版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2024年第二期信息安全管理体系审核员(ISMS)考试题目一、单项选择题1、第三方认证审核时,对于审核提出的不符合项,审核组应:()A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对2、信息安全事态、事件和事故的关系是()A、事态一定是事件,事件一定是事故B、事件一定是事故,事故一定是事态C、事态一定是事故,事故一定是事件D、事故一定是事件,事件一定是事态3、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认4、关于信息系统登录的管理,以下说法不正确的是()A、网络安全等级保护中,三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率,可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令5、以下关于认证机构的监督要求表述错误的是()A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督6、文件化信息创建和更新时,组织应确保适当的()A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准7、在安全模式下杀毒最主要的理由是()A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机8、物理安全周边的安全设置应考虑:()A、区域内信息和资产的敏感性分类B、重点考虑计算机机房,而不是办公区或其他功能区C、入侵探测和报警机制D、A+C9、对于获准认可的认证机构,认可机构证明()A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力10、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()A、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任11、在每天下午5点使计算机结束时断开终端的连接属于()A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗12、信息安全管理中,支持性基础设施指:()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部13、依据GB/T220802016/SO/EC.27001:2013标准,组织应()。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力14、残余风险是指:()A、风险评估前,以往活动遗留的风险B、风险评估后,对以往活动遗留的风险的估值C、风险处置后剩余的风险,比可接受风险低D、风险处置后剩余的风险,不一定比可接受风险低15、下列哪项不是监督审核的目的?()A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定16、信息是消除()的东西A、不确定性B、物理特性C、不稳定性D、干扰因素17、()是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙18、信息安全管理体系的设计应考虑()A、组织的战B、组织的目标和需求C、组织的业务过程性质D、以上全部19、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括()A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都不对20、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为()A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求21、当获得的审核证据表明不能达到审核目的时,审核组长可以()A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以22、依据GB/T22080-2016/1SO/1EC.27001:2013标准,不属于第三方服务监视和评审范畴的是()。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力23、关于《中华人民共和国保密法》,以下说法正确的是:()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护24、TCP/IP协议层次结构由()A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确25、关于认证人员执业要求,以下说法正确的是:A、注册审核员只能在一个认证机构和一个咨询机构执业B、注册审核员和认证决定人员只能在一个认证机构C、注册审核员只能在一个认证机构执业,非注册的认证决定人员不受此限制D、在咨询机构认专职咨询师的人员,只能在认证机构人兼职认证决定人员26、在规划如何达到信息安全目标时,组织应确定()A、要做什么,有什么可用资源,由谁负责,什么时候开始,如何测量结果B、要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果C、要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果D、要做什么,有什么可用资源,由谁执行,什么时候开始,如何评价结果27、关于GB/T28450,以下说法正确的是()。A、增加了ISMS的审核指导B、与ISO19011一致C、与ISO/IEC27000一致D、等同采用了ISO1901128、()是确保信息没有非授权泄密,即信息不被未授权的个人、实现或过程,不为其所用。A、搞抵赖性B、完整性C、机密性D、可用性29、在发布一个软件升级,修复某个已知错误后,哪个流程能确保配置信息被正确更新()A、变更管理B、服务级别管理C、配置管理D、发布和部署管理30、根据GB/T22080-2016标准的要求,组织()实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔31、文件化信息指()A、组织创建的文件B、组织拥有的文件C、组织要求控制和维护的信息及包含该信息的介质D、对组织有价值的文件32、—个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C33、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略,以下正确的是()A、没有陈述为禁止访问的网络服务,视为允许方问的网络服务B、对于允许访问的网络服务,默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务,按照规定的授权机制进行授权D、以上都对34、相关方的要求可以包括()A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务35、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么中哪一项不是针对该问题的纠正措施?