2024年8月ISMS審核員考試題目-信息安全管理體系含解析

2024年8月ISMS審核員考試題目—信息安全管理體系一、單項(xiàng)選擇題1、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員2、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說(shuō)法錯(cuò)誤的是（）A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》3、組織應(yīng)()與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保4、關(guān)于容量管理，以下說(shuō)法不正確的是（）A、根據(jù)業(yè)務(wù)對(duì)系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B、針對(duì)業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級(jí)C、對(duì)于關(guān)鍵業(yè)務(wù)，通過(guò)放寬閾值以避免或減少報(bào)警的干擾D、依據(jù)資源使用趨勢(shì)數(shù)據(jù)進(jìn)行容量規(guī)劃5、加密技術(shù)可以保護(hù)信息的(）A、機(jī)密性B、完整性C、可用性D、A+B6、我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)共分幾個(gè)級(jí)別？（）A、7B、4C、5D、67、依據(jù)GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析B、確保信息按照其對(duì)組織的重要程度受到適當(dāng)水平的保護(hù)C、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責(zé)任8、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來(lái)制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督9、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的？（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后，由審核組長(zhǎng)起草形成C、正式的審核報(bào)告由組長(zhǎng)將報(bào)告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)10、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部11、關(guān)于訪問(wèn)控制，以下說(shuō)法正確的是（）A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制B、三層交換機(jī)基于MAC實(shí)施訪問(wèn)控制C、路由器根據(jù)路由表確定最短路徑D、強(qiáng)制訪問(wèn)控制中，用戶標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別，即可讀該文件12、IT部門中的所有服務(wù)是否都要包含在認(rèn)證范圍以內(nèi)？（）A、是的，整個(gè)范圍的服務(wù)都要包含在認(rèn)證范圍之內(nèi)B、只有當(dāng)其都被提供給相同的客戶群體時(shí)C、不，該范圍可限制為服務(wù)的子集D、取決于該服務(wù)為內(nèi)部提供還是外部提供13、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，審核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上都不可以14、為信息系統(tǒng)用戶注冊(cè)時(shí)，以下正確的是:（）A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問(wèn)權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊(cè)C、預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問(wèn)權(quán)15、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限16、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無(wú)線網(wǎng)絡(luò)D、以上都對(duì)17、ISMS管理評(píng)審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅C、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新D、改進(jìn)的建議18、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計(jì)算機(jī)信息系統(tǒng)，是指A、對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)19、以下可表明知識(shí)產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過(guò)互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)20、（）是問(wèn)題管理流程中最后的環(huán)節(jié)A、將任何與變更請(qǐng)求下相關(guān)的傳遞給問(wèn)題管理B、關(guān)閉C、問(wèn)題回顧D、問(wèn)題記錄21、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求22、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)的訪問(wèn)控制23、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年24、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是:（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)25、IT服務(wù)管理中所指"服務(wù)目錄"是：（）A、一個(gè)包含生產(chǎn)環(huán)境IT服務(wù)信息的結(jié)構(gòu)化文件，應(yīng)與服務(wù)級(jí)別協(xié)議一致B、一個(gè)服務(wù)項(xiàng)目命名清單，不可隨意更改C、一個(gè)定義服務(wù)內(nèi)容的企業(yè)標(biāo)準(zhǔn)D、定義IT服務(wù)分類的行業(yè)或國(guó)家標(biāo)準(zhǔn)26、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性27、根據(jù)GB/Z20986《信息安全技術(shù)信息安全事件分類分級(jí)指南》，對(duì)于違法行為的通報(bào)批評(píng)處罰，屬于行政處罰中的（）A、資格罰B、人身自由罰C、財(cái)產(chǎn)罰D、聲譽(yù)罰28、關(guān)于信息安全產(chǎn)品的使用，以下說(shuō)法正確的是:（）A、對(duì)于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國(guó)自主知識(shí)產(chǎn)權(quán)B、對(duì)于三級(jí)以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國(guó)家信息安全產(chǎn)品人證機(jī)構(gòu)頒發(fā)的認(rèn)證證書C、對(duì)于四級(jí)以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無(wú)犯罪記錄D、對(duì)于四級(jí)以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞29、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部30、關(guān)于信息安全策略，下列說(shuō)法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審31、《信息技術(shù)服務(wù)分類與代碼》中的分類分為()級(jí)A、2B、3C、4D、532、在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說(shuō)法正確的是（）A、技術(shù)符合性評(píng)審即滲透測(cè)試B、技術(shù)符合性評(píng)審即漏洞掃描與滲透測(cè)試的結(jié)合C、滲透測