2023年第二期ISMS信息安全管理體系審核員模擬試題含解析

2023年第二期ISMS信息安全管理體系審核員模擬試題一、單項選擇題1、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼2、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素3、（）屬于管理脆弱性的識別對象。A、物理環(huán)境B、網絡結構C、應用系統(tǒng)D、技術管理4、關于備份，以下說法正確的是(）A、備份介質中的數(shù)據應定期進行恢復測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質退化后應考慮數(shù)據遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期5、在規(guī)劃如何達到信息安全目標時，組織應確定（）A、要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結果B、要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果C、要做什么，需要什么資源，由誰負責，什么時候完成，如何評價結果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結果6、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?7、相關方的要求可以包括（）A、標準、法規(guī)要求和合同義務B、法律、標準要求和合同義務C、法律、法規(guī)和標準要求和合同義務D、法律、法規(guī)要求和合同義務8、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA9、下列措施中，（）是風險管理的內容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是10、根據GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、411、組織在確定與ISMS相關的內部和外部溝通需求時可以不包括(）A、溝通周期B、溝通內容C、溝通時間D、溝通對象12、依據《中華人民共和國網絡安全法》應予以重點保護的信息基礎設施，指的是()A、一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數(shù)據泄雷，可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數(shù)據泄露，可能危害國家安全、國計民生的信息基礎設施D、—旦遭到破壞、數(shù)據泄露，可能危害國家安全、國計民生、公共利益的網絡系統(tǒng)13、在訪問因特網時，為了防止Web網頁中惡意代碼對自己計算機的損害，可以采取的防范措施是(）A、利用SSL訪問Web站點B、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區(qū)域C、在瀏覽器中安裝數(shù)字證書D、利用IP安全協(xié)議訪問Web站點14、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險15、IT服務管理中所指"服務目錄"是：（）A、一個包含生產環(huán)境IT服務信息的結構化文件，應與服務級別協(xié)議一致B、一個服務項目命名清單，不可隨意更改C、一個定義服務內容的企業(yè)標準D、定義IT服務分類的行業(yè)或國家標準16、關于互聯(lián)網信息服務，以下說法正確的是A、互聯(lián)網服務分為經營性和非經營性兩類，其中經營性互聯(lián)網信息服務應當在電信主管部門備案B、非經營性互聯(lián)網信息服務未取得許可不得進行C、從事經營性互聯(lián)網信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求D、經營性互聯(lián)網服務，是指通過互聯(lián)網向上網用戶無嘗提供具有公開性、共享性信息的服務活動17、信息安全管理體系的設計應考慮（）A、組織的戰(zhàn)B、組織的目標和需求C、組織的業(yè)務過程性質D、以上全部18、風險偏好是組織尋求或保留風險的（）A、行動B、計劃C、意愿D、批復19、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、建設關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、建設三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用C、建設機密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設、同步使用D、以上都不對20、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確21、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析22、《信息安全管理體系認證機構要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪問的形式C、以遠程視頻的形式D、以上都對23、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是24、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排25、根據《互聯(lián)網信息服務管理辦法》，互聯(lián)網接入服務提供者應當記錄上網用戶的(）A、用戶帳號、上網時間、訪問端口信息B、用戶帳戶、上網時間、訪問內容C、用戶帳號、訪問IP地址、用戶計算機型號D、上網時間、用戶帳號、互聯(lián)網地址26、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、網絡安全應采取必要措施防范對網絡的攻擊和侵入B、網絡安全措施包括防范對網絡的破壞C、網絡安全即采取措施保護信息在網絡中傳輸期間的安全D、網絡安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護27、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件,有關使用單位應當在（）向當?shù)乜h級以上人民政府公安機關報告。A、8小時內B、12小時內C、24小時內D、48小時內28、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見29、當發(fā)現(xiàn)不符合項時，組織應對不符合做出反應，適用時（）。A、采取措施，以控制并予以糾正B、對產生的影響進行處理C、分析產生原因D、建立糾正措施以避免再發(fā)生30、依據GB/T220802016/SO/EC.27001:2013標準，組織應（）。