ISO27001：2013 信息安全管理体系培训考试

ISO27001：2013信息安全管理体系培训考试一、选择题（45分每题3分）1、依据GB/T22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是（）[单选题]*（A）业务战略（B）法律法规要求（C）合同要求（D）以上全部(正确答案)2、风险评估过程一般应包括（）[单选题]*（A）风险识别（B）风险分析（C）风险评价（D）以上都是(正确答案)3、依据GB/T22080/ISO/IEC27001，以下符合责任分割原则的是：（）[单选题]*（A）某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己配置了各个机房的不限时门禁权限。（B）某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由另外5位副总到场分别输入自己的口令然后完成授权。(正确答案)（C）某公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，其次为副总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限。（D）以上均符合责任分割原则。4、目前在用的中华人民共和国保守国家秘密法是在（）正式实施的。[单选题]*（A）1951年6月1日（B）1989年5月1日（C）1993年2月22日（D）2010年10月1日(正确答案)5、资产是指对组织有（）的任何东西[单选题]*（A）价值(正确答案)（B）使用价值（C）有形价值（D）无形价值6、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）[单选题]*（A）列明信息生命周期内关联到的资产，明确其对组织业务的关键性。（B）完整采用组织的固定资产台账，同时指定资产责任人。（C）资产价格越高，往往意味着功能越全，因此资产重要性等级就越高。（D）A+B(正确答案)7、以下不正确说法是：（）[单选题]*（A）保留含有敏感信息的介质的处置记录（B）将大量含有信息的介质汇集在一起时提高其集体敏感性等级。（C）将所有的已用过一遍的复印纸分配各部门复用以符合组织的节能策略。(正确答案)（D）根据风险评估的结果将转移更换下列的磁盘交第三方进行处置。8、信息安全管理实用规则GB/T22081-2016属于（）标准[单选题]*（A）术语类（B）要求类（C）指南类(正确答案)（D）相关类9、信息安全是保证信息的保密性、完整性、（）[单选题]*（A）充分性（B）适宜性（C）可用性(正确答案)（D）有效性10、建立ISMS体系的目的，是为了充分保护信息资产并基于（）信心。[单选题]*（A）相关方(正确答案)（B）供应商（C）顾客（D）上级机关11、依据GB/T22080/ISO/IEC27001，关于网络服务的访问控制策略，以下正确的说法是：（）[单选题]*（A）没有描述为禁止访问的网络服务，应为允许访问的网络服务（B）对于允许访问的网络服务，默认可通过无线、VPN等多种手段连接（C）对于允许访问的网络服务，按照规定的授权机制进行授权(正确答案)（D）以上都对12、信息安全的重要性体现在以下方面（）[单选题]*（A）信息安全是国家安全的需要（B）信息安全是组织持续发展的需要（C）信息安全是保护个人隐私与财产的需要（D）A+B+C(正确答案)13、在工作当中，“上传下载”的应用存在的风险包括（）[单选题]*（A）病毒木马传播（B）身份伪造（C）机密泄露（D）A+B+C(正确答案)14、客户端安全的必要措施包括（）[单选题]*（A）安全密码（B）安全补丁更新、防病毒（C）个人防火墙、应用程序使用安全（D）A+B+C(正确答案)15、信息安全管理现状已有的措施包括（）[单选题]*（A）兼职的安全管理员（B）物理安全保护（C）机房安全管理制度（D）A+B+C(正确答案)二、判断题：每题3分共30分1、电子商务应用不可能存在账号失窃的问题。（）[判断题]*对错(正确答案)2、为了信息安全，在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。（）[判断题]*对(正确答案)错3、员工缺乏基本的安全意识，缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。（）[判断题]*对(正确答案)错4、超过70%的信息安全事件，如果事先加强管理，都可以得到避免。（）[判断题]*对(正确答案)错5、由于许多信息系统并非在设计时充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持。（）[判断题]*对(正确答案)错6、企业需要建造一个全面、均衡的测量体系，用于评估信息安全管理的效用以及改进反馈建议。（）[判断题]*对(正确答案)错7、通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全，称为信息安全管理。（）[判断题]*对错(正确答案)8、审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为第一方审核。（）[判断题]*对(正确答案)错9、组织通过信息安全管理体系认证则表明体系具备保护组织信息资产的能力（）[判断题]*对(正确答案)错10、因信息安全问题在任何组织中都可能存在，所以组织在实施ISMS时，不能删减标准中任何安全控制措施的条款。（）[判断题]*对错(正确答案)三、案例分析，请判断以下说法是否正确，若不正确，违反了哪个条款，并简述理由（25分，每1题8-9分）1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。[填空题]*_________________________________(答案：答:A.11.2.6组织场所外的设备安全以应对组织场所的设备采取安全措施,要考虑工作在组织场所外的不同风险。)2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因为买的都是正版。[填空题]*_________________________________(答案：答:A14.2.2操作系统变更控制规程当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面