2018年11月ISMS信息安全管理体系审核员考试试题（网友回忆版）

2018年11月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.安全标签是一种访（江南博哥）问控制机制，它适用于下列哪一种访问控制策略？（）A.基本角色的策略B.基于身份的策略C.用户向导的策略D.强制性访问控制策略参考答案：D[单选题]3.文件化信息创建和更新时，组织应确保适当的（）A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准参考答案：D[单选题]5.从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A.计算机舞弊B.欺骗或胁迫C.计算机偷窃D.计算机破坏参考答案：B[单选题]6.残余风险是指:（）A.风险评估前，以往活动遗留的风险B.风险评估后，对以往活动遗留的风险的估值C.风险处置后剩余的风险，比可接受风险低D.风险处置后剩余的风险，不一定比可接受风险低参考答案：D[单选题]7.在规划如何达到信息安全目标时，组织应确定（）A.要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B.要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C.要做什么，需要什么资源，由谁负贵，什么时候完成如何评价结果D.要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果参考答案：C[单选题]8.当获得的审核证据表明不能达到审核目的时，申核组长可以（）A.宣布停止受审核方的生产/服务活动B.向审核委托方和受审核方报告理中以确定适当的措施C.宣布取消末次会议D.以上各项都不可以参考答案：B[单选题]9.风险处置计划，应（）A.获得风险责任人的批准，同时获得对残余风险的批准B.获得最高管理者的批准，同时获得对残余风险的批准C.获得风险部门负责人的批准，同时获得对残余风险的批准D.获得管理者代表的批准，同时获得对残余风险的批准参考答案：A[单选题]10.GB/T22080-2016中所指资产的价值取决于（）A.资产的价格B.资产对于业务的敏感程度C.资产的折损率D.以上全部参考答案：B[单选题]11.虚拟专用网（VPN）的数据保密性，是通过什么实现的？（）A.安全接口层（sSL，SecureSocketsLayer"/>B.风险隧道技术（Tunnelling）C.数字签名D.风险钓鱼参考答案：B[单选题]12.关于《中华人民共和国保密法》，以下说法正确的是:（）A.该法的目的是为了保守国家秘密而定B.该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C.该法适用于所有组织对其敏感信息的保护D.国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护参考答案：A[单选题]13.关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A.指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B.指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C.指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D.指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设，同步使用参考答案：A[单选题]14.对于交接区域的信息安全管理，以下说法正确的是:（）A.对于进入组织的设备设施予以检查验证，对于离开组织的设备设施则不必验证B.对于离开组织的设备设施予以检查验证，对于进入组织的设备设施则不必验证C.对于进入和离开组织的设备设施均须检查验证D.对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证参考答案：C[单选题]15.依据GB/T22080/ISO/1EC27001，关于网络服务的访问控制策略，以下正确的是（）A.没有陈述为禁止访问的网络服务，视为允许方问的网络服务B.对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C.对于允许访问的网络服务，按照规定的授权机制进行授权D.以上都对参考答案：C[单选题]16.组织应（）A.定义和使用安全来保护敏感或关键信息和信息处理没施的区域B.识别和使用安全来保护敏感或关键信息和信息处理没施的区域C.识别和控制安全来保护敏感或关键信息和信息处理没施的区域D.定义和控控安全来保护敏感或关键信息和信息处理没施的区域参考答案：A[单选题]17.关于信息安全产品的使用，以下说法正确的是:（）A.对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B.对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C.对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D.对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞参考答案：B[单选题]18.关于容量管理，以下说法不正确的是（）A.根据业务对系统性能的需求，设置阈值和监视调整机制B.针对业务关键性，设置资源占用的优先级C.对于关键业务，通过放宽阈值以避免或减少报警的干扰D.依据资源使用趋势数据进行容量规划参考答案：C[单选题]19.若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A.静态B.动态C.均可D.静态达到50%以上即可参考答案：A[单选题]20.国家秘密的保密期限应为:（）A.绝密不超过三十年，机密不超过二十年，秘密不超过十年B.绝密不低于三十年，机密不低于二十年，秘密不低于十年C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年参考答案：A参考解析：国家秘密的保密期限，除有特殊规定外，绝密级事项不超过三十年，机密级事项不超过二十年，秘密级事项不超过十年。