2022年第四期信息安全管理体系审核员(ISMS)模拟试题含解析

2022年第四期信息安全管理体系审核员(ISMS)模拟试题一、单项选择题1、被黑客控制的计算机常被称为(）A、蠕虫B、肉鸡C、灰鸽子D、木马2、关于访问控制，以下说法正确的是（）A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件3、PKI的主要组成不包括(）A、SSLB、CRC、CAD、RA4、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证5、关于投诉处理过程的设计，以下说法正确的是：（）A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用6、设置防火墙策略是为了(）A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制7、（）不是每个过程都需要定义的部分A、输出B、资源C、输入D、活动8、（）是问题管理流程中最后的环节A、将任何与变更请求下相关的传递给问题管理B、关闭C、问题回顾D、问题记录9、第三方认证审核时，对于审核提出的不符合项，审核组应：（）A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对10、文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对11、信息安全管理体系是用来确定（)A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度12、风险责任人是指（）A、具有责任和权限管理一项风险的个人或实体B、实施风险评估的组织的法人C、实施风险评估的项目负责人或项目任务责任人D、信息及信息处理设施的使用者13、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审14、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。A、5B、6C、3D、415、关于信息系统登录口令的管理，以下做法不正确的是：()A、必要时，使用密码技术、生物识等替代口令B、用提示信息告知用户输入的口令是否正确C、明确告知用户应遵从的优质口令策略D、使用互动式管理确保用户使用优质口令16、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督17、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素18、Saas是指(）A、软件即服务B、服务平台即月勝C、服务应用即服务D、服务瞇即服务19、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性20、以下哪些可由操作人员执行？（)A、审批变更B、更改配置文件C、安装系统软件D、添加/删除用户21、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对22、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息A、相关方B、供应商C、顾客D、上级机关23、在发布一个软件升级，修复某个已知错误后，哪个流程能确保配置信息被正确更新（）A、变更管理B、服务级别管理C、配置管理D、发布和部署管理24、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应25、()对于信息安全管理负有责任A、高级管理层B、安全管理员C、IT管理员D、所有与信息系统有关人员26、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统27、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议,明确安全和保密义务与责任A、安全保密B、安全保护C、安全保障D、安全责任28、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素29、最高管理者应（）。A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审30、关于GB/T28450,以下说法正确的是(）。A、增加了ISMS的审核指导B、与ISO19011一致C、与ISO/IEC27000一致D、等同采用了ISO1901131、确定资产的可用性要求须依据（）。A、授权实体的需求B、信息系统的实际性能水平C、组织可支付的经济成本D、最高管理者的决定32、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员33、信息安全残余风险是（）。A、没有处置完成的风险B、没有评估的风险C、处置之后仍存在的风险D、处置之后没有报告的风险34、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局35、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人36、造成计算机系统不安全的因素包括（）。A、系统不及时打补丁B、使用弱口令C、连接不加密的无线网络D、以上都对37、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密38、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见39、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析40、计算机信息系统安全专用产品是指：（）A、用于保护计算机信息系统安全的专用硬件和软件产品B、按安全加固要求设计的专用计算机C、安装了专用安全协议的专用计算机D、特定用途（如高保密）专用的计算机软件和硬件产品二、多项选择题41、依据GB/T22080，经管理层批准，定期评审的信息安全策略包括（）A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略42、防范端口扫描、漏洞扫描和网络监听的措施为(）A、安装防火墙B、定期更新系统或打补丁C、对网络上传输的信息进行加密D、关闭一些不常用的端口43、影响审核时间安排的因素包括（)A、ITSMS的范围大小B、场所的数量C、认证机构审核人员的能力D、认证机构审核人员的数量44、信息安全绩效的反馈，包括以下哪些方面的趋势（）A、不符合和纠正措施B、监视测量的结果C、审核结果D、信息安全方针完成情况45、信息安全管理中，以下属于"按需知悉(need-to-know)原则的是（)A、根据工作需要仅获得最小的知悉权限B、工作人员仅让满足工作所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D、得到管理者批准的信息是可访问的信息46、风险处置的可选措施包括（）。A、风险识别B、风险分析C、风险转移D、风险减缓47、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施48、组织在风险处置过程中所选的控制措施需（）A、将所有风险都必须被降低到可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下有意识、客观地接受风险D、规避风险49、《信息安全等级保护管理办法》的分级是依据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对（）的危害程度等因素确定。A、公民、法人和其他组织的合法权益B、公共利益C、国家安全D、社会秩序50、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核51、对于审核发现（）A、审核组应根据需要，在审核的适当阶段共同评审审核发现B、根据审核计划和检査表要求，只需记录每个不符合审核发现的审核证据C、应与受审核方一起评审不符合的审核发现，以确认审核证据的准确性，并得到受审核方的理解D、包括正面的和负面的发现52、根据《中华人民共和国密码法》，密码工作坚持总体国家安全观,遵循统一领导，(）依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责53、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖54、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处置55、以下属于信息安全管理体系审核证据的是（）A、信息系统的阈值列表B、信息系统运行监控中心显示的实时资源占用数据C、数据恢复测试的日志D、信息系统漏洞测试分析报告三、判断题56、容量管理策略可以考虑增加容量或降低容量要求（）正确错误57、从审核开始到结束,审核组长应对审核实施负责正确错误58、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）正确错误59、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级，这符合GB/T22080-2016标准A9.1.1条款的要求。（）正确错误60、较低的恢复时间目标会有更长的中断时间。（）正确错误61、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）正确错误62、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）正确错误63、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）正确错误64、流量监控能够有效实现对敏感数据的过滤（)正确错误65、纠正是指为消除己发现的不符合或其他不期望情况的原因所采取的措施。（）正确错误

参考答案一、单项选择题1、B2、C3、B4、C5、A解析:质量管理顾客满意组织处理投诉指南1范围，投诉处理过程为投诉者提供一个开放，有效，方便的投诉程序，故选A6、A7、B8、B9、B10、A11、C12、A13、B14、A15、B16、B17、B18、A19、A20、C21、C22、A23、C24、D25、D26、D27、A28、A29、D30、A31、A解析:资产在可用性上的不同要求，依据授权实体的需求而定，故选A32、C33、C解析:参考GB/T20984-2007信息安全风险评估规范，3,12残余风险是指采取了安全措施后，信息系统仍然可能存在的风险。故选C34、B35、C36、D37、A38、A39、C40、A二、多项选择题41、A,B,C,D42、A,B,C,D43、A,B44、A,B,C45、A,B,C46、C,D47、B,C48