ISO27001内审员考试题题库及答案

ISO27001内审员考试题一、选择题1、下列不是适用性声明所要包括的内容是（）[单选题]*A、附录A中选择的控制目标和控制措施，以及选择的理由B、GB/T22080-2008条款的要求√C、当前实施的控制目标和控制措施D、对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明2、依据GB/T22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是（）A、业务战略B、法律法规要求C、合同要求D、以上全部√3、风险评估过程一般应包括（）[单选题]*A、风险识别B、风险分析C、风险评价D、以上都是√4、依据GB/T22080/ISO/IEC27001，以下符合责任分割原则的是:（）[单选题]*A、某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己配置了各个机房的不限时门禁权限。B、某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由另外5位副总到场分别输入自己的口令然后完成授权。√C、某公司制定了访问权限列表，信息系统权限分配为:董事长拥有全部权限，其次为副总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限。D、以上均符合责任分割原则。5、资产是指对组织有（）的任何东西[单选题]*A、价值√B、使用价值C、有形价值D、无形价值6、依据GB/T22080/ISO/IEC27001,建立资产清单即（）:[单选题]*A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性。B、完整采用组织的固定资产台账，同时指定资产责任人。C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高。D、A+B√7、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是:（）[单选题]*A、划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘。√B、划分信息载体所属的职能以便于明确管理责任。C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则。D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析。8、以下不正确说法是:（）[单选题]*A、保留含有敏感信息的介质的处置记录B、将大量含有信息的介质汇集在一起时提高其集体敏感性等级。C、将所有的已用过一遍的复印纸分配各部门复用以符合组织的节能策略。√D、根据风险评估的结果将转移更换下列的磁盘交第三方进行处置。9、可用性是指（）[单选题]*A、根据授权试题的要求可访问和利用的特性√B、信息不被未授权的个人、实体或过程利用或窃取的特性C、保护资产准确和完整的特性D、反映事物真实情况的程度10、信息安全是保证信息的保密性、完整性、（）。[单选题]*A、充分性B、适宜性C、可用性√D、有效性11、关于访问控制策略，以下不正确的是:（）[单选题]*A、应考虑被访问课题的敏感性分类，访问主题的授权方式、时限和访问类型B、对于多任务访问，一次性赋予全任务权限√C、物理区域的管理规定应遵从控制的访问控制策略D、物理区域访问控制策略应与其中的资产敏感性一致12、ISMS是基于组织的（）风险角度建立的[单选题]*A、整体业务√B、财务部门C、资产安全D、信息部门13、为信息系统用户注册时，以下正确的是:（）[单选题]*A、按用户的职能或业务角色设定访问权√B、组共享用户ID按组任务的最大权限注册C、预授权用户ID并保有冗余，以保障可用性D、避免频繁变更用户访问权14、风险评估过程一般应包括（）[单选题]*A、风险识别B、风险分析C、风险评价D、a+b+c√15、ISMS有效性的定期评审应考虑（）、事故、有效性策略结果等内容[单选题]*A、识别风险B、风险评价C、风险评估方法D、安全评审结果√16、下列不是安全要求的来源有（）[单选题]*A、通过风险评估获得B、法律、法规和合同要求C、出事故后的评价√D、组织需要的结果处理的特定原则、目标和要求17、关于特权访问，一下说法正确的是:（）[单选题]*A、特权访问用户通常包含顾客B、特权访问用户必须包含最高管理者C、特权访问用户的访问权限最大权限原则的的应用D、特殊访问权应与其职能角色一致√18、关于用户访问权，以下做法正确的是:（）[单选题]*A、用户职位变更时，其原访问权应终止或撤销√B、抽样进行针对信息系统用户访问权的定期评审C、组织主动解聘员工时等不必复审员工访问权D、使用监控系统可替代用户访问权评审19、防止计算机中信息被窃采取的手段不包括（）[单选题]*A、用户识别B、权限控制C、数据加密D、病毒控制√20、口令管理系统应该是（），并确保优质的口令[单选题]*A、)唯一式B、)交互式√C、)专人管理式D、)a+b+c21、关于信息系统登录口令的管理，以下说法不正确的是:（）[单选题]*A、)必要时，使用密码技术，生物特征等代替口令B、)用提示信息告知用户输入的口令是否正确√C、)名曲告知用户应遵从的优质口令策略D、)使用互动式管理确保用户使用优质口令22、一个信息安全事件由单个的或一系列的有（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大的可能性。