2021年6月信息安全管理体系审核员(ISMS)考试题目含解析

2021年6月信息安全管理体系审核员(ISMS)考试题目一、单项选择题1、变更请求为提出针对服务、（）或IT服务管理体系（ITSMS）的变更建议A、服务组件B、服务软件C、配置项D、配置管理数据库2、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响，但不包括（）A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都不对3、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、64、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议5、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标6、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险7、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果8、ISO/IEC27001所采用的过程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法9、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督10、关于信息安全管理体系认证，以下说法正确的是（）A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期11、对于较大范围的网络，网络隔离是（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对12、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A、静态B、动态C、均可D、静态达到50%以上即可13、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程14、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙15、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度16、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。A、5B、6C、3D、417、关于备份，以下说法正确的是(）A、备份介质中的数据应定期进行恢复测试B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的C、发现备份介质退化后应考虑数据迁移D、备份信息不是管理体系运行记录，不须规定保存期18、以下描述不正确的是（）A、防范恶意和移动代码的目标是保护软件和信息的完整性B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C、风险分析、风险评价、风险处理的整个过程称为风险管理D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响19、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议,明确安全和保密义务与责任A、安全保密B、安全保护C、安全保障D、安全责任20、不属于公司信息资产的是（）A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对21、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型22、描述组织采取适当的控制措施的文档是（）A、管理手册B、适用性声明C、风险处置计划D、风险评估程序23、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应24、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对25、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述，正确的是（）A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时，必须满足该标准的所有要求26、依据《中华人民共和国网络安全法》，以下说法不正确的是（）A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护27、对于较大范围的网络，网络隔离是：（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对28、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改29、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审30、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件31、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录32、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A、三级B、二级C、四级D、五级33、设置防火墙策略是为了(）A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制34、以下哪一项不是ITIL所定义的服务生命周期阶段()A、服务转换B、服务退役C、服务设计D、服务战略35、关于信息安全连续性，以下说法正确的是：A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定36、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认37、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离38、信息安全控制目标是指：（)A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B39、系统备份与普通数据备份的不同在于，它不仅备份系统屮的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统40、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员二、多项选择题41、对于信息安全方针,（）是GB/T22080-2016标准要求的A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审42、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后43、以下说法不正确的是（）A、信息安全管理体系审核是信息系统审计的一种B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估44、依据GB/Z20986，确定为重大社会影响的情况包括（）A、涉及到一个或多个城市的大部分地区B、威胁到国家安全C、扰乱社会秩序D、对经济建设设有重大负面影响45、下列哪项属于《认证机构管理办法》中规定的设立认证机构应具备的条件？（）A、具有固定的办公场所和必备设施B、注册资本不得少于人民币600万元C、具有10名以上相应领域的专职认证人员D、具有符合认证认可要求的管理制度46、移动设备策略宜考虑（)A、移动设备注册B、恶意软件防范C、访问控制D、物理保护要求47、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致48、依据GB/Z20986,信息安全事件包括（)A、信息破坏事件B、设备设施故障C、信息泄露事件D、计算机病毒事件49、撤销对信息和信息处理设施的访问权针对的是（）A、组织雇员离职的情况B、组织雇员转岗的情况C、临时任务结束的情况D、员工出差50、某金融服务公司为其个人注册会员提供了借资金和贷款服务，以下不正确的做法是（）A、公司使用微信群会议，对申请借贷的会员背景资料、借贷额度等进行讨论评审B、公司使用微信群发布公司内部投资策略文件C、公司要求所有员工签署NDA，不得泄露会员背景及具体借贷项目信息D、公司要求员工不得向朋友圈转发其微信群会议上讨论的信息51、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖52、关键信息基础设施包括三大部分，分别是（）。A、关键基础设施B、基础信息网络C、重要信息系统D、重要互联网应用系统53、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟54、以下属于“关键信息基础设施”的是（）。A、输配电骨干网监控系统B、计算机制造企业IDC供电系统C、髙等院校网络接入设施D、高铁信号控制系统55、根据《中华人民共和国密码法》，密码工作坚持总体国家安全观,遵循统一领导，(）依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责三、判断题56、破坏、摧毁、控制网络基础设施是网络攻击行为之一。正确错误57、较低的恢复时间目标会有更长的中断时间。（）正确错误58、组织的内外部相关方要求属于组织的内部和外部事项”（）正确错误59、实习审核员可以独立完成审核任务。（）正确错误60、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。（）正确错误61、ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。(）正确错误62、通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，可以称这种新出现的计算机病毒是原来计算机病毒的变形。正确错误63、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺。（）正确错误64、访问控制列表指由主体以及主体对客体的访问权限所组成列表。正确错误65、客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核（)正确错误

参考答案一、单项选择题1、A2、D解析:270019,3管理评审，管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。27001附录A12,1,2变更管理，应控制影响信息安全的变更，包括组织，业务过程，信息处理设施和系统变更。因此A,B,C选项的变更均符合变更管理，故选D3、C4、A5、D6、C7、D8、C9、B10、B11、B12、A13、D14、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D15、C解析:《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度，故选C16、A17、A18、D19、A20、C21、A22、B23、D解析:短期停电即电力中断，故选D。可中断的电力供应24、B25、B26、C解析:网络安全法第七十六条，网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集，存储，传输，交换，处理的系统。网络安全，是指通过采取必要措施，防范对网络的攻击