2019年05月ISMS信息安全管理体系审核员考试试题（网友回忆版）

2019年05月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.下列中哪个活动是（江南博哥）组织发生重大变更后一定要开展的活动？（）A.对组织的信息安全管理体系进行变更B.执行信息安全风险评估C.开展内部审核D.开展管理评审参考答案：B[单选题]3.对于外部方提供的软件包，以下说法正确的是：（）A.组织的人员可随时对其进行适用性调整B.应严格限制对软件包的调整以保护软件包的保密性C.应严格限制对软件包的调整以保护软件包的完整性和可用性D.以上都不对参考答案：D[单选题]5.从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A.计算机舞弊B.欺骗或胁迫C.计算机偷窃D.计算机破坏参考答案：B[单选题]6.当获得的审核证据表明不能达到审核目的时，审核组长可以（）A.宣布停止受审核方的生产/服务活动B.向审核委托方和受审核方报告理由以确定适当的措施C.宣布取消末次会议D.以上各项都不可以参考答案：B[单选题]7.在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级。A.3B.4C.5D.6参考答案：C[单选题]8.假如某人向一台远程主机发送特定的数据包，却不想远程主机响应其的数据包，说明此人能使用的是下列哪一种类型的攻击手段？（）A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务参考答案：B[单选题]9.控制影响信息安全的变更，包括（）A.组织、业务活动、信息及处理设施和系统变更B.组织、业务过程、信息处理设施和系统变更C.组织、业务过程、信息及处理设施和系统变更D.组织、业务活动、信息处理设施和系统变更参考答案：B[单选题]10.第三方认证审核时确定审核范围的程序是：（）A.组织提出、与审核组协商、认证机构确认、认证合同规定B.组织申请、认证机构评审、认证合同规定、审核组确认C.组织提出、与咨询机构协商、认证机构确认D.认证机构提出、与组织协商、审核组确认、认证合同规定参考答案：B[单选题]11.以下描述不正确的是（）A.防范恶意和移动代码的目标是保护软件和信息的完整性B.纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C.风险分析、风险评价、风险处理的整个过程称为风险管理D.控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响参考答案：D[单选题]12.ISMS管理评审的输出应包括（）A.可能影响ISMS的任何变更B.以往风险评估没有充分强调的脆弱点或威胁C.风险评估和风险处理计划的更新D.改进的建议参考答案：D[单选题]13.《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A.在客户组织的场所B.在认证机构以网络访问的形式C.以远程视频的形式D.以上都对参考答案：A[单选题]14.审核员在信息安全控制措施评审过程中采用的评审方法不包括（）。A.检查B.访谈C.测试D.暗访参考答案：D[单选题]15.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A.完整性B.可用性C.机密性D.抗抵赖性参考答案：C[单选题]16.第三方认证时的监督审核不一定是对整个体系的审核，以下说法正确的是：（）A.组织获得认证范围内的职能区域可以抽查，但标准条款不可以抽查B.组织获得认证范围内的业务过程可以抽查，但职能区域不可以抽查C.组织获得认证范围内的业务过程和职能区域都不可以抽査，仅标准条款可以抽查D.标准条款可以抽查，但针对内审和管理评审以及持续改进方面的审核不可缺少参考答案：D[单选题]17.下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）A.信息安全方针B.信息安全目标C.风险评估过程记录D.沟通记录参考答案：D[单选题]18.在第三方认证审核时，（）不是审核员的职责A.实施审核B.确定不合格项C.对发现的不合格项采取纠正措施D.验证审核方所采取纠正措施的有效性参考答案：C[单选题]19.《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请A.2年B.3年C.4年D.5年参考答案：D[单选题]20.确定资产的可用性要求须依据（）A.授权实体的需求B.信息系统的实际性能水平C.组织可支付的经济成本D.最髙管理者的决定参考答案：A[单选题]21.下列不属于公司信息资产的有（）A.客户信息B.被放置在IDC机房的服务器C.个人使用的电脑D.审核记录参考答案：D[单选题]22.组织声称满足GB/T22080-2016/ISO/IEC27001-2013标准要求时（）A.可以对正文第八章内容进行删减B.可以对正文第四章到第八章进行删减，删减需要有删减理由C.正文不可以删减，仅能对附录A的控制进行删减，删减需要有删减理由D.标准全文都不可以删减参考答案：C[单选题]23.