2019年11月《ISMS信息安全管理体系审核员》真题及答案

内容为网上收集整理，如有侵权请联系删除内容为网上收集整理，如有侵权请联系删除内容为网上收集整理，如有侵权请联系删除2019年11月《ISMS信息安全管理体系审核员》真题及答案一、单项选择题(总题数:50,分数:50.0分)

1、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）

A、禁止安装未列入白名单的软件

B、禁止使用通过互联网下载的免费软件

C、禁止安装未经验证的软件包

D、禁止软件安装超出许可权规定的最大用户数

答案:D

2、关于访问控制，以下说法正确的是（）

A、防火墙基于源IP地址执行网络访问控制

B、三层交换机基于MAC实施访问控制

C、路由器根据路由表确定最短路径

D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件

答案:C

3、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）

A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务

B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接

C、对于允许访问的网络服务，按照规定的授权机制进行授权

D、以上都对

答案:C

4、最高管理者应（）。

A、确保制定ISMS方针

B、制定ISMS目标和计划

C、实施ISMS内部审核

D、主持ISMS管理评审

答案:D

5、风险评估过程一般应包括（）

A、风险识别

B、风险分析

C、风险评价

D、以上全部

答案:D

6、下列哪项对于审核报告的描述是错误的？（）

A、主要内容应与末次会议的内容基本一致

B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成

C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方

D、以上都不对

答案:A

7、对于获准认可的认证机构，认可机构证明（）

A、认证机构能够开展认证活动

B、其在特定范围内按照标准具有从事认证活动的能力

C、认证机构的每张认证证书都符合要求

D、认证机构具有从事相应认证活动的能力

答案:B

8、依据《中华人民共和国网络安全法》，以下说法不正确的是（）

A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息属于个人信息

B、自然人的身份证号码、电话号码属于个人信息

C、自然人的姓名、住址不属于个人信息

D、自然人的出生日期属于个人信息

答案:C

9、进入重要机构时，在门卫处登记属于以下哪种措施？（）

A、访问控制

B、身份鉴别

C、审计

D、标记

答案:B

10、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是

A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用

C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用

D、以上都不对

答案:A

11、关于顾客满意，以下说法正确的是：（）

A、顾客没有抱怨，表示顾客满意

B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意

C、顾客认为其要求己得到满足，即意味着顾客满意

D、组织认为顾客要求己得到满足，即意味着顾客满意

答案:C

12、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。

A、做好资产分类是其基础

B、采用组织固定资产台账即可

C、无需关注资产产权归属者

D、A+B

答案:A

13、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

答案:B

14、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要()

A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）

B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）

C、在指纹识别的基础上增加口令保护

D、保护非授权用户不可能访问到关键数据

答案:A

15、组织应（）

A、分离关键的职责及责任范围

B、分离冲突的职责及贵任范围

C、分离重要的职责及责任范围

D、分离关联的职责及责任范围

答案:B

解析:

根据GB/T22080-2016标准A6,1,2原文：应分离冲突的职责及其贵任范围，以减少未授权或无意的修改或者不当使用组织资产的机会

16、关于入侵检测，以下不正确的是：（）

A、入侵检测是一个采集知识的过程

B、入侵检测指信息安全事件响应过程

C、分析反常的使用模式是入侵检测模式之一

D、入侵检测包括收集被利用脆弱性发生的时间信息

答案:B

17、描述组织采取适当的控制措施的文档是（）

A、管理手册

B、适用性声明

C、风险处置计划

D、风险评估程序

答案:B

18、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）

A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值

B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值

C、电子邮件发送前，用投资顾问商的私钥数字签名邮件

D、电子邮件发送前，用投资顾问商的私钥加密邮件

答案:C

19、安全扫描可以实现（）

A、弥补由于认证机制薄弱带来的问题

B、弥补由于协议本身而产生的问题

C、弥补防火墙对内网安全威胁检测不足的问题

D、扫描检测所有的数据包攻击分析所有的数据流

答案:C

20、当获得的审核证据表明不能达到审核目的时，审核组长可以（）

A、宣布停止受审核方的生产/服务活动

B、向审核委托方和受审核方报告理由以确定适当的措施

C、宣布取消末次会议

D、以上都不可以

答案:B

21、在形成信息安全管理体系审核发现时，应（）。

A、考虑适用性声明的完备性和可用性

B、考虑适用性声明的完备性和合理性

C、考虑适用性声明的充分性和可用性

D、考虑适用性声明的充分性和合理性

答案:B

22、信息系统的变更管理包括（）

A、系统更新的版本控制

B、对变更申请的审核过程

C、变更实施前的正式批准

D、以上全部

答案:D

23、拒绝服务攻击损害了信息系统哪一项性能（）

A、完整性

B、可用性

C、保密性

D、可靠性

答案:B

24、经过风险处理后遗留的风险通常称为（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

答案:D

25、我国网络安全等级保护共分几个级别？（）

A、7

B、4

C、5

D、6

答案:C

26、完整性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、以上都不对

答案:C

27、第三方认证审核时，对于审核提出的不符合项，审核组应：()

