2022年9月ISMS信息安全管理體系審核員模擬試題含解析

2022年9月ISMS信息安全管理體系審核員模擬試題一、單項選擇題1、在根據(jù)組織規(guī)模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程2、風(fēng)險識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響3、計算機信息系統(tǒng)安全專用產(chǎn)品是指：（）A、用于保護(hù)計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途（如高保密）專用的計算機軟件和硬件產(chǎn)品4、加密技術(shù)可以保護(hù)信息的(）A、機密性B、完整性C、可用性D、A+B5、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV26、第三方認(rèn)證審核時，對于審核提出的不符合項，審核組應(yīng)：（）A、與受審核方共同評審不符合項以確認(rèn)不符合的條款B、與受審核方共同評審不符合項以確認(rèn)不符合事實的準(zhǔn)確性C、與受審核方共同評審不符合以確認(rèn)不符合的性質(zhì)D、以上都對7、根據(jù)GB/Z20986《信息安全技術(shù)信息安全事件分類分級指南》，對于違法行為的通報批評處罰，屬于行政處罰中的（）A、資格罰B、人身自由罰C、財產(chǎn)罰D、聲譽罰8、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?、《計算機信息系統(tǒng)安全保護(hù)條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件,有關(guān)使用單位應(yīng)當(dāng)在（）向當(dāng)?shù)乜h級以上人民政府公安機關(guān)報告。A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)10、（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施。A、補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻11、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202112、我國網(wǎng)絡(luò)安全等級保護(hù)共分幾個級別？（）A、7B、4C、5D、613、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式14、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C15、《信息技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)物理破壞而導(dǎo)致的信息安全事件。A、網(wǎng)絡(luò)攻擊B、不可抗力C、自然災(zāi)害D、人為因素16、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A17、《計算機信息系統(tǒng)安全保護(hù)條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在()向當(dāng)?shù)乜h民政府公安機關(guān)報告A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)18、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險評估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險評估的依據(jù)，是實施ISCVIEC27000的支持性標(biāo)準(zhǔn)19、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期20、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計劃C、實施ISMS內(nèi)部審核D、主持ISMS管理評審21、ISMS文件的多少和詳細(xì)程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復(fù)雜程度C、人員的能力D、以上都對22、下列不屬于常用云服務(wù)類型的是（)A、軟件即服務(wù)B、郵件即服務(wù)C、平臺即服務(wù)D、基礎(chǔ)設(shè)施即服務(wù)23、訪問控制是指確定（）以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵24、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時間間隔不能超過（）。A、服務(wù)水平目標(biāo)（SLO)B、恢復(fù)點目標(biāo)（RPO)C、恢復(fù)時間目標(biāo)（RTO)D、最長可接受終端時間（MAO)25、依據(jù)GB/T29246,控制目標(biāo)指描述控制的實施結(jié)果所要達(dá)到的目標(biāo)的（）。A、說明B、聲明C、想法D、描述26、以下關(guān)于認(rèn)證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認(rèn)證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機構(gòu)應(yīng)對認(rèn)證證書的使用進(jìn)行監(jiān)督27、《信息技術(shù)服務(wù)分類與代碼》中的分類分為()級A、2B、3C、4D、528、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個人隱私的保護(hù)D、以上都對29、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項性能（）A、完整性B、可用性C、保密性D、可靠性30、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701431、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部32、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障33、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用34、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D、審核中的觀察項35、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源，在評估這樣一個軟件產(chǎn)品時最重要的標(biāo)準(zhǔn)是什么?（）A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價36、下列哪個選項不屬于審核組長的職責(zé)?