ISMS信息安全管理体系基础考前点题卷二（题库）

ISMS信息安全管理体系基础考前点题卷二（题库）[单选题]1.信息安全管理体系审核是用来确定（）（江南博哥）A.组织的管理效率B.产品和服务符合有关法律法规程度C.信息安全管理体系满足审核准则的程度D.信息安全手册与标准的符合程度参考答案：C[单选题]2.信息安全控制措施是指（）A.管理信息安全风险的一种方法B.规程指南C.信息安全技术D.以上都不对参考答案：A参考解析：共1条1[单选题]3.访问控制是指确定（）以及实施访问权限的过程。A.用户权限B.可给予哪些主体访问权利C.可被用户访问的资源D.系统是否遭受入侵参考答案：B[单选题]5.下列不属于GB/T22080-2016/IS0/IEC27001:2013附录A中A8资产管理规定的控制目标的是（）A.资产归还B.资产分发C.资产的处理D.资产清单参考答案：B[单选题]6.下列信息系统安全说法正确的是（）A.加固所有的服务器和网络设备就可以保证网络的安全B.只要资金允许就可以实现绝对的安全C.断开所有的服务可以保证信息系统的安全D.信息系统安全状态会随着业务的变化而变化，因此网络安全状态需要根据业务而调整相应的网络安全策略参考答案：D[单选题]7.安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略？（）A.基本角色的策略B.基于身份的策略C.用户向导的策略D.强制性访问控制策略参考答案：D[单选题]8.访问控制是为了保护信息的（）A.完整性和机密性B.可用性和机密性C.可用性和完整性D.以上都是参考答案：A[单选题]9.关于入侵检测，以下不正确的是（）A.入侵检测是一个采集知识的过程B.入侵检测指信息安全事件响应过程C.分析反常的使用模式是入侵检测模式之一D.入侵检测包括收集被利用脆弱性发生的时间信息参考答案：B[单选题]10.文件化信息是指（）A.组织创建的文件B.组织拥有的文件C.组织要求控制和维护的信息及包含该信息的介质D.对组织有价值的文件参考答案：C[单选题]11.加强网络安全性的最重要的基础措施是（）A.设计有效的网络安全策略B.选择更安全的操作系统C.安装杀毒软件D.加强安全教育参考答案：A[单选题]12.GB/T22080_2016ASO/IEC27001:2013标准附录A有（）安全域。A.18个B.16个C.15个D.14个参考答案：D[单选题]13.信息安全管理体系中提到的“资产责任人”是指:A.对资产拥有财产权的人B.使用资产的人C.有权限变更资产安全属性的人D.资产所在部门负责人参考答案：C[单选题]14.下列管理评审的方式，哪个不满足标准的要求？（）A.组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B.通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性的评审C.通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D.通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审参考答案：A[单选题]15.下列哪一种情况下，网络数据管理协议（NDMP）可用于备份？（）A.需要使用网络附加存储设备（NAS）时B.不能使用TCP/IP的环境中C.需要备份旧的备份系统不能处理的文件许可时D.要保证跨多个数据卷的备份连续、一致时参考答案：A[单选题]16.依据GB/T22080/IEC27001，不属于第三方服务监视和评审范畴的是：（）A.监视和评审服务级别协议的符合性B.监视和评审服务方人员聘用和考核的流程C.监视和评审服务交付遵从协议规定的安全要求的程度D.监视和评审服务方跟踪处理信息安全事件的能力参考答案：B[单选题]17.依据GB/T22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是（）A.业务战略B.法律法规要求C.合同要求D.以上全部参考答案：D[单选题]18.在信息安全管理体系审核时，应遵循（）原则。A.保密性和基于准则的B.保密性和基于风险的C.系统性和基于风险的D.系统性和基于准则的参考答案：B[单选题]19.保密协议或不泄露协议至少应包括：（）A.组织和员工双方的信息安全职责和责任B.员工的信息安全职责和责任C.组织的信息安全职责和责任D.纪律处罚规定参考答案：A[单选题]20.开发、测试和（）设施应分离，以减少未授权访问或改变运行系统的风险A.配置B.系统C.终端D.运行参考答案：D[单选题]21.关于文件管理下列说法错误的是（）A.文件发布前应得到批准，以确保文件是适宜的B.必要时对文件进行评审.更新并再次批准C.应确保文件保持清晰，易于识别D.作废文件应及时销毁，防止错误使用参考答案：D[单选题]22.信息系统审计（）A.是发现信息系统脆弱性的手段之一B.应在系统运行期间进行，以便于准确地发现弱点C.审核工具在组织内应公开可获取，以便于提升员工的能力D.只要定期进行，就可以替代内部ISMS审核参考答案：A[单选题]23.描述与组织信息安全管理体系相关的和适用的控制措施的文档是（）A.信息安全管理体系方针B.适用性声明C.信息安全管理体系范围D.风险评估程序参考答案：B[单选题]24.风险处置计划，应（）A.