2022年6月ISMS审核员复习题-信息安全管理体系含解析

2022年6月ISMS审核员复习题—信息安全管理体系一、单项选择题1、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段2、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。A、搞抵赖性B、完整性C、机密性D、可用性3、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部4、信息安全控制目标是指：（)A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B5、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定6、确定资产的可用性要求须依据（）。A、授权实体的需求B、信息系统的实际性能水平C、组织可支付的经济成本D、最高管理者的决定7、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度8、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果9、阐明所取得结果或提供所完成活动的证据的文件是()A、报告B、演示C、记录D、协议10、信息安全事态、事件和事故的关系是（）A、事态一定是事件，事件一定是事故B、事件一定是事故，事故一定是事态C、事态一定是事故，事故一定是事件D、事故一定是事件，事件一定是事态11、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意12、关于认证人员执业要求，以下说法正确的是:A、注册审核员只能在一个认证机构和一个咨询机构执业B、注册审核员和认证决定人员只能在一个认证机构C、注册审核员只能在一个认证机构执业，非注册的认证决定人员不受此限制D、在咨询机构认专职咨询师的人员，只能在认证机构人兼职认证决定人员13、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙14、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见15、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性16、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人17、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。A、认证B、认可C、审核D、评审18、组织确定的信息安全管理体系范围应（）A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用19、依据GB/T22080/ISO/IEC27001的要求，管理者应（）A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确20、在访问因特网时，为了防止Web网页中恶意代码对自己计算机的损害，可以采取的防范措施是(）A、利用SSL访问Web站点B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域C、在浏览器中安装数字证书D、利用IP安全协议访问Web站点21、ISMS文件的多少和详细程度取决于()A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、以上都对22、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响23、已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A、问题B、事件C、错误D、事态24、gb17859-1999提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求A、2B、3C、5D、725、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标26、关于内部审核下面说法不正确的是(）。A、组织应定义每次审核的审核准则和范围B、通过内部审核确定ISMS得到有效实施和维护C、组织应建立、实施和维护一个审核方案D、组织应确保审核结果报告至管理层27、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项28、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV229、ISO/IEC27701是（）A、是一份基于27002的指南性标准B、是27001和27002的隐私保护方面的扩展C、是ISMS族以外的标准D、在隐私保护方面扩展了270001的要求30、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制31、关于访问控制，以下说法正确的是（）A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件32、（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障33、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据34、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统35、变更请求为提出针对服务、（）或IT服务管理体系（ITSMS）的变更建议A、服务组件B、服务软件C、配置项D、配置管理数据库36、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力37、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力38、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新39、依据GB/T22080,网络隔离指的是(）A、不同网络运营商之间的隔离B、不同用户组之间的隔离C、内网与外网的隔离D、信息服务，用户及信息系统40、以下哪个选项不是ISMS第一阶段审核的目的（）A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求二、多项选择题41、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖42、下列说法正确的是（）A、残余风险需要获得风险责任人的批准B、适用性声明需要包含必要的控制及其选择的合理性说明C、所有的信息安全活动都必须有记录D、组织控制下的员工应了解信息安全方针43、问题管理的输入不包括（）A、变更请求B、问题解决方案C、事件记录D、新的已知错误44、依据GB/Z20986，确定为重大社会影响的情况包括（）A、涉及到一个或多个城市的大部分地区B、威胁到国家安全C、扰乱社会秩序D、对经济建设设有重大负面影响45、认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备(）A、管理体系的知识B、ISMS监视、测量、分析和评价的知识C、与受审核活动相关的技术知识D、信息安全的知识46、关于涉密信息系统的管理，以下说法正确的是：（)A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途47、第二阶段审核中，应重点审核被审核单位的（）。A、最高管理者的领导力B、与信息安全有关的风险C、基于风险评估和风险处置过程D、ISMS有效性48、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动49、设计一个信息安全风险管理工具，应包括如下模块（）。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程50、管理评审的输入应包括（）。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果51、不符合项报告应包括A、不符合事实的描述B、不符合的标准条款及内容C、不符合的原因D、不符合的性质52、管理评审的输出应包括（）A、与持续改进机会相关的决定B、变更信息安全管理体系的任何需求C、相关方的反馈D、信息安全方针执行情况53、下列哪些是SSL支持的内容类型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data54、对风险安全等级三级及以上系统，以下说法正确的是（）。A、采用双重身份鉴别机制B、对用户和数据采用安全标记C、系统管理员可任意访问日志记录D、三年开展一次网络安全等级测评工作55、《中华人民共和国网络安全法》的宗旨是（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益三、判断题56、创建和更新文件化信息时，组织应确保对其适宜性和充分性进行评审和批准。正确错误57、《中华人民共和国网络安全法》中明确，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每两年至少进行一次检测评估。（）正确错误58、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）正确错误59、敏感标记表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感标记作为强制访问控制决策的依据（）。正确错误60、在来自可信站点电子邮件中输入个人或财务信息是安全的。（）正确错误61、组织确定的为规划和运行服务管理体系所必需的外来的文档化信息,应得到适当的识别，并予以控制。（）正确错误62、信息安全风险准则包括风险接受准则和风险评价准则。（）正确错误63、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）正确错误64、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺正确错误65、测量是确定数值和性质的过程。（）正确错误

参考答案一、单项选择题1、C2、C3、D4、A5、A6、A解析:资产在可用性上的不同要求，依据授权实体的需求而定，故选A7、A8、D9、C10、D11、C12、B13、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D14、A15、A16、C17、B18、A19、D解析:信息安全目标及其实现规划，组织应在相关职能和层级上建立信息安全目标，A项错误。B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性，和有效性。而管理评审的实施执行者是组织，因此B表述不准确。C项，27001,5.1.2组织应建立并维护信息安全风险准则，包括风险接受准则和信息安全风险评估实施准则。而非最高管理者，因此C错误，综上故选D20、B21、D22、B23、A24、C解析:《计算机信息系统安全保护等级划分准则》规定了计算机系统安全保护能力的五个等级25、D26、C27、C解析:管理体系审核指南3,4审核发现是将收集的审核证据对照审核准则进行评价的结果，故选C28、A29、B30、B解析:网络和网络服务的访问，应仅向用户提供他