A、識別在組織范圍內從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力31、設備維護維修時，應考慮的安全措施包括：（）A、維護維修前，按規(guī)定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權的新增功能C、敏感部件進行物理銷毀而不予送修D、以上全部32、風險責任人是指（）A、具有責任和權限管理一項風險的個人或實體B、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者33、依法負有網絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確34、下列哪項對于審核報告的描述是錯誤的？（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對35、IT部門中的所有服務是否都要包含在認證范圍以內？（）A、是的，整個范圍的服務都要包含在認證范圍之內B、只有當其都被提供給相同的客戶群體時C、不，該范圍可限制為服務的子集D、取決于該服務為內部提供還是外部提供36、關于GB/T22081標準，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據B、提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據C、提供了信息安全風險評估的指南，是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據，是實施ISCVIEC27000的支持性標準37、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準38、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性39、下列哪項對于審核報告的描述是錯誤的?（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對40、訪問控制是指確定（）以及實施訪問權限的過程A、用戶權限B、可給予哪些主體訪問權利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵二、多項選擇題41、管理評審的輸入應包括（）。A、相關方的反饋B、不符合和糾正措施C、信息安全目標完成情況D、業(yè)務連續(xù)性演練結果42、《互聯(lián)網信息服務管理辦法》中對（）類的互聯(lián)網信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類43、《中華人民共和國網絡安全法》的宗旨是（）A、維護網絡間主權B、維按國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益44、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對45、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數(shù):10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審46、以下屬于“信息處理設施”的是（）A、信息處理系統(tǒng)B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施47、以下做法正確的是（）A、使用生產系統(tǒng)數(shù)據測試時，應先將數(shù)據進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據C、員工調換項目組時，其原使用計算機中的項目數(shù)據經妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致48、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設備管理D、處理器管理49、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務連續(xù)性的知識B、有關有形和無形資產及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識50、基礎環(huán)境運維服務通常包括（）A、機房電力系統(tǒng)B、主機設備C、空調系統(tǒng)D、安防系統(tǒng)51、管理評審的輸出應包括（）A、與持續(xù)改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執(zhí)行情況52、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準53、關于目標，下列說法正確的是（）A、目標現(xiàn)的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品54、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險55、網絡常見的拓撲形式有（）A、星型B、環(huán)型C、總線D、樹型三、判斷題56、測量是確定數(shù)值和性質的過程。（）正確錯誤57、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網絡的有效帶寬。（）正確錯誤58、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬正確錯誤59、組織應適當保留信息安全目標文件化信息（）正確錯誤60、容量管理策略可以考慮增加容量或降低容量要求（）正確錯誤61、計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）正確錯誤62、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）正確錯誤63、信息系統(tǒng)中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）正確錯誤64、風險源是指那些可能導致消極后果或積極后果的因素和危害的來源。（）正確錯誤65、RSA是一種對稱加密算法。（）正確錯誤

參考答案一、單項選擇題1、D2、A3、D4、A5、C6、A7、D8、B9、D10、A11、A12、A13、B14、D15、A16、C17、D18、C19、A20、D21、D解析:主動攻擊會導致某些數(shù)據流的篡改和虛假數(shù)據流的產生，這類攻擊分篡改，偽造消息數(shù)據和終端（拒絕服務）。被動攻擊中攻擊者不對數(shù)據信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數(shù)據。通常包括竊聽，流量分析，破解弱加密的數(shù)據流等攻擊方式。故選D22、A23、D24、A25、D26、C解析:網絡安全法第七十六條，網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集，存儲，傳輸，交換，處理的系統(tǒng)。網絡安全，是指通過采取必要措施，防范對網絡的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網絡數(shù)據的完整性，保密性，可用性的能力。故選C27、C28、A29、A解析:參考2700110,1當發(fā)生不符合時，組織應：對不符合做出反應，適用時：（1）采取措施，以控制并予以糾正（2）處理后果。故選A30、C31、D32、A33、D解析:網絡安全法第45條，依法負有網絡安全監(jiān)督管理