2023年05月《ISMS信息安全管理体系审核员》试题（网友回忆版）

20232023年05月《ISMS信息安全管理体系审核员》试题（网友回忆版）［单选题］1.根据GBT2080-2016标准的要求，信息安（江南博哥）全管理体系通过风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立0信心。［单选题］2.根据GB/T22080-2016标准的要求，下列选项不属于最高管理层用来证实对信息安全管理体系的领导和承诺的活动？0C.确保建立了信息安全策略和信息安全目标，并与组织战略方向一致D.确保将信息安全管理体系要求整合到组织过程中［单选题］3.根据GB/T22080-2016标准，在理解组织及其环境时，组织应确定Oo［单选题］4.对于信息安全方针是GB/T22080-2016标准所要求的。B.信息安全方针文件为公司内部重要信息，不得向外部泄露D.信息安全方针是建立信息安全工作的总方向和原则，不可变更［单选题］5.根据GB/T22080-2016标准的要求，信息安全管理体系最高管理层确保信息安全管理达到。［单选题］6.根据GB/T22080-2016标准的要求，相关方的要求可能包括。不能接受的做法是()。A.在设备上张贴警示通告，说明只有已授权用户才能访问计算机C.输入口令时不显示系统或应用标识符，直到登陆过程已成功完成为止D.在安全登陆期间，不提供对未授权用户有帮助作用的信息发策略，可以不考虑下列哪一项内容？()C.软件开发生命周期中的安全指南B.潜在事件后果的严重性决定了风险级别C.潜在事件发生的可能性和后果相乘决定了风险级别［单选题］10.关于GB/T22080-20B.实施标准4.1〜4.2,须编制“相关方管理程序”，形成文件C.组织须维护一份相关方及其需求和期望的清单规、规章、合同和业务要求，确保对记录进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。是0的条款的要求。A.认证范围内员工的个人隐私数据得到保护B.认证范围内涉及顾客的个人隐私数据得到保护C.认证范围内涉及相关方的个人隐私数据得到保护［单选题］13.根据IS0/IEC27000标准，()为组织提供了信息安全管理体系实施指南。［单选题］14.根据GB/T22080-2016/1SO/1EC27001:2013标准，以下做法不正确的是()。A.应保留含有敏感信息的介质的处置记录B.离职人员自主删除敏感信息的即可［单选题］15.根据GB/T22081-2016标准的要求，附录A包含()项控制措施。ISMS是否通过认证的建议。［单选题］17.根据GB/T28450标准，ISMS文件评审不包括()。A.IS0/IEC27001和IS0/IEC27002在隐私保护方面的扩展B.是ISMS族以外的标准［单选题］19.某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于0。［单选题］21.根据GB/T20986,由于保障信息系统正常运行所必须的外围设施出现故障而导致的信息安全事件是()。［单选题］22.根据GB/T29246,信息处理设施不包括()。［单选题］23.依据GB/T29246,以0的组合来表示风险的大小。［单选题］24.关于GB17859,以下说法正确的是0。［单选题］25.根据GB/T25058《信息安全技术网络安全等级保护实施指南》，对等级保护对象实施等级保护的基本流程包括，等级保护对象()阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和定级对象终止阶段。？A.完整性［单选题］28.某种网络安全威胁是通过非法手段对数据进行恶意修改，这种安全威胁属于()。［单选题］29.当访问某资源存在不存活的链接时，会导致非法用户冒用并进行重放攻击的可能性，因此应采取0控制措施。［单选题］32.以下不属于描述性统计技术的是0。A.监控系统所产生的记录可由用户任意存取C.只有当系统发生异常事件及其他安全C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略［单选题］35.SaaS指0。［单选题］36.建设关键信息基础设施应性能，并保证。B.三级以上信息系统的安全子系统同步规划、同步建设、同步使用C.秘密级以上信息系统的安全子系统同步规划、同步建设、同步使用D.机密级及以上信息系统的安全子系统同步规划、同步建设、同步使用OoB.密码是指采用特定变换的方法对信息进行加密保护、安全认证的技术、产品D.密码分为核心密码、普通密码和商用密码或者备案编号B.互联网信息服务提供者变更服务项目、网站网址等事项的，应当提前30日向原审核、发证或者备案机关办理变更手续D.互联网信息服务提供者应当按照经许可或者备案的项目提供服务，不得超出经许可或者备案的项目提供服务［单选题］39.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为。罪是指行为人通过0所实施的危害安全以及其他严重危害社会的并应当处以刑罚的行为。［多选题］1.根据GB/T22080-2016,()活动是ISMS建立阶段完成的内容。A.确定ISMS范围和边界B.确定ISMS针［多选题］2.信息有其固有的生命周期，即从其0。［多选题］3.根据GB/T22080-2016中控制措施的要求，关于用户的秘密鉴别信息管理，正确的是0C.鉴别信息的保护可作为任用条件或条款的内容D.使用QQ递鉴别信息［多选题］4.根据GB/T22080-2016标准中控制措施的要求，有关信息安全管理中“符合性”的叙述，正确的是0。D.避免非法使用具有知识产权的专利软件产品［多选题］5.根据GB/T22081标准，有关安全区域的叙述，正确的是()。A.划设为安全区域的场所已有适当管控，可容许任何人进出B.其目标是避免营运场所及信息遭到未授权存取、损害与干扰C.应设立安全区域，以满足不同业务场景的安全需求D.在安全区域内工作时应采取额外的控制措施及指引，以强化该区域的安全性［多选题］6.根据GB/T22080-2016标准中控制措施的要求，变更管理应予以控制的风险包括()。B.信息系统新的组件、功能模块发布的风险A.评价ISMS否充分识别B.确定信息安全控制对ISMS求和规程的符合程度D.评价维护和有效改进ISMS过程［多选题］8.根据GB/T29264标准，运行维护服务采用信息技术手段及方法，依据需方提出的服务级别要求，对其信息系统的()等提供的各种技术支持和管理服务。［多选题］9.为了成功达成信息安全管理体系的持续改进，信息安全测量项目应当考虑0。A.基于信息安全管理体系目标的定量安全测度C.信息安全管理体系各过程和规程的存在A.该标准可用于任何公有、私有企业、协会、团体或个体。因此，该标准不针对任何行业或部门B.尽管该标准提供了风险管理的通用性指南，但不要求组织风险管理的统一性C.该标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果D.风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具是0B.工作人员仅需知悉可支持其完成工作任务的信息C.工作人