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導(dǎo)進(jìn)行溝通37、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部38、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)39、下列措施中，（）是風(fēng)險管理的內(nèi)容。A、識別風(fēng)險B、風(fēng)險優(yōu)先級評價C、風(fēng)險處置D、以上都是40、下列說法錯誤的是(）A、ISO/IEC20000-1:2018標(biāo)準(zhǔn)鼓勵組織采用整合的過程方法B、組織滿足ISO/IEC20000-1:2018標(biāo)準(zhǔn)要求，意味著該組織滿足其顧客的所有要求C、組織可以把ISO/IEC20000-1:2018標(biāo)準(zhǔn)作為獨立評估的依據(jù)D、組織可以通過ISO/IEC20000-1:2018標(biāo)準(zhǔn)來確定組織IT服務(wù)管理基準(zhǔn)二、多項選擇題41、按覆蓋的地理范圍進(jìn)行分類，計算機網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)42、下列說法正確的是（）A、殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準(zhǔn)B、適用性聲明需要包含必要的控制及其選擇的合理性說明C、所有的信息安全活動都必須有記錄D、組織控制下的員工應(yīng)了解信息安全方針43、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與44、評價信息安全風(fēng)險，包括（）A、將風(fēng)險分析的結(jié)果與信息安全風(fēng)險準(zhǔn)則進(jìn)行比較B、確定風(fēng)險的控制措施C、為風(fēng)險處置排序以分析風(fēng)險的優(yōu)先級D、計算風(fēng)險大小45、“云計算機服務(wù)”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS46、信息安全績效的反饋，包括以下哪些方面的趨勢（）A、不符合和糾正措施B、監(jiān)視測量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況47、關(guān)于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則48、審核計劃中應(yīng)包括（）A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排49、組織建立的信息安全目標(biāo)，應(yīng)（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當(dāng)時更新50、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)51、風(fēng)險處置的可選措施包括（）。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩52、某金融資產(chǎn)武裝押運服務(wù)公司擬申請ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支53、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)54、“云計算服務(wù)”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S55、在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進(jìn)行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件三、判斷題56、審核組可以由一個人組成。（）正確錯誤57、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）正確錯誤58、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）正確錯誤59、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）正確錯誤60、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。正確錯誤61、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進(jìn)信息安全管理體系的承諾。正確錯誤62、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險評估，這在認(rèn)證審核時是可接受的（）正確錯誤63、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。（）正確錯誤64、J031組織對內(nèi)部供應(yīng)商應(yīng)按服務(wù)級別管理過程進(jìn)行管理。（）正確錯誤65、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的接受和批準(zhǔn)。正確錯誤

參考答案一、單項選擇題1、D解析:高風(fēng)險的產(chǎn)品或過程應(yīng)增加審核時間要素2、B解析:27005信息安全風(fēng)險管理8,2,,1風(fēng)險識別，包括資產(chǎn)識別，威脅識別，現(xiàn)有控制措施識別，脆弱性識別，后果識別。故選B3、A4、D5、A6、B7、D8、A9、C10、D11、D12、C13、D14、D15、B16、A17、C18、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實現(xiàn)信息安全管理體系過程中選擇控制時的參考，或作為組織在實現(xiàn)通用信息安全控制時的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù)，故選B19、B20、D21、D22、B23、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項過于細(xì)化，故選A24、C25、B解析:參考27000，控制目標(biāo)指，描述實施控制的實施結(jié)果所要達(dá)到的目標(biāo)的聲明。故選B26、B27、B28、D29、B30、D31、D32、A33、A34、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對照審核準(zhǔn)則進(jìn)行評價的結(jié)果，故選C35、D36、A37、C38、D39、D40、B二、多項選擇題41、A,B,C42、A,B,D解析:a選項正確，參考270016,1,3f)獲得風(fēng)險責(zé)任人對信息安全處置計劃以及對信息安全參與風(fēng)險的接受的批準(zhǔn)。B項正確，270016,1,3d)適用性聲明，包含必要的控制及其選擇的合理性說明，以及對附錄A控制刪減的合理性說明。D項正確，270007,3a)組織控制下的員工應(yīng)了解信息安全方針。C選項錯誤，描述過于絕對。綜上，本題選ABD43、A,C44、A,C45、A,B,C46、A,B,C47、A,B,C,D48、B,C,D解析:參考gb/t19011-2013,6,3,2,2審核計劃包括：a)審核目標(biāo)；b)審核范圍；c)審核準(zhǔn)則和引用