2022年9月国家注册ISMS审核员复习题-信息安全管理体系含解析

2022年9月国家注册ISMS审核员复习题—信息安全管理体系一、单项选择题1、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改2、关于信息系统登录的管理，以下说法不正确的是（）A、网络安全等级保护中，三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率，可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令3、根据《互联网信息服务管理办法》，互联网接入服务提供者应当记录上网用户的(）A、用户帐号、上网时间、访问端口信息B、用户帐户、上网时间、访问内容C、用户帐号、访问IP地址、用户计算机型号D、上网时间、用户帐号、互联网地址4、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南5、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议6、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制7、按照PDCA思路进行审核，是指（）A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对8、第三方认证审核时，对于审核提出的不符合项，审核组应：（）A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对9、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力10、ISO/IEC20000-1:2018标准是依据管理体系高层结构，即()对标准的结构进行调整的A、ISO/IEC导则的一部分综合ISO补充附录B、ISO/IEC导则的一部分综合ISO补充结构层C、ISO/IEC导则的一部分综合ISO补充体质D、ISO/IEC导则的一部分综合ISO补充模型11、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对12、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯13、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、202114、关于访问控制，以下说法正确的是（）A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件15、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性16、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审17、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、作出是否换发证书的决定18、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以19、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求己得到满足，即意味着顾客满意D、组织认为顾客要求己得到满足，即意味着顾客满意20、已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A、问题B、事件C、错误D、事态21、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D、数据备份22、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式23、下列()不是创建和维护测量要执行的活动。A、开展测量活动B、识别当前支持信息需求的安全实践C、开发和更新测量D、建立测量文档并确定实施优先级24、关于《中华人民共和国保密法》，以下说法正确的是:（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护25、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准26、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）A、认证范围内员工的个人隐私数据得到保护B、认证范围内涉及顾客的个人隐私数据得到保护C、认证范围内涉及相关方的个人隐私数据数据得到保护D、以上全部27、ISMS文件的多少和详细程度取于A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C28、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）A、所需审核组能力的要求B、客户组织的准备程度C、所需能力的审核组成员D、客户组织的场所分布29、()对于信息安全管理负有责任A、高级管理层B、安全管理员C、IT管理员D、所有与信息系统有关人员30、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确31、信息安全基本属性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性32、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部33、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作34、关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议和保密义务与责任。A、安全保密B、安全保护C、安全保障D、安全责任35、计算机病毒系指_____。A、生物病毒感染B、细菌感染C、被损坏的程序D、特制的具有损坏性的小程序36、组织确定的信息安全管理体系范围应（）A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用37、对于外部方提供的软件包，以下说法正确的是：（）A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对38、信息安全管理中,以下哪一种描述能说明“完整性”（）。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况39、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证40、信息处理设施的变更管理包括:A、信息处理设施用途的变更B、信息处理设施故障部件的更换C、信息处理设施软件的升级D、其他选项均正确二、多项选择题41、以下属于“信息处理设施”的是（）A、信息处理系统B、信息处理相关的服务C、与信息处理相关的设备D、安置信息处理设备的物理场所与设施42、影响审核时间安排的因素包括（)A、ITSMS的范围大小B、场所的数量C、认证机构审核人员的能力D、认证机构审核人员的数量43、组织在风险处置过程中所选的控制措施需（）A、将所有风险都必须被降低到可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下有意识、客观地接受风险D、规避风险44、关于服务组件”以下说法正确的是（）A、不包括基础设施B、可以是服务的一部分C、可包括配置项、资产或其他要素D、一项或多项配置项可以构成一项服务组件45、当满足（）时，可考虑使用基于抽样的方法对多场所进行审核A、所有的场所在相同信息安全管理体系中,这些场所被集中管理和审核B、所有的场所在相同信息安全管理体系中,这些场所被分别管理和审核C、所有场所包括在客户组织的内部信息安全管理体系审核方案中D、所有场所包括在客户组织的信息安全管理体系管理评审方案中46、《中华人民共和国网络安全法》是为了保障网络安全,（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益47、某组织在酒店组织召开内容敏感的会议，根据GB/T22080-2016/ISO/IEC27001:2013标准，以下说法正确的是（）A、会议开始前及持续期间开启干扰机，这符合A11,2的要求B、进入会议室人员被要求手机不得带入，这符合A11,1的要求C、对于可进入会议室提供茶水服务的酒店服务生进行筛选，这符合A11,1的要求D、要求参会人员在散会时将纸质会议资料留下由服务生统一回收，这符合A8,3的要求48、关于云计算服务中的的安全，以下说法不正确的是（）。A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则49、移动设备策略宜考虑（)A、移动设备注册B、恶意软件防范C、访问控制D、物理保护要求50、以下属于信息安全事态或事件的是:（）A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知51、投诉处理过程应包括：（）A、投诉受理、跟踪和告知B、投诉初步评审、投诉调查C、投诉响应、沟通决定D、投诉终止52、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟53、下列有关涉密信息系统说法正确的是（）A、涉密信息系统经单位保密工作机构测试后即可投入使用B、涉密信息系统投入运行前应当经过国家保密行政管理部门审批C、涉密计算机重装操作系统后可降为非涉密计算机使用D、未经单位信息管理部门批准不得自行重装操作系统54、管理评审的输出包括（）A、管理评审报告B、持续改进机会相关决定C、管理评审会议纪要D、变更信息的安全管理体系任何需求55、第二阶段审核中，应重点审核被审核单位的（）。A、最高管理者的领导力B、与信息安全有关的风险C、基于风险评估和风险处置过程D、ISMS有效性三、判断题56、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。（）正确错误57、组织应持续改进信息安全管理体系的适宜性、充分性和有效性（）正确错误58、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）正确错误59、破坏、摧毁、控制网络基础设施是网络攻击行为之一（）正确错误60、《中华人民共和国网络安全法》中的“网络运营者”，指网络服务提供者，不包括其他类型的网络所有者和管理者。（）正确错误61、测量是确定数值和性质的过程。（）正确错误62、审核方案应包括审核所需的资源，例如交通和食宿。（）正确错误63、IT系統日志信息保存所需的資源不属于容量管理的范围（）正确错误64、组织使用云盘设施服务时，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1条款可以删减。（）正确错误65、组织应适当保留信息安全目标文件化信息。（）正确错误

参考答案一、单项选择题1、D2、C解析:应确保秘密鉴别信息的保密性，确保鉴别信息得到适当的保护，C选项为提高效率而保存鉴别信息的直接登录方式，不能确保鉴别信息得到保护，故选C3、D4、D5、B解析:局域网是指家庭或是办公室，或者其他环境中小型网络。而大型计算机环境是指类似服务器的大型网络。两者本地备份差别主要体现在容错能力上，故选B6、B7、A8、B9、B10、A11、A12、A13、D14、C15、C16、D17、D解析:监督审核是现场审核，但不一定是对整个体系的审核，并应与其他监督活动一起策划，以使认证机构能对获证客户管理体系在认证周期内持续满足要求保持信任。相关管理体系标准的每次监督审核应包括对以下方面的审查：（1）内部审核和管理评审；(2)对上次审核中确定的不符合采取的措施；（3）投诉的处理；（4）管理体系在实现获证客户目标和各管理体系的预期结果方