ISMS考试真题合集

....IOS/IEC27001 ISMS202306一、单项选择、Cp≥CpkCp、Cp≥CpkA、Cp＞Cpk B、Cp＜Cpk C、Cp≤Cpk2〔。C、可用性A、充分性 B、适宜性 DC、可用性D、操作打算应为远程工作活动开发和实施策略〔〕和规程。A、制定目标 B，明确职责CD、操作打算〔〕信息安全事态组成，它们具有损害业务运行和威逼信息安全的极大可能性。C、意外A、已经发生B、可能发生 D、C、意外5、依据《互联网信息效劳治理方法》规定，国家对经营性互联网信息效劳实行〔。C、许可制度A、国家经营B、地方经营 DC、许可制度6、以下说法不正确的选项是〔〕B、应考虑以往未充分识别的威逼对风险评估结果进展再评估D、安全打算应适时更7、组织在建立和评审信息安全治理体系时，应考虑〔〕D、A+CA、风险评估的结果 B、治理方案 D、A+C8、治理体系是指〔。B、相互关联的相互作用的一组要素C、指挥和把握组织的协调活动DD、以上都对9、风险评价是指〔〕A、系统地使用信息来识别风险来源和评估风险C、指导和把握一个组织相关风险的协调活动D、以上都对、以下属于计算机病毒感染大事的订正措施的是〔〕A、对计算机病毒大事进展相应和处理C、对相关责任人进展惩罚DD、以上都不对、监视、检查、指导计算机信息系统安全保护工作是〔〕对计算机信息系统安全保护履行法定职责之一B、公安机关A、电信治理机构 C、国家安全机关DB、公安机关D、以上都对、国家隐秘的密级分为〔〕A、绝密B、机密 CD、以上都对13对隐秘级、机密级信息系统每〔〕至少进展一次保密检查或系统测评。D、2年A、半年B、1年 CD、2年D、5年14D、5年A、2年B、3年 C、4年〔〕进展。A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式C、以上都对16、以下关于认证机构的监视要求表述错误的选项是〔〕方案，并推断方案的合理性C、监视审核可以与其他治理体系的审核相结合D、认证机构应对认证证书的使用进展监视17、渗透测试〔〕A、可能会导致业务系统无法正常运行B、是通过模拟恶意黑客的攻击方法，来评估量算机网络系统安全的一种评估方法报告D、必需在计算机网络系统首次使用前进展，以确保系统安全A、RSA、以下哪个算法是非对称加密算法？〔〕B、DES C、3DES DA、RSA19、下面是关于计算机病毒的两种论断，经推断〔〕程序中去。②计算机病毒只会破坏磁盘上的数据。经推断A、只有①正确A、保护内部网络免受非法用户的侵入B．只有②正确 C．①②都正确 都不正确0、以下关于入侵检测系统功能的表达中A、只有①正确A、保护内部网络免受非法用户的侵入B、评估系统关键资源和数据文件的完整性C、识别的攻击行为D、统计分析特别行为、容灾就是削减灾难大事发生的可能性以及限制灾难对〔〕所造成的影响的一整套行为。D、关键业务流程A、销售业务流程B、财务业务流程CD、关键业务流程D、技术治理22D、技术治理A、物理环境B、网络构造C、应用系统D数据备份、防止计算机中信息被窃取的手段不包括〔〕A、用户识别 B、权限把握D数据备份、从技术上说，网络简洁受到攻击的缘由主要是由于网络软件不完善和〔〕本身存在安全漏洞造成的。C、操作系统A、人为使用 B、硬件设备 DC、操作系统25-32 暂无28、被黑客把握的计算机常被称为〔〕A、蠕虫B、肉鸡 C、灰鸽子D、木马30、被动扫描的优点不包括〔〕A、无法被监测B、只需要监听网络流量C、 D、不需要主动31、从技术的角度讲，数据备份的策略不包括〔〕A、完全备份BC、定期备份D、差异备份32、以下属于公司信息资产的有B、被放置在IDC机房的效劳器C、 D、以上都不对ISO/IEC27002属于〔〕标准B、指南类标准A、词汇类标准 C、要求类标准DB、指南类标准27001的要求，治理者应〔〕D、以上都不对定ISMS目标和打算 D、以上都不对C、打算承受风险的准则和风险的可承受级别27002的描述，正确的选项是〔〕A、该标准属于要求类标准 B、该标准属于指南类标准DISMS时，必需满足该标准的全部要求36、要确保信息受到适当等级的保护，需要〔〕D、以上都不对A、对不同类别的信息分别标记和处理B、将全部信息存放于重要效劳器上，严加保管CD、以上都不对7〔〕C1所要求的。A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息，不得向外部泄露 C、信息安全方针文件应包括对信息安全治理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则，不行变更38、适用性声明文件应〔〕D、应删除组织不拟实施的把握措施A、描述与组织相关和适用的把握目标和把握措施B、版本应保持稳定不变AD、应删除组织不拟实施的把握措施39、信息系统的变更治理包括〔〕D、以上全部A、系统更的版本把握B、对变更申请的审核过程CD、以上全部40、以下对信息安全描述不准确的是〔〕A、保密性、完整性、可用性 B、适宜性、充分性、有效性C、保密性、完整性、可核查性D、真实性、可核查性、牢靠性41、ISMS文件的多少和具体程度取决于〔〕D、以上都对A、组织的规模和活动的类型B、过程及其相互作用的简洁程度CD、以上都对42、ISMS治理评审的输出应考虑变更对安全规程和把握措施的影响，但不包括〔〕D、以上都对A、业务要求变更B、合同义务变更CD、以上都对D、剩余风险43D、剩余风险A、重大风险B、有条件的承受风险C、不行承受的风险44、在公共可用系统中可用信息的〔〕宜受保护，以防止未授权的修改。C、完整性A、保密性B、可用性 DC、完整性、当操作系统发生变更时，应对业务的关键应用进展〔〕以确保对组织的运行和安全没有负面影响。B、评审和测试A、隔离和迁移 C、评审和隔离DB、评审和测试、应要求信息系统和效劳的〔〕记录并报告观看到的或疑心的任何系统或效劳的安全弱点D、以上全对A、雇员B、承包方 CD、以上全对7、主体访问权限的〔。即仅执行授权活动所必需的那些权利被称为最小特定权限。B、最低限度A、最高限度 C、平均限度 DB、最低限度、远程访问就是从另一网络或者从一个〔〕到所访问网络的终端设备上访问网络资源的过程。C、并不永久连接A、连接B、永不连接 DC、并不永久连接、业务连续性治理主要目标是防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保他们的准时〔〕B、恢复A、可用 C、回退DB、恢复C、敏感系统隔离、设置研发内部独立内网是实行〔〕的把握措施A、上网流量管控BC、敏感系统隔离

