版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2022年12月ISMS信息安全管理体系审核员考试题目一、单项选择题1、密码技术不适用于控制下列哪种风险?()A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险2、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述,正确的是()A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时,必须满足该标准的所有要求3、一家投资顾问商定期向客户发送有关经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前,用投资项问商的私钥数字签名邮件D、电子邮件发送前,用投资顾向商的私钥加密邮件4、《信息安全等级保护管理办法》规定,应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每()至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年5、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么中哪一项不是针对该问题的纠正措施?()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育6、下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应7、风险评估过程一般应包括()A、风险识别B、风险分析C、风险评价D、以上全部8、()属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理9、《信息安全等级保护管理办法》规定,()级保护时,国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。A、3B、2C、5D、410、风险评价是指()A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对11、IT服务管理中所指"服务目录"是:()A、一个包含生产环境IT服务信息的结构化文件,应与服务级别协议一致B、一个服务项目命名清单,不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准12、对于可能超越系统和应用控制的实用程序,以下做法正确的是()A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单13、根据GB/T22080-2016中控制措施的要求,关于技术脆弱性管理,以下说法正确的是:()A、技术脆弱性应单独管理,与事件管理没有关联B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径14、依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的()严格保密,不得泄露、出售或非法向他人提供。A、个人信息B、隐私C、商业秘密D、其他选项均正确15、在实施技术符合性评审时,以下说法正确的是()A、技术符合性评审即渗透测试B、技术符合性评审即漏洞扫描与渗透测试的结合C、渗透测试和漏洞扫描可以替代风险评估D、渗透测试和漏洞扫描不可替代风险评估16、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在()向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内17、ITIL的最新版本是()A、ITILV4B、ITILV3C、ITILV5D、ITILV218、关于投诉处理过程的设计,以下说法正确的是:()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用19、确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程其所用,是指()A、完整性B、可用性C、机密性D、抗抵赖性20、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认21、关于内部审核下面说法不正确的是()。A、组织应定义每次审核的审核准则和范围B、通过内部审核确定ISMS得到有效实施和维护C、组织应建立、实施和维护一个审核方案D、组织应确保审核结果报告至管理层22、下列哪项不是监督审核的目的?()A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、作出是否换发证书的决定23、安全标签是一种访问控制机制,它适用于下列哪一种访问控制策略?()A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略24、信息安全基本属性是()。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性25、某公司计划升级现有的所有PC机,使其用户可以使用指纹识别登录系统,访问关键数据实施时需要()A、所有受信的PC机用户履行的登记、注册手续(或称为:初始化手续)B、完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险)C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据26、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括()A、沟通周期B、沟通内容C、沟通时间D、沟通对象27、下列不一定要进行风险评估的是()A、发布新的法律法规B、ISMS最高管理者人员变更C、ISMS范围内的网络采用新的网络架构D、计划的时间间隔28、组织应(),以确信相关过程按计划得到执行。A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度29、桌面系统级联状态下,关于上级服务器制定的强制策略,以下说法正确的是()A、下级管理员无权修改,不可删除B、下级管理员无权修改,可以删除C、下级管理员可以修改,可以删除D、下级管理员可以修改,不可删除30、ISO/IEC27001所采用的过程方法是()A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法31、ISO/IEC20000-1:2018标准是依据管理体系高层结构,即()对标准的结构进行调整的A、ISO/IEC导则的一部分综合ISO补充附录B、ISO/IEC导则的一部分综合ISO补充结构层C、ISO/IEC导则的一部分综合ISO补充体质D、ISO/IEC导则的一部分综合ISO补充模型32、访问控制是确保对资产的访问,是基于()要求进行授权和限制的手段。A、用户权限B、可被用户访问的资料C、系统是否遭受入侵D、可给予哪些主体访问33、关于信息安全管理中的“脆弱性”,以下正确的是:()A、脆弱性是威胁的一种,可以导致信息安全风险B、网络中“钓鱼”软件的存在,是网络的脆弱性C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性D、以上全部34、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()A、认证B、认可C、审核D、评审35、以下描述不正确的是()A、防范恶意和移动代码的目标是保护软件和信息的完整性B、纠正措施的目的是为了消除不符合的原因,防止不符合的再发生C、风险分析、风险评价、风险处理的整个过程称为风险管理D、控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响36、对全国密码工作实行统一领导的机构是()A、中央密码工作领导机构B、国家密码管理部门C、中央国家机关D、全国人大委员会37、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级,采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务,那么,需要首要关注的是()。