版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2023年3月ISMS审核员复习题—信息安全管理体系一、单项选择题1、根据GB/T22080-2016标准,审核中下列哪些章节不能删减()。A、4-10B、1-10C、4-7和9-10D、4-10和附录A2、《信息技术安全技术信息安全治理》对应的国际标准号为()A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270143、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷4、关于信息安全产品的使用,以下说法正确的是:()A、对于所有的信息系統,信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統,己列入信息安全产品认征目录的,应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統,信息安全声品研制单位须声明没有故意留有或设置漏洞5、IT部门中的所有服务是否都要包含在认证范围以内?()A、是的,整个范围的服务都要包含在认证范围之内B、只有当其都被提供给相同的客户群体时C、不,该范围可限制为服务的子集D、取决于该服务为内部提供还是外部提供6、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()A、认证B、认可C、审核D、评审7、风险偏好是组织寻求或保留风险的()A、行动B、计划C、意愿D、批复8、审核抽样时,可以不考虑的因素是()A、场所差异B、管理评审的结果C、最高管理者D、内审的结果9、文件化信息创建和更新时,组织应确保适当的()A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准10、GB/T22080标准中所指资产的价值取决于()A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部11、信息安全管理体系的设计应考虑()A、组织的战B、组织的目标和需求C、组织的业务过程性质D、以上全部12、防止计算机中信息被窃取的手段不包括()A、用户识别B、权限控制C、数据加密D、数据备份13、不属于计算机病毒防治的策略的是()A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘14、根据《互联网信息服务管理办法》,互联网接入服务提供者应当记录上网用户的()A、用户帐号、上网时间、访问端口信息B、用户帐户、上网时间、访问内容C、用户帐号、访问IP地址、用户计算机型号D、上网时间、用户帐号、互联网地址15、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录16、在形成信息安全管理体系审核发现时,应()。A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性17、不属于常见的危险密码是()A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10位的综合型密码18、关于防范恶意软件,以下说法正确的是:()A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件19、关于信息安全管理中的“脆弱性”,以下正确的是:()A、脆弱性是威胁的一种,可以导致信息安全风险B、网络中“钓鱼”软件的存在,是网络的脆弱性C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性D、以上全部20、依据GB/T220802016/SO/EC.27001:2013标准,组织应()。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力21、已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A、问题B、事件C、错误D、事态22、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析23、ISO/IEC20000-1:2018标准是依据管理体系高层结构,即()对标准的结构进行调整的A、ISO/IEC导则的一部分综合ISO补充附录B、ISO/IEC导则的一部分综合ISO补充结构层C、ISO/IEC导则的一部分综合ISO补充体质D、ISO/IEC导则的一部分综合ISO补充模型24、文件初审是评价受审方ISMS文件的描述与审核准则的()A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对25、当获得的审核证据表明不能达到审核目的时,审核组长可以()A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以26、从计算机安全的角度看,下面哪一种情况是社交工程的一个直接例子?()A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏27、信息安全的机密性是指()A、保证信息不被其他人使用B、信息不被未授权的个人、实体或过程利用或知悉的特性C、根据授权实体的要求可访问的特性D、保护信息准确和完整的特性 28、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的?()A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录29、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的()。A、说明B、声明C、想法D、描述30、经过风险处理后遗留的风险是()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险31、以下说法不正确的是()A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新32、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保33、关于信息安全管理中的“脆弱性”,以下正确的是:()A、脆弱性是威胁的一种,可以导致信息安全风险B、网络中“钓鱼”软件的存在,是网络的脆弱性C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性D、以上全部34、下列措施中,()是风险管理的内容。