2017年3月信息安全管理体系isms基础知识试卷

1、中国认证认可（CCAA）管理体系（ISMS）基础知识 试卷2017 年 03 月一、单项选择题（从下面各题选项中选出一个最恰当的 位置中。每题 1 分，共 80 分，不在指定位置答题不得分），并将相应字母填在下表相应1. 信息系统的安全保护等级分为（ ）。C（A）（B）（C）（D）三四五六2.计算基须与可被外部主体直接或间接到的计算机信息系统资源的等级是（ ）。C（A）（B）（C）（D）二级、三级三级、四级、五级四级、五级五级3、作为治理的成果，方针提供了（ ）AA、企业所需的安全要求B、遵从最佳实务的安全基准 C、日常化、制度化的解决方案D、风险的理解题号123456789101112131

2、4151617181920题号2122232425262728293031323334353637383940题号4142434445464748495051525354555657585960题号6162636465666768697071727374757677787980题号一二总分核分人得分4.（A）（B）（C）（D）管理体系审核是用来确定（ ）。C组织的管理效率产品和服务符合有关程度管理体系满足审核准则的程度手册与标准的符合程度5、 A、管理B、规程指南C、控制措施是指（）A风险的法技术D、以上都不对6. 以下关于认证机构的监督要求表述错误的是（ ）。B（A） 认证机构宜能够针对客户

3、组织的与定监督方案，并判断方案的合理性相关的有关资产、脆弱性和影响指（B）（C）（D）认证机构的监督方案应由认证机构和客户共同来制定监督审核可以与其他管理体系的审核相结合认证机构应对认证的使用进行监督7、审核原则要求（）是审核的公正性的审核结论客观性的基础。C A、系统性B、严格性 C、独立性D、可追踪性8. 关于产品的使用，以下说法正确的是（ ）。B（A） 对于所有的信息系统，权产品的技术、关键须具有我国知识产对于三级以上信息系统，已列入品认证机构颁发的认证对于四级以上信息系统，对于四级以上信息系统，产品认证目录的，应取得息安全产产品研制的主要技术须无产品研制须没有故意留有或设置9、下列关于

4、信息系统安全，说法正确的是（ ）D(A)(B)(C)加固所有服务器和网络设备就可以保证网络的安全只要允许就可以实现安全断开所有的服务就可以保证信息系统的安全(D) 信息系统安全状态会随着业务系统的变化而变化，因此状态需要根据不同的业务而调整相应的策略10、下列不属于GB/T22080-2016与GB/T22080-2008主要变化的是（ ）D(A)(B)(C)(D)将Control的定义由2008版的“控制措施”改为“控制”将Implement的定义由2008版的“实施”改为“实现”将Asset owner的定义由2008版的“资产责任人”改为“资产拥有者”将Context of theani

5、zation的定义由2008版的“组织背景”改为“组织环境”11、在认证审核时，审核组在现场限自行决定变更的事项包括()C(A)(B)(C)(D)审核准则 审核人日数审核路线应受审核的业务过程12、控制是为了保护信息的（ ）。B完整性和可用性和性性可用性和完整性以上都是13审核准则是指（ ）C（A）与审核依据有关，能够证实的、事实陈述或其他信息在审核过程中收集到的所有一组方针、程序或要求以上都不对、事实陈述或其他信息14许多计算机系统为和服务支持的目的提供一些“账号”给系统带来的脆弱性，下面哪一种安全技术最不被优先考虑使用：（ ）D回叫确认通讯加密智能令牌卡口令与用户名15控制是指确定（ ）以

