2021年12月信息安全管理体系审核员(ISMS)复习题含解析_第1页
2021年12月信息安全管理体系审核员(ISMS)复习题含解析_第2页
2021年12月信息安全管理体系审核员(ISMS)复习题含解析_第3页
2021年12月信息安全管理体系审核员(ISMS)复习题含解析_第4页
2021年12月信息安全管理体系审核员(ISMS)复习题含解析_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2021年12月信息安全管理体系审核员(ISMS)复习题一、单项选择题1、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度2、最高管理层应(),以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限3、数字签名可以有效对付哪一类信息安全风险?A、非授权的阅读B、盗窃C、非授权的复制D、篡改4、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全方针的违反或控制措施的失效,或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障5、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通6、下面哪个不是典型的软件开发模型?()A、变换型B、渐增型C、瀑布型D、结构型7、关于信息安全管理体系认证,以下说法正确的是()A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期8、组织应(),以确信相关过程按计划得到执行。A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度9、信息安全目标应()A、可测量B、与信息安全方针一致C、适当时,对相关方可用D、定期更新10、第三方认证审核时,对于审核提出的不符合项,审核组应:()A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对11、最高管理层应(),以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限12、审核计划中不包括()。A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排13、《信息安全等级保护管理办法》规定,应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每()至少进行次保密检查或者系统测评。A、半年B、1年C、1.5年D、2年14、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统15、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保16、抵御电子邮箱入侵措施中,不正确的是()A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器17、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷18、在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4019、组织应()。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级20、()不是每个过程都需要定义的部分A、输出B、资源C、输入D、活动21、关于投诉处理过程的设计,以下说法正确的是:()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用22、()属于管理脆弱性的识别对象A、物理环境B、网络结构C、应用系统D、技术管理23、信息安全控制目标是指:()A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B24、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份25、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括()A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都不对26、计算机病毒是计算机系统中一类隐藏在()上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络27、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对28、容量管理的对象包括()A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部29、—家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前,用投资顾问商的私钥数字签名邮件D、电子邮件发送前,用投资顾问商的私钥加密邮件30、信息是消除()的东西A、不确定性B、物理特性C、不稳定性D、干扰因素31、下列()不是创建和维护测量要执行的活动。A、开展测量活动B、识别当前支持信息需求的安全实践C、开发和更新测量D、建立测量文档并确定实施优先级32、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足,即意味着顾客满意33、安全标签是一种访问控制机制,它适用于下列哪一种访问控制策略?()A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略34、关于信息系统登录的管理,以下说法不正确的是()A、网络安全等级保护中,三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率,可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令35、"多级SLA"是一个三层结构,下列哪层不是这样类型SLA的部分?()A、客户级别B、公司级别C、配置级别D、服务级别36、()是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙37、关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订()协议和保密义务与责任。A、安全保密B、安全保护C、安全保障D、安全责任38、信息安全事态、事件和事故的关系是()A、事态一定是事件,事件一定是事故B、事件一定是事故,事故一定是事态C、事态一定是事故,事故一定是事件D、事故一定是事件,事件一定是事态39、从计算机安全的角度看,下面哪一种情况是社交工程的一个直接例子?