2022年第一期信息安全管理体系审核员(ISMS)考试题目含解析_第1页
2022年第一期信息安全管理体系审核员(ISMS)考试题目含解析_第2页
2022年第一期信息安全管理体系审核员(ISMS)考试题目含解析_第3页
2022年第一期信息安全管理体系审核员(ISMS)考试题目含解析_第4页
2022年第一期信息安全管理体系审核员(ISMS)考试题目含解析_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2022年第一期信息安全管理体系审核员(ISMS)考试题目一、单项选择题1、《信息技术安全技术信息安全治理》对应的国际标准号为()A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270142、依据GB/T22080/IS0/IEC27001,关于网络服务的访问控制策略,以下正确的是()A、没有陈述为禁止访问的网络服务,视为允许访问的网络服务B、对于允许访问的网络服务,默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务,按照规定的授权机制进行授权D、以上都对3、主动式射频识别卡(RFID)存在哪一种弱点?()A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR4、以下关于认证机构的监督要求表述错误的是()A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督5、在实施技术符合性评审时,以下说法正确的是()A、技术符合性评审即渗透测试B、技术符合性评审即漏洞扫描与渗透测试的结合C、渗透测试和漏洞扫描可以替代风险评估D、渗透测试和漏洞扫描不可替代风险评估6、风险评估过程一般应包括()A、风险识别B、风险分析C、风险评价D、以上全部7、关于信息安全连续性,以下说法正确的是()A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定8、关于信息安全策略,下列说法正确的是()A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审9、审核证据是指()A、与审核准则有关的,能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对10、关于投诉处理过程的设计,以下说法正确的是:()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用11、对于较大范围的网络,网络隔离是:()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对12、组织应()。A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级13、下列说法错误的是()A、ISO/IEC20000-1:2018标准鼓励组织采用整合的过程方法B、组织满足ISO/IEC20000-1:2018标准要求,意味着该组织满足其顾客的所有要求C、组织可以把ISO/IEC20000-1:2018标准作为独立评估的依据D、组织可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准14、组织应按照本标准的要求()信息安全管理体系。A、策划、实现、监视、和持续改进B、建立、实施、监视、和持续改进C、建立、实现、维护、和持续改进D、策划、实施、维护、和持续改进15、()是风险管理的重要一环。A、管理手册B、适用性声明C、风险处置计划D、风险管理程序16、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认17、ISO/IEC27001所采用的过程方法是()A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法18、与某个特定配置项相关的项目信息被存储到配置管理数据库,这种项目称为:A、组件B、特色C、属性D、特性19、组织应在相关()上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次20、组织的风险责任人不可以是()A、组织的某个部门B、某个系统管理员C、风险转移到组织D、组织的某个虚拟小组负责人21、风险处置是()A、识别并执行措施来更改风险的过程B、确定并执行措施来更改风险的过程C、分析并执行措施来更改风险的过程D、选择并执行措施来更改风险的过程22、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷23、关于防范恶意软件,以下说法正确的是:()A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件24、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年25、实施管理评审的目的是为确保信息安全管理体系的()A、充分性B、适宜性C、有效性D、以上都是26、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对27、《中华人民共和国密码法》规定了国家秘密的范围和密级,国家秘密的密级分为()。A、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别D、—密、二密、三密、四密四个级别28、形成ISMS审核发现时,不需要考虑的是()A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性29、描述组织采取适当的控制措施的文档是()A、管理手册B、适用性声明C、风险处置计划D、风险评估程序30、关于备份,以下说法正确的是()A、备份介质中的数据应定期进行恢复测试B、如果组织删减了“信息安全连续性”要求,同机备份或备份本地存放是可接受的C、发现备份介质退化后应考虑数据迁移D、备份信息不是管理体系运行记录,不须规定保存期31、关于系统运行日志,以下说法正确的是:()A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志32、访问控制是指确定()以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵33、设置防火墙策略是为了()A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制34、ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。