2021年第四期ISMS审核员考试题目-信息安全管理体系含解析_第1页
2021年第四期ISMS审核员考试题目-信息安全管理体系含解析_第2页
2021年第四期ISMS审核员考试题目-信息安全管理体系含解析_第3页
2021年第四期ISMS审核员考试题目-信息安全管理体系含解析_第4页
2021年第四期ISMS审核员考试题目-信息安全管理体系含解析_第5页
已阅读5页,还剩13页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2021年第四期ISMS审核员考试题目—信息安全管理体系一、单项选择题1、根据GB/Z20986《信息安全技术信息安全事件分类分级指南》,对于违法行为的通报批评处罚,属于行政处罚中的()A、资格罚B、人身自由罚C、财产罚D、声誉罚2、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责?()A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对3、最高管理层应(),以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限4、创建和更新文件化信息时,组织应确保适当的()。A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准5、当发生不符合时,组织应()。A、对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果B、对不符合做出反应,适用时:采取纠正,以及控制措施:处理后果C、对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果D、对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果6、容量管理的对象包括()A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部7、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度8、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对9、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()A、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任10、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。A、半年B、1年C、1.5年D、2年11、"多级SLA"是一个三层结构,下列哪层不是这样类型SLA的部分?()A、客户级别B、公司级别C、配置级别D、服务级别12、关于系统运行日志,以下说法正确的是:()A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志13、已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A、问题B、事件C、错误D、事态14、ITSMS监督审核的目的不包括()A、确认是否持续符合认证要求B、验证认证通过的ITSMS是否得以持续改进C、作出是否换发证书的决定D、验证组织ITSMS的保持是否考虑了组织运作过程的变化15、最高管理层应(),以确保信息安全管理体系符合本标准要求。A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限16、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于()对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素17、设备维护维修时,应考虑的安全措施包括:()A、维护维修前,按规定程序处理或清除其中的信息B、维护维修后,检查是否有未授权的新增功能C、敏感部件进行物理销毁而不予送修D、以上全部18、对于较大范围的网络,网络隔离是:()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对19、依据GB/T22080/ISO/IEC27001的要求,管理者应()A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确20、安全扫描可以实现()A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流21、ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。A、有效策划与保持持续改进B、有效实施与运行持续改进C、有效实施与保持持续改进D、有效策划与运行持续改进22、对保密文件复印件张数核对是确保保密文件的()A、保密性B、完整性C、可用性D、连续性23、组织的风险责任人不可以是()A、组织的某个部门B、某个系统管理员C、风险转移到组织D、组织的某个虚拟小组负责人24、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南25、风险评估过程一般应包括()A、风险识别B、风险分析C、风险评价D、以上全部26、组织应()A、分离关键的职责及责任范围B、分离冲突的职责及贵任范围C、分离重要的职责及责任范围D、分离关联的职责及责任范围27、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的?()A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作28、在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4029、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意C、顾客认为其要求己得到满足,即意味着顾客满意D、组织认为顾客要求己得到满足,即意味着顾客满意30、()属于管理脆弱性的识别对象A、物理环境B、网络结构C、应用系统D、技术管理31、对全国密码工作实行统一领导的机构是()A、中央密码工作领导机构B、国家密码管理部门C、中央国家机关D、全国人大委员会32、制定信息安全管理体系方针,应予以考虑的输入是()A、业务战略B、法律法规要求C、合同要求D、以上全部33、描述组织采取适当的控制措施的文档是()A、管理手册B、适用性声明C、风险处置计划D、风险评估程序34、对于信息安全方针,()是ISO/IEC27001所要求的A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息,不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则,不可变更35、下面哪个不是典型的软件开发模型?