信息安全管理体系内审员考试试题

信息安全管理体系内审员考试试题一、单项选择题（每题3分，共45分）从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（）中。1．ISO/IEC27001从 的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。（）a）客户安全要求b）组织整体业务风险（正确答案）C）信息安全法律法规d）以上都不对2．组织声称符合ISO/IEC27001时， 的要求可删减。（）a）第4章b）第5章C）第7章d）附录A（正确答案）3．审核准则是指 （）一组方针、程序或要求（正确答案）一组能够证实的记录、事实陈述或其他信息一组约束审核行为的规范d）以上都不对4．审核计划 （）a）应由受审核方确认，可适当调整（正确答案）b）一经确定，不能改动C）受审核方可随意改动d）以上都不对5．以下哪一种描述不适合信息安全管理体系？（）a）是指国家对各重要信息系统实施信息安全管理的行政管理结构（正确答案）b）是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的c）建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素d）包括信息安全管理机构、体系文件及相关资源等要素6．以下针对信息安全系统审核的叙述，哪个是不正确的？（）a）审核方案应予以事先规划2目的在于确保信息安全管理体系的控制目标与控制措施是否有效地实施与维持C）基于对业务的了解，应由各部门主管审计其所负责的业务（正确答案）d）对于审核结果应有适当的跟进措施7．信息安全风险评估的基本要素（）a）资产、可能性、影响b）资产、脆弱性、威胁（正确答案）c）可能性、资产、脆弱性d）脆弱性、威胁、后果8． 负责审核计划、协调审核活动并在审核活动中领导审核活动？（）a）审核小组成员b）信息安全经理c）审核小组组长（正确答案）d）以上都不是9．公司在内审时发现某员工电脑开机密码少于六位，以下选项中哪一项不是针对该问题的纠正预防措施？（）a）要求员工立即改正（正确答案）b）对员工进行优质口令设置方法培训C）通过预控进行强制管控d）对所有员工进行意识培训10． 对信息安全管理负有责任？（）a）高级管理层（正确答案）b）安全管理员c）IT管理员d）所有与信息系统有关的人员11．组织通过信息安全管理体系认证则（）a）表明组织已不存在不符合项b）表明体系具备保护组织信息资产的能力c）表明组织已达到了其信息安全目标d）以上都不对（正确答案）12．以下对于“信息安全方针”的叙述，哪个是不正确的？（）a）管理层应设定一个明确的政策方向，展现对信息安全的支持与承诺b）安全方针应以适当方式向所有员工公布与宣导C）信息安全方针应有专人依据规定的审核过程对其进行维护与审核d）信息安全方针一经确定即无法修改（正确答案）13．信息安全管理体系认证（）a）应审核ISMS范围内的所有部门和所有人员b）指导受审核方改进的过程（正确答案）C）寻找不符合项的过程d）可为受审核方提供控制措施的实施建议14．下列哪个要素可以不作为ISMS审核时间判断的依据？（）a）ISMS的复杂度b）高层管理者对信息安全问题的重视程度（正确答案）c）ISMS范围内执行的业务的类型d）适用于认证的标准和法规15．在认证过程中，“根据审核报告，确定纠正措施”是 的职责。（）a）审核组长b）审核组c）受审核方（正确答案）d）以上都不对二、多项选择题（每题3分，共15分）从以下每题的答案中选择一个或多个你认为合适的，并将答案代号填入（）中。1．ISMS第1阶段审核的目的是 （）a）获取对组织信息安全管理体系的了解和认识（正确答案）b）了解客户组织的审核准备状态（正确答案）c）为计划2阶段审核提供重点（正确答案）d）确认组织的信息安全管理体系符合标准或规范性文件的所有要求（正确答案）2．按照审核的先后顺序划分，审核包括 （ ）a）第一阶段审核（正确答案）b）第二阶段审核（正确答案）C）监督审核（正确答案）d）再认证审核（正确答案）3．审核方案和审核计划的区别包括 （ ）a）范围不同b）制定者不同（正确答案）c）实施者不同（正确答案）d）内容不同（正确答案）4．以下 属于审核组长的职责（）a）确定审核的需要和目的（正确答案）b）组织编制现场审核有关的工作文件c）主持首末次会议和审核组会议（正确答案）d）代表审核方与受审核方领导进行沟通（正确答案）5．审核计划中应涵盖 （）a）本次及其后续审核的时间安排b）审核准则（正确答案）c）审核组成员及分工（正确答案）d）审核的日程安排（正确答案）三、判断题（每题4分，共40分）下列各题中，你认为正确的选择“对”，错误的选择“错”。1．纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。对错（正确答案）2．因信息安全问题在任何组织中都可能存在，所以组织在实施ISMS时，不能删减标准中任何安全控制措施的条款。对错（正确答案）3．信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。对错（正确答案）4．记录可提供符合信息安全管理体系要求和有效运行的证据。对（正确答案）错5．资产越重要，其安全风险值就越大。对错（正确答案）6．信息安全管理体系审核组内必须有一名技术专家，提供信息安全的专门知识。对错（正确答案）7．审核证据是指与审核有关的，并且能够证实的记录、事实陈述或其他信息。对（正确答案）错8．审核报告的内容必须与末次会