2022年6月ISMS信息安全管理體系審核員復習題含解析

2022年6月ISMS信息安全管理體系審核員復習題一、單項選擇題1、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡(luò)釣魚攻擊DR2、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導進行溝通3、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護4、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析5、國家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機密不超過二十年，秘密不超過十年B、絕密不低于三十年，機密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機密不低于十五年，秘密不低于五年6、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網(wǎng)絡(luò)設(shè)置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)7、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導致信息安全風險B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部8、對于交接區(qū)域的信息安全管理，以下說法正確的是:（）A、對于進入組織的設(shè)備設(shè)施予以檢查驗證,對于離開組織的設(shè)備設(shè)施則不必驗證B、對于離開組織的設(shè)備設(shè)施予以檢查驗證,對于進入組織的設(shè)備設(shè)施則不必驗證C、對于進入和離開組織的設(shè)備設(shè)施均須檢查驗證D、對于進入和離開組織的設(shè)備設(shè)施，驗證攜帶者身份信息;可替代對設(shè)備設(shè)施的驗證9、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果10、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用11、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4012、加密技術(shù)可以保護信息的(）A、機密性B、完整性C、可用性D、A+B13、關(guān)于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結(jié)論B、認證決定人員不宜推翻審核組的負面結(jié)論C、認證機構(gòu)應(yīng)對客戶組織的ISMS至少進行一次完整的內(nèi)部審核D、認證機構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期14、"多級SLA"是一個三層結(jié)構(gòu)，下列哪層不是這樣類型SLA的部分？()A、客戶級別B、公司級別C、配置級別D、服務(wù)級別15、認證機構(gòu)應(yīng)確定，ITSMS是否能在缺少()的情況下得到充分審核并予以記錄,同時還應(yīng)詳細說明理由。A、保密性信息B、遠程支持C、方案策劃D、服務(wù)目錄16、對于獲準認可的認證機構(gòu)，認可機構(gòu)證明（）A、認證機構(gòu)能夠開展認證活動B、其在特定范圍內(nèi)按照標準具有從事認證活動的能力C、認證機構(gòu)的每張認證證書都符合要求D、認證機構(gòu)具有從事相應(yīng)認證活動的能力17、關(guān)于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡(luò)安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令18、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排19、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機房的服務(wù)器C、保潔服務(wù)D、以上都不對20、安全掃描可以實現(xiàn)（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產(chǎn)生的問題C、彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流21、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)22、依據(jù)GB/T220802016/SO/EC.27001:2013標準，組織應(yīng)（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力23、關(guān)于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明24、在規(guī)劃如何達到信息安全目標時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果25、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度26、當操作系統(tǒng)發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認27、關(guān)于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息28、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關(guān)風險的協(xié)調(diào)活動D、以上都對29、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》30、信息安全風險的基本要素包括（）A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果31、《信息安全技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)造成物理破壞而導致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障32、關(guān)于系統(tǒng)運行日志，以下說法正確的是：（)A、系統(tǒng)管理員負責對日志信息進行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志33、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南34、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對35、最高管理層應(yīng)通過（）活動，證實對信息安全管理體系的領(lǐng)導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致C、領(lǐng)導建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰(zhàn)略方向一致36、在我國信息系統(tǒng)安全等級保護的基本要求中針對每一級的基本要求分為（）A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求37、關(guān)于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件38、ISMS關(guān)鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量39、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是40、下列不屬于公司信息資產(chǎn)的有A、客戶信息B、被放置在IDC機房的服務(wù)器C、個人使用的電腦D、審核記錄二、多項選擇題41、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理42、關(guān)于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務(wù)技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估43、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息44、在IT服務(wù)管理中，"部署"活動包括：（）A、實施變更B、對變更的影響進行評估C、將服務(wù)組件遷移到生產(chǎn)環(huán)境D、將經(jīng)測試的軟件包轉(zhuǎn)移到生產(chǎn)環(huán)境45、影響審核時間安排的因素包括（)A、ITSMS的范圍大小B、場所的數(shù)量C、認證機構(gòu)審核人員的能力D、認證機構(gòu)審核人員的數(shù)量46、關(guān)于審核發(fā)現(xiàn)，以下說法正確的是：（）A、審核發(fā)現(xiàn)是收集的審核證據(jù)對照審核準則進行評價的結(jié)果B、審核發(fā)現(xiàn)包括正面的和負面的發(fā)現(xiàn)C、審核發(fā)現(xiàn)是審核結(jié)論的輸入D、審核發(fā)現(xiàn)是制定審核準則的依據(jù)47、依據(jù)GB/T22080，經(jīng)管理層批準，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略48、在開展信息安全績效和ISMS有效性評價時，組織應(yīng)確定（）A、監(jiān)視、測量、分析和評價的過程B、適用的監(jiān)視、測量、分析和評價的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評價的執(zhí)行人員49、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標50、《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活動，提高產(chǎn)品、服務(wù)的（），促進經(jīng)濟和社會的發(fā)展。A、質(zhì)量B、數(shù)量C、管理水平D、競爭力51、關(guān)于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應(yīng)提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容52、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法53、基礎(chǔ)環(huán)境運維服務(wù)通常包括（）A、機房電力系統(tǒng)B、主機設(shè)備C、空調(diào)系統(tǒng)D、安防系統(tǒng)54、組織的信息安全管理體系初次認證應(yīng)包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定55、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對相關(guān)方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜三、判斷題56、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設(shè)備，因此認證審核時不必審核計算機機房物理安全的相關(guān)內(nèi)容()正確錯誤57、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）正確錯誤58、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。正確錯誤59、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）正確錯誤60、容量管理策略可以考慮增加容量或降低容量要求（）正確錯誤61、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）正確錯誤62、實習審核員可以獨立完成審核任務(wù)。（）正確錯誤63、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進行備份。（）正確錯誤64、某組織在生產(chǎn)系統(tǒng)上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）正確錯誤65、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）正確錯誤

參考答案一、單項選擇題1、B2、A3、A4、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當水平的保護。對比四個選項，c項更能突出對組織的重要程度，故選C5、A解析:國家秘密的保密期限,除有特殊規(guī)定外,絕密級事項不超過三十年,機密級事項不超過二十年,秘密級事項不超過十年6、D7、C8、C9、C10、A11、A12、D13、B14、C15、A16、B17、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當?shù)谋Ｗo，C選項為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護，故選C18、A19、C20、C21、D22、C23、B24、C25、C26、B27、B28、B29、D30、B31、C32、B33、D34、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B35、B36、D37、D38、D39、D40、D二、多項選擇題41、A,B,C,D42、A,B,C解析: