2022年第四期ISMS审核员模拟试题-信息安全管理体系含解析_第1页
2022年第四期ISMS审核员模拟试题-信息安全管理体系含解析_第2页
2022年第四期ISMS审核员模拟试题-信息安全管理体系含解析_第3页
2022年第四期ISMS审核员模拟试题-信息安全管理体系含解析_第4页
2022年第四期ISMS审核员模拟试题-信息安全管理体系含解析_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2022年第四期ISMS审核员模拟试题—信息安全管理体系一、单项选择题1、依据GB/T22080/ISO/IEC27001的要求,管理者应()A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确2、信息安全基本属性是()。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性3、组织应()A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域4、经过风险处理后遗留的风险是()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险5、gb17859-1999提出将信息系统的安全等级划分为()个等级,并提出每个级别的安全功能要求A、2B、3C、5D、76、信息安全管理中,以下哪一种描述能说明“完整性”()。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况7、在访问因特网时,为了防止Web网页中恶意代码对自己计算机的损害,可以采取的防范措施是()A、利用SSL访问Web站点B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域C、在浏览器中安装数字证书D、利用IP安全协议访问Web站点8、构成风险的关键因素有()A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性9、对于所有拟定的纠正和预防措施,在实施前应通过()过程进行评审。A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B10、根据《中华人民共和国国家秘密法》,国家秘密的最高密级为()A、特密B、绝密C、机密D、秘密11、ISO/IEC27001描述的风险分析过程不包括()A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后,可能导致的潜在后果D、评估所识别的风险实际发生的可能性12、下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应13、最高管理层应通过()活动,证实对信息安全管理体系的领导和承诺。A、组织建立信息安全策略和信息安全目标,并与组织战略方向一致B、确保建立信息安全策略和信息安全目标,并与组织战略方向一致C、领导建立信息安全策略和信息安全目标,并与组织战略方向一致D、沟通建立信息安全策略和信息安全目标,并与组织战略方向一致14、根据GB/T22080-2016标准的要求,组织()实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔15、《计算机信息系统安全保护条例》中所称计算机信息系统,是指A、对信息进行采集、加工、存储、传输、检索等处理的人机系统B、计算机及其相关的设备、设施,不包括软件C、计算机运算环境的总和,但不含网络D、一个组织所有计算机的总和,包括未联网的微型计算机16、不属于常见的危险密码是()A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10位的综合型密码17、()是建立有效的计算机病毒防御体系所需要的技术措施。A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙18、组织应在相关()上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次19、信息分类方案的目的是()A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析20、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析21、信息安全的机密性是指()A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 22、信息安全管理中,支持性基础设施指:()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部23、依据GB/T22080-2016标准,符合性要求包括()A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对24、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制25、安全区域通常的防护措施有()A、公司前台的电脑显示器背对来访者B、进出公司的访客须在门卫处进行登记C、重点机房安装有门禁系统D、以上全部26、关于文件管理下列说法错误的是()A、文件发布前应得到批准,以确保文件是适宜的B、必要时对文件进行评审、更新并再次批准C、应确保文件保持清晰,易于识别D、作废文件应及时销毁,防止错误使用27、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性28、在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4029、局域网环境下与大型计算机环境下的本地备份方式在()方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议30、制定信息安全管理体系方针,应予以考虑的输入是()A、业务战略B、法律法规要求C、合同要求D、以上全部31、风险评价是指()A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对32、对于较大范围的网络,网络隔离是()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对33、信息安全管理体系中提到的“资产责任人”是指:()A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人34、GB/T29246标准为组织和个人提供()A、建立信息安全管理体系的基础信息B、信息安全管理体系的介绍C、ISMS标准族已发布标准的介绍D、1SMS标准族中使用的所有术语和定义35、审核证据是指()A、与审核准则有关的,能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对36、依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的()严格保密,不得泄露、出售或非法向他人提供。A、个人信息B、隐私C、商业秘密D、其他选项均正确37、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略,以下正确的是()A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制38、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于()对信息系统造成物理破坏而导致的信息安全事件。A、人为因素B、自然灾难C、不可抗力D、网络故障39、为了达到组织灾难恢复的要求,备份时间间隔不能超过()。A、服务水平目标(SLO)B、恢复点目标(RPO)C、恢复时间目标(RTO)D、最长可接受终端时间(MAO)40、关于信息安全策略,下列说法正确的是()A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审二、多项选择题41、信息安全管理体系审核组的能力包括:()A、信息安全事件处理方法和业务连续性的知识B、有关有形和无形资产及其影响分析的知识C、风险管理过程和方法的知识D、信息安全管理体系的控制措施及其实施的知识42、网络常见的拓扑形式有()A、星型B、环型C、总线型D、树型43、常规控制图主要用于区分()A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格率D、过程中存在偶然波动还是异常波动44、下列描述哪些是正确的()。A、程序也可以不形成文件B、程序可以形成文件C、程序必须形成文件D、程序就是文件45、按覆盖的地理范围进行分类,计算机网络可以分为()A、局域网B、城域网C、广域网D、区域网46、风险评估过程中威胁的分类一般应包括()A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖47、以下属于访问控制的是()。A、开发人员登录SVN系统,授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品査杀病毒48、以下做法正确的是()A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时,其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致49、影响审核时间安排的因素包括()A、ITSMS的范围大小B、场所的数量C、认证机构审核人员的能力D、认证机构审核人员的数量50、信息安全风险分析包括()A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后,可能导致的潜在后果D、评估所识别的风险实际发生的可能性51、网络常见的拓扑形式有()A、星型B、环型C、总线D、树型52、GB/T22080-2016/ISO/IEC27001:2013标准中A12,3,1条款要求()A、设定备份策B、定期测试备份介质C、定期备份D、定期测试信息和软件53、组织建立的信息安全目标,应()A、是可测量的B、与信息安方针一致C、得到沟通D、适当时更新54、不同组织的ISMS文件的详略程度取决于()A、文件编写人员的态度和能力B、组织的规模和活动的类型C、人员的能力D、管理系统的复杂程度55、以下说法不正确的是()A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷,并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了三、判断题56、某组织定期请第三方对其IT系统进行漏洞扫描,因此不再进行其他形式的信息安全风险评估,这在认证审核时是可接受的()正确错误57、“资产清单”包含与信息生命周期有关的资产,与信息的创建、处理、存储、传输、删除和销毁无关联的资产不在“资产清单”的范围内。()正确错误58、客户所有场所业务的范围相同,且在同一ISMS下运行,并接受统一的管理、内部审核和管理评审时,认证机构可以考虑使用基于抽样的认证审核()正确错误59、当需要时,组织可设计控制,或识别来自任何来源的控制。()正确错误60、破坏、摧毁、控制网络基础设施是网络攻击行为之一。正确错误61、组织的业务连续性策略即其信息安全连续性策略。正确错误62、组织的内外部相关方要求属于组织的内部和外部事项”()正确错误63、某组织定期请第三方对其IT系统进行漏洞扫描,因此不再进行其他形式的信息安全风险评估,这在认证审核时是可接受的()正确错误64、审核组可以由一个人组成。()正确错误65、风险源是指那些可能导致消极后果或积极后果的因素和危害的来源。()正确错误

参考答案一、单项选择题1、D解析:信息安全目标及其实现规划,组织应在相关职能和层级上建立信息安全目标,A项错误。B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性,充分性,和有效性。而管理评审的实施执行者是组织,因此B表述不准确。C项,27001,5.1.2组织应建立并维护信息安全风险准则,包括风险接受准则和信息安全风险评估实施准则。而非最高管理者,因此C错误,综上故选D2、B解析:270002,19信息安全,保持信息的保密性,完整性,可用性。故选B3、A4、D5、C解析:《计算机信息系统安全保护等级划分准则》规定了计算机系统安全保护能力的五个等级6、B7、B8、C9、B10、B11、A12、D解析:短期停电即电力中断,故选D。可中断的电力供应13、B14、A15、A16、D17、D18、D19、C20、C解析:信息分级的目的确保信息按照其对组织的重要程度受到适当水平的保

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论