版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2022年6月ISMS审核员考试题目—信息安全管理体系一、单项选择题1、计算机病毒是计算机系统中一类隐藏在()上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络2、以下关于认证机构的监督要求表述错误的是()A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督3、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的()系统A、报告B、传递C、评价D、测量4、审核抽样时,可以不考虑的因素是()A、场所差异B、管理评审的结果C、最高管理者D、内审的结果5、信息安全管理体系的设计应考虑()A、组织的战B、组织的目标和需求C、组织的业务过程性质D、以上全部6、下列那些事情是审核员不必要做的?()A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式7、制定信息安全管理体系方针,应予以考虑的输入是()A、业务战略B、法律法规要求C、合同要求D、以上全部8、组织应(),以确信相关过程按计划得到执行。A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度9、口令管理系统应该是(),并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C10、PKI的主要组成不包括()A、SSLB、CRC、CAD、RA11、在信息安全管理体系审核时,应遵循()原则。A、保密性和基于准则的B、保密性和基于风险的C、最小特权原则最小特权原则是信息系统安全的最基本原则D、建立阻塞点原则阻塞点就是在网络系统对外连接通道内,可以被系统管理人员进行监控的连接控制点。12、运行SMS和服务所裾的资源包括()A、人员、技术、信息和资产B、人员、技术、材料和资金C、人员、技术、信息和资金D、人员、资产、信息和资金13、组织确定的信息安全管理体系范围应()A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用14、安全标签是一种访问控制机制,它适用于下列哪一种访问控制策略?()A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略15、信息安全风险的基本要素包括()A、资产、可能性、影响B、资产、脆弱性、威胁C、可能性、资产、脆弱性D、脆弱性、威胁、后果16、关于信息系统登录的管理,以下说法不正确的是()A、网络安全等级保护中,三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率,可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令17、文件化信息创建和更新时,组织应确保适当的()A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准18、《计算机信息系统安全保护条例》中所称计算机信息系统,是指A、对信息进行采集、加工、存储、传输、检索等处理的人机系统B、计算机及其相关的设备、设施,不包括软件C、计算机运算环境的总和,但不含网络D、一个组织所有计算机的总和,包括未联网的微型计算机19、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、许可制度D、备案制度20、TCP/IP协议层次结构由()A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确21、组织应()A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域22、对于获准认可的认证机构,认可机构证明()A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力23、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()A、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任24、在发布一个软件升级,修复某个已知错误后,哪个流程能确保配置信息被正确更新()A、变更管理B、服务级别管理C、配置管理D、发布和部署管理25、进入重要机构时,在门卫处登记属于以下哪种措施?()A、访问控制B、身份鉴别C、审计D、标记26、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是()。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力27、审核发现是指()A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项28、以下哪一项不是ITIL所定义的服务生命周期阶段()A、服务转换B、服务退役C、服务设计D、服务战略29、()是风险管理的重要一环。A、管理手册B、适用性声明C、风险处置计划D、风险管理程序30、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级,采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务,那么,需要首要关注的是()。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密31、《中华人民共和国网络安全法》中的"三同步"要求,以下说法正确的是()A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用32、关于入侵检测,以下不正确的是:()A、入侵检测是一个采集知识的过程B、入侵检测指信息安全事件响应过程C、分析反常的使用模式是入侵检测模式之一D、入侵检测包括收集被利用脆弱性发生的时间信息33、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响34、关于容量管理,以下说法不正确的是()A、根据业务对系统性能的需求,设置阈值和监视调整机制B、针对业务关键性,设置资源占用的优先级C、对于关键业务,通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划35、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700536、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷37、关于互联网信息服务,以下说法正确的是A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务,是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动38、依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的()严格保密,不得泄露、出售或非法向他人提供。