2024年3月ISMS審核員考試題目-信息安全管理體系含解析_第1頁
2024年3月ISMS審核員考試題目-信息安全管理體系含解析_第2頁
2024年3月ISMS審核員考試題目-信息安全管理體系含解析_第3頁
2024年3月ISMS審核員考試題目-信息安全管理體系含解析_第4頁
2024年3月ISMS審核員考試題目-信息安全管理體系含解析_第5頁
已閱讀5頁,還剩14頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

2024年3月ISMS審核員考試題目—信息安全管理體系一、單項選擇題1、組織機構在建立和評審ISMS時,應考慮()A、風險評估的結果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C2、ISMS關鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的()系統(tǒng)A、報告B、傳遞C、評價D、測量3、一家投資顧問商定期向客戶發(fā)送有關經(jīng)新聞的電子郵件,如何保證客戶收到資料沒有被修改()A、電子郵件發(fā)送前,用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前,用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前,用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前,用投資顧向商的私鑰加密郵件4、組織應按照本標準的要求()信息安全管理體系。A、策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現(xiàn)、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進5、關于顧客滿意,以下說法正確的是:()A、顧客沒有抱怨,表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失,就意味著顧客滿意C、顧客認為其要求己得到滿足,即意味著顧客滿意D、組織認為顧客要求己得到滿足,即意味著顧客滿意6、防火墻提供的接入模式不包括()A、透明模式B、混合模式C、網(wǎng)關模式D、旁路接入模式7、文件化信息指()A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件8、《信息安全等級保護管理辦法》規(guī)定,()級保護時,國家信息安全管部門對該級信息安全等級保護工作進行強制監(jiān)督、檢查。A、3B、2C、5D、49、IT服務管理中所指"服務目錄"是:()A、一個包含生產(chǎn)環(huán)境IT服務信息的結構化文件,應與服務級別協(xié)議一致B、一個服務項目命名清單,不可隨意更改C、一個定義服務內(nèi)容的企業(yè)標準D、定義IT服務分類的行業(yè)或國家標準10、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是()對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局11、《信息安全管理體系認證機構要求》中規(guī)定,第二階段審核()進行A、在客戶組織的場所B、在認證機構以網(wǎng)絡訪問的形式C、以遠程視頻的形式D、以上都對12、在安全模式下殺毒最主要的理由是()A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡D、安全模式下查殺不容易死機13、依據(jù)《中華人民共和國網(wǎng)絡安全法》應予以重點保護的信息基礎設施,指的是()A、一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數(shù)據(jù)泄雷,可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數(shù)據(jù)泄露,可能危害國家安全、國計民生的信息基礎設施D、—旦遭到破壞、數(shù)據(jù)泄露,可能危害國家安全、國計民生、公共利益的網(wǎng)絡系統(tǒng)14、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確15、ITSMS監(jiān)督審核的目的不包括()A、確認是否持續(xù)符合認證要求B、驗證認證通過的ITSMS是否得以持續(xù)改進C、作出是否換發(fā)證書的決定D、驗證組織ITSMS的保持是否考慮了組織運作過程的變化16、組織應()與其意圖相關的,且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保17、TCP/IP協(xié)議層次結構由()A、網(wǎng)絡接口層、網(wǎng)絡層組成B、網(wǎng)絡接口層、網(wǎng)絡層、傳輸層組成C、網(wǎng)絡接口層、網(wǎng)絡層、傳輸層和應用層組成D、其他選項均不正確18、()是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護措施的失效,或是和安全關聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障19、建立ISMS體系的目的,是為了充分保護信息資產(chǎn)并給予()信息A、相關方B、供應商C、顧客D、上級機關20、以下符合GB/T22080-2016標準A18.1,4條款要求的情況是()A、認證范圍內(nèi)員工的個人隱私數(shù)據(jù)得到保護B、認證范圍內(nèi)涉及顧客的個人隱私數(shù)據(jù)得到保護C、認證范圍內(nèi)涉及相關方的個人隱私數(shù)據(jù)數(shù)據(jù)得到保護D、以上全部21、最高管理者應確保服務管理體系要求整合到組織()中,證實對服務管理體系的領導承諾。A、活動B、資源C、過程D、目標22、當獲得的審核證據(jù)表明不能達到審核目的時,審核組長可以()A、宣布停止受審核方的生產(chǎn)/服務活動B、向審核委托方和受審核方報告理由以確定適當?shù)拇胧〤、宣布取消末次會議D、以上都不可以23、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?()A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應24、關于訪問控制策略,以下不正確的是:()A、須考慮被訪問客體的敏感性分類、訪問主體的授權方式、時限和訪問類型B、對于多任務訪問,一次性賦予全任務權限C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策D、物理區(qū)域訪問控制策略應與其中的資產(chǎn)敏感性一致25、依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員,必須對在履行職責中知悉的()嚴格保密,不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確26、關于GB/T22081標準,以下說法正確的是:()A、提供了選擇控制措施的指南,可用作信息安全管理體系認證的依據(jù)B、提供了選擇控制措施的指南,不可用作信息安全管理體系認證的依據(jù)C、提供了信息安全風險評估的指南,是ISO/IEC27001的構成部分D、提供了信息安全風險評估的依據(jù),是實施ISCVIEC27000的支持性標準27、以下描述不正確的是()A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因,防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性,但不能降低安全事件的潛在影響28、控制影響信息安全的變更,包括()A、組織、業(yè)務活動、信息及處理設施和系統(tǒng)變更B、組織、業(yè)務過程、信息處理設施和系統(tǒng)變更C、組織、業(yè)務過程、信息及處理設施和系統(tǒng)變更D、組織、業(yè)務活動、信息處理設施和系統(tǒng)變更29、由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格,予以承認的合格評定活動是()。