组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A.审查、任用条款和条件B.管理责任、信息安全意识教育和培训C.任用终止或变更的责任D.以上都不对参考答案：B[单选题]24.关于认证审核报告，以下说法正确的是（）A.审核方案管理人员应确保审核报告得到评审和批准B.审核组长应确保审核报告得到评审和批准C.管理者代表应确保审核报告得到评审和批准D.管理者代表应评审和批准审核报告参考答案：A[单选题]25.安全区域通常的防护措施有（）A.公司前台的电脑显示器背对来访者B.进出公司的访客须在门卫处进行登记C.重点机房安装有门禁系统D.以上全部参考答案：D[单选题]26.末次会议包括（）A.请受审核方确认不符合报告、并签字B.向受审核方递交审核报告C.双方就审核发现的不同意见进行讨论D.以上都不准确参考答案：C[单选题]27.关于《中华人民共和国保密法》，以下说法正确的是：（）A.该法的目的是为了保守国家秘密而定B.该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C.该法适用于所有组织对其敏感信息的保护D.国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护参考答案：A[单选题]28.在每天下午5点使用计算机结束时断开终端的连接属于（）A.外部终端的物理安全B.通信线的物理安全C.窃听数据D.网络地址欺骗参考答案：A[单选题]29.组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A.确定B.制定C.落实D.确保参考答案：A[单选题]30.风险评估的基本过程是怎样的？（）A.识别并评估重要的信息资产，识别各种可能的威胁和严重弱点，最终确定风险B.通过以往发生的信息安全事件，找到风险所在C.风险评估就是对照安全检查单，查看相关的管理和技术措施是否到位D.风险评估并没有规律可循，完全取决于评估者的经验所在参考答案：A[单选题]31.构成风险的关键因素有（）A.人、财、物B.技术、管理和操作C.资产、威胁和弱点D.资产、可能性和严重性参考答案：C[单选题]32.对保密文件复印件张数核对是确保保密文件的（）A.保密性B.完整性C.可用性D.以上全部参考答案：D[单选题]33.关于访问控制策，以下不正确的是：（）A.须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型B.对于多任务访问，一次性赋予全任务权限C.物理区域的管理规定须遵从物理区域的访问控制策D.物理区域访问控制策应与其中的资产敏感性一致参考答案：B[单选题]34.强制访问控制是针对（）等级的信息系统的要求。A.二级（含）以上B.三级（含）以上C.四级（含）以上D.五级参考答案：B[单选题]35.组织应在相关（）上建立信息安全目标A.组织环境和相关方要求B.战和意思C.战和方针D.职能和层次参考答案：D[单选题]36.以下有关访问控制的描述不正确的是（）。A.口令是最常见的验证身份的措施，也是重要的信息资产，需要保护和管理B.系统管理员在给用户分配访问权限时，应该遵循“最小特权原则”，部分配给员工的访问权限只需满足其工作需要的权限，工作之外的权限一律不予分配C.单点登录系统（一次登录/验证，即可访问多个系统）最大的优势是突出了便利性。但是又面临着“把所有鸡蛋放在一个篮子”的风险D.双因子认证（又称强认证）就是一个系统需要两道密码才能进入参考答案：D[单选题]37.风险评价是指（）A.系统地使用信息来识别风险来源和评估风险B.将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C.指导和控制一个组织相关风险的协调活动D.以上都对参考答案：B[单选题]38.认证审核初审时，可以不进行第一阶段审核的条件之一是：（）A.审核组考虑时间效率可用一个阶段审核完成所有的审核准则要求B.审核组长己充分了解受审核方的信息安全管理过程C.受审核方认为一个阶段的审核能完成全部的审核要求D.不允许第一阶段不进行现场审核的情况参考答案：B[单选题]39.关于防范恶意软件，以下说法正确的是：（）A.物理隔断信息系统与互联网的连接即可防范恶意软件B.安装入侵探测系统即可防范恶意软件C.建立白名单即可防范恶意软件D.建立探测、预防和恢复机制以防范恶意软件参考答案：D[单选题]40.关于备份，以下说法正确的是（）A.备份介质应定期进行恢复测试B.如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的C.退化的备份介质一定会影响备份信息的恢复D.备份信息不是管理体系运行记录，不须规定保存期参考答案：A[单选题]41.创建和更新文件化信息时，组织应确保适当的（）。A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准参考答案：D[单选题]42.以下哪一方面不属于在编制信息安全方针时宜考虑的要求（）A.业务战略B.法律、法规和合同C.当前和预期的信息安全威胁环境D.年度财务预算要求参考答案：D[单选题]43.