2022年第四期ISMS信息安全管理體系審核員考試題目含解析

2022年第四期ISMS信息安全管理體系審核員考試題目一、單項(xiàng)選擇題1、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)的訪問(wèn)控制2、ISO/IEC27001所采用的過(guò)程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法3、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)D、以上都對(duì)4、關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說(shuō)法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用5、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次6、GB/T29246標(biāo)準(zhǔn)為組織和個(gè)人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語(yǔ)和定義7、考慮不同時(shí)段的工作負(fù)數(shù)的差異收費(fèi)用于(）。A、故障樹分析(FTA）B、可用性計(jì)劃C、服務(wù)級(jí)別管理D、風(fēng)險(xiǎn)分析和管理法8、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備(NAS)時(shí)B、不能使用TCP/IP的環(huán)境時(shí)C、需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)中先創(chuàng)學(xué)D、要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)9、關(guān)于備份，以下說(shuō)法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測(cè)試B、如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期10、信息安全管理中,以下哪一種描述能說(shuō)明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況11、()屬于管理脆弱性的識(shí)別對(duì)象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理12、關(guān)于信息安全連續(xù)性，以下說(shuō)法正確的是：A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定13、關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說(shuō)法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級(jí)以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機(jī)密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對(duì)14、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部15、《信息技術(shù)信息安全事件分類分級(jí)指南》中的災(zāi)害性事件是由于（）對(duì)信息系統(tǒng)物理破壞而導(dǎo)致的信息安全事件。A、網(wǎng)絡(luò)攻擊B、不可抗力C、自然災(zāi)害D、人為因素16、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無(wú)線網(wǎng)絡(luò)D、以上都對(duì)17、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）A、人、財(cái)、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性18、風(fēng)險(xiǎn)處置計(jì)劃，應(yīng)（）A、獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)，同時(shí)獲得對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)B、獲得最高管理者的批準(zhǔn)，同時(shí)獲得對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)C、獲得風(fēng)險(xiǎn)部門負(fù)責(zé)人的批準(zhǔn)，同時(shí)獲得對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)D、獲得管理者代表的批準(zhǔn)，同時(shí)獲得對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)19、ISO/IEC20000-1適用于通過(guò)ITSMS的()服務(wù)規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)。A、有效策劃與保持持續(xù)改進(jìn)B、有效實(shí)施與運(yùn)行持續(xù)改進(jìn)C、有效實(shí)施與保持持續(xù)改進(jìn)D、有效策劃與運(yùn)行持續(xù)改進(jìn)20、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析21、在考慮網(wǎng)絡(luò)安全策略時(shí)，應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個(gè)方面提出相應(yīng)的對(duì)策？A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷22、涉及運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過(guò)程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過(guò)程的連續(xù)C、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過(guò)程的中斷D、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過(guò)程的連續(xù)23、ISO/IEC20000J標(biāo)準(zhǔn)的范圍聲明是很重要的，因?yàn)?)A、它定義了管理體系根據(jù)什么予以認(rèn)證B、它詳細(xì)描述了所有已被認(rèn)證的公司C、它詳細(xì)描述了所有已被認(rèn)耐砂D、它確定了哪些流程已超出了范圍24、闡明所取得結(jié)果或提供所完成活動(dòng)的證據(jù)的文件是()A、報(bào)告B、演示C、記錄D、協(xié)議25、過(guò)程是指（）A、有輸入和輸出的任意活動(dòng)B、通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)C、所有業(yè)務(wù)活動(dòng)的集合D、以上都不對(duì)26、在現(xiàn)場(chǎng)審核結(jié)束之前，下列哪項(xiàng)活動(dòng)不是必須的？（）A、關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說(shuō)明B、審核現(xiàn)場(chǎng)發(fā)現(xiàn)的不符合C、提供審核報(bào)告D、聽取客戶對(duì)審核發(fā)現(xiàn)提出的問(wèn)題27、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個(gè)人、實(shí)現(xiàn)或過(guò)程，不為其所用。