()A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏40、下列说法错误的是()A、ISO/IEC20000-1:2018标准鼓励组织采用整合的过程方法B、组织满足ISO/IEC20000-1:2018标准要求,意味着该组织满足其顾客的所有要求C、组织可以把ISO/IEC20000-1:2018标准作为独立评估的依据D、组织可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准二、多项选择题41、移动设备策略宜考虑()A、移动设备注册B、恶意软件防范C、访问控制D、物理保护要求42、下列描述哪些是正确的()。A、程序也可以不形成文件B、程序可以形成文件C、程序必须形成文件D、程序就是文件43、关于审核委托方,以下说法正确的是()A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核44、在未得到授权的前提下,以下属于信息安全“攻击”的是:()A、盗取、暴露、交更资产的行为B、破坏或使资产失去预期功能的行为C、访问,使用资产行为D、监视和获取资产使用状态信息的行为45、下列哪些是服务预算与核算管理必须的?()A、服务计费B、服务实际成本C、服务成本预算D、监视成本46、以下()活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施47、对于组织在风险处置过程中所选的控制措施,以下说法正确的是()A、将所有风险都必须被降低至可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下,有意识、客观地接受风险D、规避风险48、某组织在酒店组织召开内容敏感的会议,根据GB/T22080-2016/ISO/IEC27001:2013标准,以下说法正确的是()A、会议开始前及持续期间开启干扰机,这符合A11,2的要求B、进入会议室人员被要求手机不得带入,这符合A11,1的要求C、对于可进入会议室提供茶水服务的酒店服务生进行筛选,这符合A11,1的要求D、要求参会人员在散会时将纸质会议资料留下由服务生统一回收,这符合A8,3的要求49、下列哪些是SSL支持的内容类型?()A、chang_cipher_specB、alertC、handshakleD、applicatlon_data50、关于个人信息安全的基本原则,以下正确的是()A、目的明确原则B、最少够用原则C、同意和选择原则D、公开透明原则51、组织建立的信息安全目标,应()A、是可测量的B、与信息安方针一致C、得到沟通D、适当时更新52、问题管理的输入不包括()A、变更请求B、问题解决方案C、事件记录D、新的已知错误53、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块,为方便各项目组讨论,公司创建了一个sharefolder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是()A、各项目人员访问该sharefolder需要得到授权B、获得sharefolder访问权者可访问该目录下所有子文件夹C、IT人员与各项目负责人共同定期评审sharefolder访问权D、H人员不定期删除sharefolder数据以释放容量,此活动是容量管理,游戏开发人员不参与54、信息安全风险分析包括()A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后,可能导致的潜在后果D、评估所识别的风险实际发生的可能性55、关于云计算服务中的的安全,以下说法不正确的是()。A、服务提供方提供身份鉴别能力,云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力,并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力,服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力,并定义和实施身份鉴别准则三、判断题56、完全备份就是对全部数据库数据进行备份。()正确错误57、通过修改某种已知计算机病毒的代码,使其能够躲过现有计算机病毒检测程序时,可以称这种新出现的计算机病毒是原来计算机病毒的变形。正确错误58、测量是确定数值和性质的过程。()正确错误59、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统,并降低进入该系统的无意错误操作导致的影响()正确错误60、最高管理层应确保方针得到建立()正确错误61、访问控制列表指由主体以及主体对客体的访问权限所组成列表。正确错误62、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级,这符合GB/T22080-2016标准A9.1.1条款的要求。()正确错误63、纠正是指为消除已发现的不符合或其他不的原因所采取的措施。()正确错误64、IT系统日志保存所需的资源不属于容量管理的范围。()正确错误65、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()正确错误

参考答案一、单项选择题1、D2、C3、D解析:数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性并保护数据,防止被人(例如接收者)进行伪造,篡改或是抵赖。故选D4、A5、A6、A7、B8、B9、B10、B11、C12、A13、D14、D15、A16、D17、B18、A19、C解析:参考ISO/IEC27001:2013附录A8,2信息分级,信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级20、B21、A解析:质量管理顾客满意组织处理投诉指南1范围,投诉处理过程为投诉者提供一个开放,有效,方便的投诉程序,故选A22、D解析:27001附录A12,6,技术方面的脆弱性管理,应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露情况并采取适当的措施来应对相关风险。故选D23、A24、A25、D解析:270019,3管理评审,管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。27001附录A12,1,2变更管理,应控制影响信息安全的变更,包括组织,业务过程,信息处理设施和系统变更。因此A,B,C选项的变更均符合变更管理,故选D26、C27、C28、D29、C30、A31、D32、C33、D34、C解析:应确保秘密鉴别信息的

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论