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密38、关于《中华人民共和国保密法》,以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护 39、信息安全控制目标是指:()A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B40、信息安全管理中,以下哪一种描述能说明“完整性”()。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况二、多项选择题41、某金融资产武装押运服务公司拟申请ISMS认证,下列哪些应列入资产清单中()A、行车监控系统B、行车路线信息C、押运人员个人信息D、押运人员用枪支42、信息安全管理中,支持性基础设施指:()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、网络设备43、依据IS020000-6:2017以下可构成减少ITSMS初审人日的因素包括()A、已获得的认证在最近12个月内对其至少实施了一次审核B、拟认证的范围已获得ISO/IEC27001证书C、已获得其他认证的范围大于拟认证的范围D、拟认证的范围与获得ISMS证书范围等同44、设计一个信息安全风险管理工具,应包括如下模块()。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程45、关于个人信息安全的基本原则,以下正确的是()A、目的明确原则B、最少够用原则C、同意和选择原则D、公开透明原则46、在信息安全事件管理中,()是所有员工应该完成的活动A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件47、不符合项报告应包括A、不符合事实的描述B、不符合的标准条款及内容C、不符合的原因D、不符合的性质48、为控制文件化信息,适用时,组织应强调以下哪些活动?()A、分发,访问,检索和使用B、存储和保护,包括保持可读性C、控制变更(例如版本控制)D、保留和处理49、网络常见的拓扑形式有()A、星型B、环型C、总线型D、树型50、组织建立的信息安全目标,应()A、是可测量的B、与信息安方针一致C、得到沟通D、适当时更新51、管理评审是为了确保信息安全管理体系持续的()A、适宜性B、充分性C、有效性D、可靠性52、在设计和应用安全区域工作规程时,宜考虑()A、基于“须知”原则,员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权,不宜允许携带摄影、视频或其他记录设备,例如移动设备中的相机53、风险评估过程一般应包括()A、风险识别B、风险分析C、风险评价D、风险处理54、GB/T22080-2016/ISO/IEC27001:2013标准可用于()A、指导组织建立信息安全管理体系B、为组织建立信息安全管理体系提供控制措施的实施指南C、审核员实施审核的依据D、以上都不对55、以下属于访问控制的是()。A、开发人员登录SVN系统,授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品查杀病毒三、判断题56、完全备份就是对全部数据库数据进行备份。()正确错误57、某互联网服务公司允许员工使用手机APP完成对公司客户的服务请求处理,但手机须安装公司规定的安全控制程序,无论手机是公司配发的或员工私有的。这符合IS0/IEC27001:2013标准A6,2,1的要求。()正确错误58、对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险。()正确错误59、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。()正确错误60、组织的内外部相关方要求属于组织的内部和外部事项”()正确错误61、当需要时,组织可设计控制,或识别来自任何来源的控制。()正确错误62、组织应适当保留信息安全目标文件化信息。()正确错误63、某组织租用第三方数据中心机房托管其IT系统设备,因此认证审核时不必审核计算机机房物理安全的相关内容()正确错误64、最高管理层应通过“确保持续改进”活动,证实对信息安全管理体系的领导和承诺正确错误65、创建和更新文件化信息时,组织应确保对其适宜性和充分性进行评审和批准。正确错误
参考答案一、单项选择题1、C2、B3、C4、D5、A6、D解析:短期停电即电力中断,故选D。可中断的电力供应7、D8、D9、D10、B11、A12、D13、C14、D解析:网络安全法第45条,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息,隐私和商业秘密严格保密,不得泄露,出售或者非法向他人提供。故选D15、D16、C17、A18、A解析:质量管理顾客满意组织处理投诉指南1范围,投诉处理过程为投诉者提供一个开放,有效,方便的投诉程序,故选A19、C20、B解析:2700214,2,3运行平台变更后对应用的技术评审,当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。故选B21、C22、D解析:监督审核是现场审核,但不一定是对整个体系的审核,并应与其他监督活动一起策划,以使认证机构能对获证客户管理体系在认证周期内持续满足要求保持信任。相关管理体系标准的每次监督审核应包括对以下方面的审查:(1)内部审核和管理评审;(2)对上次审核中确定的不符合采取的措施;(3)投诉的处理;(4)管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性;(5)为持续改进而策划的活动的进展;(6)持续的运作控制;(7)任何变更;(8)标志的使用和(或)任何其他对认证资格的引用。综上A,B,C项均是监督审核的目的,故选D。另外,再认证的策划和及时实施,才能确保认证能在到期前及时更新,监督审核不能决定是否换发证书23、D24、B解析:270002,19信息安全,保持信息的保密性,完整性,可用性。故选B25、A26、A27、D28、B29、A30、C31、A32、D33、C34、B35、D36、A37、A38、A39、A40、B二、多项选择题41、A,B,C,D42、A,B,C43、A,B,C,D44、A,B,C,D解析:参考27001附录A16,信息安全事件管理必不可少,D选项正确。参考ISO/IEC27005,风险评估包括风险分析和风险评价,C选项正确。风险分析又包括风险识别和风险估算。而在风险识别中,需要进行资产识别、威胁识别、现有控制措施识别、脆弱性识别。因此A、B选项也正确。综上,本题选ABCD45、A,B,C,D46、A,C解析:参考27001附录A16,1,应建立信息安全事件管理的责任和规程,以便快速、有效和有序的响应事件;通过适当的管理渠道报告信息安全事态;报告任何观察到的或可以的系统或服务中的信息安全弱点;评估信息安全事态是否属于信息安全事件;按照文件化的规程响应信息安全事件;
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026公司常见面试题目及答案
- 3.3 用图象表示的变量间关系 同步练习【北师】七下数学一课一练
- 共形映射测试题及答案
- 工业分析仪试题及答案
- 2024年换热设备企业组织架构及部门职责
- 管片预制场施工方案设计
- 胬肉术后眼部美容护理查房
- 【钙钛矿型氧化物的研究历史概述1400字】
- 甲肝患者的休息与活动护理
- 劳动法规条例全文解读
- 手术室外来器械使用管理
- 2024年无人机测绘操控员(高级)技能鉴定理论考试题库资料(含答案)
- DL∕T 2010-2019 高压无功补偿装置继电保护配置及整定技术规范
- 青岛版五年级下册分数的加减法练习200题及答案
- 房屋居住权合同
- 《电路分析基础》网孔分析法
- 磁浮风机技术说明(招标专用)
- GB/T 4437.1-2023铝及铝合金热挤压管第1部分:无缝圆管
- NB-T 11022-2022 架空导线用绞合型碳纤维复合材料芯
- 生理学第四章第二节 心脏的泵血功能
- 入团志愿书空白表格最完整的
评论
0/150
提交评论