A、与受审核方共同评审不符合项以确认不符合的条款

B、与受审核方共同评审不符合项以确认不符合事实的准确性

C、与受审核方共同评审不符合以确认不符合的性质

D、以上都对

答案:B

28、关于信息安全策略，下列说法正确的是（）

A、信息安全策略可以分为上层策略和下层策

B、信息安全方针是信息安全策略的上层部分

C、信息安全策略必须在体系建设之初确定并发布

D、信息安全策略需要定期或在重大变化时进行评审

答案:D

29、关于技术脆弱性管理，以下说法正确的是：（）

A、技术脆弱性应单独管理，与事件管理没有关联

B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小

C、针对技术脆弱性的补丁安装应按变更管理进行控制

D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径

答案:C

30、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评

A、半年

B、1年

C、1,5年

D、2年

答案:D

31、在现场审核结束之前，下列哪项活动不是必须的？（）

A、关于客户组织ISMS与认证要求之间的符合性说明

B、审核现场发现的不符合

C、提供审核报告

D、听取客户对审核发现提出的问题

答案:C

32、()可用来保护信息的真实性、完整性

A、数字签名

B、恶意代码

C、风险评估

D、容灾和数据备份

答案:A

33、物理安全周边的安全设置应考虑：（）

A、区域内信息和资产的敏感性分类

B、重点考虑计算机机房，而不是办公区或其他功能区

C、入侵探测和报警机制

D、A+C

答案:D

34、保密协议或不泄露协议至少应包括：（）

A、组织和员工双方的信息安全职责和责任

B、员工的信息安全职责和责任

C、组织的信息安全职责和责任

D、纪律处罚规定

答案:A

35、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）

A、三级

B、二级

C、四级

D、五级

答案:A

36、容量管理的对象包括（）

A、服务器内存

B、网络通信带宽

C、人力资源

D、以上全部

答案:D

37、下列措施中，（）是风险管理的内容。

A、识别风险

B、风险优先级评价

C、风险处置

D、以上都是

答案:D

38、设备维护维修时，应考虑的安全措施包括：（）

A、维护维修前，按规定程序处理或清除其中的信息

B、维护维修后，检查是否有未授权的新增功能

C、敏感部件进行物理销毁而不予送修

D、以上全部

答案:D

39、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）

A、该标准是指南类标准

B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南

C、该标准给出了ISMS的实施指南

D、该标准的名称是《信息技术安全技术信息安全管理实用规则》

答案:D

40、信息安全控制目标是指：（)

A、对实施信息安全控制措施拟实现的结果的描述

B、组织的信息安全策略集的描述

C、组织实施信息安全管理体系的总体宗旨和方向

D、A+B

答案:A

41、下列不属于取得认证机构资质应满足条件的是（）。

A、取得法人资格

B、有固定的场所

C、完成足够的客户案例

D、具有足够数量的专职认证人员

答案:C

42、GB/T22080标准中所指资产的价值取决于（）

A、资产的价格

B、资产对于业务的敏感度

C、资产的折损率

D、以上全部

答案:B

43、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果

B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果

C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果

D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果

答案:D

44、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限

B、分配岗位与权限

C、分配责任和权限

D、分配角色和权限

答案:C

45、关于文件管理下列说法错误的是（）

A、文件发布前应得到批准，以确保文件是适宜的

B、必要时对文件进行评审、更新并再次批准

C、应确保文件保持清晰，易于识别

D、作废文件应及时销毁，防止错误使用

答案:D

46、以下不属于信息安全事态或事件的是：

A、服务、设备或设施的丢失

B、系统故障或超负载

C、物理安全要求的违规

D、安全策略变更的临时通知

答案:D

47、关于信息安全连续性，以下说法正确的是：

A、信息安全连续性即FT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

答案:B

48、信息安全管理体系中提到的“资产责任人”是指:()

A、对资产拥有财产权的人

B、使用资产的人

C、有权限变更资产安全属性的人

D、资产所在部门负责人

答案:C

49、对于较大范围的网络，网络隔离是：（）

A、可以降低成本

B、可以降低不同用户组之间非授权访问的风险

C、必须物理隔离和必须禁止无线网络

D、以上都对

答案:B

50、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态

A、信息安全事态

B、信息安全事件

C、信息安全事故

D、信息安全故障

答案:A

二、多项选择题(总题数:20,分数:20.0分)

