2022年6月国家注册ISMS审核员复习题-信息安全管理体系含解析

2022年6月国家注册ISMS审核员复习题—信息安全管理体系一、单项选择题1、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保2、最高管理者应（）。A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审3、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议4、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果5、不属于公司信息资产的是（）A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对6、下面哪个不是《中华人民共和国密码法》中密码的分类？（）A、核心密码B、普通密码C、国家密码D、商用密码7、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部8、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次9、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）A、下级管理员无权修改，不可删除B、下级管理员无权修改，可以删除C、下级管理员可以修改，可以删除D、下级管理员可以修改，不可删除10、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度11、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是12、《信息技术服务分类与代码》中的分类分为()级A、2B、3C、4D、513、抵御电子邮箱入侵措施中，不正确的是（）A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器14、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部15、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通16、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定17、关于投诉处理过程的设计，以下说法正确的是：（）A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用18、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应19、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改20、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程21、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换22、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏23、组织应按照本标准的要求（）信息安全管理体系。A、策划、实现、监视、和持续改进B、建立、实施、监视、和持续改进C、建立、实现、维护、和持续改进D、策划、实施、维护、和持续改进24、在发布一个软件升级，修复某个已知错误后，哪个流程能确保配置信息被正确更新（）A、变更管理B、服务级别管理C、配置管理D、发布和部署管理25、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许方问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对26、（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障27、在认证审核时，一阶段审核是（）A、是了解受审方ISMS是否正常运行的过程B、是必须进行的C、不是必须的过程D、以上都不准确28、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。A、服务水平目标（SLO)B、恢复点目标（RPO)C、恢复时间目标（RTO)D、最长可接受终端时间（MAO)29、下列管理评审的方式，哪个不满足标准的要求?(）A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审30、下列说法错误的是(）A、ISO/IEC20000-1:2018标准鼓励组织采用整合的过程方法B、组织满足ISO/IEC20000-1:2018标准要求，意味着该组织满足其顾客的所有要求C、组织可以把ISO/IEC20000-1:2018标准作为独立评估的依据D、组织可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准31、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对32、组织应（）A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质33、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域34、对保密文件复印件张数核对是确保保密文件的（）A、保密性B、完整性C、可用性D、连续性35、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）A、所需审核组能力的要求B、客户组织的准备程度C、所需能力的审核组成员D、客户组织的场所分布36、审核计划中不包括（）。A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排37、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部38、"多级SLA"是一个三层结构，下列哪层不是这样类型SLA的部分？()A、客户级别B、公司级别C、配置级别D、服务级别39、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对40、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、6二、多项选择题41、访问控制包括()A、网络和网络服务的访问控制B、逻辑访问控制C、用户访问控制D、物理访问控制42、以下属于信息安全管理体系审核的证据是：（）A、信息系统运行监控中心显示的实时资源占用数据B、信息系统的阈值列表C、数据恢复测试的日志D、信息系统漏洞测试分析报告43、下列哪些是服务预算与核算管理必须的？（）A、服务计费B、服务实际成本C、服务成本预算D、监视成本44、关于鉴别信息保护，正确的是（）A、使用QQ传递鉴别信息B、对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息C、鉴别信息宜加密保存D、鉴别信息的保护可作为任用条件或条款的内容45、依据GB/Z20986，确定为重大社会影响的情况包括（）A、涉及到一个或多个城市的大部分地区B、威胁到国家安全C、扰乱社会秩序D、对经济建设设有重大负面影响46、移动设备策略宜考虑（)A、移动设备注册B、恶意软件防范C、访问控制D、物理保护要求47、以下做法正确的是（）A、使用生产系统数据测试时，应先将数据进行脱敏处理B、为强化新员工培训效果，应尽可能使用真实业务案例和数据C、员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致48、以下属于“关键信息基础设施”的是（）。A、输配电骨干网监控系统B、计算机制造企业IDC供电系统C、髙等院校网络接入设施D、高铁信号控制系统49、信息安全管理体系审核应遵循的原则包括:（）A、诚实守信B、保密性C、基于风险D、基于事实的决策方法50、关于“信息安全连续性”，以下正确的做法包括:（）A、人员、设备、设施、场所等的冗余配置B、定期或实时进行数据备份C、考虑业务关键性确定恢复优先顺序和目标D、有保障信息安全连续性水平的过程和程序文件51、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后52、信息安全风险分析包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性53、“云计算服务”包括哪几个层面?A、PaasB、SaasC、laasD、PII.S54、下列哪些是SSL支持的内容类型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data55、在IT服务管理中，"部署"活动包括：（）A、实施变更B、对变更的影响进行评估C、将服务组件迁移到生产环境D、将经测试的软件包转移到生产环境三、判断题56、审核组长在末次会议中应该对受审核方是否通过认证给出结论。（）正确错误57、某组织在生产系统上安装升级包前制定了回退计划，这符合GB/T22080-2016/ISO/IEC27001:2013标准A12,5,1条款的要求（）正确错误58、纠正是指为消除已发现的不符合或其他不的原因所采取的措施。（）正确错误59、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。（）正确错误60、最高管理层应通过“确保持续改进”活动，证实对信息安全管理体系的领导和承诺正确错误61、测量是确定数值和性质的过程。（）正确错误62、组织的业务连续性策略即其信息安全连续性策略。正确错误63、审核方案应包括审核所需的资源，例如交通和食宿。（）正确错误64、风险处置计划和信息安全残余风险应获得最高管理者的接受和批准。正确错误65、信息安全风险准则包括风险接受准则和风险评价准则。（）正确错误

参考答案一、单项选择题1、A2、D3、A4、C5、C6、C7、D8、D9、A10、C解析:《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度，故选C11、D12、B13、D14、B15、A16、A17、A解析:质量管理顾客满意组织处理投诉指南1范围，投诉处理过程为投诉者提供一个开放，有效，方便的投诉程序，故选A18、D解析:短期停电即电力中断，故选D。可中断的电力供应19、D解析:数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性并保护数据，防止被人（例如接收者）进行伪造，篡改或是抵赖。故选D20、D解析:高风险的产品或过程应增加审核时间要素21、D22、C23、C24、C25、C26、A27、B28、C29、A30、B31、B32、C33、A34、A35、C36、A37、D38、C39、C40、C二、多项选择题41、B,D42、A,B,C,D43、B,C,D44、B,C,D解析:参考27002,9,2,4用户的秘密鉴别信息管理，B、C、D均正确，同时该控制中，还包含：建立一些规程，以在提供一个新的、代替的或临时的秘密鉴别信息之前，验证用户身份；在系统或软件安装后，应改变提供商的默认秘密鉴别信息；应以安全的方式将临时秘密鉴别信息提供给用户；应避免使用外部防火未受保护的（明文）电子邮件。综上本题选BCD45、A,B,D46、A,B,C,D47、A,C48、A,B,C,D49、B,C50、A,B,C,D51、A,B,C52、B,C,D53、A,B,C解析:云计算可以认为包括以下几个层次的服务：基础设施即服务（I.aaS），平台即服务（PaaS）和软件即服务（SaaS）。云计算服务通常提供通用的通过浏览器访问的在线商业应用，软件和数据可存储在数据中心。54、A,B,C,D55、A,B,C,D三、判断题56、错误解析:参考CNAS-CC019,4,7，末次