A、認證B、認可C、審核D、評審30、關于顧客滿意,以下說法正確的是:()A、顧客沒有抱怨,表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失,就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足,即意味著顧客滿意31、()是建立有效的計算機病毒防御體系所需要的技術措施A、補丁管理系統(tǒng)、網(wǎng)絡入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻32、關于容量管理,以下說法不正確的是()A、根據(jù)業(yè)務對系統(tǒng)性能的需求,設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性,設置資源占用的優(yōu)先級C、對于關鍵業(yè)務,通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃33、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級,采用通道技術使其支持語音I.P電話(VOI.P,voice-overI.P)服務,那么,需要首要關注的是()。A、服務的可靠性和質量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋C蹹、數(shù)據(jù)傳輸?shù)谋C?4、保密協(xié)議或不泄露協(xié)議至少應包括:()A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規(guī)定35、關于信息安全產(chǎn)品的使用,以下說法正確的是:()A、對于所有的信息系統(tǒng),信息安全產(chǎn)品的核心技術、關鍵部件須具有我國自主知識產(chǎn)權B、對于三級以上信息系統(tǒng),己列入信息安全產(chǎn)品認征目錄的,應取得國家信息安全產(chǎn)品人證機構頒發(fā)的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng),信息安全聲品研制單位須聲明沒有故意留有或設置漏洞36、下列不屬于常用云服務類型的是()A、軟件即服務B、郵件即服務C、平臺即服務D、基礎設施即服務37、不屬于常見的危險密碼是()A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼38、關于訪問控制,以下說法正確的是()A、防火墻基于源IP地址執(zhí)行網(wǎng)絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強制訪問控制中,用戶標記級別小于文件標記級別,即可讀該文件39、抵御電子郵箱入侵措施中,不正確的是()A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器40、"多級SLA"是一個三層結構,下列哪層不是這樣類型SLA的部分?()A、客戶級別B、公司級別C、配置級別D、服務級別二、多項選擇題41、移動設備策略宜考慮()A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求42、以下屬于訪問控制的是()。A、開發(fā)人員登錄SVN系統(tǒng),授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒43、對于信息安全方針,()是GB/T22080-2016標準要求的A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布,并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審44、某游戲開發(fā)公司按客戶的設計資料構建游戲場景和任務的基礎要素模塊,為方便各項目組討論,公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是()A、各項目人員訪問該sharefolder需要得到授權B、獲得sharefolder訪問權者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量,此活動是容量管理,游戲開發(fā)人員不參與45、下列哪些是SSL支持的內(nèi)容類型?()A、chang_cipher_specB、alertC、handshakleD、applicatlon_data46、關于審核委托方,以下說法正確的是()A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核47、含有高等級敏感信息的設備的處置可采?。ǎ〢、格式化處理B、采取使原始信息不可獲取的技術破壞或刪除C、多次的寫覆蓋D、徹底破壞48、防范端口掃描、漏洞掃描和網(wǎng)絡監(jiān)聽的措施為()A、安裝防火墻B、定期更新系統(tǒng)或打補丁C、對網(wǎng)絡上傳輸?shù)男畔⑦M行加密D、關閉一些不常用的端口49、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求()A、設定備份策B、定期測試備份介質C、定期備份D、定期測試信息和軟件50、某金融資產(chǎn)武裝押運服務公司擬申請ISMS認證,下列哪些應列入資產(chǎn)清單中()A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運人員個人信息D、押運人員用槍支51、按覆蓋的地理范圍進行分類,計算機網(wǎng)絡可以分為()A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)52、風險評估過程一般應包括()A、風險識別B、風險分析C、風險評價D、風險處置53、最高管理層應通過()活動,證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果54、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S55、ISO/IEC27000,以下說法正確的是()A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準三、判斷題56、J020相關方可以是組織內(nèi)部也可以是組織外部的。()正確錯誤57、組織的業(yè)務連續(xù)性策略即其信息安全連續(xù)性策略。正確錯誤58、檢測性控制是為了防止未經(jīng)授權的入侵者從內(nèi)部或外部訪問系統(tǒng),并降低進入該系統(tǒng)的無意錯誤操作導致的影響()正確錯誤59、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設備,因此認證審核時不必審核計算機機房物理安全的相關內(nèi)容()正確錯誤60、最高管理層應確保方針得到建立()正確錯誤61、較低的恢復時間目標會有更長的中斷時間。()正確錯誤62、RSA是一種對稱加密算法。()正確錯誤63、破壞、摧毀、控制網(wǎng)絡基礎設施是網(wǎng)絡攻擊行為之一。正確錯誤64、信息系統(tǒng)中的“單點故障”指僅有一個故障點,因此屬于較低風險等級的事件。()正確錯誤65、IS0/IEC27006是ISO/IEC17021的相關要求的補充。()正確錯誤

參考答案一、單項選擇題1、E2、D3、C4、C5、C6、D7、C8、D9、A10、B11、A12、B13、A14、D解析:信息處理設施,任何的信息處理系統(tǒng),服務或基礎設施,或其安裝的物理位置,abc選項均屬于信息處理設施變更管理范疇,故選D15、C16、A17、C18、A19、A20、D21、A22、B23、D解析:短期停電即電力中斷,故選D。可中斷的電力供應24、B25、D解析:網(wǎng)絡安全法第45條,依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息,隱私和商業(yè)秘密嚴格保密,不得泄露,出售或者非法向他人提供。故選D26、B解析:iso/iec27002本標準可作為組織基于gb/t22080實現(xiàn)信息安全管理體系過程中選擇控制時的參考,或作為組

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論