获得风险责任人的批准，同时获得对残余风险的批准B.获得最高管理者的批准，同时获得对残余风险的批准C.获得风险部门负责人的批准，同时获得对残余风险的批准D.获得管理者代表的批准，同时获得对残余风险的批准参考答案：A[单选题]25.对于信息安全方针，（）是GB/T22080-2016/IS0/IEC27001:2013所要求的。A.信息安全方针应形成文件B.信息安全方针文件为公司内部重要信息，不得向外部泄露C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D.信息安全方针是建立信息安全工作的总方向和原则，不可变更参考答案：A[单选题]26.GB/T22080-2016标准中所指资产的价值取决于（）A.资产的价格B.资产对于业务的敏感度C.资产的折损率D.以上全部参考答案：B[单选题]27.虚拟专用网（VPN）的数据保密性，是通过什么实现的？（）A.安全接口层（SSL，SecureSocketsLayer）B.风险險道技术（Tunnelling）C.数字签名D.风险钓鱼参考答案：B[单选题]28.《计算机信息系统安全保护条例》中所称计算机信息系统，是指：（）A.对信息进行采集、加工、存储、传输、检索等处理的人机系统B.计算机及其相关的设备、设施，不包括软件C.计算机运算环境的总和，但不含网络D.—个组织所有计算机的总和，包括未联网的微型计算机参考答案：A[单选题]29.关于互联网信息服务，以下说法正确的是：（）A.互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B.非经营性互联网信息服务未取得许可不得进行C.从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D.经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动参考答案：C[单选题]30.信息分级的目的是（）A.确保信息按照其对组织的重要程度受到适当级别的保护B.确保信息按照其级别得到适当的保护C.确保信息得到保护D.确保信息按照其级别得到处理参考答案：A[单选题]31.某种网络安全威胁是通过非法手段对数据进行恶意修改，这种安全威胁属于（）A.窃听数据B.破坏数据完整性C.破坏数据可用性D.物理安全威胁参考答案：B[单选题]32.容量管理的对象是（）A.信息系统内存B.办公室空间和基础设施C.人力资源D.A+B+C参考答案：D[单选题]33.信息安全管理体系的设计应考虑（）A.组织的战略B.组织的目标和需求C.组织的业务过程性质D.以上全部参考答案：D[单选题]34.信息安全是保证信息的保密性、完整性、（）。A.充分性B.适宜性C.可用性D.有效性参考答案：C[单选题]35.ISMS文件的多少和详细程度取决于（）A.组织的规模和活动的类型B.过程及其相互作用的复杂程度C.人员的能力D.以上都对参考答案：D[单选题]36.关于信息安全风险评估，以下说法正确的是（）A.如果集团企业的各地分/子公司业务性质相同，则针对一个分/子公司识别，评价风险即可，其风险评估过程和结果文件其他分/子公司可直接采用，以节省重要识别和计算的工作量B.风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性C.组织应基于其整体业务活动所在的环境和风险考虑其ISMS设计D.以上都对参考答案：C[单选题]37.关于信息安全管理中的“脆弱性”，以下正确的是：（）A.脆弱性是威胁的一种，可以导致信息安全风险B.网络中“钓鱼”软件的存在，是网络的脆弱性C.允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D.以上全部参考答案：C[单选题]38.组织确定的信息安全管理体系范围应（）A.形成文件化信息并可用B.形成记录并可用C.形成文件和记录并可用D.形成程序化信息并可用参考答案：A[单选题]39.管理者应（）A.制定ISMS方针B.制定ISMS目标和计划C.实施ISMS内部审核D.确保ISMS管理评审的执行参考答案：A[单选题]40.下列哪个选项不属于审核组长的职责？A.确定审核的需要和目的B.组织编制现场审核有关的工作文件C.主持首末次会议和审核组会议D.代表审核方与受审核方领导进行沟通参考答案：A[单选题]41.在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A.3B.4C.5D.6参考答案：C[单选题]42.信息系统的变更管理包括（）A.系统更新的版本控制B.对变更申请的审核过程C.变更实施前的正式批准D.以上全部参考答案：D[单选题]43.以下不属于信息安全事态或事件的是（）A.服务、设备或设施的丢失B.系统故障或超负载C.物理安全要求的违规D.安全策略变更的临时通知参考答案：D[单选题]44.最高管理层应（），以确保信息安全管理体系符合本标准要求。A.分配职责与权限B.分配岗位与权限C.分配责任和权限D.分配角色和权限参考答案：C[单选题]45.防止计算机中信息被窃采取的手段不包括（）A.用户识别B.权限控制C.数据加密D.病毒控制参考答案：D[单选题]46.加强网络安全性的最重要的基础措施是（）A.设计有效的网络安全策略B.选择更安全的操作系统C.安装杀毒软件D.加强安全教育参考答案：A[单选题]47.安全扫描可以实现（）A.