[单选题]*A、)已经发生B、)可能发生C、)意外√D、)a+b+c23、对于可能超越系统和应用控制的实用程序，以下做法正确的是:（）[单选题]*A、)实用程序的使用不在审计范围内B、)建立禁止使用的实用程序清单C、)紧急响应时所使用的实用程序不需要授权D、)建立、授权机制和许可使用的实用程序清单√24、关于密码技术和密码产品，以下说法正确的是:（）[单选题]*A、)未经批准，禁止出口密码技术和密码产品，但进口不受限B、)未经许可，禁止销售商用密码产品，但自行研发供自行使用不受限C、未经指定，禁止生产商用密码产品D、密码技术和密码产品均是国家秘密，需实行专控管理√25、物理安全周边的安全设置应考虑:（）[单选题]*A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C√26、以下哪一项不属于物理入口控制的措施:（）[单选题]*A、仅允许佩戴规定类型工牌的人员进入B、入口处使用指纹识别系统C、仅允许穿戴规定防护服的人员进入√D、保安核实来访人员的登记信息27、《中华人民共和国保守国家秘密法》规定国家秘密的密级分为绝密、（）、秘密三级[单选题]*（A）机密√（B）要密（C）保密（D）隐秘28、信息系统的变更管理不包括:（）[单选题]*A、软件的升级B、系统硬件以旧换新C、系统终端设备物理位置变更D、以上全部√29、以下说法不正确的是（）[单选题]*A、应考虑组织架构与业务目标的变化对风险评估结果进行在评审。B、应考虑以往未充分识别的威胁对风险评估结果进行再评审。C、生产部增加的新的生产流水线对信息安全风险无影响。√D、安全计划应适时更新30、以下属于安全办公区域控制的措施是:（）[单选题]*A、敏感信息处理设施避免放置在和外部方共用的办公区√B、显著标记“敏感档案存储区，闲人免进”标识牌C、告知全体员工敏感区域的位置信息，教育员工保护其安全D、以上都对31、对于交接区域的信息安全管理，以下说法正确的是（）[单选题]*A、对于进入组织的设备设施予以检查验证，对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证，对于进入组织的设备设施不必验证C、对于进入和离开组织的设备设施均须检查验证√D、对于进入和离开组织的设备设施，验证携带者身份信息，可替代对设备设施的验证32、信息安全管理中，支持性基础设施指:（）[单选题]*A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部√33、设备维护维修时，应考虑的安全措施包括:（）[单选题]*A、维护维修前，按规定程序处理或清除其中的信息B、维护维修后，检查是否有未授权的新增功能C、敏感部件进行物理销毁而不予送修D、以上全部√34、信息安全管理中，变更管理应予以控制的风险包括:（）[单选题]*A、组织架构、业务流程变更的风险B、信息系统配置、物理位置变更的风险C、信息系统新的组件、功能模块发布的风险D、以上全部√35、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包括在（）的合同中。[单选题]*（A）雇员（B）承包方人员（C）第三方人员（D）a+b+c√36、容量管理的对象包括:（）[单选题]*A、信息系统内存B、办公室空间和基础设施C、人力资源D、A+B+C√37、关于防范恶意软件，以下说法正确的是:（）[单选题]*A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立授权软件白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件√38、关于备份，以下说法正确的是:（）[单选题]*A、备份介质应定期进行恢复测试√B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放时可接受的C、备份介质的退化是质量管理体系的范畴D、备份信息不是管理体系运行记录，不须规定保存期39、为确保信息资产的安全，设备、信息或软件在（）之前不应带出组织场所。[单选题]*A、使用B、授权√C、检查合格D、识别出薄弱环节40、关于系统运行日志，以下说法正确的是:[单选题]*A、系统管理员负责对日志信息进行编辑、保持√B、日志信息文件的保存应纳入容量管理C、日志管理及系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否记入日志41、组织机构在建立和评审ISMS时，应考虑（）[单选题]*A、风险评估的结果B、管理方案C、法律、法规和其他要求D、)A+C√42、在运行系统上安装软件，以下说法不正确的是:（）[单选题]*A、对于复杂的系统应采取分步部署的策略B、应在安装前在隔离的环境中完成验收测试C、应在安装前完成单元测试，随之进行安装然后进行验收测试√D、安装运行后应评审对关键业务应用的影响43、关于技术脆弱性管理，以下说法正确的是:（）[单选题]*A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制√D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径44、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。