()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育36、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份37、gb17859-1999提出将信息系统的安全等级划分为()个等级,并提出每个级别的安全功能要求A、2B、3C、5D、738、《信息安全管理体系认证机构要求》中規定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対39、依据ISO/IEC20000-1:2018,服务目录应()A、描述服务及其结果B、由顾客制定C、是合同的一部分D、是统一所有服务描述的汇总40、涉及运行系统验证的审计要求和活动,应()A、谨慎地加以规划并取得批准,以便最小化业务过程的中断B、谨慎地加以规划并取得批准,以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准,以便最小化业务过程的中断D、谨慎地加以实施并取得批准,以便最大化保持业务过程的连续二、多项选择题41、撤销对信息和信息处理设施的访问权针对的是()A、组织雇员离职的情况B、组织雇员转岗的情况C、临时任务结束的情况D、员工出差42、以下说法正确的是()A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷,并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了43、在设计和应用安全区域工作规程时,宜考虑()A、基于“须知”原则,员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权,不宜允许携带摄影、视频或其他记录设备,例如移动设备中的相机44、防范端口扫描、漏洞扫描和网络监听的措施为()A、安装防火墙B、定期更新系统或打补丁C、对网络上传输的信息进行加密D、关闭一些不常用的端口45、关于审核委托方,以下说法正确的是:()A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核46、关于审核发现,以下说法正确的是:()A、审核发现是收集的审核证据对照审核准则进行评价的结果B、审核发现包括正面的和负面的发现C、审核发现是审核结论的输入D、审核发现是制定审核准则的依据47、《中华人民共和国网络安全法》的宗旨是()A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益48、不符合项报告应包括A、不符合事实的描述B、不符合的标准条款及内容C、不符合的原因D、不符合的性质49、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块,为方便各项目组讨论,公司创建了一个sharefolder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是()A、各项目人员访问该sharefolder需要得到授权B、获得sharefolder访问权者可访问该目录下所有子文件夹C、IT人员与各项目负责人共同定期评审sharefolder访问权D、H人员不定期删除sharefolder数据以释放容量,此活动是容量管理,游戏开发人员不参与50、为控制文件化信息,适用时,组织应强调以下哪些活动?()A、分发,访问,检索和使用B、存储和保护,包括保持可读性C、控制变更(例如版本控制)D、保留和处理51、信息安全绩效的反馈,包括以下哪些方面的趋势()A、不符合和纠正措施B、监视测量的结果C、审核结果D、信息安全方针完成情况52、含有高等级敏感信息的设备的处置可采取()A、格式化处理B、采取使原始信息不可获取的技术破坏或删除C、多次的写覆盖D、彻底破坏53、以下()活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训54、关于“不可否认性”,以下说法正确的是()A、数字签名是实现“不可否认性”的有效技术手段B、身份认证是实现“不可否认性”的重要环节C、数字时间戳是“不可否认性”的关键属性D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性55、下列属于“开发安全”活动的是()。A、应规范用户修改软件包,必须的修改应严格管制B、应用系统若有变更,应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序三、判断题56、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者。()正确错误57、最高管理层应通过“确保持续改进”活动,证实对信息安全管理体系的领导和承诺。()正确错误58、某组织定期请第三方对其IT系统进行漏洞扫描,因此不再进行其他形式的信息安全风险评估,这在认证审核时是可接受的()正确错误59、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。()正确错误60、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()正确错误61、实习审核员可以独立完成审核任务。()正确错误62、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。()正确错误63、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者。()正确错误64、计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统()正确错误65、纠正是指为消除己发现的不符合或其他不期望情况的原因所采取的措施。()正确错误
参考答案一、单项选择题1、B2、D3、B解析:2700214,2,3运行平台变更后对应用的技术评审,当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。故选B4、C解析:应确保秘密鉴别信息的保密性,确保鉴别信息得到适当的保护,C选项为提高效率而保存鉴别信息的直接登录方式,不能确保鉴别信息得到保护,故选C5、B6、D7、B8、D9、B10、B11、A12、D13、C14、D15、D16、A17、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施,但D选项与病毒防御更相关,故选D18、D19、D解析:270019,3管理评审,管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。27001附录A12,1,2变更管理,应控制影响信息安全的变更,包括组织,业务过程,信息处理设施和系统变更。因此A,B,C选项的变更均符合变更管理,故选D20、D21、B22、B23、A24、C25、B26、C27、A28、C29、C30、A31、C32、C解析:信息安全事件,指一个或一系列意外或不期望的信息安全事态组成,他们极有可能损害业务运行并威胁信息安全。故选C33、C34、D35、A36、A37、C解析:《计算机信息系统安全保护等级划分准则》规定了计算机系统安全保护能力的五个等级38、A39、A40、A二、多项选择题41、A,B,C解析
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026届高三历史高考冲刺模拟模拟试卷(含参考答案解析)
- 2026山青学院面试题及答案
- 2026台资企业面试题及答案
- 青岛瑞驰司生物质锅炉技术改造项目报告表
- 2026文化类英语面试题及答案
- 2026五矿信托面试题及答案
- 2026年春季学期人教版九年级历史下册全册教案
- 2026年煤矿防爆检查工考核题库含参考答案
- 梁、板钢筋安装技术交底
- 2026年抢救药品相关试题(附答案)
- 北京市海淀区2025-2026学年七年级下学期期末数学试卷(含答案)
- 2026重庆垫江县杠家镇人民政府招聘政法社工1人笔试题库附参考答案详解【考试直接用】
- 2026-2030中国黄腐酸钾行业竞争力优势与投资可行性研究报告
- 2026年兰州文理学院招聘事业编制工作人员招聘30人笔试备考题库及答案详解
- 人教版小学六升七数学暑假衔接作业完整版 (可直接打印)
- 2025年温州市人民医院(信河院区)医护人员招聘考试试题附答案详解
- (2026年)吞咽障碍患者摄食指导课件
- 雨课堂学堂在线学堂云《走进军事理论(空军工程)》单元测试考核答案
- 2026年安徽马鞍山市中考语文试题(附答案)
- 心理干预的时机与方式
- 基层急救能力建设的资源瓶颈突破
评论
0/150
提交评论