2022年第一期ISMS信息安全管理体系审核员考试题目含解析

2022年第一期ISMS信息安全管理体系审核员考试题目一、单项选择题1、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果2、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改3、风险处置是（）A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程4、关于信息安全连续性，以下说法正确的是：A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定5、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作6、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B7、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）A、不考虑资产的价值，基本水平的保护都会被实施B、对所有信息资产保护都投入相同的资源C、对信息资产实施适当水平的保护D、信息资产过度的保护8、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局9、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、610、最高管理者应（）。A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审11、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部12、根据《互联网信息服务管理办法》，互联网接入服务提供者应当记录上网用户的(）A、用户帐号、上网时间、访问端口信息B、用户帐户、上网时间、访问内容C、用户帐号、访问IP地址、用户计算机型号D、上网时间、用户帐号、互联网地址13、关于信息系统登录的管理，以下说法不正确的是（）A、网络安全等级保护中，三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率，可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令14、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改15、下列不属于常用云服务类型的是（)A、软件即服务B、邮件即服务C、平台即服务D、基础设施即服务16、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行17、某公司进行风险评估后发现公司的无线网络存在大的安全隐患、为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）A、风险接受B、风险规避C、风险转移D、风险减缓18、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4019、组织应（）。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级20、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确21、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对22、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对23、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育24、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录25、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性26、在访问因特网时，为了防止Web网页中恶意代码对自己计算机的损害，可以采取的防范措施是(）A、利用SSL访问Web站点B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域C、在浏览器中安装数字证书D、利用IP安全协议访问Web站点27、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对28、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通29、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序A、内存B、软盘C、存储介质D、网络30、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏31、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务32、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息A、相关方B、供应商C、顾客D、上级机关33、以下哪个选项不是ISMS第一阶段审核的目的（）A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求34、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏35、创建和更新文件化信息时，组织应确保适当的（）。A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准36、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素37、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。A、搞抵赖性B、完整性C、机密性D、可用性38、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人39、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力40、主动式射频识别卡(RFID)存在哪一种弱点?（）A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR二、多项选择题41、风险描述的要素包括（)A、风险源B、原因C、后果D、事件42、基础环境运维服务通常包括（）A、机房电力系统B、主机设备C、空调系统D、安防系统43、关于审核委托方，以下说法正确的是：（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核44、风险处置包括（)A、风险降低B、风险计划C、风险控制D、风险转移45、根据《中华人民共和国密码法》，密码工作坚持总体国家安全观,遵循统一领导，(）依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责46、关于信息安全风险自评估，下列选项正确的是（）A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估47、关于云计算服务中的的安全，以下说法不正确的是（）。A、服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力，服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则48、常规控制图主要用于区分（）A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格品率D、过程中存在偶然波动还是异常波动49、《中华人民共和国网络安全法》的宗旨是（）A、维护网络间主权B、维按国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益50、下列哪些是SSL支持的内容类型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data51、《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活动，提高产品、服务的（），促进经济和社会的发展。A、质量B、数量C、管理水平D、竞争力52、以下属于信息安全管理体系审核证据的是（）A、信息系统的阈值列表B、信息系统运行监控中心显示的实时资源占用数据C、数据恢复测试的日志D、信息系统漏洞测试分析报告53、关于个人信息安全的基本原则，以下正确的是（）A、目的明确原则B、最少够用原则C、同意和选择原则D、公开透明原则54、ISO/IEC27000,以下说法正确的是（）A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准55、某组织在酒店组织召开内容敏感的会议，根据GB/T22080-2016/ISO/IEC27001:2013标准，以下说法正确的是（）A、会议开始前及持续期间开启干扰机，这符合A11,2的要求B、进入会议室人员被要求手机不得带入，这符合A11,1的要求C、对于可进入会议室提供茶水服务的酒店服务生进行筛选，这符合A11,1的要求D、要求参会人员在散会时将纸质会议资料留下由服务生统一回收，这符合A8,3的要求三、判断题56、J020相关方可以是组织内部也可以是组织外部的。(）正确错误57、敏感信息通过网络传输时必须加密处理。（)正确错误58、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。（）正确错误59、客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核（)正确错误60、拒绝服务器攻击包括消耗目标服务器的可用资源或消耗网络的有效带宽正确错误61、敏感标记表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感标记作为强制访问控制决策的依据（）。正确错误62、流量监控能够有效实现对敏感数据的过滤（)正确错误63、组织使用云盘设施服务时，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1条款可以删减。（）正确错误64、IT系統日志信息保存所需的資源不属于容量管理的范围（）正确错误65、审核方案应包括审核所需的资源，例如交通和食宿。（）正确错误

参考答案一、单项选择题1、D2、D3、D解析:风险处置，是指选择并且执行措施来更改风险的过程。故选D4、B5、A6、D7、C8、B9、C10、D11、D12、D13、C解析:应确保秘密鉴别信息的保密性，确保鉴别信息得到适当的保护，C选项为提高效率而保存鉴别信息的直接登录方式，不能确保鉴别信息得到保护，故选C14、D15、B16、A17、B18、A19、C解析:参考ISO/IEC27001：2013附录A8,2信息分级，信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级20、D21、B22、A23、A24、B25、C26、B27、A28、A29、C30、C31、D32、A33、D34、B35、D36、B37、C38、C39、B40、B二、多项选择题41、C,D42、A,C,D43、B,C,D44、A,D45、A,C,D46、A,B,C解析:gb/t20984-20077,2自评估是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估，A正确。周期性进行的自评估可以在评估流程上适当简化，重点针对自上次评估后系统发生变化后引入的新威胁，以及系统脆弱性的完整性识别，以便于两次评估结果对比，B正确。自评估可由发起方实施或委托风险评估服务技术支持方实施，C正确。D错误，主体