2021年10月《ISMS信息安全管理体系审核员》真题及答案

内容为网上收集整理，如有侵权请联系删除内容为网上收集整理，如有侵权请联系删除内容为网上收集整理，如有侵权请联系删除2021年10月《ISMS信息安全管理体系审核员》真题及答案一、单项选择题(总题数:40,分数:40.0分)

1、PKI的主要组成不包括(）

A、SSL

B、CR

C、CA

D、RA

答案:B

2、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）

A、认证

B、认可

C、审核

D、评审

答案:B

3、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息

A、相关方

B、供应商

C、顾客

D、上级机关

答案:A

4、被黑客控制的计算机常被称为(）

A、蠕虫

B、肉鸡

C、灰鸽子

D、木马

答案:B

5、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。

A、2年

B、3年

C、4年

D、5年

答案:D

6、以下哪些可由操作人员执行？（)

A、审批变更

B、更改配置文件

C、安装系统软件

D、添加/删除用户

答案:C

7、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）

A、所需审核组能力的要求

B、客户组织的准备程度

C、所需能力的审核组成员

D、客户组织的场所分布

答案:C

8、关于GB/T28450,以下说法正确的是(）。

A、增加了ISMS的审核指导

B、与ISO19011一致

C、与ISO/IEC27000一致

D、等同采用了ISO19011

答案:A

9、依据GB/T22080,网络隔离指的是(）

A、不同网络运营商之间的隔离

B、不同用户组之间的隔离

C、内网与外网的隔离

D、信息服务，用户及信息系统

答案:D

10、文件化信息创建和更新时，组织应确保适当的（)

A、对适宜性和有效性的评审和批港

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充业性的评审和批准

答案:D

11、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）

A、不考虑资产的价值，基本水平的保护都会被实施

B、对所有信息资产保护都投入相同的资源

C、对信息资产实施适当水平的保护

D、信息资产过度的保护

答案:C

12、文件化信息指（）

A、组织创建的文件

B、组织拥有的文件

C、组织要求控制和维护的信息及包含该信息的介质

D、对组织有价值的文件

答案:C

13、组织应在相关（）上建立信息安全目标

A、组织环境和相关方要求

B、战略和意思

C、战略和方针

D、职能和层次

答案:D

14、关于顾客满意，以下说法正确的是：()

A、顾客没有抱怨，表示顾客满意

B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意

C、顾客认为其要求已得到满足,即意味着顾客满意

D、组织认为顾客要求已得到满足，即意味着顾客满意

答案:C

15、信息是消除（）的东西

A、不确定性

B、物理特性

C、不稳定性

D、干扰因素

答案:A

16、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）

A、参加信息安全培训

B、背景调査

C、安全技能与岗位要求匹配的评估

D、签署保密协议

答案:A

17、依据GB/T22080，关于职责分离，以下说法正确的是(）

A、信息安全政策的培训者与审计之间的职责分离

B、职责分离的是不同管理层级之间的职责分离

C、信息安全策略的制定者与受益者之间的职责分离

D、职责分离的是不同用户组之间的职责分离

答案:B

18、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是()

A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用

D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用

答案:A

19、对全国密码工作实行统一领导的机构是(）

A、中央密码工作领导机构

B、国家密码管理部门

C、中央国家机关

D、全国人大委员会

答案:A

20、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）

A、设备要求和网络要求

B、硬件要求和软件要求

C、物理要求和应用要求

D、技术要求和管理要求

答案:D

21、关于内部审核下面说法不正确的是(）。

A、组织应定义每次审核的审核准则和范围

B、通过内部审核确定ISMS得到有效实施和维护

C、组织应建立、实施和维护一个审核方案

D、组织应确保审核结果报告至管理层

答案:C

22、《信息技术安全技术信息安全治理》对应的国际标准号为（）

A、ISO/IEC27011

B、ISO/IEC27012

C、ISO/IEC27013

D、ISO/IEC27014

答案:D

23、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。

A、5

B、6

C、3

D、4

答案:A

24、ISO/IEC27001描述的风险分析过程不包括()

A、分析风险发生的原因

B、确定风险级别

C、评估识别的风险发生后，可能导致的潜在后果

D、评估所识别的风险实际发生的可能性

答案:A

25、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）

A、沟通周期

B、沟通内容

C、沟通时间

D、沟通对象

答案:A

26、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)

A、体系覆盖的人数

B、使用的信息系统的数量

C、用户的数量

D、其他选项都正确

答案:D

27、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）

A、特密

B、绝密

C、机密

D、秘密

答案:B

28、关于适用性声明下面描述错误的是(）

A、包含附录A中控制删减的合理性说明

B、不包含未实现的控制

C、包含所有计划的控制

D、包含附录A的控制及其选择的合理性说明

答案:B

29、防火墙提供的接入模式不包括(）

A、透明模式

B、混合模式

C、网关模式

D、旁路接入模式

答案:D

30、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性

B、完整性

C、机密性

D、可用性

答案:C

31、在以下认为的恶意攻击行为中，属于主动攻击的是()