6、及实施权限的过程。B用户权限可给予哪些主体权力（C）可被用户的资源（D）系统是否16信心安全管理体系要求类的标准是（ ）。A（A）GB/T22080-2016（B）GB/T22081-2008ISO/IEC27003ISO/IEC2700417 不属于A8资产管理规定的控制目标是（ ）。B（A）（B）（C）（D）资产归还资产分发介质处理资产18关于计算基，以下说法正确的是（ ）A（A）指计算机系统中符合保护装置的硬件、固件、等的组合体（B）指配置有赖安全保护硬件、产品的计算机环境通过了国家有关安全机构认证的计算机信息系统通过了国家有关机构评测的计算机系统设施，含硬件、的配置19风险识别过程中需

7、要识别的方面包括：资产识别、识别B、识别现有控制措施、（）。（A）（B）（C）（D）识别可能性和影响 识别脆弱性和识别 识别脆弱性和可能性识别脆弱性和影响20下面哪一种日志文件有助于评估计算机安全事例的危害程度？（ ）C联络日志活动日志事件日志审计日志21符合性要求包括（ ）D（A）知识保护公司信息保护个人隐私的保护以上都对22下面哪一种属于网络上的（A）消息篡改（B）（ ）D（C）服务（D）流量分析23依据GB/T22080/IE（C）27001，不属于第（A）监视和评审服务级别协议的符合性服务监视和评审范畴的是：（）B（B）监视和评审服务方聘用和考核的流程（C）监视和评审服务交付遵从协议规

8、定的安全要求的程度（D）监视和评审服务方处理事件的能力24（A）（B）（C）（D）风险的关键是（ ）。C人、财、物技术，管理和操作资产，和弱点资产，可能性和严重性25一种基于信任而产生的并且很难防范的主要风险是：（A）正确使用的）B（B）被的不成功的非成功的非26关于（A）（B）检测，以下不正确的是：（ ）B检测是一个检测指知识的过程事件响应过程（C）分析反常的使用模式是检测模式之一（D）检测包括收集被利用脆弱性发生的时间信息27 关于文件管理下列说法错误的是（ ）。D（A）（B）（C）（D）文件发布前应得到批准，以确定文件是适宜的必要时对文件进行评审，更新后再次批准应确保文件保持清晰，便于识

9、别作废文件应及时销毁，防止错误使用28风险责任人是指：（ ）A（A）具有责任和权限管理一项风险的个人或实体实施风险评估的组织的法人实施风险评估的项目或项目任务责任人（D）信息及信息处理设施的使用者29 管理评审应包括评估以不包括（ ）。D管理体系改进的计划和变更的需求，管理评审的输入可（A）（B）（C）（D）相关方的反馈预防和纠正措施的状况有效性测量的结果业务连续性演练结果30 目前，我国管理格局是一个多方“齐抓共管”的体制，多头管理现状体现为法出多门，计算机信息系统国际互联网管理规定是由下列那个部门所制订的规章制局度。（ 无正确（A）应为：国家（B）（C）（D）国家信息国家局管理31 管理体

10、系是实现组织目标的方针、（）指南和相关资源的框架。B（A）（B）（C）（D）目标规程文件32 体系是指（ ）。A（A）（B）（C）（D）建立方针和目标并实现这些目标的体系相互关联和相互作用的一组要素指挥和控制组织的协调的活动以上都不对33 过程是指（ ）。B（A）（B）（C）（D）有输入和输出的任意活动通过使用资源和管理，将输入转化为输出的活动所有业务活动的集合以上都不对34 下面哪一条措施不能防止数据？（ ）A（A）（B）（C）（D）数据冗余数据加密控制系统35 以下属于安全办公区域控制的措施是：（ ）A（A）（B）（C）（D）敏感信息处理设施避免放置在和外部方共用的办公区显著标记“敏感区，

11、闲人免进”标识牌告知全体员工敏感区域的位置信息，教育员工保护其安全以上都对36 对于交接区域的管理，以下说法正确的是（ ）C（A）（B）（C）（D）对于进入组织的设备设施予以检查验证，对于离开组织的设备设施则不必验证对于离开组织的设备设施予以检查验证，对于进入组织的设备设施不必验证对于进入和离开组织的设备设施均须检查验证对于进入和离开组织的设备设施，验证携带者，可替代对设备设施的验证37（A）（B）（C）（D）管理中，支持性基础设施指：（ ）D供电通信设施消防防雷设施空调及新风系统水气暖供应系统以上全部38 描述与组织管理体系相关的和适用性的控制措施的文档是（）B（A）（B）（C）（D）管理体

