2021年6月ISMS信息安全管理体系审核员模拟试题含解析

2021年6月ISMS信息安全管理体系审核员模拟试题一、单项选择题1、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D、数据备份2、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域3、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理4、组织应（）A、分离关键的职责及责任范围B、分离冲突的职责及贵任范围C、分离重要的职责及责任范围D、分离关联的职责及责任范围5、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次6、风险处置计划，应（）A、获得风险责任人的批准，同时获得对残余风险的批准B、获得最高管理者的批准，同时获得对残余风险的批准C、获得风险部门负责人的批准，同时获得对残余风险的批准D、获得管理者代表的批准，同时获得对残余风险的批准7、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份8、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对9、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新10、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密11、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度12、ISO/IEC20000-1:2018标准是依据管理体系高层结构，即()对标准的结构进行调整的A、ISO/IEC导则的一部分综合ISO补充附录B、ISO/IEC导则的一部分综合ISO补充结构层C、ISO/IEC导则的一部分综合ISO补充体质D、ISO/IEC导则的一部分综合ISO补充模型13、变更请求为提出针对服务、（）或IT服务管理体系（ITSMS）的变更建议A、服务组件B、服务软件C、配置项D、配置管理数据库14、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录15、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程16、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志17、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果18、对于外部方提供的软件包，以下说法正确的是：（）A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对19、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C20、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数21、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。A、5B、6C、3D、422、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码23、ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。A、有效策划与保持持续改进B、有效实施与运行持续改进C、有效实施与保持持续改进D、有效策划与运行持续改进24、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离25、在运行阶段，组织应（）A、策划信息安全风险处置计划，保留文件化信息B、实现信息安全风险处置计划，保留文件化信息C、测量信息安全风险处置计划，保留文件化信息D、改进信息安全风险处置计划，保留文件化信息26、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程27、下列哪项对于审核报告的描述是错误的?（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对28、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督29、运行SMS和服务所裾的资源包括()A、人员、技术、信息和资产B、人员、技术、材料和资金C、人员、技术、信息和资金D、人员、资产、信息和资金30、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对31、信息安全的机密性是指（）A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 32、设置防火墙策略是为了(）A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制33、文件化信息指（）A、组织创建的文件B、组织拥有的文件C、组织要求控制和维护的信息及包含该信息的介质D、对组织有价值的文件34、在访问因特网时，为了防止Web网页中恶意代码对自己计算机的损害，可以采取的防范措施是(）A、利用SSL访问Web站点B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域C、在浏览器中安装数字证书D、利用IP安全协议访问Web站点35、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以36、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗37、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见38、《信息安全等级保护管理办法》规定，（）级保护时，国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。A、3B、2C、5D、439、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。A、做好资产分类是其基础B、采用组织固定资产台账即可C、无需关注资产产权归属者D、A+B40、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告A、8小时内B、12小时内C、24小时内D、48小时内二、多项选择题41、问题管理的输入不包括（）A、变更请求B、问题解决方案C、事件记录D、新的已知错误42、依据《信息技术服务分类与代码》，运行维护服务包括对客户信息系统（）等提供的各种技术支持和管理服务。A、硬件B、软件C、数据D、基础环境43、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟44、当满足（）时，可考虑使用基于抽样的方法对多场所进行审核A、所有的场所在相同信息安全管理体系中,这些场所被集中管理和审核B、所有的场所在相同信息安全管理体系中,这些场所被分别管理和审核C、所有场所包括在客户组织的内部信息安全管理体系审核方案中D、所有场所包括在客户组织的信息安全管理体系管理评审方案中45、对于涉密信息系统，以下说法正确的是（）A、使用的信息安全保密产品原则上应选择国产产品B、使用的信息安全保密产品应当通过国家保密局授权的检测机构检测C、使用的信息安全保密产品应当通过国家保密局审核发布的目录中选取D、总体保密水平不低于国家信息安全等级保护第四级水平46、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后47、某金融服务公司为其个人注册会员提供了借资金和贷款服务，以下不正确的做法是（）A、公司使用微信群会议，对申请借贷的会员背景资料、借贷额度等进行讨论评审B、公司使用微信群发布公司内部投资策略文件C、公司要求所有员工签署NDA，不得泄露会员背景及具体借贷项目信息D、公司要求员工不得向朋友圈转发其微信群会议上讨论的信息48、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A、省B、自治区C、直辖市D、特别行政区49、对于信息安全方针,（）是GB/T22080-2016标准要求的(分数:10.00分)A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审50、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施51、基础环境运维服务通常包括（）A、机房电力系统B、主机设备C、空调系统D、安防系统52、为控制文件化信息，适用时，组织应强调以下哪些活动？（）A、分发，访问，检索和使用B、存储和保护，包括保持可读性C、控制变更（例如版本控制）D、保留和处理53、审核计划中应包括（）A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排54、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估55、组织建立的信息安全目标，应（）。A、是可测量的B、与信息安全方针一致C、得到沟通D、适当时更新三、判断题56、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。正确错误57、RSA是一种对称加密算法。（）正确错误58、不同组织有关信息安全管理体系文件化信息的详略程度应基本相同。（）正确错误59、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）正确错误60、从审核开始到结束,审核组长应对审核实施负责正确错误61、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。正确错误62、ISO/IEC27006是ISO/IEC17021的相关要求的补充。(）正确错误63、《中华人民共和国网络安全法》中明确，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每两年至少进行一次检测评估。（）正确错误64、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）正确错误65、纠正是指为消除己发现的不符合或其他不期望情况的原因所采取的措施。（）正确错误

参考答案一、单项选择题1、D2、A3、D4、B解析:根据GB/T22080-2016标准A6,1,2原文：应分离冲突的职责及其贵任范围，以减少未授权或无意的修改或者不当使用组织资产的机会5、D6、A7、A8、A9、C10、B11、D12、A13、A14、D15、D解析:风险处置，是指选择并且执行措施来更改风险的过程。故选D16、B17、C18、D解析:应严格限制对软件包的调整以保护其完整性19、D20、D21、A22、D23、B24、B25、B26、D27、A28、B29、C30、C31、B32、A33、C34、B35、B36、A37、A38、D39、A40、C二、多项选择题41、A,B,D42、A,B,C,D43、B,C44、A,C,D45、A,B,C46、A,B,C47、A,B解析:参考270013,2信息传输，不宜通过微信等不安全的通信方式传输商业秘密，本题选AB48、A,B,C49、A,D50、B,C51、A,C,D52、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理体系及本