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

答案:D

32、审核抽样时，可以不考虑的因素是(）

A、场所差异

B、管理评审的结果

C、最高管理者

D、内审的结果

答案:C

33、ISO/IEC27001所采用的过程方法是（)

A、PPTR方法

B、SMART方法

C、PDCA方法

D、SWOT方法

答案:C

34、以下说法不正确的是(）

A、应考虑组织架构与业务目标的变化的风险评估进行再评审

B、应考虑以往未充分识别的威胁对风险评估结果进行再评估

C、制造部增加的生产场所对信息安全风险无影响

D、安全计划应适时更新

答案:C

35、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）

A、识别可能性和影响

B、识别脆弱性和识别后果

C、识别脆弱性和可能性

D、识别脆弱性和影响

答案:B

36、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。

A、4-10

B、1-10

C、4-7和9-10

D、4-10和附录A

答案:A

37、Saas是指(）

A、软件即服务

B、服务平台即月勝

C、服务应用即服务

D、服务瞇即服务

答案:A

38、ISO/IEC27701是（）

A、是一份基于27002的指南性标准

B、是27001和27002的隐私保护方面的扩展

C、是ISMS族以外的标准

D、在隐私保护方面扩展了270001的要求

答案:B

39、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式

A、警告

B、罚款

C、没收违法所得

D、吊销许可证

答案:A

40、设置防火墙策略是为了(）

A、进行访问控制

B、进行病毒防范

C、进行邮件内容过滤

D、进行流量控制

答案:A

二、判断题(总题数:10,分数:10.0分)

41、ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。(）

1、正确

0、错误

答案:正确

42、GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准（）

1、正确

0、错误

答案:正确

43、计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统（）

1、正确

0、错误

答案:正确

44、在来自可信站点电子邮件中输入个人或财务信息是安全的。（）

1、正确

0、错误

答案:错误

45、容量管理策略可以考虑增加容量或降低容量要求（）

1、正确

0、错误

答案:正确

46、组织ISMS的相关方的需求和期望由组织战略决策层的决定（）

1、正确

0、错误

答案:错误

47、《中华人民共和国网络安全法》是2017年1月1日开始实施的（）

1、正确

0、错误

答案:错误

48、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统，并降低进入该系统的无意错误操作导致的影响（）

1、正确

0、错误

答案:正确

49、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）

1、正确

0、错误

答案:错误

50、客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核（)

1、正确

0、错误

答案:正确

三、多项选择题(总题数:15,分数:15.0分)

51、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。

A、省

B、自治区

C、直辖市

D、特别行政区

答案:A,B,C

52、根据《中华人民共和国密码法》，密码工作坚持总体国家安全观,遵循统一领导，(）依法管理、保障安全的原则。

A、创新发展

B、分级应用

C、服务大局

D、分级负责

答案:A,C,D

53、风险处置包括（)

A、风险降低

B、风险计划

C、风险控制

D、风险转移

答案:A,D

54、认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备(）

A、管理体系的知识

B、ISMS监视、测量、分析和评价的知识

C、与受审核活动相关的技术知识

D、信息安全的知识

答案:A,B,C,D

55、最高管理层应建立信息安全方针,方针应（）

A、对相关方可用

B、包括对持续改进ISMS的承诺

C、包括信息安全目标

D、与组织意图相适宜

答案:A,B,C,D

56、依据GB/T22080，经管理层批准，定期评审的信息安全策略包括（）

A、信息备份策略

B、访问控制策略

C、信息传输策略

D、密钥管理策略

答案:A,B,C,D

57、下列哪些属于网络攻击事件（）

A、钓鱼攻击

B、后门攻击事件

C、社会工程攻击

D、DOS攻击

答案:A,B,D

58、移动设备策略宜考虑（)

A、移动设备注册

B、恶意软件防范

C、访问控制

D、物理保护要求

答案:A,B,C,D

59、信息安全管理中，以下属于"按需知悉(need-to-know)原则的是（)

A、根据工作需要仅获得最小的知悉权限

B、工作人员仅让满足工作所需要的信息

C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围

D、得到管理者批准的信息是可访问的信息

答案:A,B,C

60、ISO/IEC27001标准要求以下哪些过程要形成文件化的信息？（)

A、信息安全方针

B、信息安全风险处置过程

C、沟通记录

D、信息安全目标

答案:A,B,D

61、管理评审的输出包括（）

A、管理评审报告

B、持续改进机会相关决定

C、管理评审会议纪要

D、变更信息的安全管理体系任何需求

答案:B,D

62、按覆盖的地理范围进行分类，计算机网络可以分为（）

A、局域网

B、城域网

C、广域网

D、区域网

答案:A,