D、信息交换51因此应实行〔〕把握措施C、会话超时A、密码把握B、密匙把握 DC、会话超时D、运行、开发、测试和〔〕设施应分别，以削减未授权访问或转变运行系统的风险。A、配置B、系统 CD、运行5353〔〕是建立有效的计算机病毒防范体系所需要的技术措施A、防火墙、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁治理系统和防火墙D、网络入侵检测、防病毒系统和防火墙D、以上都对54D、以上都对A、学问产权保护B、公司信息保护C、个人隐私的保护C、业务连续性治理、容灾的目的和实质是〔〕A、数据备份BC、业务连续性治理

D、防止数据被破坏56、以下描述正确的选项是〔〕A、只要组织的业务不属于网络实时交易，即可不考虑应用“时钟同步”的范畴C、实施信息安全治理，须考虑各利益相关方的需求以及可操作性方面的权衡DD、撤销对信息和信息处理设施的访问权是针对的组织雇员离职的状况57、以下描述不正确的选项是〔〕A、防范恶意和移动代码的目标是保护软件和信息的完整性C、风险分析、风险评价、风险处理的整个过程称为风险治理D、把握措施可以降低安全大事发生的可能性，但不能降低安全大事的潜在影响D、恢复整个系统D、恢复整个系统A、恢复全部程序B、恢复网络设置C、恢复全部数据59、计算机病毒是计算机系统中一类隐蔽在〔〕上蓄意破坏的捣乱程序。C、存储介质A、内存B、软盘 DC、存储介质60、以下说法不正确的选项是〔〕B、网络边界保护主要承受防火墙系统C、防火墙安全策略一旦设定，就不能再做任何转变D、数据备份按数据类型划分可以分成系统数据备份和用户数据备份61、访问把握是指确定〔〕以及实施访问权限的过程。A、用户权限 B、可赐予哪些主体访问权利C、可被用户访问的资源D、系统是否患病入侵62、信息安全治理体系是用来确定〔〕A、组织的治理效率B、产品和效劳符合有关法律法规程度C、信息安全治理体系满足审核准则的程度D、信息安全手册与标准的符合程度63、安全区域通常的防护措施有〔〕D、A+B+CAB、进出公司的访客须在门卫处进展登记D、A+B+CD、以上全部4、在信息安全治理中进展〔ABC、责任追查和惩罚D、访问把握65、信息安全治理体系的设计应考虑〔〕D、以上全部A、组织的战略BC、组织的业务过程性质66、抵抗电子又想入侵措施中，不正确的选项是〔〕CB5D、自己做效劳器67、对于全部拟定的订正和预防措施，在实施前应先通过〔〕过程进展评审B、风险分析A、薄弱环节识别 C、治理方案D、B、风险分析ISMS体系的目的，是为了充分保护信息资产并赐予〔〕信念A、相关方B、供给商C、顾客 DA、相关方9、口令治理系统应当是〔，并确保优质的口令B、交互式A、唯一式 C、专人治理式 D、B、交互式70、GB/T22080标准中所指资产的价值取决于〔〕B、资产对于业务的敏感度A、资产的价格 C、资产的折损率DB、资产对于业务的敏感度71、加强网络安全性的最重要的根底措施是〔〕A、设计有效的网络安全策略B、选择更安全的操作系统C、安装杀毒软件D、加强安全教育、在考虑网络安全策略时，应当在网络安全分析的根底上从以下哪两个方面提出相应的对策？