A、搞抵賴性B、完整性C、機(jī)密性D、可用性28、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑29、對(duì)保密文件復(fù)印件張數(shù)核對(duì)是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性30、關(guān)于信息安全連續(xù)性，以下說(shuō)法正確的是（）A、信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定31、設(shè)備維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部32、在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改33、組織的風(fēng)險(xiǎn)責(zé)任人不可以是（）A、組織的某個(gè)部門B、某個(gè)系統(tǒng)管理員C、風(fēng)險(xiǎn)轉(zhuǎn)移到組織D、組織的某個(gè)虛擬小組負(fù)責(zé)人34、在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下,下列哪一條屬于增加審核時(shí)間的要素?A、其產(chǎn)品/過(guò)程無(wú)風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動(dòng)過(guò)程D、具有高風(fēng)險(xiǎn)的產(chǎn)品或過(guò)程35、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是:（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)36、()可用來(lái)保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評(píng)估D、容災(zāi)和數(shù)據(jù)備份37、下列不屬于取得認(rèn)證機(jī)構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場(chǎng)所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認(rèn)證人員38、關(guān)于適用性聲明下面描述錯(cuò)誤的是(）A、包含附錄A中控制刪減的合理性說(shuō)明B、不包含未實(shí)現(xiàn)的控制C、包含所有計(jì)劃的控制D、包含附錄A的控制及其選擇的合理性說(shuō)明39、關(guān)于訪問(wèn)控制策略，以下不正確的是：（）A、須考慮被訪問(wèn)客體的敏感性分類、訪問(wèn)主體的授權(quán)方式、時(shí)限和訪問(wèn)類型B、對(duì)于多任務(wù)訪問(wèn)，一次性賦予全任務(wù)權(quán)限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問(wèn)控制策D、物理區(qū)域訪問(wèn)控制策略應(yīng)與其中的資產(chǎn)敏感性一致40、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下正確的是（）。A、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個(gè)月B、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個(gè)月D、重要數(shù)據(jù)備份保存不得少于12個(gè)月，網(wǎng)絡(luò)日志保存不得少于6個(gè)月二、多項(xiàng)選擇題41、認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）A、管理體系的知識(shí)B、ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)C、與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)D、信息安全的知識(shí)42、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后43、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排44、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營(yíng)C、維護(hù)D、使用45、關(guān)于鑒別信息保護(hù)，正確的是（）A、使用QQ傳遞鑒別信息B、對(duì)新創(chuàng)建的用戶，應(yīng)提供臨時(shí)鑒別信息，并強(qiáng)制初次使用時(shí)需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護(hù)可作為任用條件或條款的內(nèi)容46、關(guān)于審核委托方，以下說(shuō)法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核47、以下屬于信息安全事態(tài)或事件的是:（）A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時(shí)通知48、在信息安全事件管理中，（）是員工應(yīng)該完成的活動(dòng)。A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對(duì)漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件49、問(wèn)題管理的輸入不包括（）A、變更請(qǐng)求B、問(wèn)題解決方案C、事件記錄D、新的已知錯(cuò)誤50、下列哪些是服務(wù)預(yù)算與核算管理必須的？（）A、服務(wù)計(jì)費(fèi)B、服務(wù)實(shí)際成本C、服務(wù)成本預(yù)算D、監(jiān)視成本51、對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施，以下說(shuō)法正確的是（）A、將所有風(fēng)險(xiǎn)都必須被降低至可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)52、關(guān)于審核方案，以下說(shuō)法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入53、組織建立的信息安全目標(biāo)，應(yīng)（）。A、是可測(cè)量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時(shí)更新54、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動(dòng)的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度55、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠(chéng)實(shí)守信B、保密性C、基于風(fēng)險(xiǎn)D、基于事實(shí)的決策方法三、判斷題56、某組織按信息的敏感性等級(jí)將其物理區(qū)域的控制級(jí)別劃分為4個(gè)等級(jí)，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）正確錯(cuò)誤57、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的（）正確錯(cuò)誤58、J031組織對(duì)內(nèi)部供應(yīng)商應(yīng)按服務(wù)級(jí)別管理過(guò)程進(jìn)行管理。（）正確錯(cuò)誤59、考慮了組織所實(shí)施的活動(dòng)，即可確定組織信息安全管理體系范圍。正確錯(cuò)誤60、最高管理層應(yīng)通過(guò)“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）正確錯(cuò)誤61、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。（）正確錯(cuò)誤62、完全備份就是對(duì)全部數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行備份。（）正確錯(cuò)誤63、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）正確錯(cuò)誤64、通過(guò)修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，可以稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)計(jì)算機(jī)病毒的變形。正確錯(cuò)誤65、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)，應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)。cd選項(xiàng)錯(cuò)誤，必須是已授權(quán)用戶才可訪問(wèn)。A選項(xiàng)錯(cuò)誤，在家登錄，不符合安全訪問(wèn)控制策略。故選B2、C3、B4、A5、D6、D7、B8、A9、A10、B11、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣?lái)應(yīng)對(duì)相關(guān)風(fēng)險(xiǎn)。故選D12、B13、A14、D15、B16、B17、C18、A19、B20、C21、B22、A23、D24、C25、B解析:so9000-20153,4,1過(guò)程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動(dòng)。故選B26、C27、C28、C29、A30、B31、D32、D33、C34、D35、A36、A37、C38、B39