2021年第三期ISMS信息安全管理体系审核员复习题含解析

2021年第三期ISMS信息安全管理体系审核员复习题一、单项选择题1、信息处理设施的变更管理包括:A、信息处理设施用途的变更B、信息处理设施故障部件的更换C、信息处理设施软件的升级D、其他选项均正确2、关于投诉处理过程的设计，以下说法正确的是：（）A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用3、ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。A、有效策划与保持持续改进B、有效实施与运行持续改进C、有效实施与保持持续改进D、有效策划与运行持续改进4、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）A、不考虑资产的价值，基本水平的保护都会被实施B、对所有信息资产保护都投入相同的资源C、对信息资产实施适当水平的保护D、信息资产过度的保护5、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC406、计算机信息系统安全专用产品是指：（）A、用于保护计算机信息系统安全的专用硬件和软件产品B、按安全加固要求设计的专用计算机C、安装了专用安全协议的专用计算机D、特定用途（如高保密）专用的计算机软件和硬件产品7、《信息安全等级保护管理办法》规定，（）级保护时，国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。A、3B、2C、5D、48、考虑不同时段的工作负数的差异收费用于(）。A、故障树分析(FTA）B、可用性计划C、服务级别管理D、风险分析和管理法9、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯10、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果11、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码12、ISO/IEC27001所采用的过程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法13、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段14、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络15、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更16、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划17、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用18、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象19、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対20、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部21、关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径22、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对23、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督24、最高管理者应确保服务管理体系要求整合到组织（）中，证实对服务管理体系的领导承诺。A、活动B、资源C、过程D、目标25、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程26、形成ISMS审核发现时，不需要考虑的是（）A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性27、组织应定义所有事件的记录和分类、分级、需要时升级、解决和（）A、报告B、沟通C、回复顾客D、正式关闭28、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度29、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对30、为信息系统用户注册时，以下正确的是:（）A、按用户的职能或业务角色设定访问权B、组共享用户ID按组任务的最大权限注册C、预设固定用户ID并留有冗余，以保障可用性D、避免频繁变更用户访问权31、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员32、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C33、以下哪一项不是ITIL所定义的服务生命周期阶段()A、服务转换B、服务退役C、服务设计D、服务战略34、ISO/IEC20000-3与ISO/IEC20000J之间的关系是()A、ISO/IEC20000-3为ISO/IEC20000-1提供了实施指南B、ISO/IEC20000-3为ISO/IEC20000-1提供了范围定义的指南C、ISO/IEC20000-3为ISO/IEC20000-1提供了过程参考模型D、ISO/IEC20000-3为ISO/IEC20000-1提供了实施计划样例35、（）不是每个过程都需要定义的部分A、输出B、资源C、输入D、活动36、组织机构在建立和评审ISMS时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其它要求D、A+BE、A+C37、关于《中华人民共和国保密法》，以下说法正确的是:（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护38、主动式射频识别卡(RFID)存在哪一种弱点?（）A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR39、抵御电子邮箱入侵措施中，不正确的是（）A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器40、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素二、多项选择题41、下列哪些属于网络攻击事件（）A、钓鱼攻击B、后门攻击事件C、社会工程攻击D、DOS攻击42、对风险安全等级三级及以上系统，以下说法正确的是（）。A、采用双重身份鉴别机制B、对用户和数据采用安全标记C、系统管理员可任意访问日志记录D、三年开展一次网络安全等级测评工作43、下列属于“开发安全”活动的是（）。A、应规范用户修改软件包，必须的修改应严格管制B、应用系统若有变更，应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序44、GB/T28450审核方案管理的内容包括（）A、信息安全风险管理要求B、ISMS的复杂度C、是否存在相似场所D、ISMS的规模45、关键信息基础设施包括三大部分，分别是（）。A、关键基础设施B、基础信息网络C、重要信息系统D、重要互联网应用系统46、审核计划中应包括（）A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排47、针对敏感应用系统安全，以下正确的做法是（）。A、用户尝试登录失败时，明确提示其用户名错误或口令错误B、登录之后，不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限48、在未得到授权的前提下，以下属于信息安全“攻击”的是:（）A、盗取、暴露、交更资产的行为B、破坏或使资产失去预期功能的行为C、访问,使用资产行为D、监视和获取资产使用状态信息的行为49、关于目标，下列说法正确的是（）A、目标现的结果B、沟通记录C、目标可以采用不同方式进行表示，例如：操作准则D、目标可以是不同层次的，例如组织、项目和产品50、对于涉密信息系统，以下说法正确的是（）A、使用的信息安全保密产品原则上应选择国产产品B、使用的信息安全保密产品应当通过国家保密局授权的检测机构检测C、使用的信息安全保密产品应当通过国家保密局审核发布的目录中选取D、总体保密水平不低于国家信息安全等级保护第四级水平51、以下属于访问控制的是（)。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品査杀病毒52、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施53、下面哪一条措施可以防止数据泄漏（)A、数据冗余B、数据加密C、访问控制D、密码系统54、信息安全管理体系审核组的能力包括:（）A、信息安全事件处理方法和业务连续性的知识B、有关有形和无形资产及其影响分析的知识C、风险管理过程和方法的知识D、信息安全管理体系的控制措施及其实施的知识55、以下属于信息安全管理体系审核证据的是（）A、信息系统的阈值列表B、信息系统运行监控中心显示的实时资源占用数据C、数据恢复测试的日志D、信息系统漏洞测试分析报告三、判断题56、某组织租用第三方数据中心机房托管其IT系统设备，因此认证审核时不必审核计算机机房物理安全的相关内容()正确错误57、组织应适当保留信息安全目标文件化信息。（）正确错误58、审核方案应包括审核所需的资源，例如交通和食宿。（）正确错误59、在来自可信站点电子邮件中输入个人或财务信息是安全的。（）正确错误60、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）正确错误61、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）正确错误62、流量监控能够有效实现对敏感数据的过滤（)正确错误63、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。正确错误64、从审核开始到结束,审核组长应对审核实施负责正确错误65、风险处置计划和信息安全残余风险应获得最高管理者的接受和批准。正确错误

参考答案一、单项选择题1、D解析:信息处理设施，任何的信息处理系统，服务或基础设施，或其安装的物理位置，abc选项均属于信息处理设施变更管理范畴，故选D2、A解析:质量管理顾客满意组织处理投诉指南1范围，投诉处理过程为投诉者提供一个开放，有效，方便的投诉程序，故选A3、B4、C5、A6、A7、D8、B9、A10、D11、D12、C13、C14、C15、B16、C17、A18、A19、B20、D21、C22、A23、B24、A25、D解析:风险处置，是指选择并且执行措施来更改风险的过程。故选D26、C27、D28、C解析:《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度，故选C29、B30、A31、C32、D33、B34、B3