〔〕B、技术和制度A、硬件和软件 C、治理员和用户DB、技术和制度73、以下〔〕不是访问把握策略中所允许的D、屏幕上留存常常工作用文档A、口令使用B、无人值守的用户设备的适当保护CD、屏幕上留存常常工作用文档74、某种网络安全威逼是通过非法手段对数据进展恶意修改，这种安全威逼属于〔〕B、破坏数据完整性A、窃听数据 C、破坏数据可用性DB、破坏数据完整性75、以下〔〕不是信息安全治理体系中所指的资产D、桌子、椅子A、硬件、软件、文档资料B、关键人员 CD、桌子、椅子76、信息安全方针可以不包括的要求是〔〕A、考虑业务和法律法规的要求，是合同中的安全义务C、可测量B、建立风险评估的准则 DC、可测量77、构成风险的关键因素有〔〕A、人、财、物 B、技术、治理和操作C、资产、威逼和弱点DC、资产、威逼和弱点C、对公司不满的员工、一般来说单位工作中〔〕安全风险最大A、临时员工BC、对公司不满的员工

D、离职员工79〔〕是指系统、效劳或网络的一种可识别的状态的发生它可能是对信息安全方针的违反或把握措施的实效。或是和安全相关的一个从前位置的状态A、信息安全事态B、信息安全大事C、信息安全事故DA、信息安全事态80、数字签名是指附加在数据单元上，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的〔，并保护数据防止被人例如接收者伪造。D、来源和完整性A、来源和有效性B、格式和完整性CD、来源和完整性二、多项选择题A、闻、出版B、医疗、保健DA、闻、出版B、医疗、保健D、教育类C、学问类82、无83、以下说法不正确的选项是〔〕B、监视和测量顾客满足的方法之一是发调查问卷，并对结果进展分析和评价C、顾客满足测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满足了A、保密性C、基于风险、信息安全的特有审核原则有〔〕A、保密性C、基于风险

D、基于证据的方法A、业务D、资产和技术85、ISMSA、业务D、资产和技术B、组织 C、物理86〔五〕级，其中第〔四〕级发生时，信息系统受到破坏后，会对社会秩序和公共利益造成特别严峻损害，或者对国家安全造成严峻损害。A、三 B、四 C、五D、六8787、风险评估过程中威逼的分类一般应包括〔〕A、软硬件故障、物理环境影响B、无作为或操作失误、治理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖88、按掩盖的地理范围进展分类，计算机网络可分为〔〕A、局域网BA、局域网B、城域网C、广域网89、无C、系统把握 D、资源耗尽攻击、网络攻击的方式包括〔〕AC、系统把握 D、资源耗尽攻击预评审阶段需完成的内容A、实施培训和意思教育打算 内容审核施ISMS治理评审D、实行订正措施92、组织在风险处置过程中所选的把握措施需〔〕AB、可以将风险转移C、在满足公司策略和方针条件下，有意识、客观地承受风险D、避开风险93、信息安全体系文件应包含〔〕C、效劳名目D、适用性声明AC、效劳名目D、适用性声明94、撤销对信息和信息处理设施的访问权针对的是〔〕AA、组织雇员离职的状况、临时任务完毕的状况B、组织雇员转岗的状况D、员工出差、在应用系统中对输入输出数据进展验证，并对内部处理进展把握，可以实现〔〕A、防止对网络效劳的未授权访问B、防止应用系统中信息的错误和遗失C、防止应用系统中信息的未授权的修改及误用D、确保承受全都和有效的方法对信息安全大事进展