[单选题]21.关于信息安全管理中的“脆弱性”，以下正确的是:（）A.脆弱性是威胁的一种，可以导致信息安全风险B.网络中“钓鱼”软件的存在，是网络的脆弱性C.允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D.以上全部参考答案：C[单选题]22.组织确定的信息安全管理体系范围应（）A.形成文件化信息并可用B.形成记录并可用C.形成文件和记录并可用D.形成程字化信息并可用参考答案：A[单选题]23.管理者应（）A.制定ISMS方针B.制定ISMS目标和专划C.实施ISMS内部审核D.确保ISUS管理评审的执行参考答案：A[单选题]24.涉及运行系统验证的审计要求和活动，应（）A.谨慎地加以规划并取得批准，以便最小化业务过程的中断B.谨慎地加以规划并取得批准，以便最大化保持业务过程的连续C.谨慎地加以实施并取得批准，以便最小化业务过程的中断D.谨慎地加以实施并取得批准，以便最大化保持业务过程的连续参考答案：A[单选题]25.《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行。A.在客户组织的场所B.在认证机构以网络访向的形式C.以远程视频的形式D.以上都対参考答案：A[单选题]26.口令管理系统应该是（），并确保优质的口令。A.唯一式B.交互式C.专人管理式D.A+B+C参考答案：B[单选题]27.下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应参考答案：D[单选题]28.测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A.ISMS建立阶段B.ISMS实施和运行阶段C.ISMS监视和评审阶段D.ISMS保持和改进阶段参考答案：C[单选题]29.容灾的目的和实质是（）A.数据备份B.系统的C.业务连续性管理D.防止数据被破坏参考答案：C[单选题]30.关于信息安全策略，下列说法正确的是（）A.信息安全策略可以分为上层策略和下层策略B.信息安全方针是信息安全策略的上层部分C.信息安全策略必须在体系建设之初确定并发布D.信息安全策略需要定期或在重大变化时进行评审参考答案：D[单选题]31.主动式射频识别卡（RFID）存在哪一种弱点？（）A.会话被劫持B.被窃听C.存在恶意代码D.被网络钓鱼攻击DR参考答案：B[单选题]32.审核证据是指（）A.与审核准则有关的，能够证实的记录、事实陈述或其他信息B.在审核过程中收集到的所有记录、事实陈述或其他信息C.一组方针、程序或要求D.以上都不对参考答案：A[单选题]33.审核发现是指（）A.审核中观察到的事实B.审核的不符合项C.审核中收集到的审核证据对照审核准则评价的结果D.审核中的观察项参考答案：C[单选题]34.在安全模式下杀毒最主要的理由是（）A.安全模式下查杀病速度快B.安全模式下查杀比较彻底C.安全模式下查杀不连通网络D.安全模式下查杀不容易死机参考答案：B[单选题]35.为信息系统用户注册时，以下正确的是:（）A.按用户的职能或业务角色设定访问权B.组共享用户ID按组任务的最大权限注册C.预设固定用户ID并留有冗余，以保障可用性D.避免频繁变更用户访问权参考答案：A[单选题]36.桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）A.下级管理员无权修改，不可删除B.下级管理员无权修改，可以删除C.下级管理员可以修改，可以删除D.下级管理员可以修改，不可删除参考答案：A[单选题]37.下列哪项对于审核报告的描述是错误的？（）A.主要内容应与末次会议的内容基本一致B.在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成C.正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方D.以上都不对参考答案：A[单选题]38.一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A.电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B.电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C.电子邮件发送前，用投资项问商的私钥数字签名邮件D.电子邮件发送前，用投资顾向商的私钥加密邮件参考答案：C[单选题]39.下面哪一种功能不是防火墙的主要功能？A.协议过滤B.应用网关C.扩展的日志记录能力D.包交换参考答案：D[单选题]40.风险责任人是指（）A.具有责任和权限管理一项风险的个人或实体B.实施风险评估的组织的法人C.实施风险评估的项目负责人或项目任务责任人D.信息及信息处理设施的使用者参考答案：A[单选题]41.以下符合GB/T22080-2016标准A18.1，4条款要求的情况是（）A.认证范围内员工的个人隐私数据得到保护B.认证范围内涉及顾客的个人隐私数据得到保护C.认证范围内涉及相关方的个人隐私数据数据得到保护D.以上全部参考答案：D[单选题]42.以下哪个选项不是ISMS第一阶段审核的目的（）A.获取对组织信息安全管理体系的了解和认识B.了解客户组织的审核准备状态C.为计划2阶段审核提供重点D.确认组织的信息安全管理体系符合标准或规范性文件的所有要求参考答案：D[单选题]43.组织应按照本标准的要求（）信息安全管理体系。A.策划、实现、监视、和持续改进B.建立、实施、监视、和持续改进C.建立、实现、维护、和持续改进D.策划、实施、维护、和持续改进参考答案：C[单选题]44.依据GB/T22080-2016标准，符合性要求包括（）A.知识产权保护B.公司信息保护C.个人隐私的保护D.以上都对参考答案：D[单选题]45.依据《中华人民共和国网络安全法》，以下正确的是（）。A.检测记录网络运行状态的相关网络日志保存不得少于2个月B.检测记录网络运行状态的相关网络日志保存不得少于12月C.检测记录网络运行状态的相关网络8志保存不得少于6个月D.