2022年第三期国家ISMS信息安全管理体系审核员模拟试题含解析

2022年第三期国家ISMS信息安全管理体系审核员模拟试题一、单项选择题1、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的（）。A、说明B、声明C、想法D、描述2、当发现不符合项时，组织应对不符合做出反应，适用时（）。A、采取措施，以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生3、（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障4、关于GB/T28450,以下说法正确的是(）。A、增加了ISMS的审核指导B、与ISO19011一致C、与ISO/IEC27000一致D、等同采用了ISO190115、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对6、"多级SLA"是一个三层结构，下列哪层不是这样类型SLA的部分？()A、客户级别B、公司级别C、配置级别D、服务级别7、PKI的主要组成不包括(）A、SSLB、CRC、CAD、RA8、不属于常见的危险密码是（）A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10位的综合型密码9、下列管理评审的方式，哪个不满足标准的要求?(）A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审10、下列不属于取得认证机构资质应满足条件的是（）。A、取得法人资格B、有固定的场所C、完成足够的客户案例D、具有足够数量的专职认证人员11、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果12、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议13、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以14、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响15、最高管理者应确保服务管理体系要求整合到组织（）中，证实对服务管理体系的领导承诺。A、活动B、资源C、过程D、目标16、下列说法错误的是(）A、ISO/IEC20000-1:2018标准鼓励组织采用整合的过程方法B、组织满足ISO/IEC20000-1:2018标准要求，意味着该组织满足其顾客的所有要求C、组织可以把ISO/IEC20000-1:2018标准作为独立评估的依据D、组织可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准17、最高管理者应（）。A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审18、IT部门中的所有服务是否都要包含在认证范围以内？（）A、是的，整个范围的服务都要包含在认证范围之内B、只有当其都被提供给相同的客户群体时C、不，该范围可限制为服务的子集D、取决于该服务为内部提供还是外部提供19、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）A、下级管理员无权修改，不可删除B、下级管理员无权修改，可以删除C、下级管理员可以修改，可以删除D、下级管理员可以修改，不可删除20、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人21、阐明所取得结果或提供所完成活动的证据的文件是()A、报告B、演示C、记录D、协议22、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）A、所需审核组能力的要求B、客户组织的准备程度C、所需能力的审核组成员D、客户组织的场所分布23、组织的风险责任人不可以是（）A、组织的某个部门B、某个系统管理员C、风险转移到组织D、组织的某个虚拟小组负责人24、第三方认证审核时，对于审核提出的不符合项，审核组应：（）A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对25、文件化信息创建和更新时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准26、为信息系统用户注册时，以下正确的是:（）A、按用户的职能或业务角色设定访问权B、组共享用户ID按组任务的最大权限注册C、预设固定用户ID并留有冗余，以保障可用性D、避免频繁变更用户访问权27、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。A、4-10B、1-10C、4-7和9-10D、4-10和附录A28、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。A、搞抵赖性B、完整性C、机密性D、可用性29、对于信息安全方针，（）是ISO/IEC27001所要求的A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息，不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则，不可变更30、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对31、以下哪个选项不是ISMS第一阶段审核的目的（）A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求32、关于信息系统登录口令的管理，以下做法不正确的是：()A、必要时，使用密码技术、生物识等替代口令B、用提示信息告知用户输入的口令是否正确C、明确告知用户应遵从的优质口令策略D、使用互动式管理确保用户使用优质口令33、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼34、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标35、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略36、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认37、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏38、在形成信息安全管理体系审核发现时，应（）。