弥补由于认证机制薄弱带来的问题B.弥补由于协议本身而产生的问题C.弥补防火墙对内网安全威胁检测不足的问题D.扫描检测所有的数据包攻击分析所有的数据流参考答案：C[单选题]48.拒绝服务攻击损害了下列哪一种信息安全特性？（）A.完整性B.可用性C.机密性D.可靠性参考答案：B[单选题]49.渗透测试（）A.可能会导致业务系统无法正常运行B.是通过模拟恶意黑客攻击方法，来评估计算机网络系统安全的一种评估方法C.渗透测试人员在局域网中进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告D.必须在计算机网络系统首次使用前进行，以确保系统安全参考答案：B[单选题]50.（）属于管理脆弱性的识别对象。A.物理环境B.网络结构C.应用系统D.技术管理参考答案：D[多选题]1.下列哪些选项是ISMS第一阶段审核的目的？（）A.获取对组织信息安全管理体系的了解和认识B.了解客户组织的审核准备状况C.为计划二阶段审核提供重点D.确认组织的信息安全管理体系符合标准或规范性文件的所有要求参考答案：ABC[多选题]2.对于涉密信息系统，以下说法正确的是（）。A.使用的信息安全保密产品原则上应当选用国产产品B.使用的信息安全保密产品应当通过国家保密局授权的检测机构的检测C.使用的信息安全保密产品应从由国家保密局审核发布的目录中选取D.总体保护水平应不低于国家信息安全等级保护第四级水平参考答案：ABC[多选题]3.风险处置的可选措施包括（）。A.风险识别B.风险分析C.风险转移D.风险减缓参考答案：CD[多选题]4.信息安全体系文件应包含（）A.风险评估报告B.风险处置计划C.服务目录D.适用性声明参考答案：ABD[多选题]5.信息安全管理体系绩效测量的开发包括（）A.选择目标和特性B.确定分析模型C.确定测量指标D.确定决策准则参考答案：ABCD[多选题]6.以下哪几项可以实现和保持对组织信息资产的适当保护（）A.形成重要资产清单，并加以维护B.购买相同设备类型中价值最高的产品C.确定所有资产的责任人D.制定合乎公司要求的资产使用规则参考答案：ACD[多选题]7.网络攻击的方式包括（）A.信息搜集B.信息窃取C.系统利用D.资源损耗参考答案：ABCD[多选题]8.信息安全面临哪些威胁A.信息间谍B.网络访问C.计算机病毒D.脆弱的信息系统参考答案：AC[多选题]9.关于信息安全风险自评估，下列选项正确的是（）A.是指信息系统拥有,运营和使用单位发起的对本单位信息系统进行的风险评估B.周期性的自评估可以在评估流程上适当简化C.可由发起方实施或委托风险评估服务技术支持方实施D.由信息系统上级管理部门组织的风险评估参考答案：ABC[多选题]10.对于组织在风险处置过程中所选的控制措施，以下说法正确的是（）A.将所有风险都必须被降低至可接受的级别B.可以将风险转移C.在满足公司策略和方针条件下，有意识,客观地接受风险D.规避风险参考答案：BCD[多选题]11.信息安全管理体系认证审核时的文件评审应包括（）A.信息安全事件分析报告B.适用性声明C.信息安全风险评估报告D.信息安全风险处置计划参考答案：BCD[多选题]12.降低系统失效风险的措施包括（）。A.监视资源的使用，做出对于未来系统容量要求的预测B.在系统开发中使用密码措施来保护信息的策略C.在系统投入运行前，进行验收D.对系统进行备份参考答案：AC[多选题]13.评价信息安全风险，包括（）A.将风险分析的结果与信息安全风险准则进行比较B.确定风险的控制措施C.为风险处置排序以分析风险的优先级D.计算风险大小参考答案：AC[多选题]14.以下做法正确的是（）A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实业务案例和数据C.员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D.信息系统管理域内所有的终端启动屏幕保护时间应一致参考答案：AC[多选题]15.在未得到授权的前提下，以下属于信息安全“攻击”的是：（）A.盗取、暴露、变更资产的行为B.破坏、或使资产失去预期功能的行为C.访问、使用资产的行为D.监视和获取资产使用状态信息的行为参考答案：ABCD[多选题]16.计算机信息系统的安全保护，应保障：（）A.计算机及相关和配套设备的安全B.设施（含网络）的安全C.运行环境的安全D.计算机功能的正常发挥参考答案：ABCD[多选题]17.以下属于“关键信息基础设施”的是（）。A.输配电骨干网监控系统B.计算机制造企业IDC供电系统C.高等院校网络接入设施D.高铁信号控制系统参考答案：ABCD[多选题]18.下列哪些措施可以实现和保持对组织资产的适当保护？（）A.形成重要资产清单，并加以维护B.购买相同设备类型中价值最高的产品C.确定所有资产的责任人D.制定合乎公司要求的资产使用规则参考答案：ACD[多选题]19.在规划如何达到信息安全目标时，组织应确定（）。A.要做什么，需要什么资源B.由谁负责，什么时候完成C.完成的目标是什么D.如何评价结果参考答案：ABD[多选题]20.以下场景中符合GB/T22080-2016/ISO/IEC27001:2013标准要求的情况是（）A.某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，方便其在每天上班前和下班后打扫这些房间B.某公司将其