12、系方针适用性管理体系风险评估程序39 某种（A）是通过对数据进行修改，这种安全属于（ ）。B数据（B）（C）（D）破坏数据完整性破坏数据可用性物理安全40容量管理的对象包括（ ）D（A）信息系统内存（B）空间和基础设施（C）人力资源（D）（A）+（B）+（C）41公共密钥体系（PKI）的某一组成要素的主要功能是管理生命周期，包括目录，（A）废止列表机构（CA）和发布这个要素是：（ ）D（B）数字签名（C）（D）实践机构（RA）42下列说法不正确的是（ ）C残余风险需要获得风险责任人的批准体系文件应能够显示从所选择的控制措施回溯到风险评估的风险处置过程（C）所有的活动都必须有（D）管理评审至少每

13、年进行一次43.依据中（A）（B）（C）（D）民法，以下说法不正确的是（）C应采取必要措施防范对网络的措施包括防范对网络的破坏和侵入即采取措施保护信息在网络传输期间的安全包括对信息收集、，传输、交换、处理系统的保护44风险（R）计算中涉及脆弱性（V），以下说法正确的是：（ ）B脆弱性是资产性质决定的固有的弱点，其赋值不变如果当前控制措施有效，资产脆弱性赋值可以降低控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系只要存在，脆弱性就存在，二者的赋值同向增减45（A）（B）（C）（D）管理体系的设计应考虑（ ）D组织的组织的目标和需求 组织的业务过程性质以上全部46（A）（B）（C）是

14、保证信息的性、完整性、（ ）。C充分性适宜性可用性（D） 有效性47中C民保守国家法第二章规定了国家的范围和密级分为：（ ）普密、商密两种级别低级和两个级别（C）、三个级别（D）一密、二密、三密、四密四个级别48依据GB/T22080/IE（C）27001，（A）ISMS的范围适用性管理系统文件应包括：（ ）D（B）风险评估和风险处置计划风险评估方法以上全部49依据GBT22080/ISO/IE（C）27001，制定（ ）D（A）业务管理体系方针，应予以考虑的输入是（B）要求合同要求以上全部50以下对ISO/IE（C）27002的描述，正确的是（该标准属于要求类标准该标准属于指南类标准该标准可

15、用于一致性评估）B（D）组织在建立ISMS时，必须满足该标准的所有要求51主体权限的（ ）。即仅执行活动所必需的那些权利被称为最小特定权限。B最高限度最低限度平均限度次低限度52关于 (A)(B)连续性，以下说法正确的是（ ）B连续性即IT设备运行的连续性连续性应是组织业务连续性的一部分(C)信息处理设施的冗余即指两个或多个服务器互备(D)连续性指标由IT系统的性能决定53在一个分布式计算环境中，系统安全特别重要。分布式计算环境中的网络存在两种主要的类型：和主动。下面哪一种是属于？（ ）D企图登录到别人的账号上在网络电缆上安装侦听设备，并产生错误消息（C）为合法用户提供服务（D）当用户键入系统

16、口令时，进行54组织进行业务连续性管理主要是为了保护信息的（ ）C（A）性完整性可用性（D）（A）+（B）+（C）55某工厂M为某品牌S代工，S要求M将其设计信息敏感性等级确定为，M的以下做法正确的是：（ ）D（A）限制S外观设计图纸仅在PLM系统中流传，并限制权限（B）将测试用S主板样品存放于柜中，并限制知悉人将生产线上报废的S以上都对废品后送环保公司处置56确保信息没有非是指（ ）C完整性可用性泄密，即确保信息不给非的个人、实体或进程，其所用，（C）性（D）抗抵赖性57对于获准认可的认证机构，认可机构证明（ ）B认证机构能够开展认证活动其在特定范围内按照标准具有从事认证活动的能力（C）认证