A、有效策划与保持持续改进B、有效实施与运行持续改进C、有效实施与保持持续改进D、有效策划与运行持续改进35、依据GB/T22080,关于职责分离,以下说法正确的是()A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离36、关于《中华人民共和国网络安全法》中的“三同步”要求,以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对37、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()。A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响38、服务连续性管理中,恢复时间目标指()A、IT服务复原到正常工作状态的时间B、IT服务复原到约定的最低可用性水平的时间C、关键服务恢复到约定的最低可用性水平的时间D、基础设施服务恢复到约定的可用性的时间39、信息安全管理中,以下哪一种描述能说明“完整性”()。A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况40、风险评价是指()A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对二、多项选择题41、信息安全管理体系范围和边界的确定依据包括()A、业务B、组织C、物理D、资产和技术42、以下说法不正确的是()A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷,并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了43、关于信息安全风险自评估,下列选项正确的是()A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B、周期性的自评估可以在评估流程上适当简化C、可由发起方实施或委托风险评估服务技术支持方实施D、由信息系统上级管理部门组织的风险评估44、关于云计算服务中的的安全,以下说法不正确的是()。A、服务提供方提供身份鉴别能力,云服务客户自己定义并实施身份鉴别准则B、服务提供方提供身份鉴别能力,并定义和实施身份鉴别准则C、云服务客户提供身份鉴别能力,服务提供方定义和实施身份鉴别准则D、云服务客户提供身份鉴别能力,并定义和实施身份鉴别准则45、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类46、访问控制包括()A、网络和网络服务的访问控制B、逻辑访问控制C、用户访问控制D、物理访问控制47、管理评审的输入应包括()。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果48、按覆盖的地理范围进行分类,计算机网络可以分为()A、局域网B、城域网C、广域网D、区域网49、信息安全管理中,以下属于“按需知悉(need-to-know)”原则的是()A、根据工作需要仅获得最小的知悉权限B、工作人员仅需要满足工作任务所需要的信息C、工作人员在满足工作任务所需要的信息,仅在必要时才可扩大范围。D、工作范围是可访问的信息50、下面哪一条措施可以防止数据泄漏()A、数据冗余B、数据加密C、访问控制D、密码系统51、以下说法正确的是()A、顾客不投诉表示顾客满意了B、监视和测量顾客满意的方法之一是发调查问卷,并对结果进行分析和评价C、顾客满意测评只能通过第三方机构来实施D、顾客不投诉并不意味着顾客满意了52、在开展信息安全绩效和ISMS有效性评价时,组织应确定()A、监视、测量、分析和评价的过程B、适用的监视、测量、分析和评价的方法C、需要被监视和测量的内容D、监视、测量、分析和评价的执行人员53、以下属于“信息处理设施”的是()A、信息处理系统B、信息处理相关的服务C、与信息处理相关的设备D、安置信息处理设备的物理场所与设施54、计算机信息系统的安全保护,应保障()A、计算机及相关配套设施的安全B、网络安全C、运行环境安全D、计算机功能和正常发挥55、风险评估过程一般应包括()A、风险识别B、风险分析C、风险评价D、风险处理三、判断题56、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。()正确错误57、IT系統日志信息保存所需的資源不属于容量管理的范围()正确错误58、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级,这符合GB/T22080-2016标准A9.1.1条款的要求。()正确错误59、某组织在生产系统上安装升级包前制定了回退计划,这符合GB/T22080-2016/ISO/IEC27001:2013标准A12,5,1条款的要求()正确错误60、访问控制列表指由主体以及主体对客体的访问权限所组成列表。正确错误61、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。正确错误62、《中华人民共和国网络安全法》是2017年1月1日开始实施的()正确错误63、J020相关方可以是组织内部也可以是组织外部的。()正确错误64、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者。()正确错误65、从审核开始到结束,审核组长应对审核实施负责正确错误

参考答案一、单项选择题1、D2、C3、B4、B5、D6、D7、B8、D9、A10、A11、B12、C解析:参考ISO/IEC27001:2013附录A8,2信息分级,信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级13、B14、C15、C解析:参考iso/iec27005,风险管理包括风险评估,风险处置,风险接受,风险沟通,风险监视和风险评审。因此风险处置计划是风险管理的重要一环,故选C16、B17、C18、C19、D20、C21、D解析:风险处置,是指选择并且执行措施来更改风险的过程。故选D22、B23、D24、D25、D26、C27、C解析:《中华人民共和国保守国家秘密法》第十条,国家秘密的密级分为绝密,机密,秘密三级28、C29、B30、A31、B32、A解析:访问控制,确保对资产的访问是基于业务和安全要求进行授权和限制的手段。A表述更为全面,B,C选项过于细化,故选A33、A34、B35、B36、A37、B解析:27005信息安全风险管理8,2,,1风险识别,包括资产识别,威胁识别,现有控制措施识别,脆弱性识别,后果

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论