2021年第四期ISMS审核员模拟试题-信息安全管理体系含解析

2021年第四期ISMS审核员模拟试题—信息安全管理体系一、单项选择题1、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。A、做好资产分类是其基础B、采用组织固定资产台账即可C、无需关注资产产权归属者D、A+B2、容量管理的对象包括（）A、服务器内存B、网络通信带宽C、人力资源D、以上全部3、某公司进行风险评估后发现公司的无线网络存在大的安全隐患、为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）A、风险接受B、风险规避C、风险转移D、风险减缓4、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件5、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对6、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确7、下面哪个不是《中华人民共和国密码法》中密码的分类？（）A、核心密码B、普通密码C、国家密码D、商用密码8、下列()不是创建和维护测量要执行的活动。A、开展测量活动B、识别当前支持信息需求的安全实践C、开发和更新测量D、建立测量文档并确定实施优先级9、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录10、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人11、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A、组织建立信息安全策略和信息安全目标，并与组织战略方向一致B、确保建立信息安全策略和信息安全目标，并与组织战略方向一致C、领导建立信息安全策略和信息安全目标，并与组织战略方向一致D、沟通建立信息安全策略和信息安全目标，并与组织战略方向一致12、创建和更新文件化信息时，组织应确保适当的（）。A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准13、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度14、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略15、与某个特定配置项相关的项目信息被存储到配置管理数据库，这种项目称为：A、组件B、特色C、属性D、特性16、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改17、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求A、2B、3C、5D、718、关于互联网信息服务，以下说法正确的是A、互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务，是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动19、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力20、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程21、在现场审核时，审核组有权自行决定变更的事项是（）。A、市核人日B、审核的业务范围C、审核日期D、审核组任务调整22、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复23、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗24、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准25、文件化信息创建和更新时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准26、审核计划中不包括（）。A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排27、在形成信息安全管理体系审核发现时，应（）。A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性28、对全国密码工作实行统一领导的机构是(）A、中央密码工作领导机构B、国家密码管理部门C、中央国家机关D、全国人大委员会29、根据GB/T22080-2016中控制措施的要求，关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径30、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV231、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密32、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型33、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统34、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》35、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响，但不包括（）A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都不对36、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么?（）A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价37、关于信息安全连续性，以下说法正确的是（）A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定38、关于文件管理下列说法错误的是（）A、文件发布前应得到批准，以确保文件是适宜的B、必要时对文件进行评审、更新并再次批准C、应确保文件保持清晰，易于识别D、作废文件应及时销毁，防止错误使用39、下列措施中不能用于防止非授权访问的是（）A、采取密码技术B、采用最小授权C、采用权限复查D、采用日志记录40、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督二、多项选择题41、关于审核方案，以下说法正确的是A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核C、中核方案即年度内部审梭计划D、审核方案是审核计划的输入42、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机43、以下属于信息安全管理体系审核的证据是：（）A、信息系统运行监控中心显示的实时资源占用数据B、信息系统的阈值列表C、数据恢复测试的日志D、信息系统漏洞测试分析报告44、关于服务组件”以下说法正确的是（）A、不包括基础设施B、可以是服务的一部分C、可包括配置项、资产或其他要素D、一项或多项配置项可以构成一项服务组件45、在IT服务管理中，"部署"活动包括：（）A、实施变更B、对变更的影响进行评估C、将服务组件迁移到生产环境D、将经测试的软件包转移到生产环境46、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块，为方便各项目组讨论，公司创建了一个sharefolder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是（）A、各项目人员访问该sharefolder需要得到授权B、获得sharefolder访问权者可访问该目录下所有子文件夹C、IT人员与各项目负责人共同定期评审sharefolder访问权D、H人员不定期删除sharefolder数据以释放容量，此活动是容量管理，游戏开发人员不参与47、针对敏感应用系统安全，以下正确的做法是（）。A、用户尝试登录失败时，明确提示其用户名错误或口令错误B、登录之后，不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限48、管理评审的输出包括（）A、管理评审报告B、持续改进机会相关决定C、管理评审会议纪要D、变更信息的安全管理体系任何需求49、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类50、GB/T22080-2016/ISO/IEC27001:2013标准中A12,3,1条款要求（）A、设定备份策B、定期测试备份介质C、定期备份D、定期测试信息和软件51、第二阶段审核中，应重点审核被审核单位的（）。A、最高管理者的领导力B、与信息安全有关的风险C、基于风险评估和风险处置过程D、ISMS有效性52、访问控制包括()A、网络和网络服务的访问控制B、逻辑访问控制C、用户访问控制D、物理访问控制53、信息安全管理中，以下属于"按需知悉(need-to-know)原则的是（)A、根据工作需要仅获得最小的知悉权限B、工作人员仅让满足工作所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D、得到管理者批准的信息是可访问的信息54、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格率D、过程中存在偶然波动还是异常波动55、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A、省B、自治区C、直辖市D、特别行政区三、判断题56、计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统（）正确错误57、容量管理策略可以考虑增加容量或降低容量要求（）正确错误58、J031组织对内部供应商应按服务级别管理过程进行管理。（）正确错误59、客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核（)正确错误60、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺。（）正确错误61、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）正确错误62、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺正确错误63、ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。(）正确错误64、中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。正确错误65、《中华人民共和国网络安全法》中明确，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每两年至少进行一次检测评估。（）正确错误

参考答案一、单项选择题1、A2、D3、B4、C5、B6、D7、C8、D9、D10、C11、B12、D13、C解析:《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度，故选C14、D15、C16、D解析:数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性并保护数据，防止被人（例如接收者）进行伪造，篡改或是抵赖。故选D17、C解析:《计算