()A、变换型B、渐增型C、瀑布型D、结构型36、信息分类方案的目的是()A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析37、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认38、保密性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対39、加密技术可以保护信息的()A、机密性B、完整性C、可用性D、A+B40、确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程其所用,是指()A、完整性B、可用性C、机密性D、抗抵赖性二、多项选择题41、影响审核时间安排的因素包括()A、ITSMS的范围大小B、场所的数量C、认证机构审核人员的能力D、认证机构审核人员的数量42、风险处置的可选措施包括()。A、风险识别B、风险分析C、风险转移D、风险减缓43、管理评审的输入应包括()。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果44、对于涉密信息系统,以下说法正确的是()A、使用的信息安全保密产品原则上应选择国产产品B、使用的信息安全保密产品应当通过国家保密局授权的检测机构检测C、使用的信息安全保密产品应当通过国家保密局审核发布的目录中选取D、总体保密水平不低于国家信息安全等级保护第四级水平45、评价信息安全风险,包括()A、将风险分析的结果与信息安全风险准则进行比较B、确定风险的控制措施C、为风险处置排序以分析风险的优先级D、计算风险大小46、ISO/IEC27001标准要求以下哪些过程要形成文件化的信息?()A、信息安全方针B、信息安全风险处置过程C、沟通记录D、信息安全目标47、管理评审的输出包括()A、管理评审报告B、持续改进机会相关决定C、管理评审会议纪要D、变更信息的安全管理体系任何需求48、信息安全管理体系审核组的能力包括:()A、信息安全事件处理方法和业务连续性的知识B、有关有形和无形资产及其影响分析的知识C、风险管理过程和方法的知识D、信息安全管理体系的控制措施及其实施的知识49、“云计算机服务”包括哪几个层面?()A、PaasB、SaaSC、IaaSD、PIIS50、风险评估过程中威胁的分类一般应包括()A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖51、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是()A、与N签署协议规定服务级别及安全要求B、在对N公司人员服务时,接入M公司的移动电脑事前进行安全扫描C、将多张核心机房门禁卡统一登记在N公司项目组组长名下,由其按需发给进入机房的N公司人员使用D、对N公司带入带出机房的电脑进行检查登记,硬盘和U盘不在此检查登记范围内52、按覆盖的地理范围进行分类,计算机网络可以分为()A、局域网B、城域网C、广域网D、区域网53、操作系统的基本功能有()A、存储管理B、文件管理C、设备管理D、处理器管理54、风险描述的要素包括()A、风险源B、原因C、后果D、事件55、依据GB/T22080,经管理层批准,定期评审的信息安全策略包括()A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略三、判断题56、测量是确定数值和性质的过程。()正确错误57、J020相关方可以是组织内部也可以是组织外部的。()正确错误58、ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。()正确错误59、信息系统中的“单点故障”指仅有一个故障点,因此属于较低风险等级的事件。()正确错误60、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级,这符合GB/T22080-2016标准A9.1.1条款的要求。()正确错误61、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。正确错误62、当需要时,组织可设计控制,或识别来自任何来源的控制。()正确错误63、GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准()正确错误64、纠正是指为消除己发现的不符合或其他不期望情况的原因所采取的措施。()正确错误65、组织使用云盘设施服务时,GB/T22080-2016/IS0/IEC27001:2013中A12,3,1条款可以删减。()正确错误

参考答案一、单项选择题1、D2、B3、C4、D5、D6、D7、D8、A9、B10、D11、C12、B13、A14、C15、C16、B17、D18、B19、D解析:信息安全目标及其实现规划,组织应在相关职能和层级上建立信息安全目标,A项错误。B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性,充分性,和有效性。而管理评审的实施执行者是组织,因此B表述不准确。C项,27001,5.1.2组织应建立并维护信息安全风险准则,包括风险接受准则和信息安全风险评估实施准则。而非最高管理者,因此C错误,综上故选D20、C21、B22、A23、C24、D25、D26、B解析:根据GB/T22080-2016标准A6,1,2原文:应分离冲突的职责及其贵任范围,以减少未授权或无意的修改或者不当使用组织资产的机会27、B28、A29、C30、D解析:27001附录A12,6,技术方面的脆弱性管理,应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露情况并采取适当的措施来应对相关风险。故选D31、A32、D33、B34、A解析:信息安全方针应:(1)形成文件化信息并可用;(2)在组织内得到沟通;(3)适当时,对相关方可用。故选A35、A3

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论