为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。A.服务水平目标（SLO）B.恢复点目标（RPO）C.恢复时间目标（RTO）D.最长可接受终端时间（MAO）参考答案：B[单选题]44.下列哪项不属于技术符合性的评审（）A.渗透测试B.脆弱性评估C.运行系统的检查D.日常设备巡检参考答案：D[单选题]45.关于系统运行日志，以下说法正确的是：（）A.系统管理员负责对日志信息进行编辑、保存B.日志信息文件的保存应纳入容量管理C.日志管理即系统审计日志管理D.组织的安全策应决定系统管理员的活动是否有记入日志参考答案：B[单选题]46.ISMS文件评审需考虑（）A.请受审核方确认ISMS文件审核报告，并签字B.收集信息，以准备审核活动和适当的工作文件C.双方就ISMS文件框架交换不同意见D.以上全部参考答案：B[单选题]47.关于信息安全连续性，以下说法正确的是（）A.信息安全连续性即IT设备运行的连续性B.信息安全连续性应是组织业务连续性的一部分C.信息处理设施的冗余即指两个或多个服务器互备D.信息安全连续性指标由IT系统的性能决定参考答案：B[单选题]48.下列哪项不属于最高管理层用来证实对信息安全管理体系的领导和承诺活动？（）A.确保建立了信息安全策略和信息安全目标，并与组织战略方针一致B.确保将信息安全管理体系要求整合到组织过程中C.促进持续改进D.确保信息安全职责分离参考答案：D[单选题]49.组织应（）A.采取过程的规程安全处置不需要的介质B.采取文件的规程安全处置不需要的介质C.采取正式的规程安全处置不需要的介质D.采取制度的规程安全处置不需要的介质参考答案：C[单选题]50.依据GB/Z20986，信息安全事件的分级为（）A.特别严重事件、严重事件、一般事件B.特别重大事件、重大事件、较大事件、一般事件C.I级、II级、III级、IV级、V级D.严重事件、较严重事件、一般事件参考答案：B[单选题]51.关于信息安全管理体系认证，以下说法正确的是（）A.认证决定人员不宜推翻审核组的正面结论B.认证决定人员不宜推翻审核组的负面结论C.认证机构应对客户组织的ISMS至少进行一次完整的内部审核D.认证机构必须遵从客户组织规定的内部审核和管理评审的周期参考答案：B[单选题]52.信息安全灾备管理中，“恢复点目标”指：（）A.灾难发生后，信息系统或业务功能从停顿到必须恢复的时间B.灾难发生后，信息系统或业务功能项恢复的范围C.灾难发生后，系统和数据必须恢复到的时间点要求D.灾难发生后，关键数据能被复原的范围参考答案：C[单选题]53.管理体系是实现组织目标的方针、（）、指南和相关资源的框架A.目标B.规程C.文件D.记录参考答案：B[单选题]54.《中华人民共和国网络安全法》中要求：网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于（）。A.1个月B.3个月C.6个月D.12个月参考答案：C[单选题]55.信息安全管理中，支持性基础设施指：（）A.供电、通信设施B.消防、防雷设施C.空调及新风系统、水气暖供应系统D.以上全部参考答案：D[单选题]56.以下可认定为审核范围变更的事项是:A.受审核组织增加一个制造场所B.受审核组织职能单元和人员规模增加C.受审核组织业务过程增加D.以上全部参考答案：D[单选题]57.计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序A.内存B.软盘C.存储介质D.网络参考答案：C[单选题]58.在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题A.内容监控B.安全教育和培训C.责任追查和惩处D.访问控制参考答案：B[单选题]59.依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A.列明信息生命周期内关联到的资产，明确其对组织业务的关键性B.完整采用组织的固定资产台账，同时指定资产负责人C.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D.A+B参考答案：A[单选题]60.《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在（）向当地县级以上人民政府公安机关报告A.8小时内B.12小时内C.24小时内D.48小时内参考答案：C[单选题]61.以下哪项不属于脆弱性范畴？（）A.黑客攻击B.操作系统漏洞C.应用程序BUGD.人员的不良操作习惯参考答案：A[单选题]62.计算机信息系统安全专用产品是指：（）A.用于保护计算机信息系统安全的专用硬件和软件产品B.按安全加固要求设计的专用计算机C.安装了专用安全协议的专用计算机D.特定用途（如高保密）专用的计算机软件和硬件产品参考答案：A[单选题]63.下列说法不正确的是（）A.残余风险需要获得管理者的批准B.体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C.所有的信息安全活动都必须记录D.管理评审至少每年进行一次参考答案：A[单选题]64.密码技术不适用于控制下列哪种风险？（）A.数据在传输中被窃取的风险B.