(cè)試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D、滲透測(cè)試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估33、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対34、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700535、Saas是指(）A、軟件即服務(wù)B、服務(wù)平臺(tái)即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)36、IT服務(wù)中"升級(jí)"是（）A、服務(wù)等級(jí)的升級(jí)B、問(wèn)題管理向變更管理升級(jí)C、將事件、問(wèn)題升級(jí)為更高職能的人員或部門處理D、事件管理向問(wèn)題管理升級(jí)37、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)38、在每天下午5點(diǎn)使計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙39、組織通過(guò)哪些措施來(lái)確保員工和合同方意識(shí)到并履行其信息安全職責(zé)？（）A、審查、任用條款和條件B、管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對(duì)40、關(guān)于信息安全連續(xù)性，以下說(shuō)法正確的是：A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定二、多項(xiàng)選擇題41、ISO/IEC27000,以下說(shuō)法正確的是（）A、ISMS族包含闡述要求的標(biāo)準(zhǔn)B、ISMS族包含闡述通用概論的標(biāo)準(zhǔn)C、ISMS族包含特定行業(yè)概述的標(biāo)準(zhǔn)D、ISMS族包含闡述ISMS概述和詞匯的標(biāo)準(zhǔn)42、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車監(jiān)控系統(tǒng)B、行車路線信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支43、關(guān)于“不可否認(rèn)性”，以下說(shuō)法正確的是（）A、數(shù)字簽名是實(shí)現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段B、身份認(rèn)證是實(shí)現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)C、數(shù)字時(shí)間戳是“不可否認(rèn)性”的關(guān)鍵屬性D、具有證實(shí)一個(gè)聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性44、對(duì)于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審45、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問(wèn)，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理46、管理評(píng)審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況47、影響審核時(shí)間安排的因素包括（)A、ITSMS的范圍大小B、場(chǎng)所的數(shù)量C、認(rèn)證機(jī)構(gòu)審核人員的能力D、認(rèn)證機(jī)構(gòu)審核人員的數(shù)量48、以下（）活動(dòng)是ISMS監(jiān)視預(yù)評(píng)審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評(píng)審D、采取糾正措施49、最高管理層應(yīng)通過(guò)（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、確保將信息安全管理體系要求整合到組織過(guò)程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)D、確保信息安全管理體系達(dá)到預(yù)期結(jié)果50、組織建立的信息安全目標(biāo)，應(yīng)（）A、是可測(cè)量的B、與信息安方針一致C、得到溝通D、適當(dāng)時(shí)更新51、關(guān)于鑒別信息保護(hù)，正確的是（）A、使用QQ傳遞鑒別信息B、對(duì)新創(chuàng)建的用戶，應(yīng)提供臨時(shí)鑒別信息，并強(qiáng)制初次使用時(shí)需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護(hù)可作為任用條件或條款的內(nèi)容52、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過(guò)程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險(xiǎn)處置過(guò)程C、溝通記錄D、信息安全目標(biāo)53、為確保員工和合同方理解其職責(zé)、并適合其角色，在員工任用之前，必須（）A、對(duì)其進(jìn)行試用B、對(duì)員工的背景進(jìn)行適當(dāng)?shù)尿?yàn)證檢查C、在任用條款與合同中指導(dǎo)安全職責(zé)D、面試54、設(shè)計(jì)一個(gè)信息安全風(fēng)險(xiǎn)管理工具，應(yīng)包括如下模塊（）。A、資產(chǎn)識(shí)別與分析B、漏洞識(shí)別與分析C、風(fēng)險(xiǎn)趨勢(shì)分析D、信息安全事件管理流程55、以下屬于訪問(wèn)控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問(wèn)D、病毒產(chǎn)品查殺病毒三、判斷題56、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）正確錯(cuò)誤57、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日起實(shí)施的。（）正確錯(cuò)誤58、GB/T28450-2020是等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27007的國(guó)家標(biāo)準(zhǔn)（）正確錯(cuò)誤59、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問(wèn)系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無(wú)意錯(cuò)誤操作導(dǎo)致的影響（）正確錯(cuò)誤60、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）正確錯(cuò)誤61、審核員由實(shí)習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過(guò)4次完整體系20天的審核。（）正確錯(cuò)誤62、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則。（）正確錯(cuò)誤63、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）正確錯(cuò)誤64、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）正確錯(cuò)誤65、J020相關(guān)方可以是組織內(nèi)部也可以是組織外部的。(）正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、C2、D3、A4、C5、D6、C7、B8、B9、A10、C11、C12、C13、B14、A15、C16、B17、C18、A19、D20、B21、B22、B23、D24、A25、A26、A27、D28、B29、D30、D31、B32、D33、A34、B35、A36、C37、D38、A39、B40、B二、多項(xiàng)選擇題41、A,B,C,D42、A,B,C,D43、A,B,C,D44、A,D45、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理體系及本標(biāo)準(zhǔn)要求的文件化信息應(yīng)得到控制，以確保：在需要的時(shí)間和地點(diǎn)，是可用的和適宜使用的；得到充分的保護(hù)（如避免保密性損失，不恰當(dāng)使用，完整性受損失等）。為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)下列活