17、机构的每张认证都符合要求（D）认证机构具有从事相应认证活动的能力58适用性文件应（ ）A描述与组织相关和适用的控制目标和控制措施版本应保持稳定不变应包含标准 GB/T22080 附录 A 的所有条款应删除组织不拟实施的控制措施59（A）（B）（C）（D）审核是为了确定有效性和适宜性 适宜性和充分性 有效性和符合性适宜性和充分性管理体系的（ ）。C60测量控制措施的有效性以验证安全要求是否被满足是（ISMS建立阶段ISMS实施和运行阶段ISMS监视和评审阶段ISMS保持和改进阶段）的活动。C61ISMS文件的多少和详细程度取决于（ ）D组织的规模和活动的类型过程及其相互作用的复杂程度（C）的能力

18、（D）以上都对62关于（A）如果风险评估，以下说法正确的是：（ ）。C企业的各地分/子公司业务性质相同，则针对一个分/子公司识别，评价风险即可，其风险评估过程和结果文件其他分/子公司可直接采用，以节省重复识别和计算的工作量风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性组织应基于其整体业务活动所在的环境和风险考虑其ISMS的设计以上都对63管理评审是为了确保适宜性充分性有效性以上都是管理体系持续的（ ）D64加强（A）设计有效的性的最重要的基础措施是（ ）A策略（B）选择更安全的操作系统安装杀毒加强安全教育65（A）（B）（C）（D）服务损害了信息系统的哪一项性能？（

19、）。D完整性性 可靠性可用性66渗透测试（ ）A（A）可能会导致业务系统无法正常运行（B）是通过模拟的方法，来评估计算机网络系统安全的一种评估方法（C）渗透在局域网中进试，以期发现和挖掘系统存在的，然后输出渗透测试（D）必须在计算机网络系统首次使用前进行，以确保系统安全67下面哪一种功能不是协议过滤应用网关扩展的日志能力包交换的主要功能？（ ）D68关于管理体系认证，以下说法正确的是：（ ）C负责作出认证决定的负责作出认证决定的负责作出认证决定的负责作出认证决定的中应至少有一人参与了审核必须是审核组组长不应参与审核应包含参与了预审核的69等级保护管理办定，应加强涉密信息系统运行中的监督检查。对

20、级、级信息系统每（ ）至少进行一次检查或系统。D（A）半年（B）1年（C）1.5年（D）2年70以下哪一项有助于检测者对服务器系统日志的改动？（ ）B（A）在另一台服务器镜像该系统日志（B）在一块一次写磁盘上同时该系统日志将保存系统日志的目录设为写保护异地保存该系统日志的备份71（A）（B）（C）（D）技术可以保护信息的（性完整性可用性A + B）。D72 互联网信息服务管理办定，国家对经营性互联网信息服务实行（ ）C（A）（B）（C）（D）国家经营地方经营制度备案制度73关于中民法中的三同步要求,以下说法正确的是()A指关键信息基础设施建设时保证安全技术措施同步规划、同步建设、同步使用指所有

21、信息基础设施建设时须保证守全技术措施同步规划、同步建设、同步使用指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用74在进行技术符合性评审时，以下说法正确的是：（ ）D（A）技术符合性评审即渗透测试（B）技术符合性评审即扫描与渗透测试的结合渗透测试和渗透测试和扫描可以替代风险评估扫描不可替代风险评估75以下做法不正确的是：（ ）C（A）保留含有敏感信息的介质的处置。（B）将大量含有信息的介质汇集在一起时提高其总体敏感性等级。（C）将所有的已用过一面的复印纸分配复用以符合组织的节能降耗策略。（D）依据风险评估