A、识别风险B、风险优先级评价C、风险处置D、以上都是35、信息安全管理体系中提到的“资产责任人”是指:()A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人36、保密协议或不泄露协议至少应包括:()A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定37、《中华人民共和国网络安全法》中的"三同步"要求,以下说法正确的是()A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用38、制定信息安全管理体系方针,应予以考虑的输入是()A、业务战略B、法律法规要求C、合同要求D、以上全部39、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意C、顾客认为其要求己得到满足,即意味着顾客满意D、组织认为顾客要求己得到满足,即意味着顾客满意40、关于GB/T28450,以下说法正确的是()。A、增加了ISMS的审核指导B、与ISO19011一致C、与ISO/IEC27000一致D、等同采用了ISO19011二、多项选择题41、根据《中华人民共和国密码法》,密码工作坚持总体国家安全观,遵循统一领导,()依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责42、网络常见的拓扑形式有()A、星型B、环型C、总线D、树型43、以下()活动是ISMS建立阶段应完成的内容A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训44、对风险安全等级三级及以上系统,以下说法正确的是()。A、采用双重身份鉴别机制B、对用户和数据采用安全标记C、系统管理员可任意访问日志记录D、三年开展一次网络安全等级测评工作45、信息安全管理体系范围和边界的确定依据包括()A、业务B、组织C、物理D、资产和技术46、常规控制图主要用于区分()A、过程处于稳态还是非稳态B、过程能力的大小C、过程加工的不合格率D、过程中存在偶然波动还是异常波动47、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类48、为确保员工和合同方理解其职责、并适合其角色,在员工任用之前,必须()A、对其进行试用B、对员工的背景进行适当的验证检查C、在任用条款与合同中指导安全职责D、面试49、以下()活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施50、信息安全管理中,以下属于“按需知悉(need-to-know)”原则的是()A、根据工作需要仅获得最小的知悉权限B、工作人员仅需要满足工作任务所需要的信息C、工作人员在满足工作任务所需要的信息,仅在必要时才可扩大范围。D、工作范围是可访问的信息51、IS0/IEC27000系列标准主要包括哪几类标准?()A、要求类B、应用类C、指南类D、术语类52、计算机信息系统的安全保护,应保障()A、计算机及相关配套设施的安全B、网络安全C、运行环境安全D、计算机功能和正常发挥53、关于审核委托方,以下说法正确的是:()A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核54、ISO/IEC27001标准要求以下哪些过程要形成文件化的信息?()A、信息安全方针B、信息安全风险处置过程C、沟通记录D、信息安全目标55、组织在风险处置过程中所选的控制措施需()A、将所有风险都必须被降低到可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下有意识、客观地接受风险D、规避风险三、判断题56、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()正确错误57、拒绝服务器攻击包括消耗目标服务器的可用资源或消耗网络的有效带宽正确错误58、利用生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别。正确错误59、组织应适当保留信息安全目标文件化信息。()正确错误60、从审核开始到结束,审核组长应对审核实施负责正确错误61、《中华人民共和国网络安全法》是2017年1月1日开始实施的()正确错误62、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。正确错误63、破坏、摧毁、控制网络基础设施是网络攻击行为之一。正确错误64、记录可提供符合信息安全管理体系要求和有效运行的证据。()正确错误65、“资产清单”包含与信息生命周期有关的资产,与信息的创建、处理、存储、传输、删除和销毁无关联的资产不在“资产清单”的范围内。()正确错误
参考答案一、单项选择题1、A2、D3、B4、B5、C6、B7、C8、C9、D10、B11、D12、D13、D14、D15、D16、B17、D18、D19、C20、C21、A22、C解析:信息分级的目的确保信息按照其对组织的重要程度受到适当水平的保护。对比四个选项,c项更能突出对组织的重要程度,故选C23、A24、A25、B26、B27、B28、D29、B解析:参考27000,控制目标指,描述实施控制的实施结果所要达到的目标的声明。故选B30、
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 劳务公司管理制度模版(4篇)
- 2024学年山西思而行高三语文(上)期中考试卷及答案解析
- 粉刷合同合同范例
- 煤炭公司挂靠合同范例
- 二零二四年度人力资源服务合同的服务内容详述和绩效评估
- 儿科护理技能竞赛理论考试题库大全-上(单选题)含答案
- 工地小车出售合同范例
- 2024质押合同范例范文
- 2024弱电施工合同范本
- 2024北京市乡村民俗旅游合同北京的乡村
- 《血吸虫病防治知识》课件
- 境外安全管理培训(海外)课件
- 《应对同伴压力》课件
- 小学生自主学习能力培养及教师指导策略
- 振动试验及振动试验设备培训
- 气切换药课件
- 高二数学双曲线试题(有答案)
- Unit7 Section A B 知识点以及练习题 2022-2023学年人教版英语九年级全册
- 动物遗传学课件
- 公共卫生与预防医学类专业大学生职业生涯规划书
- 特种设备专项应急预案叉车
评论
0/150
提交评论