A5、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應(yīng)與其他監(jiān)督活動一起策劃，以使認(rèn)證機(jī)構(gòu)能對獲證客戶管理體系在認(rèn)證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標(biāo)準(zhǔn)的每次監(jiān)督審核應(yīng)包括對以下方面的審查：（1）內(nèi)部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現(xiàn)獲證客戶目標(biāo)和各管理體系的預(yù)期結(jié)果方面的有效性；（5）為持續(xù)改進(jìn)而策劃的活動的進(jìn)展；（6）持續(xù)的運作控制；（7）任何變更；（8）標(biāo)志的使用和（或）任何其他對認(rèn)證資格的引用。綜上A,B,C項均是監(jiān)督審核的目的，故選D。另外，再認(rèn)證的策劃和及時實施，才能確保認(rèn)證能在到期前及時更新，監(jiān)督審核不能決定是否換發(fā)證書6、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B7、C8、D9、A10、C11、C12、B13、A14、D15、C解析:《中華人民共和國保守國家秘密法》第十條，國家秘密的密級分為絕密，機(jī)密，秘密三級16、D解析:主動攻擊會導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）。被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，截取/竊聽是指為未經(jīng)用戶同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽，流量分析，破解弱加密的數(shù)據(jù)流等攻擊方式。故選D17、B18、A解析:理解組織及其環(huán)境19、D20、B21、B22、C23、A24、A25、D26、D27、C28、D29、A30、D解析:27001附錄A12,6，技術(shù)方面的脆弱性