2021年06月ISMS信息安全管理体系审核员考试试题（网友回忆版）

2021年06月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.信息安全风险的基（江南博哥）本要素包括()A.资产、可能性、影响B.资产、脆弱性、威胁C.可能性、资产、脆弱性D.脆弱性、威胁、后果参考答案：B[单选题]5.信息安全管理中，关于脆弱性，以下说法正确的是()。A.组织使用的开源软件不须考虑其技术脆弱性B.软件开发人员为方便维护留的后门是脆弱性的一种C.识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D.使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会参考答案：B[单选题]6.公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A.要求员工立即改正B.对员工进行优质口令设置方法的培训C.通过域控进行强制管理D.对所有员工进行意识教育参考答案：A[单选题]7.下面哪个不是《中华人民共和国密码法》中密码的分类？()A.核心密码B.普通密码C.国家密码D.商用密码参考答案：C[单选题]8.《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。A.半年B.1年C.1.5年D.2年参考答案：D[单选题]9.ISMS不一定必须保留的文件化信息有()A.适用性声明B.信息安全风险评估过程记录C.管理评审结果D.重要业务系统操作指南参考答案：D[单选题]10.访问控制是确保对资产的访问，是基于()要求进行授权和限制的手段。A.用户权限B.可被用户访问的资料C.系统是否遭受入侵D.可给予哪些主体访问参考答案：D[单选题]11.关于《中华人民共和国保密法》，以下说法正确的是()A.该法的目的是为了保守国家秘密而定B.该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C.该法适用于所有组织对其敏感信息的保护D.国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护 参考答案：A[单选题]12.依据GB/T22080/ISO/IEC27001中控制措施的要求，关于网络服务的访问控制策略,以下正确的是()A.网络管理员可以通过telnet在家里远程登录、维护核心交换机B.应关闭服务器上不需要的网络服务C.可以通过防病毒产品实现对内部用户的网络访问控制D.可以通过常规防火墙实现对内部用户访问外部网络的访问控制参考答案：B[单选题]13.《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告A.8小时内B.12小时内C.24小时内D.48小时内参考答案：C[单选题]14.ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的()系统A.报告B.传递C.评价D.测量参考答案：D[单选题]15.《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()A.ISO/IEC27002B.ISO/IEC27003C.ISO/IEC27004D.ISO/IEC27005参考答案：B[单选题]16.下列()不是创建和维护测量要执行的活动。A.开展测量活动B.识别当前支持信息需求的安全实践C.开发和更新测量D.建立测量文档并确定实施优先级参考答案：D[单选题]17.ISMS文件评审需考虑()A.收集信息，以准备审核活动和适当的工作文件B.请受审核方确认ISMS文件审核报告，并签字C.确认受审核方文件与标准的符合性,并提出改进意见D.双方就ISMS文件框架交换不同意见参考答案：A[单选题]18.信息安全的机密性是指()A.保证信息不被其他人使用B.信息不被未授权的个人、实体或过程利用或知悉的特性C.根据授权实体的要求可访问的特性D.保护信息准确和完整的特性 参考答案：B[单选题]19.根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A.国家经营B.地方经营C.备案制度D.许可制度参考答案：D[单选题]20.对保密文件复印件张数核对是确保保密文件的()?A.保密性B.完整性C.可用性D.连续性参考答案：A[单选题]21.《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于()对信息系统造成物理破坏而导致的信息安全事件。?A.人为因素B.自然灾难C.不可抗力D.网络故障参考答案：C[单选题]22.关于顾客满意，以下说法正确的是：()A.顾客没有抱怨，表示顾客满意B.信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C.顾客认为其要求已得到满足，即意味着顾客满意D.组织认为顾客要求已得到满足，即意味着顾客满意参考答案：C[单选题]23.()对于信息安全管理负有责任A.高级管理层B.安全管理员C.IT管理员D.所有与信息系统有关人员参考答案：D[单选题]24.形成ISMS审核发现时，不需要考虑的是()A.所实施控制措施与适用性声明的符合性B.适用性声明的完备性和适宜性C.所实施控制措施的时效性D.所实施控制措施的有效性参考答案：C[单选题]25.关于信息系统登录口令的管理，以下做法不正确的是：()A.必要时，使用密码技术、生物识等替代口令B.用提示信息告知用户输入的口令是否正确C.明确告知用户应遵从的优质口令策略D.使用互动式管理确保用户使用优质口令参考答案：B[单选题]26.信息安全目标应()A.可测量B.与信息安全方针一致C.适当时，对相关方可用D.定期更新参考答案：B[单选题]27.完整性是指()A.根据授权实体的要求可访问的特性B.信息不被未授权的个人实体或过程利用或知悉的特性C.保护资产准确和完整的特性D.保护资产保密和可用的特性参考答案：C[单选题]28.风险偏好是组织寻求或保留风险的()A.行动B.计划C.意愿D.批复参考答案：C[单选题]29.下面哪个不是典型的软件开发模型？()A.变换型B.渐增型C.瀑布型D.结构型参考答案：A[单选题]30.组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A.