数据在传输中被篡改的风险C.数据在传输中被损坏的风险D.数据被非授权访问的风险参考答案：C[单选题]65.系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A.恢复全部程序B.恢复网络设置C.恢复所有数据D.恢复整个系统参考答案：D[单选题]66.信息安全管理体系的设计应考虑（）A.组织的战B.组织的目标和需求C.组织的业务过程性质D.以上全部参考答案：D[单选题]67.在考虑网络安全策时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A.硬件和软件B.技术和制度C.管理员和用户D.物理安全和软件缺陷参考答案：B[单选题]68.为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）A.建立信息安全事件管理的责任B.建立信息安全事件管理规程C.对信息安全事件进行响应D.在组织内通报信息安全事件参考答案：D[单选题]69.数字签名可以有效对付哪一类信息安全风险？A.非授权的阅读B.盗窃C.非授权的复制D.篡改参考答案：D[单选题]70.下列那些事情是审核员不必要做的？（）A.对接触到的客户信息进行保密B.客观公正的给出审核结论C.关注客户的喜好D.尽量使用客户熟悉的表达方式参考答案：C[单选题]71.在规划如何达到信息安全目标时，组织应确定（）A.要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B.要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C.要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D.要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果参考答案：C[单选题]72.下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A.物理入口控制B.开发、测试和运行环境的分离C.物理安全边界D.在安全区域工作参考答案：B[单选题]73.容量管理的对象包括（）A.信息系统内存B.办公室空间和基础设施C.人力资源D.以上全部参考答案：D[单选题]74.信息分类方案的目的是（）A.划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B.划分信息载体所属的职能以便于明确管理责任C.划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析参考答案：C[单选题]75.以下关于认证机构的监督要求表述错误的是（）A.认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B.认证机构的监督方案应由认证机构和客户共同来制定C.监督审核可以与其他管理体系的审核相结合D.认证机构应对认证证书的使用进行监督参考答案：B[单选题]76.相关方的要求可以包括（）A.标准、法规要求和合同义务B.法律、标准要求和合同义务C.法律、法规和标准要求和合同义务D.法律、法规要求和合同义务参考答案：D[单选题]77.下列哪项不是监督审核的目的？（）A.验证认证通过的ISMS是否得以持续实现B.验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C.确认是否持续符合认证要求D.做出是否换发证书的决定参考答案：D[单选题]78.依据GB/T22080-2016/IS（VIEC27001:2013标准，以下说法正确的是（）A.对于进入组织的设备和资产须验证其是否符合安全策，对于离开组织的设备设施则不须验证B.对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证C.对于离开组织的设备和资产须验证相关授权信息D.对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证参考答案：C[单选题]79.信息安全管理体系是用来确定（）A.组织的管理效率B.产品和服务符合有关法律法规程度C.信息安全管理体系满足审核准则的程度D.信息安全手册与标准的符合程度参考答案：C[单选题]80.应定期评审信息系统与组织的（）的符合性。A.信息安全目标和标准B.信息安全方针和策C.信息安全策和制度D.信息安全策和标准参考答案：D[多选题]1.ISMS审核报告的编制应包括（）A.所引用的适用性声明的版本B.对受审核方信息安全风险分析进行的认证审核的说明C.适用性声明中控制措施的合理性和有效性D.法律法规参考答案：ABC[多选题]2.信息安全管理体系审核的范围即A.组织的全部经营管理B.组织的全部信息安全管理范围C.组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息安全管理体系范围D.组织承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系的范围参考答案：CD[多选题]3.