[单选题]*A、内容监控B、安全教育和培训√C、责任追查和惩处D、访问控制45、依据GB/T22080/ISO/IEC27001，信息系统审计是（）[单选题]*A、发现信息系统脆弱性的手段之一√B、应在系统运行期间进行，以便于准确地发现弱电C、审计工具在组织内应公开可获取，以便于提升员工的能力D、只要定期进行，就可以替代内部ISMS审核46、对于较大范围的网络，网络隔离是:（）[单选题]*A、可以降低成本B、可以降低不同用户组之间非授权访问的风险√C、必须物理隔离和必须禁止无线网络D、以上都对47、以下不属于可降低信息传输中的信息安全风险的措施是:（）[单选题]*A、规定使用通信设施的限制规则B、使用铠甲线缆以及数据加密C、双路供电以及定期测试备份电机√D、记录物理介质运输全程的交接信息48、网络的不安全因素有（）[单选题]*A、非授权用的非法存取和电子窃听B、计算机病毒的入侵C、网络黑客D、以上都是√49、某台服务器在每个月150小时工作时间内正常工作时间为145小时，该服务器的可用性为（）[单选题]*（A）145/295（B）150/295（C）145/150√（D）150/14550、灾难备份中心指（）[单选题]*A、发生灾难性时间时可以继续完成备份过程的场所B、灾难发生后接替主系统进行数据处理和支持关键业务功能运行的场所√C、为应对灾难性事件实时备份活动的场所D、以上都对51、以下属于信息安全管理体系审核发现的是（）[单选题]*A、审核员看到的物理入口控制方式B、审核员看到的信息系统资源C、审核员看到的移动介质的使用与安全策略的符合性√D、审核员看到的项目质量保证活动52、依据GB/T22080/ISO/IEC27001，信息安全管理体系文件应包括:（）[单选题]*A、ISMS的范围，适用性声明B、风险评估报告和风险处置计划C、风险评估方法D、以上全部√53、依据CB/T22080/ISO/IEC27001，以下表明符合资产管理原则的是（）[单选题]*A、将人作为重要资产管理，人的职务级别越高，资产价值赋值越高B、存储介质作为资产管理，资产价值的赋值介质中各类信息价值的平均C、信息系统处理涉密信息时，将信息系统密码标记为所处理的信息的最高密级√D、高端服务器因市场价值高，因此资产价值赋值高54、风险责任人是指:（）[单选题]*A、具有责任和权限管理一项风险的个人或实体√B、实施风险评估的组织的法人C、实施风险评估的项目负责人或项目任务责任人D、信息及信息处理设施的使用者55、关于ISO/IEC27002标准，以下说法正确的是:（）[单选题]*A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据√C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISO/IEC27000的支持性标准56、信息安全控制目标是指:（）[单选题]*A、对实施信息安全控制措施拟实现的结果的描述√B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B57、残余风险是指:（）[单选题]*A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低√58、信息安全风险（R）计算中涉及脆弱性（V），以下说法正确的是:（）[单选题]*A、脆弱性是资产性质决定的固有的弱点，其赋值不变B、如果当前控制措施有效，资产脆弱性赋值可以降低√C、控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系D、只要威胁存在，脆弱性就存在，二者的赋值同向增减59、以下哪个场景表明了对保密性的保护?（）[单选题]*A、将含有敏感信息的介质集中在一个地方存放B、组织安全策略中规定所有的变更必须得到评审、批准和授权C、针对某一系统服务，用户只有在通过了指纹验证，才可在允许的时间段使用√D、为计算机机房配备双路供电、UPS电源、柴油发动机等多重保障措施60、关于信息安全风险评估，以下说法正确的是:（）[单选题]*A、如果集团企业的各地分/子公司业务性质相同，则针对一个分/子公司识别评价风险即可，其风险评估过程和结果文件其他分/子公司可直接采用，以节省重复识别和计算的工作量B、风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性C、组织应基于其整体业务活动所在的环境和风险考虑其ISMS的设计√D、以上都对二、多选题1.投诉处理过程应包括（）[多选题]*A、投诉受理、跟踪和告知√B、投诉初步评审，投诉调查√C、投诉响应、沟通决定√D、投诉终止√2.以下属于“信息处理设施”的是（）[多选题]*A、信息处理系统√B、与信息处理相关的服务√C、与信息处理相关的设备√D、安置信息处理设备的物理场所预设值√3.在未得到授权的前提下，以下属于信息安全“攻击”的是（）[多选题]*A、盗取、暴露、变更资产的行为√B、破坏、或使资产失去预期功能的行为√C、访问、使用资产的功能√D、监事和获取资产使