重要数据备份保存不得少于12个月，网络日志保存不得少于6个月参考答案：C[单选题]46.在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素？A.其产品/过程无风险或有低的风险B.客户的认证准备C.仅涉及单一的活动过程D.具有高风险的产品或过程参考答案：D[单选题]47.以下关于认证机构的军督要求表述错误的是（）A.认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B.认证机构的监督方案应由认证机构和客户共同来制定C.监督审核可以与其他管理体系的审核相结合D.认证机构应对认证证书的使用进行监督参考答案：B[单选题]48.最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A.组织建立信息安全策略和信息安全目标，并与组织战略方向一致B.确保建立信息安全策略和信息安全目标，并与组织战略方向一致C.领导建立信息安全策略和信息安全目标，并与组织战略方向一致D.沟通建立信息安全策略和信息安全目标，并与组织战略方向一致参考答案：B[单选题]49.可用性是指（）A.根据授权实体的要求可访问和利用的特性B.信息不能被未授权的个人，实体或者过程利用或知悉的特性C.保护资产的准确和完整的特性D.反映事物真实情况的程度参考答案：A[单选题]50.信息安全事态、事件和事故的关系是（）A.事态一定是事件，事件一定是事故B.事件一定是事故，事故一定是事态C.事态一定是事故，事故一定是事件D.事故一定是事件，事件一定是事态参考答案：D[多选题]1.《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度。A.新闻、出版B.医疗、保健C.知识类D.教育类参考答案：ABD[多选题]2.对于信息安全方针，（）是GB/T22080-2016标准要求的A.信息安全方针应形成文件B.信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D.信息安全方针应定期实施评审参考答案：AD[多选题]3.关于“信息安全连续性”，以下正动的做法包括:（）A.人员、设备、设施、场所等的冗余配置B.定期或实时进行数据备份C.考虑业务关键性确定恢复优先顺序和目标D.有保障信息安全连续性水平的过程和程序文件参考答案：ABCD[多选题]4.《中华人民共和国网络安全法》的宗旨是（）A.维护网络间主权B.维按国家安全C.维护社会公共利益D.保护公民、法人和其他组织的合法权益参考答案：ABCD[多选题]5.对于组织在风险处置过程中所选的控制措施，以下说法正确的是（）A.将所有风险都必须被降低至可接受的级别B.可以将风险转移C.在满足公司策略和方针条件下，有意识、客观地接受风险D.规避风险参考答案：BCD[多选题]6.关于“不可否认性”，以下说法正确的是（）A.数字签名是实现“不可否认性”的有效技术手段B.身份认证是实现“不可否认性”的重要环节C.数字时间戳是“不可否认性”的关键属性D.具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性参考答案：ABCD[多选题]7.常规控制图主要用于区分（）A.过程处于稳态还是非稳态B.过程能力的大小C.过程加工的不合格品率D.过程中存在偶然波动还是异常波动参考答案：ABCD[多选题]8.关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）A.网络关键设备B.网络安全专用产品C.销售前D.投入运行后参考答案：ABC[多选题]9.风险评估过程中威胁的分类一般应包括（）A.软硬件故障、物理环境影响B.无作为或操作失误、管理不到位、越权或滥用C.网络攻击、物理攻击D.泄密、篡改、抵赖参考答案：ABCD[多选题]10.当满足（）时，可考虑使用基于抽样的市法对多场所进行审核A.所有的场所在相同信息安全管理体系中，这些场所被集中管理和审核B.所有的场所在相同信息安全管理体系中，这些场所被分别管理和审核C.所有场所包括在客户组织的内部信息安全管理体系审核方案中D.所有场所包括在客户组织的信息安全管理体系管理评审方案中参考答案：ACD[多选题]11.以下（）活动是ISMS监视预评审阶段需完成的内容。A.实施培训和意识教育计划B.实施ISMS内部审核C.实施ISMS管理评审D.采取纠正措施参考答案：BC[多选题]12.某金融服务公司为其个人注册会员提供了借資金和貸款服务，以下不正确的做法是（）A.公司使用微信群发布，申请借贷的会員背景姿料、借贷额度等进行讨论评审B.公司使用微信群发布公司内部投资策略文件C.公司要求所有员工签署NDA，不得泄露会员背景及具体借贷项目信息D.公司要求员工不得向朋友圏转化其微信群会讨论的信息参考答案：AB[多选题]13.信息安全管理体系审核组的能力包括:（）A.信息安全事件处理方法和业务连续性的知识B.有关有形和无形资产及其影响分析的知识C.风险管理过程和方法的知识D.信息安全管理体系的控制措施及其实施的知识参考答案：ABCD[多选题]14.以下（）活动是ISMS建立阶段应完成的内容A.确定ISMS的范围和边界B.确定ISMS方针C.确定风险评估方法和实施D.实施体系文件培训参考答案：ABC[多选题]15.以下说法不正确的是（）A.顾客不投诉表示顾客满意了B.监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C.顾客满意测评只能通过第三方机构来实施D.顾客不投诉并不意味着顾客满意了参考答案：AC[多选题]16.信息安全管理体系审核应遵循的原则包括:（）A.诚实守信B.保密性C.基于风险D.基于事实的决策方法参考答案：BC[多选题]17.评价信息安全风险，包括（）A.将风险分析的结果与信息安全风险准则进行比较B.确定风险的控制措施C.为风险处置排序以分析风险的优先级D.计算风险大小参考答案：AC[多选题]18.以下做法正确的是（）A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，尽可能使用真实业务案例和数据C.员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D.信息系统管理域内所有的终端启动屏幕保护时间应一致参考答