关于多现场抽样审核，以下说法正确的是（）A.认证机构的审核方案要在三年内覆盖ISMS认证范围内的代表性样本B.认证机构的审核方案要在三年内覆盖ISMS认证范围内的所有场所C.总部或单个场所发现不符合其纠正措施的实施适用于总部和所有场所D.单个场所发现不符合其纠正措施的实施适用于总部和该单个场所参考答案：AC[多选题]4.组织在进行布缆安全时，宜保证传输数据或支持信息服务的电源布缆免受窃听、干扰或损坏，宜考虑A.进入信息处理设施的电源和通信线路宜在地下，若可能，或提供足够的可替换的保护B.为了防止干扰，电源电缆宜与通信电缆分开C.对于敏感的或关键的系统，宜考虑更进一步的控制D.所有电缆线进行用途标识参考答案：ABC[多选题]5.以下对网络安全管理的描述中，正确的是（）A.安全管理需要对重要网络资源的访问进行监视B.安全管理需要验证用户的访问权限和优先级C.安全管理的操作依赖于设备的类型D.安全管理的目标是保证重要的信息不被未授权的用户访问参考答案：ABD[多选题]6.为了实现在网络上自动标识设备，以下做法正确的是（）A.启用DHCP动态分配IP地址功能B.为网络设备分配固定IP地址C.将每一台计算机MAC与一个IP地址绑定D.采取有效措施禁止修改MAC参考答案：BCD[多选题]7.以下属于信息安全事件的是（）A.软件自身故障B.硬件或外围保障设施自身故障C.人为破坏设备设施事故D.计划的系统维护期间的业务停止参考答案：ABC[多选题]8.认证审核时，对于审核组提出的不符合审核准则的审核发现，以下说法正确的是A.受审核方负责采取纠正措施，纠正措施的实施是审核活动的一部分B.审核组须验证纠正措施的有效性，纠正措施的实施不是审核活动的一部分C.审核组须就不符合项的原因分析提出建议，确定纠正措施是否正确D.采取纠正措施是受审核方的职责，审核组什么都不做参考答案：BC[多选题]9.某公司定期将新聘用员工的应聘资料邮寄总部，资料经密封处理后交予物流公司，并与物流公司签定了保密协议，以下不涉及的条款包括（）A.A.8.2.1B.A.8.2.2C.A.8.3.3D.A.15.1.2参考答案：AB[多选题]10.最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A.确保将信息安全管理体系要求整合到组织过程中B.确保信息安全管理体系所需资源可用C.确保支持相关人员为信息安全管理体系的有效性做出贡献D.确保信息安全管理体系达到预期结果参考答案：ABCD[多选题]11.GB/T22080-2016/ISO/IEC27001:2013标准中A1231条款要求（）A.设定备份策B.定期测试备份介质C.定期备份D.定期测试信息和软件参考答案：ABD[多选题]12.不符合项报告应包括A.不符合事实的描述B.不符合的标准条款及内容C.不符合的原因D.不符合的性质参考答案：ABD[多选题]13.某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）A.行车监控系统B.行车路线信息C.押运人员个人信息D.押运人员用枪支参考答案：ABCD[多选题]14.常规控制图主要用于区分（）A.过程处于稳态还是非稳态B.过程能力的大小C.过程加工的不合格品率D.过程中存在偶然波动还是异常波动参考答案：ABCD[多选题]15.对于审核发现（）A.审核组应根据需要，在审核的适当阶段共同评审审核发现B.根据审核计划和检査表要求，只需记录每个不符合审核发现的审核证据C.应与受审核方一起评审不符合的审核发现，以确认审核证据的准确性，并得到受审核方的理解D.包括正面的和负面的发现参考答案：ACD[多选题]16.在设计和应用安全区域工作规程时，宜考虑（）A.基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B.为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C.使用的安全区域宜上锁并定期予以评审D.经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机参考答案：AB[多选题]17.为控制文件化信息，适用时，组织应强调以下哪些活动？（）A.分发，访问，检索和使用B.存储和保护，包括保持可读性C.控制变更（例如版本控制）D.保留和处理参考答案：ABCD[多选题]18.关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）A.网络关键设备B.网络安全专用产品C.销售前D.投入运行后参考答案：ABC[多选题]19.关于个人信息安全的基本原则，以下正确的是（）A.目的明确原则B.最少够用原则C.同意和选择原则D.公开透明原则参考答案：ABCD[多选题]20.下列哪项属于《认证机构管理办法》中规定的设立认证机构应具备的条件？（）A.具有固定的办公场所和必备设施B.注册资本不得少于人民币600万元C.具有10名以上相应领域的专职认证人员D.具有符合认证认可要求的管理制度参考答案：ACD[多选题]21.组织在风险处置过程中所选的控制措施需（）A.将所有风险都必须被降低到可接受的级别B.可以将风险转移C.在满足公司策和方针条件下有意识、客观地接受风险D.