确定B.制定C.落实D.确保参考答案：A[单选题]31.GB/T29246标准为组织和个人提供()A.建立信息安全管理体系的基础信息B.信息安全管理体系的介绍C.ISMS标准族已发布标准的介绍D.1SMS标准族中使用的所有术语和定义参考答案：D[单选题]32.下列不一定要进行风险评估的是()A.发布新的法律法规B.ISMS最高管理者人员变更C.ISMS范围内的网络采用新的网络架构D.计划的时间间隔参考答案：D[单选题]33.《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A.2019B.2017C.2016D.2021参考答案：D[单选题]34.根据GB/T22080-2016标准的要求，组织()实施风险评估A.应按计划的时间间隔或当重大变更提出或发生时B.应按计划的时间间隔且当重大变更提出或发生时C.只需在重大变更发生时D.只需按计划的时间间隔参考答案：A[单选题]35.按照PDCA思路进行审核，是指()A.按照受审核区域的信息安全管理活动的PDCA过程进行审核B.按照认证机构的PDCA流程进行审核C.按照认可规范中规定的PDCA流程进行审核D.以上都对参考答案：A[单选题]36.ISMS文件的多少和详细程度取决于()A.组织的规模和活动的类型B.过程及其相互作用的复杂程度C.人员的能力D.以上都对参考答案：D[单选题]37.依据GB/T22080/ISO/IEC27001，信息分类方案的目的是()A.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B.确保信息按照其对组织的重要程度受到适当水平的保护C.划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D.划分信息载体所属的职能以便于明确管理责任参考答案：B[单选题]38.关于投诉处理过程的设计，以下说法正确的是：()A.投诉处理过程应易于所有投诉者使用B.投诉处理过程应易于所有投诉响应者使用C.投诉处理过程应易于所有投诉处理者使用D.投诉处理过程应易于为投诉处理付费的投诉者使用参考答案：A[单选题]39.根据GB/T22080-2016中控制措施的要求，关于技术脆弱性管理，以下说法正确的是：()A.技术脆弱性应单独管理，与事件管理没有关联B.了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C.针对技术脆弱性的补丁安装应按变更管理进行控制D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径参考答案：C[单选题]40.组织的风险责任人不可以是()A.组织的某个部门B.某个系统管理员C.风险转移到组织D.组织的某个虚拟小组负责人参考答案：C[多选题]1.常规控制图主要用于区分()A.过程处于稳态还是非稳态B.过程能力的大小C.过程加工的不合格率D.过程中存在偶然波动还是异常波动参考答案：ABCD[多选题]2.下列哪些是SSL支持的内容类型?()?A.chang_cipher_specB.alertC.handshakleD.applicatlon_data参考答案：ABCD[多选题]3.GB/T28450审核方案管理的内容包括()A.信息安全风险管理要求B.ISMS的复杂度C.是否存在相似场所D.ISMS的规模参考答案：ABCD[多选题]4.IS0/IEC27000系列标准主要包括哪几类标准？()A.要求类B.应用类C.指南类D.术语类参考答案：ABCD[多选题]5.信息安全风险分析包括()A.分析风险发生的原因B.确定风险级别C.评估识别的风险发生后，可能导致的潜在后果D.评估所识别的风险实际发生的可能性参考答案：BCD[多选题]6.信息安全管理中，支持性基础设施指：()A.供电、通信设施B.消防、防雷设施C.空调及新风系统、水气暖供应系统D.网络设备参考答案：ABC[多选题]7.《中华人民共和国网络安全法》是为了保障网络安全,()A.维护网络空间主权B.维护国家安全C.维护社会公共利益D.保护公民、法人和其他组织的合法权益参考答案：ABCD[多选题]8.信息安全是保证信息的(),另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A.可用性B.机密性C.完备性D.完整性参考答案：ABD[多选题]9.网络常见的拓扑形式有()A.星型B.环型C.总线D.树型参考答案：ABCD[多选题]10.访问控制包括()A.网络和网络服务的访问控制B.逻辑访问控制C.用户访问控制D.物理访问控制参考答案：BD[多选题]11.《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度A.新闻、出版B.医疗、保健C.知识类D.教育类参考答案：ABD[多选题]12.以下()活动是ISMS建立阶段应完成的内容A.确定ISMS的范围和边界B.确定ISMS方针C.确定风险评估方法和实施D.实施体系文件培训参考答案：ABC[多选题]13.在开展信息安全绩效和ISMS有效性评价时，组织应确定()A.监视、测量、分析和评价的过程B.适用的监视、测量、分析和评价的方法C.需要被监视和测量的内容D.监视、测量、分析和评价的执行人员参考答案：BCD[多选题]14.管理评审是为了确保信息安全管理体系持续的()?A.适宜性B.充分性C.有效性D.可靠性参考答案：ABC[多选题]15.依据GB/Z20986，确定为重大社会影响的情况包括()?A.涉及到一个或多个城市的大部分地区B.威胁到国家安全C.扰乱社会秩序D.对经济建设设有重大负面影响参考答案：ABD[判断题]1.较低的恢复时间目标会有更长的中断时间。()A.正确B.错误参考答案：B[判断题]2.组织的内外部相关方要求属于组织的内部和外部事项”()A.正确B.错误参考答案：B[判断题]3.破坏、摧毁、控制网络基础设施是网络攻击行为之一()A.正确B.错误参考答案：A[判断题]4.中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。A.正确B.错误参考答案：A[判断题]5.风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。()A.正确B.错误参考答案：B参考解析：应获得风险责任人批准[判断题]6.纠正是指为消除已发现的不符合或其他不的原因所采取