22、的结果将维修更换下来的磁盘交第按双方约定的程序进行处置。76中民认证认可条例规定，认证申请。自被撤销职业资格之日起（ D ）内，认可机构不再接受其（A）2年（B）3年（C）4年（D）5 年77以下关于（A）仅保护检测系统功能的叙述中，（ ）是不正确的。A网络免受用户的侵入（B）评估系统关键资源和数据文件的完整性（C）识别已知的行为（D）统计分析异常行为78 ISMS标准族中关于（A）27002（B）27003（C）27004（D）27005风险管理的标准是（ ）D79 一个它们具有损害业务已经发生可能发生意外（D）A+B+C事件由单个的或一系列的有害的或一系列（）的事态组成，和的极大可能性。C

23、80 数字签名可以有效对付哪一类非地阅读窃取非地篡改风险（ ）D二、多项选择题（从下面各题选项中选出两个或两个以上最恰当的，并将填在下表相应位置中。每题 2 分，共 40 分，少选、多分）选均不得分，不在指定位置答题不得81. GB/T22080-2016可用于（ ）AC指导组织建立ISMS为组织建立ISMS提供控制措施的实施指南题号81828384858687888990题号919293949596979899100审核员实施审核的依据以上都不对82. 撤销对信息和信息处理设施的权针对的是（ ）ABC（A）（B）（C）（D）组织雇员离职的情况组织雇员转岗的情况临时任务结束的情况员工出差83.

24、 ISMS绩效测量的开发包括（ ）ABCD（A）（B）（C）（D）选择目标和特性确定分析模型确定分析模型测量指标确定决策准则84. 以下哪几项可以实现和保持对组织资产的适当保护（）ACD（A）（B）（C）（D）形成重要资产，并加以相同设备类型中价值最高的产品确定所有资产的责任人制定合乎公司要求的资产使用规则85. 网络的方式包括（ ）BCD（A）（B）（C）（D）信息搜集信息密取系统控制资源耗尽86. 对于某企业作为IDC备用发电机用油的20吨油库，以下符合GBT 22080-2016标准要求的做法是（ ）AC（A）（B）（C）（D）将油库识别为重要进行风险防控油库的防雷检测不列为ISMS审核

25、范围对备用发电机定期进行带载测试油库通过了当地消防部门的验收，可以代替定期风险评估87. 以下说法不正确的是（ ）ABCD（A）（B）（C）管理体系审核是信息系统审计的一种技术应用的程度决定的分析必须是管理体系认证审核的结论管理体系审核关注的要素组织对（D） 如果组织已获得业务连续性管理体系认证，则估管理体系审核可略过风险评88. 按覆盖的地理范围进行分类，计算机网络可以分为（）ABC（A）（B）（C）（D）局域网城域网广域网区域网89. 以下不符合GB/T22080-2016 A17 要求的是（ ）ABC（A） 银监会规定业务中断后须在4小时内恢复，因此某中断，DB运行中断等，均应在4小时内

26、恢复IT中心规定：如发生网络（B） 某公司所在的市区历来供电稳定，因此统供电机房采用单路市电以及单台UPS为所有系（C） 某金融押运服务公司在A、B两台服务器上安装了押运车实时位置和状态系统，A为日常运行用，系统定期升级，B为备机，平时为冷态，A和B安置于同一机房，共用一套基础设施（D）地某贸易公司每3个月一次将其业务系统中的数据备份一套磁盘，然后送往当保险箱保存。90.（A）（B）哪些（ ）AC信息网络计算机脆弱的信息系统91. 关于风险自评估，下列选项正确的是（ ）ABC（A）（B）（C）（D）由信息系统拥有、运营和使用发起的对本信息系统进行的风险评估周期性的自评估可以在评估流程上适当简化可由发起方实施或委托风险评估服务技术支持方实施由信息系统管理部门组织的风险评估92.以下做法正确的是（ ）AC（A）（B）（C）用（D）使用生产系统