2021年第一期國家注冊ISMS審核員復習題-信息安全管理體系含解析

2021年第一期國家注冊ISMS審核員復習題—信息安全管理體系一、單項選擇題1、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度2、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結果D、審核中的觀察項3、（）不是每個過程都需要定義的部分A、輸出B、資源C、輸入D、活動4、關于投訴處理過程的設計，以下說法正確的是：()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用5、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統(tǒng)有關人員6、關于內部審核下面說法不正確的是(）。A、組織應定義每次審核的審核準則和范圍B、通過內部審核確定ISMS得到有效實施和維護C、組織應建立、實施和維護一個審核方案D、組織應確保審核結果報告至管理層7、關于文件管理下列說法錯誤的是（）A、文件發(fā)布前應得到批準，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準C、應確保文件保持清晰，易于識別D、作廢文件應及時銷毀，防止錯誤使用8、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內容過濾D、進行流量控制9、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意10、《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統(tǒng)造成物理破壞而導致的信息安全事件。A、人為因素B、自然災難C、不可抗力D、網(wǎng)絡故障11、ISMS文件的多少和詳細程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C12、應定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準13、關于《中華人民共和國網(wǎng)絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設,同步使用14、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結構型15、組織在確定與ISMS相關的內部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內容C、溝通時間D、溝通對象16、下列哪項對于審核報告的描述是錯誤的？（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對17、《信息安全等級保護管理辦法》規(guī)定，應加強沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年18、《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202119、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性20、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎B、采用組織固定資產(chǎn)臺賬即可C、無需關注資產(chǎn)產(chǎn)權歸屬者D、A+B21、下列不屬于取得認證機構資質應滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認證人員22、《中華人民共和國認證認可條例》規(guī)定，認證人員自被撤銷職業(yè)資格之日起（）內，認可機構不再接受其注冊申請。A、2年B、3年C、4年D、5年23、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼24、對全國密碼工作實行統(tǒng)一領導的機構是(）A、中央密碼工作領導機構B、國家密碼管理部門C、中央國家機關D、全國人大委員會25、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準則評價的結果D、審核中的觀察項26、關于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中D、信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性27、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用28、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風險轉移到組織D、組織的某個虛擬小組負責人29、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據(jù)C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據(jù)，是實施ISCVIEC27000的支持性標準30、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡釣魚攻擊DR31、關于互聯(lián)網(wǎng)信息服務，以下說法正確的是A、互聯(lián)網(wǎng)服務分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務應當在電信主管部門備案B、非經(jīng)營性互聯(lián)網(wǎng)信息服務未取得許可不得進行C、從事經(jīng)營性互聯(lián)網(wǎng)信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求D、經(jīng)營性互聯(lián)網(wǎng)服務，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無嘗提供具有公開性、共享性信息的服務活動32、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件,有關使用單位應當在（）向當?shù)乜h級以上人民政府公安機關報告。A、8小時內B、12小時內C、24小時內D、48小時內33、完整性是指()A、根據(jù)授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、保護資產(chǎn)保密和可用的特性34、下列哪一種情況下，網(wǎng)絡數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡附加存儲設備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時35、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區(qū)域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區(qū)域36、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態(tài)B、斷開網(wǎng)絡并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標37、關于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定38、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、439、以下關于認證機構的監(jiān)督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構的監(jiān)督方案應由認證機構和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監(jiān)督40、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件二、多項選擇題41、對于信息安全方針,（）是GB/T22080-2016標準要求的A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審42、依據(jù)《信息技術服務分類與代碼》，運行維護服務包括對客戶信息系統(tǒng)（）等提供的各種技術支持和管理服務。A、硬件B、軟件C、數(shù)據(jù)D、基礎環(huán)境43、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒44、以下屬于訪問控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒45、下列有關涉密信息系統(tǒng)說法正確的是（）A、涉密信息系統(tǒng)經(jīng)單位保密工作機構測試后即可投入使用B、涉密信息系統(tǒng)投入運行前應當經(jīng)過國家保密行政管理部門審批C、涉密計算機重裝操作系統(tǒng)后可降為非涉密計算機使用D、未經(jīng)單位信息管理部門批準不得自行重裝操作系統(tǒng)46、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS47、《互聯(lián)網(wǎng)信息服務管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類48、依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟建設設有重大負面影響49、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是（）A、網(wǎng)絡關鍵設備B、網(wǎng)絡安全專用產(chǎn)品C、銷售前D、投入運行后50、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡接入設施D、高鐵信號控制系統(tǒng)51、網(wǎng)絡常見的拓撲形式有（）A、星型B、環(huán)型C、總線D、樹型52、管理評審的輸出應包括（）A、與持續(xù)改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執(zhí)行情況53、下列哪些是服務預算與核算管理必須的？（）A、服務計費B、服務實際成本C、服務成本預算D、監(jiān)視成本54、信息安全方針應（）A、形成文件化信息并可用B、與組織內外相關方全面進行溝通C、確保符合組織的戰(zhàn)略方針D、適當時，對相關方可用55、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術三、判斷題56、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾。（）正確錯誤57、容量管理策略可以考慮增加容量或降低容量要求。（）正確錯誤58、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）正確錯誤59、訪問控制列表指由主體以及主體對客體的訪問權限所組成列表。正確錯誤60、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）正確錯誤61、較低的恢復時間目標會有更長的中斷時間。（）正確錯誤62、實習審核員可以獨立完成審核任務。（）正確錯誤63、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）正確錯誤64、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。正確錯誤65、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾正確錯誤

參考答案一、單項選擇題1、D2、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準則進行評價的結果，故選C3、B4、A5、D6、C7、D8、A9、C10、C11、D12、D13、A14、A15、A16、A17、D18、D19、C20、A21、C22、D23、C24、A25、C26、B解析:引言中明確表述，標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現(xiàn)的順序27、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A28、C29、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現(xiàn)信息安全管理體系過程中選擇控制時的參考，或作為組織在實現(xiàn)通用信息安全控制