2022年12月ISMS信息安全管理体系审核员模拟试题含解析

2022年12月ISMS信息安全管理体系审核员模拟试题一、单项选择题1、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用2、关于内部审核下面说法不正确的是(）。A、组织应定义每次审核的审核准则和范围B、通过内部审核确定ISMS得到有效实施和维护C、组织应建立、实施和维护一个审核方案D、组织应确保审核结果报告至管理层3、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、关于投诉处理过程的设计，以下说法正确的是：()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用5、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性6、创建和更新文件化信息时，组织应确保适当的（）。A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准7、造成计算机系统不安全的因素包括（）。A、系统不及时打补丁B、使用弱口令C、连接不加密的无线网络D、以上都对8、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果9、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A、2年B、3年C、4年D、5年10、信息安全管理中，关于脆弱性，以下说法正确的是()。A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会11、依据ISO/IEC20000-1:2018,服务目录应()A、描述服务及其结果B、由顾客制定C、是合同的一部分D、是统一所有服务描述的汇总12、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件13、在现场审核结束之前，下列哪项活动不是必须的？（）A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题14、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以15、依据《中华人民共和国网络安全法》，以下说法不正确的是（）A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护16、根据《互联网信息服务管理办法》，互联网接入服务提供者应当记录上网用户的(）A、用户帐号、上网时间、访问端口信息B、用户帐户、上网时间、访问内容C、用户帐号、访问IP地址、用户计算机型号D、上网时间、用户帐号、互联网地址17、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性18、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏19、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局20、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统21、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码22、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离23、依据GB/T22080/ISO/IEC27001的要求，管理者应（）A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确24、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准25、进入重要机构时，在门卫处登记属于以下哪种措施？（）A、访问控制B、身份鉴别C、审计D、标记26、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略27、信息安全管理体系是用来确定（)A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度28、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准29、组织应（）。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级30、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对31、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限32、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対33、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制34、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应35、文件化信息创建和更新时，组织应确保适当的（)A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准36、阐明所取得结果或提供所完成活动的证据的文件是()A、报告B、演示C、记录D、协议37、在形成信息安全管理体系审核发现时，应（）。A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性38、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应39、组织应按照本标准的要求（）信息安全管理体系。A、策划、实现、监视、和持续改进B、建立、实施、监视、和持续改进C、建立、实现、维护、和持续改进D、策划、实施、维护、和持续改进40、PKI的主要组成不包括(）A、SSLB、CRC、CAD、RA二、多项选择题41、GB/T22080-2016/ISO/IEC27001:2013标准可用于（）A、指导组织建立信息安全管理体系B、为组织建立信息安全管理体系提供控制措施的实施指南C、审核员实施审核的依据D、以上都不对42、以下属于访问控制的是（）。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品查杀病毒43、以下说法不正确的是（）A、信息安全管理体系审核是信息系统审计的一种B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估44、ISO/IEC27000,以下说法正确的是（）A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准45、以下属于访问控制的是（)。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品査杀病毒46、信息安全管理中，支持性基础设施指：()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、网络设备47、在开展信息安全绩效和ISMS有效性评价时，组织应确定（）A、监视、测量、分析和评价的过程B、适用的监视、测量、分析和评价的方法C、需要被监视和测量的内容D、监视、测量、分析和评价的执行人员48、依据GB/T22080，经管理层批准，定期评审的信息安全策略包括（）A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略49、依据GB/Z20986，确定为重大社会影响的情况包括（）A、涉及到一个或多个城市的大部分地区B、威胁到国家安全C、扰乱社会秩序D、对经济建设设有重大负面影响50、管理评审的输出应包括（）A、与持续改进机会相关的决定B、变更信息安全管理体系的任何需求C、相关方的反馈D、信息安全方针执行情况51、关于审核方案，以下说法正确的是A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核C、中核方案即年度内部审梭计划D、审核方案是审核计划的输入52、针对敏感应用系统安全，以下正确的做法是（）。A、用户尝试登录失败时，明确提示其用户名错误或口令错误B、登录之后，不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限53、下列属于“开发安全”活动的是（）。A、应规范用户修改软件包，必须的修改应严格管制B、应用系统若有变更，应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序54、在未得到授权的前提下，以下属于信息安全“攻击”的是:（）A、盗取、暴露、交更资产的行为B、破坏或使资产失去预期功能的行为C、访问,使用资产行为D、监视和获取资产使用状态信息的行为55、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖三、判断题56、信息安全风险准则包括风险接受准则和风险评价准则。（）正确错误57、审核组可以由一个人组成。（）正确错误58、实习审核员可以独立完成审核任务。（）正确错误59、风险源是指那些可能导致消极后果或积极后果的因素和危害的来源。（）正确错误60、审核方案应包括审核所需的资源，例如交通和食宿。（）正确错误61、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。（）正确错误62、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）正确错误63、从审核开始到结束,审核组长应对审核实施负责正确错误64、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级，这符合GB/T22080-2016标准A9.1.1条款的要求。（）正确错误65、IT系统日志保存所需的资源不属于容量管理的范围。（）正确错误

参考答案一、单项选择题1、A2、C3、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D4、A5、C6、D7、D8、C9、D10、B11、A12、C13、C14、B15、C解析:网络安全法第七十六条，网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集，存储，传输，交换，处理的系统。网络安全，是指通过采取必要措施，防范对网络的攻击，侵入，干扰，破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性，保密性，可用性的能力。故选C16、D17、C18、C19、B20、D21、D22、B23、D解析:信息安全目标及其实现规划，组织应在相关职能和层级上建立信息安全目标，A项错误。B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性，和有效性。而管理评审的实施执行者是组织，因此B表述不准确。C项，27001,5.1.2组织应建立并维护信息安全风险准则，包括风险接受准则和信息安全风险评估实施准则。而非最高管理者，因此C错误，综上故选D24、A25、B26、D27、C28、B解析:iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。cnas-cc1702认证规范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms认证的依据，故选B29、C解析:参考ISO/IEC27001：2013附录A8,2信息分级，信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级30、A31、C32、B33、B34、D解析:短期停电即电力中断，故选D。可中断的电力供应35、D36、C37、B38、D39、C40、B二、多项选择题41、A,C42、A,C解析:对于网络技术防火墙，一般是基于