2021年第二期信息安全管理体系审核员(ISMS)考试题目含解析

2021年第二期信息安全管理体系审核员(ISMS)考试题目一、单项选择题1、对全国密码工作实行统一领导的机构是(）A、中央密码工作领导机构B、国家密码管理部门C、中央国家机关D、全国人大委员会2、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析3、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保4、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对5、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏6、依据ISO/IEC20000-1:2018,服务目录应()A、描述服务及其结果B、由顾客制定C、是合同的一部分D、是统一所有服务描述的汇总7、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划8、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏9、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性10、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证C、对于离开组织的设备和资产须验证相关授权信息D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证11、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对12、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部13、对于外部方提供的软件包，以下说法正确的是：（）A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对14、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型15、确定资产的可用性要求须依据（）。A、授权实体的需求B、信息系统的实际性能水平C、组织可支付的经济成本D、最高管理者的决定16、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）A、所需审核组能力的要求B、客户组织的准备程度C、所需能力的审核组成员D、客户组织的场所分布17、根据GB/T22080-2016标准的要求，组织（）实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔18、不属于常见的危险密码是（）A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10位的综合型密码19、经过风险处理后遗留的风险是（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险20、根据GB/T22080-2016中控制措施的要求，关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径21、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密22、IT部门中的所有服务是否都要包含在认证范围以内？（）A、是的，整个范围的服务都要包含在认证范围之内B、只有当其都被提供给相同的客户群体时C、不，该范围可限制为服务的子集D、取决于该服务为内部提供还是外部提供23、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定24、运行SMS和服务所裾的资源包括()A、人员、技术、信息和资产B、人员、技术、材料和资金C、人员、技术、信息和资金D、人员、资产、信息和资金25、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对26、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价27、服务连续性管理中,恢复时间目标指（）A、IT服务复原到正常工作状态的时间B、IT服务复原到约定的最低可用性水平的时间C、关键服务恢复到约定的最低可用性水平的时间D、基础设施服务恢复到约定的可用性的时间28、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准29、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用30、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改31、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷32、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性33、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析34、关于文件管理下列说法错误的是（）A、文件发布前应得到批准，以确保文件是适宜的B、必要时对文件进行评审、更新并再次批准C、应确保文件保持清晰，易于识别D、作废文件应及时销毁，防止错误使用35、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部36、安全区域通常的防护措施有（）A、公司前台的电脑显示器背对来访者B、进出公司的访客须在门卫处进行登记C、重点机房安装有门禁系统D、以上全部37、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单38、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性39、根据GB/Z20986《信息安全技术信息安全事件分类分级指南》，对于违法行为的通报批评处罚，属于行政处罚中的（）A、资格罚B、人身自由罚C、财产罚D、声誉罚40、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审二、多项选择题41、访问控制包括()A、网络和网络服务的访问控制B、逻辑访问控制C、用户访问控制D、物理访问控制42、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处理43、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施44、信息安全管理体系审核应遵循的原则包括:（）A、诚实守信B、保密性C、基于风险D、基于事实的决策方法45、关于“信息安全连续性”，以下正确的做法包括:（）A、人员、设备、设施、场所等的冗余配置B、定期或实时进行数据备份C、考虑业务关键性确定恢复优先顺序和目标D、有保障信息安全连续性水平的过程和程序文件46、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处置47、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估48、以下说法不正确的是（）A、信息安全管理体系审核是信息系统审计的一种B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估49、以下做法正确的是（）A、使用生产系统数据测试时，应先将数据进行脱敏处理B、为强化新员工培训效果，应尽可能使用真实业务案例和数据C、员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致50、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类51、对于组织在风险处置过程中所选的控制措施，以下说法正确的是（）A、将所有风险都必须被降低至可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下，有意识、客观地接受风险D、规避风险52、依据GB/T22080，经管理层批准，定期评审的信息安全策略包括（）A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略53、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖54、在未得到授权的前提下，以下属于信息安全“攻击”的是:（）A、盗取、暴露、交更资产的行为B、破坏或使资产失去预期功能的行为C、访问,使用资产行为D、监视和获取资产使用状态信息的行为55、对于信息安全方针,（）是GB/T22080-2016标准要求的(分数:10.00分)A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审三、判断题56、不同组织有关信息安全管理体系文件化信息的详略程度应基本相同。（）正确错误57、ISO/IEC27006是ISO/IEC17021的相关要求的补充。(）正确错误58、风险处置计划和信息安全残余风险应获得最高管理者的接受和批准。正确错误59、《中华人民共和国网络安全法》中明确，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每两年至少进行一次检测评估。（）正确错误60、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）正确错误61、实习审核员可以独立完成审核任务。（）正确错误62、组织应持续改进信息安全管理体系的适宜性、充分性和有效性（）正确错误63、《中华人民共和国网络安全法》是2017年1月1日开始实施的（）正确错误64、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）正确错误65、IT系統日志信息保存所需的資源不属于容量管理的范围（）正确错误

参考答案一、单项选择题1、A2、C解析:信息分级的目的确保信息按照其对组织的重要程度受到适当水平的保护。对比四个选项，c项更能突出对组织的重要程度，故选C3、A解析:理解组织及其环境4、A5、B6、A7、C8、B9、A10、C11、A12、D13、D解析:应严格限制对软件包的调整以保护其完整性14、A15、A解析:资产在可用性上的不同要求，依据授权实体的需求而定，故选A16、C17、A18、D19、D20、C21、A22、C23、D24、C25、C26、D27、C28、B解析:iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。cnas-cc1702认证规范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms认证的依据，故选B29、A30、D31、B32、C33、C34、D35、D36、D37、D38、C39、D40、B二、多项选择题41、B,D42、A,B,C解析:风险评估包括风险辨识、风险分析、风险评价三个步骤。1.风险辨识。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。2.风险分析。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险