规避风险参考答案：BCD[多选题]22.关于审核委托方，以下说法正确的是：（）A.认证审核的委托方即受审核方B.受审核方是第一方审核的委托方C.受审核方的行政上级作为委托方时是第三方审核D.组织对其外包服务提供方的审核是第二方审核参考答案：BCD[多选题]23.投诉处理过程应包括：（）A.投诉受理、跟踪和告知B.投诉初步评审、投诉调查C.投诉响应、沟通决定D.投诉终止参考答案：ABCD[多选题]24.信息安全管理中，以下属于“按需知悉（need-to-know）”原则的是（）A.根据工作需要仅获得最小的知悉权限B.工作人员仅需要满足工作任务所需要的信息C.工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D.林林林范围是可访问的信息参考答案：AB[多选题]25.某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块，为方便各项目组讨论，公司创建了一个sharefolder，在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是（）A.各项目人员访问该sharefolder需要得到授权B.获得sharefolder访问权者可访问该目录下所有子文件夹C.IT人员与各项目负责人共同定期评审sharefolder访问权D.H人员不定期删除sharefolder数据以释放容量，此活动是容量管理，游戏开发人员不参与参考答案：AC[多选题]26.信息安全管理体系范围和边界的确定依据包括（）A.业务B.组织C.物理D.资产和技术参考答案：ABCD[多选题]27.以下属于信息安全管理体系审核的证据是：（）A.信息系统运行监控中心显示的实时资源占用数据B.信息系统的阈值列表C.数据恢复测试的日志D.信息系统漏洞测试分析报告参考答案：ABCD[多选题]28.信息安全绩效的反馈，包括以下哪些方面的趋势？（）A.不符合和纠正措施B.监视测量的结果C.审核结果D.信息安全方针完成情况参考答案：ABC[判断题]1.实习审核员可以独立完成审核任务。（）A.正确B.错误参考答案：B[判断题]2.组织使用云盘设施服务时，GB/T22080-2016/IS0/IEC27001:2013中A1231条款可以删减。（）A.正确B.错误参考答案：B[判断题]3.《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）A.正确B.错误参考答案：B[判断题]4.当需要时，组织可设计控制，或识别来自任何来源的控制。（）A.正确B.错误参考答案：A[判断题]5.某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）A.正确B.错误参考答案：B[判断题]6.容量管理策可以考虑增加容量或降低容量要求。（）A.正确B.错误参考答案：A[判断题]7.某组织在生产系统上安装升级包前制定了回退计划，这符合GB/T22080-2016/ISO/IEC27001:2013标准A1251条款的要求（）A.正确B.错误参考答案：A[判断题]8.审核方案应包括审核所需的资源，例如交通和食宿。（）A.正确B.错误参考答案：A[判断题]9.组织应持续改进信息安全管理体系的适宜性、充分性和有效性。（）A.正确B.错误参考答案：A[判断题]10.最高管理层应确保方针得到建立。（）A.正确B.错误参考答案：B[问答题]1.如果一个组织的网络管理人员，接到人事部门通知被解职，组织应按照一般的安全策略执行哪些安全措施？参考答案：应主要考虑以下几方面的安全策：1）按A.7.3.1要求应确定任用或变更后仍有效的信息安全责任及其职责，传达给所有员工或合同方并执行。并且在员工、合同方雇佣结束后持续一段时间仍然有效的任用条款和条件2）按A.8.1.4要求所有员工和外部用户在任用、合同或协议终止时，应归还其占用的所有组织资产。3）按A.9.2.2要求应对所有系统和服务的所有类型用户，实现一个正式的用户访问供给过程以分配或撤销访问权。4）按A9.2.6所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时，应予以移除，或在变更时予以调整。5）按A13.2.4要求应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。[问答题]2.审核员在现场审核时，发现公司存有一份软件清单，当询问清单上所列的软件是否都是通过正规途径购买的软件，管理员回答有的是到正规商店，有的是通过网络购买的。如果您是审核员，您会如何审核？参考答案：（1）清单中的软件是否附有正版序列号，序列号是否有重复；（2）到使用处电脑验证，是否是包含在清单中的正版软件[问答题]3.A公司其产品生产加工车间为无人车间，生产系统的运维由厂商MD公司工程师进行，包括系统参数调整、软件升级等。生产部按公司规定在MD公司工程师进行生产区域操作时执行了“物理区域进入授权”、“操作期间全程陪同”等措施，审核员询问MD公司工程师调整系统参数、软件升级是否需要公司授权？生产部经理回答：不需要，因为这套系统就是MD公司的产品，他们比我们更懂。参考答案：不符合GB/T22080-2016中条款A15.2.2