51、关于审核委托方，以下说法正确的是：（）

A、认证审核的委托方即受审核方

B、受审核方是第一方审核的委托方

C、受审核方的行政上级作为委托方时是第二方审核

D、组织对其外包服务提供方的审核是第二方审核

答案:B,C,D

52、管理评审的输入应包括（）。

A、相关方的反馈

B、不符合和纠正措施

C、信息安全目标完成情况

D、业务连续性演练结果

答案:A,B,C

53、下面哪一条措施可以防止数据泄漏（)

A、数据冗余

B、数据加密

C、访问控制

D、密码系统

答案:B,C,D

54、计算机信息系统的安全保护，应保障（）

A、计算机及相关配套设施的安全

B、网络安全

C、运行环境安全

D、计算机功能和正常发挥

答案:A,B,C,D

55、关于云计算服务中的的安全，以下说法不正确的是（）。

A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则

B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则

C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则

D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则

答案:A,B,D

56、不同组织的ISMS文件的详略程度取决于（）

A、文件编写人员的态度和能力

B、组织的规模和活动的类型

C、人员的能力

D、管理系统的复杂程度

答案:B,C,D

57、以下（）活动是ISMS监视预评审阶段需完成的内容

A、实施培训和意识教育计划

B、实施ISMS内部审核

C、实施ISMS管理评审

D、采取纠正措施

答案:B,C

58、关于审核发现，以下说法正确的是：（）

A、审核发现是收集的审核证据对照审核准则进行评价的结果

B、审核发现包括正面的和负面的发现

C、审核发现是审核结论的输入

D、审核发现是制定审核准则的依据

答案:A,B,C

59、以下说法正确的是（）

A、顾客不投诉表示顾客满意了

B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价

C、顾客满意测评只能通过第三方机构来实施

D、顾客不投诉并不意味着顾客满意了

答案:B,D

60、关于涉密信息系统的管理，以下说法正确的是：（)

A、涉密计算机、存储设备不得接入互联网及其他公共信息网络

B、涉密计算机只有采取了适当防护措施才可接入互联网

C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载

D、涉密计算机未经安全技术处理不得改作其他用途

答案:A,C,D

61、第二阶段审核中，应重点审核被审核单位的（）。

A、最高管理者的领导力

B、与信息安全有关的风险

C、基于风险评估和风险处置过程

D、ISMS有效性

答案:A,B,C,D

62、“云计算机服务”包括哪几个层面？（）

A、Paas

B、SaaS

C、IaaS

D、PIIS

答案:A,B,C

63、《中华人民共和国网络安全法》的宗旨是（）

A、维护网络空间主权

B、维护国家安全

C、维护社会公共利益

D、保护公民、法人和其他组织的合法权益

答案:A,B,C,D

64、风险处置的可选措施包括（）。

A、风险识别

B、风险分析

C、风险转移

D、风险减缓

答案:C,D

65、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是（）

A、与N签署协议规定服务级别及安全要求

B、在对N公司人员服务时，接入M公司的移动电脑事前进行安全扫描

C、将多张核心机房门禁卡统一登记在N公司项目组组长名下，由其按需发给进入机房的N公司人员使用

D、对N公司带入带出机房的电脑进行检查登记，硬盘和U盘不在此检查登记范围内

答案:A,B

66、以下属于访问控制的是（)。

A、开发人员登录SVN系统，授予其与职责相匹配的访问权限

B、防火墙基于IP过滤数据包

C、核心交换机根据IP控制对不同VLAN间的访问

D、病毒产品査杀病毒

答案:A,C

67、对风险安全等级三级及以上系统，以下说法正确的是（）。

A、采用双重身份鉴别机制

B、对用户和数据采用安全标记

C、系统管理员可任意访问日志记录

D、三年开展一次网络安全等级测评工作

答案:A,B

68、GB/T22080-2016/ISO/IEC27001:2013标准可用于（）

A、指导组织建立信息安全管理体系

B、为组织建立信息安全管理体系提供控制措施的实施指南

C、审核员实施审核的依据

D、以上都不对

答案:A,C

69、某组织在酒店组织召开内容敏感的会议，根据GB/T22080-2016/ISO/IEC27001:2013标准，以下说法正确的是（）

A、会议开始前及持续期间开启干扰机，这符合A11,2的要求

B、进入会议室人员被要求手机不得带入，这符合A11,1的要求

C、对于可进入会议室提供茶水服务的酒店服务生进行筛选，这符合A11,