2021年第三期ISMS审核员模拟试题-信息安全管理体系含解析

2021年第三期ISMS审核员模拟试题—信息安全管理体系一、单项选择题1、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性2、Saas是指(）A、软件即服务B、服务平台即月勝C、服务应用即服务D、服务瞇即服务3、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対4、变更请求为提出针对服务、（）或IT服务管理体系（ITSMS）的变更建议A、服务组件B、服务软件C、配置项D、配置管理数据库5、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力6、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育7、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析8、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密9、被黑客控制的计算机常被称为(）A、蠕虫B、肉鸡C、灰鸽子D、木马10、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保11、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督12、下列管理评审的方式，哪个不满足标准的要求?(）A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审13、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、202114、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼15、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价16、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式17、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部18、系统备份与普通数据备份的不同在于，它不仅备份系统屮的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统19、下列()不是创建和维护测量要执行的活动。A、开展测量活动B、识别当前支持信息需求的安全实践C、开发和更新测量D、建立测量文档并确定实施优先级20、应定期评审信息系统与组织的（）的符合性。A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准21、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件,有关使用单位应当在（）向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内22、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略23、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改24、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意25、描述组织采取适当的控制措施的文档是（）A、管理手册B、适用性声明C、风险处置计划D、风险评估程序26、与某个特定配置项相关的项目信息被存储到配置管理数据库，这种项目称为：A、组件B、特色C、属性D、特性27、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型28、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划29、风险处置计划，应（）A、获得风险责任人的批准，同时获得对残余风险的批准B、获得最高管理者的批准，同时获得对残余风险的批准C、获得风险部门负责人的批准，同时获得对残余风险的批准D、获得管理者代表的批准，同时获得对残余风险的批准30、()是风险管理的重要一环。A、管理手册B、适用性声明C、风险处置计划D、风险管理程序31、关于《中华人民共和国保密法》，以下说法正确的是:（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护32、（）是问题管理流程中最后的环节A、将任何与变更请求下相关的传递给问题管理B、关闭C、问题回顾D、问题记录33、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性34、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D、数据备份35、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素36、认证机构应确定，ITSMS是否能在缺少()的情况下得到充分审核并予以记录,同时还应详细说明理由。A、保密性信息B、远程支持C、方案策划D、服务目录37、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复38、ISO/IEC27001所采用的过程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法39、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络40、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行二、多项选择题41、以下属于信息安全管理体系审核的证据是：（）A、信息系统运行监控中心显示的实时资源占用数据B、信息系统的阈值列表C、数据恢复测试的日志D、信息系统漏洞测试分析报告42、风险描述的要素包括（)A、风险源B、原因C、后果D、事件43、当满足（）时，可考虑使用基于抽样的方法对多场所进行审核A、所有的场所在相同信息安全管理体系中,这些场所被集中管理和审核B、所有的场所在相同信息安全管理体系中,这些场所被分别管理和审核C、所有场所包括在客户组织的内部信息安全管理体系审核方案中D、所有场所包括在客户组织的信息安全管理体系管理评审方案中44、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动45、按覆盖的地理范围进行分类，计算机网络可以分为（）A、局域网B、城域网C、广域网D、区域网46、下列哪些是服务预算与核算管理必须的？（）A、服务计费B、服务实际成本C、服务成本预算D、监视成本47、《中华人民共和国网络安全法》的宗旨是（）A、维护网络间主权B、维按国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益48、为确保员工和合同方理解其职责、并适合其角色，在员工任用之前，必须（）A、对其进行试用B、对员工的背景进行适当的验证检查C、在任用条款与合同中指导安全职责D、面试49、计算机信息系统的安全保护，应保障（）A、计算机及相关配套设施的安全B、网络安全C、运行环境安全D、计算机功能和正常发挥50、依据《信息技术服务分类与代码》，运行维护服务包括对客户信息系统（）等提供的各种技术支持和管理服务。A、硬件B、软件C、数据D、基础环境51、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格率D、过程中存在偶然波动还是异常波动52、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A、省B、自治区C、直辖市D、特别行政区53、为控制文件化信息，适用时，组织应强调以下哪些活动？（）A、分发，访问，检索和使用B、存储和保护，包括保持可读性C、控制变更（例如版本控制）D、保留和处理54、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训55、《中华人民共和国网络安全法》是为了保障网络安全,（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益三、判断题56、ISO/IEC27006是ISO/IEC17021的相关要求的补充。(）正确错误57、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）正确错误58、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）正确错误59、在来自可信站点电子邮件中输入个人或财务信息是安全的。（）正确错误60、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。（）正确错误61、最高管理层应确保方针得到建立（）正确错误62、从审核开始到结束,审核组长应对审核实施负责正确错误63、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。（）正确错误64、《中华人民共和国网络安全法》中明确，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每两年至少进行一次检测评估。（）正确错误65、容量管理策略可以考虑增加容量或降低容量要求（）正确错误

参考答案一、单项选择题1、C2、A3、B4、A5、C6、A7、C解析:信息分级的目的确保信息按照其对组织的重要程度受到适当水平的保护。对比四个选项，c项更能突出对组织的重要程度，故选C8、B9、B10、A11、B12、A13、D14、B15、D16、D17、B18、D19、D20、D21、C22、D23、D24、C25、B26、C27、A28、C29、A30、C解析:参考iso/iec27005，风险管理包括风险评估，风险处置，风险接受，风险沟通，风险监视和风险评审。因此风险处置计划是风险管理的重要一环，故选C31、A32、B33、C34、D35、A36、A37、C38、C39、C40、A二、多项选择题41、A,B,C,D42、C,D43、A,C,D44、A,B,C,D45、A,B,C46、B,C,D47、A,B,C,D48、B,C49、A,B,C,D50、A,B,C,D51、A,B,C,D52、A,B,C53、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理体系及本标准要求的文件化信息应得到控制，以确保：在需要的时间和地点，是可用的和适宜使用的；得到充分的保护（如避免保密性损失，不恰当使用，完整性受损失等）。为控制文件化信息，适用时，组织应强调下列活动：1,分发、访问、检索和使用；2,存储和保护，包括保持可读性；3,控