2024年第二期国家ISMS信息安全管理体系审核员模拟试题含解析

2024年第二期国家ISMS信息安全管理体系审核员模拟试题一、单项选择题1、主动式射频识别卡(RFID)存在哪一种弱点?（）A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR2、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性3、组织应（）A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质4、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗5、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意6、当获得的审核证据表明不能达到审核目的时，申核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理中以确定适当的措施C、宣布取消末次会议D、以上各项都不可以7、GB/T22080-2016中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部8、风险责任人是指（）A、具有责任和权限管理一项风险的个人或实体B、实施风险评估的组织的法人C、实施风险评估的项目负责人或项目任务责任人D、信息及信息处理设施的使用者9、在实施技术符合性评审时，以下说法正确的是（）A、技术符合性评审即渗透测试B、技术符合性评审即漏洞扫描与渗透测试的结合C、渗透测试和漏洞扫描可以替代风险评估D、渗透测试和漏洞扫描不可替代风险评估10、关于《中华人民共和国保密法》，以下说法正确的是:（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护11、依据GB/T22080/ISO/IEC27001中控制措施的要求，关于网络服务的访问控制策略,以下正确的是()A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制12、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项13、信息安全基本属性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性14、造成计算机系统不安全的因素包括（）。A、系统不及时打补丁B、使用弱口令C、连接不加密的无线网络D、以上都对15、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确16、下列管理评审的方式，哪个不满足标准的要求?(）A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审17、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B18、最高管理层应（），以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限19、关于文件管理下列说法错误的是（）A、文件发布前应得到批准，以确保文件是适宜的B、必要时对文件进行评审、更新并再次批准C、应确保文件保持清晰，易于识别D、作废文件应及时销毁，防止错误使用20、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障21、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対22、关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径23、已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A、问题B、事件C、错误D、事态24、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果25、在运行阶段，组织应（）A、策划信息安全风险处置计划，保留文件化信息B、实现信息安全风险处置计划，保留文件化信息C、测量信息安全风险处置计划，保留文件化信息D、改进信息安全风险处置计划，保留文件化信息26、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息A、相关方B、供应商C、顾客D、上级机关27、关于信息安全连续性，以下说法正确的是（）A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定28、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通29、ISO/IEC27701是（）A、是一份基于27002的指南性标准B、是27001和27002的隐私保护方面的扩展C、是ISMS族以外的标准D、在隐私保护方面扩展了270001的要求30、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告A、8小时内B、12小时内C、24小时内D、48小时内31、依据《中华人民共和国网络安全法》，以下说法不正确的是（）A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息属于个人信息B、自然人的身份证号码、电话号码属于个人信息C、自然人的姓名、住址不属于个人信息D、自然人的出生日期属于个人信息32、()属于管理脆弱性的识别对象A、物理环境B、网络结构C、应用系统D、技术管理33、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析34、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作35、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年36、信息安全控制目标是指：（)A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B37、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程38、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请A、2年B、3年C、4年D、5年39、关于适用性声明下面描述错误的是(）A、包含附录A中控制删减的合理性说明B、不包含未实现的控制C、包含所有计划的控制D、包含附录A的控制及其选择的合理性说明40、信息安全管理体系的设计应考虑（）A、组织的战B、组织的目标和需求C、组织的业务过程性质D、以上全部二、多项选择题41、以下说法不正确的是（）A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了42、下列属于“开发安全”活动的是（）。A、应规范用户修改软件包，必须的修改应严格管制B、应用系统若有变更，应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序43、关于服务组件”以下说法正确的是（）A、不包括基础设施B、可以是服务的一部分C、可包括配置项、资产或其他要素D、一项或多项配置项可以构成一项服务组件44、信息安全方针应（）A、形成文件化信息并可用B、与组织内外相关方全面进行沟通C、确保符合组织的战略方针D、适当时，对相关方可用45、信息安全管理体系审核应遵循的原则包括:（）A、诚实守信B、保密性C、基于风险D、基于事实的决策方法46、《中华人民共和国网络安全法》的宗旨是（）A、维护网络间主权B、维按国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益47、防范端口扫描、漏洞扫描和网络监听的措施为(）A、安装防火墙B、定期更新系统或打补丁C、对网络上传输的信息进行加密D、关闭一些不常用的端口48、问题管理的输入不包括（）A、变更请求B、问题解决方案C、事件记录D、新的已知错误49、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致50、在IT服务管理中，"部署"活动包括：（）A、实施变更B、对变更的影响进行评估C、将服务组件迁移到生产环境D、将经测试的软件包转移到生产环境51、组织建立的信息安全目标，应（）A、是可测量的B、与信息安方针一致C、得到沟通D、适当时更新52、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机53、以下（）活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训54、某组织在酒店组织召开内容敏感的会议，根据GB/T22080-2016/ISO/IEC27001:2013标准，以下说法正确的是（）A、会议开始前及持续期间开启干扰机，这符合A11,2的要求B、进入会议室人员被要求手机不得带入，这符合A11,1的要求C、对于可进入会议室提供茶水服务的酒店服务生进行筛选，这符合A11,1的要求D、要求参会人员在散会时将纸质会议资料留下由服务生统一回收，这符合A8,3的要求55、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处置三、判断题56、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）正确错误57、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）正确错误58、《中华人民共和国网络安全法》是2017年1月1日起实施的。（）正确错误59、创建和更新文件化信息时，组织应确保对其适宜性和充分性进行评审和批准。正确错误60、容量管理策略可以考虑增加容量或降低容量要求（）正确错误61、从审核开始到结束,审核组长应对审核实施负责正确错误62、最高管理层应确保方针得到建立（）正确错误63、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）正确错误64、测量是确定数值和性质的过程。（）正确错误65、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。正确错误

参考答案一、单项选择题1、B2、B解析:引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序3、C4、A5、C6、B7、B8、A9、D10、A11、B12、C解析:管理体系审核指南3,4审核发现是将收集的审核证据对照审核准则进行评价的结果，故选C13、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故选B14、D15、C16、A17、D18、C19、D