A、个人信息B、隐私C、商业秘密D、其他选项均正确39、过程是指()A、有输入和输出的任意活动B、通过使用资源和管理,将输入转化为输出的活动C、所有业务活动的集合D、以上都不对40、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程二、多项选择题41、管理评审的输出包括()A、管理评审报告B、持续改进机会相关决定C、管理评审会议纪要D、变更信息的安全管理体系任何需求42、根据《中华人民共和国密码法》,密码工作坚持总体国家安全观,遵循统一领导,()依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责43、以下说法不正确的是()A、信息安全管理体系审核是信息系统审计的一种B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证,则信息安全管理体系审核可略过风险评估44、含有高等级敏感信息的设备的处置可采取()A、格式化处理B、采取使原始信息不可获取的技术破坏或删除C、多次的写覆盖D、彻底破坏45、以下属于信息安全管理体系审核证据的是()A、信息系统的阈值列表B、信息系统运行监控中心显示的实时资源占用数据C、数据恢复测试的日志D、信息系统漏洞测试分析报告46、下列哪些是SSL支持的内容类型?()A、chang_cipher_specB、alertC、handshakleD、applicatlon_data47、以下属于“信息处理设施”的是()A、信息处理系统B、信息处理相关的服务C、与信息处理相关的设备D、安置信息处理设备的物理场所与设施48、评价信息安全风险,包括()A、将风险分析的结果与信息安全风险准则进行比较B、确定风险的控制措施C、为风险处置排序以分析风险的优先级D、计算风险大小49、审核计划中应包括()A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排50、关于云计算服务中的的安全,以下说法不正确的是()。A、服务提供方提供身份鉴别能力,云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力,并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力,服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力,并定义和实施身份鉴别准则51、信息安全管理体系审核应遵循的原则包括:()A、诚实守信B、保密性C、基于风险D、基于事实的决策方法52、《中华人民共和国网络安全法》的宗旨是()A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益53、为控制文件化信息,适用时,组织应强调以下哪些活动?()A、分发,访问,检索和使用B、存储和保护,包括保持可读性C、控制变更(例如版本控制)D、保留和处理54、下面哪一条措施可以防止数据泄漏()A、数据冗余B、数据加密C、访问控制D、密码系统55、信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。A、可用性B、机密性C、完备性D、完整性三、判断题56、组织的内外部相关方要求属于组织的内部和外部事项”()正确错误57、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。()正确错误58、破坏、摧毁、控制网络基础设施是网络攻击行为之一()正确错误59、计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统()正确错误60、J020相关方可以是组织内部也可以是组织外部的。()正确错误61、组织确定的为规划和运行服务管理体系所必需的外来的文档化信息,应得到适当的识别,并予以控制。()正确错误62、利用生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别。正确错误63、中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。正确错误64、不同组织有关信息安全管理体系文件化信息的详略程度应基本相同。()正确错误65、组织使用云盘设施服务时,GB/T22080-2016/IS0/IEC27001:2013中A12,3,1条款可以删减。()正确错误
参考答案一、单项选择题1、C2、B3、D4、C5、D6、C7、D8、B9、B10、B11、B12、C13、A14、D15、B16、C解析:应确保秘密鉴别信息的保密性,确保鉴别信息得到适当的保护,C选项为提高效率而保存鉴别信息的直接登录方式,不能确保鉴别信息得到保护,故选C17、D18、A19、C解析:《互联网信息服务管理办法》,国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度,故选C20、C21、A22、B23、B24、C25、B26、B27、C28、B29、C解析:参考iso/iec27005,风险管理包括风险评估,风险处置,风险接受,风险沟通,风险监视和风险评审。因此风险处置计划是风险管理的重要一环,故选C30、A31、A32、B33、B34、C35、B36、B37、C38、D解析:网络安全法第45条,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息,隐私和商业秘密严格保密,不得泄露,出售或者非法向他人提供。故选D39、B解析:so9000-20153,4,1过程,利用输入产生输出的相互关联或相互作用的一组活动。故选B40、D二、多项选择题41、B,D42、A,C,D43、A,B,D44、B,C,D45、A,B,C,D46、A,B,C,D47、A,B,C,D
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 护理信息技术应用
- 护理用药管理制度
- 布病患者的社会适应
- 护理查房中的临床决策支持
- 手术室环境清洁与消毒
- 2026融媒体部门面试题及答案
- 2026上海医博会面试题及答案
- 2026寿光春招面试题目及答案
- 2026思特奇面试题及答案
- 2023年贵州省中考数学试卷真题含答案逐题解析原创模拟训练卷与答案解析
- 酒品采购协议范例
- MOOC 探秘移动通信-重庆电子工程职业学院 中国大学慕课答案
- JJG 365-2008电化学氧测定仪
- 三年级下语文(部编版)古诗默写
- 高考英语高频词汇汇总清单(共1801个)
- 2014年高考作文(北京卷)“老规矩”作文公式全解
- T-GDWCA 0037-2018 高柔性多芯拖链控制电缆
- 农药销售技巧培训
- 团体心理治疗实践
- 肌电图科内讲座课件
- 校园规划课件
评论
0/150
提交评论