2024年3月ISMS審核員模擬試題-信息安全管理體系含解析

2024年3月ISMS審核員模擬試題—信息安全管理體系一、單項選擇題1、ISO/IEC20000-1:2018標準是依據管理體系高層結構，即()對標準的結構進行調整的A、ISO/IEC導則的一部分綜合ISO補充附錄B、ISO/IEC導則的一部分綜合ISO補充結構層C、ISO/IEC導則的一部分綜合ISO補充體質D、ISO/IEC導則的一部分綜合ISO補充模型2、當操作系統(tǒng)發(fā)生變更時,應對業(yè)務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認3、當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理由以確定適當的措施C、宣布取消末次會議D、以上都不可以4、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對5、下列說法錯誤的是(）A、ISO/IEC20000-1:2018標準鼓勵組織采用整合的過程方法B、組織滿足ISO/IEC20000-1:2018標準要求，意味著該組織滿足其顧客的所有要求C、組織可以把ISO/IEC20000-1:2018標準作為獨立評估的依據D、組織可以通過ISO/IEC20000-1:2018標準來確定組織IT服務管理基準6、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數據D、網絡地址欺騙7、風險識別過程中需要識別的方面包括：資產識別、識別威脅、識別現有控制措施、（）。A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響8、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結構型9、依據GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力10、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內容過濾D、進行流量控制11、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網絡結構C、應用系統(tǒng)D、技術管理12、關于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術安全技術信息安全管理實用規(guī)則》13、公司A在內審時發(fā)現部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優(yōu)質口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育14、下面哪一種功能不是防火墻的主要功能?A、協議過濾B、應用網關C、擴展的日志記錄能力D、包交換15、容災的目的和實質是（）A、數據備份B、系統(tǒng)的C、業(yè)務連續(xù)性管理D、防止數據被破壞16、（）不是每個過程都需要定義的部分A、輸出B、資源C、輸入D、活動17、以下關于安全接層協議(SSL)的敘述中,錯誤的是(）A、為TCP/IP連接提供服務器認證B、為TCP/IP連接提供數據加密C、提供數據安全機制D、是一種應用層安全協議18、關于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時進行評審19、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險20、《信息安全管理體系認證機構要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪向的形式C、以遠程視頻的形式D、以上都対21、下列那些事情是審核員不必要做的？（）A、對接觸到的客戶信息進行保密B、客觀公正的給出審核結論C、關注客戶的喜好D、盡量使用客戶熟悉的表達方式22、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求23、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業(yè)務的敏感程度C、資產的折損率D、以上全部24、下列哪項對于審核報告的描述是錯誤的？（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對25、以下說法不正確的是(）A、應考慮組織架構與業(yè)務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新26、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯網的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件27、考慮不同時段的工作負數的差異收費用于(）。A、故障樹分析(FTA）B、可用性計劃C、服務級別管理D、風險分析和管理法28、風險責任人是指（）A、具有責任和權限管理一項風險的個人或實體B、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者29、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新30、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對31、創(chuàng)建和更新文件化信息時，組織應確保適當的（）。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準32、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性33、組織應按照本標準的要求（）信息安全管理體系。A、策劃、實現、監(jiān)視、和持續(xù)改進B、建立、實施、監(jiān)視、和持續(xù)改進C、建立、實現、維護、和持續(xù)改進D、策劃、實施、維護、和持續(xù)改進34、依據GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設備和資產須驗證其是否符合安全策略，對于離開組織的設備設施則不須驗證B、對于離開組織的設備和資產須驗證其合格證，對于進入組織的設備設施則不必驗證C、對于離開組織的設備和資產須驗證相關授權信息D、對于進入和離開組織的設備和資產，驗證攜帶者身份信息，可替代對設備設施的驗證35、依據GB/T22080/ISO/IEC27001中控制措施的要求，關于網絡服務的訪問控制策略,以下正確的是()A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規(guī)防火墻實現對內部用戶訪問外部網絡的訪問控制36、根據GB/T22080-2016標準，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A37、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內38、完整性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、實體或過程利用或知悉的特性C、保護資產準確和完整的特性D、以上都不對39、信息安全管理體系是用來確定（)A、組織的管理效率B、產品和服務符合有關法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度40、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任和權限D、分配角色和權限二、多項選擇題41、風險描述的要素包括（)A、風險源B、原因C、后果D、事件42、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類43、評價信息安全風險，包括（）A、將風險分析的結果與信息安全風險準則進行比較B、確定風險的控制措施C、為風險處置排序以分析風險的優(yōu)先級D、計算風險大小44、信息安全是保證信息的(),另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A、可用性B、機密性C、完備性D、完整性45、GB/T28450審核方案管理的內容包括（）A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模46、某組織在酒店組織召開內容敏感的會議，根據GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質會議資料留下由服務生統(tǒng)一回收，這符合A8,3的要求47、關于“不可否認性”，以下說法正確的是（）A、數字簽名是實現“不可否認性”的有效技術手段B、身份認證是實現“不可否認性”的重要環(huán)節(jié)C、數字時間戳是“不可否認性”的關鍵屬性D、具有證實一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認性48、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求（）A、設定備份策B、定期測試備份介質C、定期備份D、定期測試信息和軟件49、下列哪些是服務預算與核算管理必須的？（）A、服務計費B、服務實際成本C、服務成本預算D、監(jiān)視成本50、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險51、第二階段審核中，應重點審核被審核單位的（）。A、最高管理者的領導力B、與信息安全有關的風險C、基于風險評估和風險處置過程D、ISMS有效性52、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理53、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據工作需要僅獲得最小的知悉權限B、工作人員僅需要滿足工作任務所需要的信息C、工作人員在滿足工作任務所需要的信息，僅在必要時才可擴大范圍。D、工作范圍是可訪問的信息54、關鍵信息基礎設施包括三大部分，分別是（）。A、關鍵基礎設施B、基礎信息網絡C、重要信息系統(tǒng)D、重要互聯網應用系統(tǒng)55、問題管理的輸入不包括（）A、變更請求B、問題解決方案C、事件記錄D、新的已知錯誤三、判斷題56、審核組長在末次會議中應該對受審核方是否通過認證給出結論。（）正確錯誤57、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務，這樣才能保證安全。（）正確錯誤58、《中華人民共和國網絡安全法》是2017年1月1日起實施的。（）正確錯誤59、糾正是指為消除已發(fā)現的不符合或其他不的原因所采取的措施。（）正確錯誤60、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）正確錯誤61、RSA是一種對稱加密算法。（）正確錯誤62、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）正確錯誤63、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）正確錯誤64、從審核開始到結束,審核組長應對審核實施負責正確錯誤65、訪問控制列表指由主體以及主體對客體的訪問權限所組成列表。正確錯誤

參考答案一、單項選擇題1、A2、B3、B4、C5、B6、A7、B解析:27005信息安全風險管理8,2,,1風險識別，包括資產識別，威脅識別，現有控制措施識別，脆弱性識別，后果識別。故選B8、A9、B10、A11、D解析:27001附錄A12,6，技術方面的脆弱性管理，應及時獲取在用的信息系統(tǒng)的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當的措施來應對相關風險。故選D12、D13、A14、D15、C16、B17、D18、D19、C解析:參考GB/T20984-2007信息安全風險評估規(guī)范，3,12殘余風險是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。故選C20、A21、C22、B23、B24、A25、C26、D