2021年12月信息安全管理體系審核員(ISMS)復習題含解析

2021年12月信息安全管理體系審核員(ISMS)復習題一、單項選擇題1、根據(jù)《互聯(lián)網信息服務管理辦法》規(guī)定，國家對經營性互聯(lián)網信息服務實行()A、國家經營B、地方經營C、備案制度D、許可制度2、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限3、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改4、()是指系統(tǒng)、服務或網絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障5、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領導進行溝通6、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結構型7、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結論B、認證決定人員不宜推翻審核組的負面結論C、認證機構應對客戶組織的ISMS至少進行一次完整的內部審核D、認證機構必須遵從客戶組織規(guī)定的內部審核和管理評審的周期8、組織應（），以確信相關過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產生文件化信息達到必要的程度9、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新10、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對11、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任和權限D、分配角色和權限12、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排13、《信息安全等級保護管理辦法》規(guī)定，應加強沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年14、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序，數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)15、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保16、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器17、在考慮網絡安全策略時，應該在網絡安全分析的基礎上從以下哪兩個方面提出相應的對策？A、硬件和軟件B、技術和制度C、管理員和用戶D、物理安全和軟件缺陷18、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4019、組織應（）。A、對信息按照法律要求、價值、重要性及其對授權泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級20、（）不是每個過程都需要定義的部分A、輸出B、資源C、輸入D、活動21、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用22、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網絡結構C、應用系統(tǒng)D、技術管理23、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現(xiàn)的結果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B24、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風險評估D、容災和數(shù)據(jù)備份25、ISMS管理評審的輸出應考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務要求變更B、合同義務變更C、安全要求的變更D、以上都不對26、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內存B、軟盤C、存儲介質D、網絡27、完整性是指（）A、根據(jù)授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對28、容量管理的對象包括（）A、信息系統(tǒng)內存B、辦公室空間和基礎設施C、人力資源D、以上全部29、—家投資顧問商定期向客戶發(fā)送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件30、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素31、下列()不是創(chuàng)建和維護測量要執(zhí)行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發(fā)和更新測量D、建立測量文檔并確定實施優(yōu)先級32、關于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求已得到滿足，即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意33、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向導的策略D、強制性訪問控制策略34、關于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網絡安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質口令35、"多級SLA"是一個三層結構，下列哪層不是這樣類型SLA的部分？()A、客戶級別B、公司級別C、配置級別D、服務級別36、（）是建立有效的計算機病毒防御體系所需要的技術措施A、補丁管理系統(tǒng)、網絡入侵檢測和防火墻B、漏洞掃描、網絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網絡入侵檢測、防病毒系統(tǒng)和防火墻37、關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任38、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)39、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子?（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞40、下列說法錯誤的是(）A、ISO/IEC20000-1:2018標準鼓勵組織采用整合的過程方法B、組織滿足ISO/IEC20000-1:2018標準要求，意味著該組織滿足其顧客的所有要求C、組織可以把ISO/IEC20000-1:2018標準作為獨立評估的依據(jù)D、組織可以通過ISO/IEC20000-1:2018標準來確定組織IT服務管理基準二、多項選擇題41、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求42、下列描述哪些是正確的(）。A、程序也可以不形成文件B、程序可以形成文件C、程序必須形成文件D、程序就是文件43、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核44、在未得到授權的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產的行為B、破壞或使資產失去預期功能的行為C、訪問,使用資產行為D、監(jiān)視和獲取資產使用狀態(tài)信息的行為45、下列哪些是服務預算與核算管理必須的？（）A、服務計費B、服務實際成本C、服務成本預算D、監(jiān)視成本46、以下（）活動是ISMS監(jiān)視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施47、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規(guī)避風險48、某組織在酒店組織召開內容敏感的會議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質會議資料留下由服務生統(tǒng)一回收，這符合A8,3的要求49、下列哪些是SSL支持的內容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data50、關于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則51、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新52、問題管理的輸入不包括（）A、變更請求B、問題解決方案C、事件記錄D、新的已知錯誤53、某游戲開發(fā)公司按客戶的設計資料構建游戲場景和任務的基礎要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權B、獲得sharefolder訪問權者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與54、信息安全風險分析包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性55、關于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則三、判斷題56、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進行備份。（）正確錯誤57、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。正確錯誤58、測量是確定數(shù)值和性質的過程。（）正確錯誤59、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導致的影響（）正確錯誤60、最高管理層應確保方針得到建立（）正確錯誤61、訪問控制列表指由主體以及主體對客體的訪問權限所組成列表。正確錯誤62、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）正確錯誤63、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）正確錯誤64、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）正確錯誤65、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）正確錯誤

參考答案一、單項選擇題1、D2、C3、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D4、A5、A6、A7、B8、B9、B10、B11、C12、A13、D14、D15、A16、D17、B18、A19、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級20、B21、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A22、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統(tǒng)的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當?shù)拇胧﹣響獙ο嚓P風險。故選D23、A24、A25、D解析:270019,3管理評審，管理評審的輸出應包括與持續(xù)改進機會相關的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應控制影響信息安全的變更，包括組織，業(yè)務過程，信息處理設施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理，故選D26、C27、C28、D29、C30、A31、D32、C33、D34、C解析:應確保秘密鑒別信息的