A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性39、关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议和保密义务与责任。A、安全保密B、安全保护C、安全保障D、安全责任40、信息分级的目的是（）A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理二、多项选择题41、IS0/IEC27000系列标准主要包括哪几类标准？()A、要求类B、应用类C、指南类D、术语类42、某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）A、行车监控系统B、行车路线信息C、押运人员个人信息D、押运人员用枪支43、下列有关涉密信息系统说法正确的是（）A、涉密信息系统经单位保密工作机构测试后即可投入使用B、涉密信息系统投入运行前应当经过国家保密行政管理部门审批C、涉密计算机重装操作系统后可降为非涉密计算机使用D、未经单位信息管理部门批准不得自行重装操作系统44、信息安全管理体系审核应遵循的原则包括:（）A、诚实守信B、保密性C、基于风险D、基于事实的决策方法45、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是（）A、与N签署协议规定服务级别及安全要求B、在对N公司人员服务时，接入M公司的移动电脑事前进行安全扫描C、将多张核心机房门禁卡统一登记在N公司项目组组长名下，由其按需发给进入机房的N公司人员使用D、对N公司带入带出机房的电脑进行检查登记，硬盘和U盘不在此检查登记范围内46、组织建立的信息安全目标，应（）。A、是可测量的B、与信息安全方针一致C、得到沟通D、适当时更新47、设计一个信息安全风险管理工具，应包括如下模块（）。A、资产识别与分析B、漏洞识别与分析C、风险趋势分析D、信息安全事件管理流程48、问题管理的输入不包括（）A、变更请求B、问题解决方案C、事件记录D、新的已知错误49、ISO/IEC27001标准要求以下哪些过程要形成文件化的信息？（)A、信息安全方针B、信息安全风险处置过程C、沟通记录D、信息安全目标50、GB/T22080-2016/ISO/IEC27001:2013标准中A12,3,1条款要求（）A、设定备份策B、定期测试备份介质C、定期备份D、定期测试信息和软件51、关于审核方案，以下说法正确的是A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核C、中核方案即年度内部审梭计划D、审核方案是审核计划的输入52、依据《信息技术服务分类与代码》，运行维护服务包括对客户信息系统（）等提供的各种技术支持和管理服务。A、硬件B、软件C、数据D、基础环境53、依据GB/T22080，经管理层批准，定期评审的信息安全策略包括（）A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略54、以下说法不正确的是（）A、信息安全管理体系审核是信息系统审计的一种B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估55、以下属于访问控制的是（）。A、开发人员登录SVN系统，授予其与职责相匹配的访问权限B、防火墙基于IP过滤数据包C、核心交换机根据IP控制对不同VLAN间的访问D、病毒产品查杀病毒三、判断题56、容量管理策略可以考虑增加容量或降低容量要求。（）正确错误57、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）正确错误58、中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。正确错误59、容量管理策略可以考虑增加容量或降低容量要求（）正确错误60、审核方案应包括审核所需的资源，例如交通和食宿。（）正确错误61、J031组织对内部供应商应按服务级别管理过程进行管理。（）正确错误62、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。（）正确错误63、某组织租用第三方数据中心机房托管其IT系统设备，因此认证审核时不必审核计算机机房物理安全的相关内容()正确错误64、《中华人民共和国网络安全法》是2017年1月1日开始实施的（）正确错误65、客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核（)正确错误

参考答案一、单项选择题1、B解析:参考27000，控制目标指，描述实施控制的实施结果所要达到的目标的声明。故选B2、A解析:参考2700110,1当发生不符合时，组织应：对不符合做出反应，适用时：（1）采取措施，以控制并予以纠正（2）处理后果。故选A3、A4、A5、A6、C7、B8、D9、A10、C11、C12、B解析:局域网是指家庭或是办公室，或者其他环境中小型网络。而大型计算机环境是指类似服务器的大型网络。两者本地备份差别主要体现在容错能力上，故选B13、B14、B15、A16、B17、D18、C19、A20、C21、C22、C23、C24、B25、D26、A27、A28、C29、A解析:信息安全方针应：（1）形成文件化信息并可用；（2）在组织内得到沟通；（3）适当时，对相关方可用。故选A30、B31、D32、B33、B34、D35、D36、B解析:2700214,2,3运行平台变更