2021年第三期信息安全管理体系审核员(ISMS)模拟试题含解析

2021年第三期信息安全管理体系审核员(ISMS)模拟试题一、单项选择题1、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作2、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对3、下列哪项对于审核报告的描述是错误的?（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对4、《信息技术服务分类与代码》规定(）属于软件运营服务。A、在线杀毒B、物流信息管理服务平台C、电子商务D、在线娱乐平台5、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码6、组织应定义所有事件的记录和分类、分级、需要时升级、解决和（）A、报告B、沟通C、回复顾客D、正式关闭7、依据GB/T22080,网络隔离指的是(）A、不同网络运营商之间的隔离B、不同用户组之间的隔离C、内网与外网的隔离D、信息服务，用户及信息系统8、安全区域通常的防护措施有（）A、公司前台的电脑显示器背对来访者B、进出公司的访客须在门卫处进行登记C、重点机房安装有门禁系统D、以上全部9、组织应（），以确信相关过程按计划得到执行。A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度10、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单11、为信息系统用户注册时，以下正确的是:（）A、按用户的职能或业务角色设定访问权B、组共享用户ID按组任务的最大权限注册C、预设固定用户ID并留有冗余，以保障可用性D、避免频繁变更用户访问权12、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录13、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离14、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护 15、ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。A、有效策划与保持持续改进B、有效实施与运行持续改进C、有效实施与保持持续改进D、有效策划与运行持续改进16、关于信息安全管理中的“脆弱性”，以下正确的是:（）A、脆弱性是威胁的一种，可以导致信息安全风险B、网络中“钓鱼”软件的存在，是网络的脆弱性C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D、以上全部17、计算机信息系统安全专用产品是指：（）A、用于保护计算机信息系统安全的专用硬件和软件产品B、按安全加固要求设计的专用计算机C、安装了专用安全协议的专用计算机D、特定用途（如高保密）专用的计算机软件和硬件产品18、ISO/IEC20000J标准的范围声明是很重要的，因为()A、它定义了管理体系根据什么予以认证B、它详细描述了所有已被认证的公司C、它详细描述了所有已被认耐砂D、它确定了哪些流程已超出了范围19、《信息技术服务分类与代码》中的分类分为()级A、2B、3C、4D、520、关于访问控制，以下说法正确的是（）A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件21、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析22、信息安全的机密性是指（）A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 23、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象24、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏25、安全扫描可以实现（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流26、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对27、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙28、关于信息安全连续性，以下说法正确的是：A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定29、GB/T29246标准为组织和个人提供（）A、建立信息安全管理体系的基础信息B、信息安全管理体系的介绍C、ISMS标准族已发布标准的介绍D、1SMS标准族中使用的所有术语和定义30、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。A、用户权限B、可被用户访问的资料C、系统是否遭受入侵D、可给予哪些主体访问31、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标32、组织确定的信息安全管理体系范围应（）A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用33、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任34、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素35、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统36、经过风险处理后遗留的风险是（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险37、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV238、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。A、个人信息B、隐私C、商业秘密D、其他选项均正确39、关于备份，以下说法正确的是(）A、备份介质中的数据应定期进行恢复测试B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的C、发现备份介质退化后应考虑数据迁移D、备份信息不是管理体系运行记录，不须规定保存期40、关于《中华人民共和国保密法》，以下说法正确的是：（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护二、多项选择题41、GB/T22080-2016/ISO/IEC27001:2013标准中A12,3,1条款要求（）A、设定备份策B、定期测试备份介质C、定期备份D、定期测试信息和软件42、“云计算服务”包括哪几个层面?A、PaasB、SaasC、laasD、PII.S43、以下做法正确的是（）A、使用生产系统数据测试时,应先将数据进行脱敏处理B、为强化新员工培训效果,尽可能使用真实业务案例和数据C、员工调换项目组时，其愿使用计算机中的项目数据经妥善刪除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致44、访问控制包括()A、网络和网络服务的访问控制B、逻辑访问控制C、用户访问控制D、物理访问控制45、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施46、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处理47、信息安全管理中，以下属于"按需知悉(need-to-know)原则的是（)A、根据工作需要仅获得最小的知悉权限B、工作人员仅让满足工作所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D、得到管理者批准的信息是可访问的信息48、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、风险处置49、不同组织的ISMS文件的详略程度取决于（）A、文件编写人员的态度和能力B、组织的规模和活动的类型C、人员的能力D、管理系统的复杂程度50、以下说法不正确的是（）A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了51、在信息安全事件管理中，（）是员工应该完成的活动。A、报告安全方面的漏洞或弱点B、对漏洞进行修补C、发现并报告安全事件D、发现立即处理安全事件52、下列有关涉密信息系统说法正确的是（）A、涉密信息系统经单位保密工作机构测试后即可投入使用B、涉密信息系统投入运行前应当经过国家保密行政管理部门审批C、涉密计算机重装操作系统后可降为非涉密计算机使用D、未经单位信息管理部门批准不得自行重装操作系统53、《中华人民共和国网络安全法》适用于在中华人民共和国境内（）网络，以及网络安全的监督管理。A、建设B、运营C、维护D、使用54、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动55、在设计和应用安全区域工作规程时，宜考虑（）A、基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B、为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C、使用的安全区域宜上锁并定期予以评审D、经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机三、判断题56、ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。(）正确错误57、从审核开始到结束,审核组长应对审核实施负责正确错误58、创建和更新文件化信息时，组织应确保对其适宜性和充分性进行评审和批准。正确错误59、计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统（）正确错误60、纠正是指为消除已发现的不符合或其他不的原因所采取的措施。（）正确错误61、“资产清单”包含与信息生命周期有关的资产，与信息的创建、处理、存储、传输、删除和销毁无关联的资产不在“资产清单”的范围内。（）正确错误62、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）正确错误63、利用生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别。正确错误64、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级，这符合GB/T22080-2016标准A9.1.1条款的要求。（）正确错误65、实习审核员可以独立完成审核任务。（）正确错误

参考答案一、单项选择题1、B2、B解析:so9000-20153,4,1过程，利用输入产生输出的相互关联或相互作用的一组活动。故选B3、A4、A5、D6、D7、D8、D9、B10、D11、A12、B13、B14、A15、B16、C17、A18、D19、B20、C21、C22、B23、A24、C25、C26、C27、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D28、B29、D30、D31、D32、A33、B34、B35、D36、D37、A38、D解析:网络安全法第45条，依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息，隐私和商业秘密严格保密，不得泄露，出售或者非法向他人提供。故选D39、A40、A二、多项选择题4