2023年第二期ISMS信息安全管理体系审核员模拟试题含解析

2023年第二期ISMS信息安全管理体系审核员模拟试题一、单项选择题1、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码2、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素3、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理4、关于备份，以下说法正确的是(）A、备份介质中的数据应定期进行恢复测试B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的C、发现备份介质退化后应考虑数据迁移D、备份信息不是管理体系运行记录，不须规定保存期5、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果6、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护 7、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务8、PKI的主要组成不包括(）A、SSLB、CRC、CAD、RA9、下列措施中，（）是风险管理的内容。A、识别风险B、风险优先级评价C、风险处置D、以上都是10、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。A、5B、6C、3D、411、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象12、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是()A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施B、一旦遭到破坏、数据泄雷，可能严重危害国家安全、国计民生的信息基础设施C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施D、—旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统13、在访问因特网时，为了防止Web网页中恶意代码对自己计算机的损害，可以采取的防范措施是(）A、利用SSL访问Web站点B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域C、在浏览器中安装数字证书D、利用IP安全协议访问Web站点14、经过风险处理后遗留的风险通常称为（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险15、IT服务管理中所指"服务目录"是：（）A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B、一个服务项目命名清单，不可随意更改C、一个定义服务内容的企业标准D、定义IT服务分类的行业或国家标准16、关于互联网信息服务，以下说法正确的是A、互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务，是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动17、信息安全管理体系的设计应考虑（）A、组织的战B、组织的目标和需求C、组织的业务过程性质D、以上全部18、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复19、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对20、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确21、下面哪一种属于网络上的被动攻击（）A、消息篡改B、伪装C、拒绝服务D、流量分析22、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对23、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是24、审核计划中不包括（）。A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排25、根据《互联网信息服务管理办法》，互联网接入服务提供者应当记录上网用户的(）A、用户帐号、上网时间、访问端口信息B、用户帐户、上网时间、访问内容C、用户帐号、访问IP地址、用户计算机型号D、上网时间、用户帐号、互联网地址26、依据《中华人民共和国网络安全法》，以下说法不正确的是（）A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护27、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件,有关使用单位应当在（）向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内28、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见29、当发现不符合项时，组织应对不符合做出反应，适用时（）。A、采取措施，以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生30、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力31、设备维护维修时，应考虑的安全措施包括：（）A、维护维修前，按规定程序处理或清除其中的信息B、维护维修后，检查是否有未授权的新增功能C、敏感部件进行物理销毁而不予送修D、以上全部32、风险责任人是指（）A、具有责任和权限管理一项风险的个人或实体B、实施风险评估的组织的法人C、实施风险评估的项目负责人或项目任务责任人D、信息及信息处理设施的使用者33、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。A、个人信息B、隐私C、商业秘密D、其他选项均正确34、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对35、IT部门中的所有服务是否都要包含在认证范围以内？（）A、是的，整个范围的服务都要包含在认证范围之内B、只有当其都被提供给相同的客户群体时C、不，该范围可限制为服务的子集D、取决于该服务为内部提供还是外部提供36、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准37、创建和更新文件化信息时，组织应确保适当的（）。A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准38、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性39、下列哪项对于审核报告的描述是错误的?（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后由审核组长起草形成C、正式的审核报告由组长将报告交给认证审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对40、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵二、多项选择题41、管理评审的输入应包括（）。A、相关方的反馈B、不符合和纠正措施C、信息安全目标完成情况D、业务连续性演练结果42、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度A、新闻、出版B、医疗、保健C、知识类D、教育类43、《中华人民共和国网络安全法》的宗旨是（）A、维护网络间主权B、维按国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益44、GB/T22080-2016/ISO/IEC27001:2013标准可用于（）A、指导组织建立信息安全管理体系B、为组织建立信息安全管理体系提供控制措施的实施指南C、审核员实施审核的依据D、以上都不对45、对于信息安全方针,（）是GB/T22080-2016标准要求的(分数:10.00分)A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审46、以下属于“信息处理设施”的是（）A、信息处理系统B、信息处理相关的服务C、与信息处理相关的设备D、安置信息处理设备的物理场所与设施47、以下做法正确的是（）A、使用生产系统数据测试时，应先将数据进行脱敏处理B、为强化新员工培训效果，应尽可能使用真实业务案例和数据C、员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D、信息系统管理域内所有的终端启动屏幕保护时间应一致48、操作系统的基本功能有(）A、存储管理B、文件管理C、设备管理D、处理器管理49、信息安全管理体系审核组的能力包括:（）A、信息安全事件处理方法和业务连续性的知识B、有关有形和无形资产及其影响分析的知识C、风险管理过程和方法的知识D、信息安全管理体系的控制措施及其实施的知识50、基础环境运维服务通常包括（）A、机房电力系统B、主机设备C、空调系统D、安防系统51、管理评审的输出应包括（）A、与持续改进机会相关的决定B、变更信息安全管理体系的任何需求C、相关方的反馈D、信息安全方针执行情况52、ISO/IEC27000,以下说法正确的是（）A、ISMS族包含阐述要求的标准B、ISMS族包含阐述通用概论的标准C、ISMS族包含特定行业概述的标准D、ISMS族包含阐述ISMS概述和词汇的标准53、关于目标，下列说法正确的是（）A、目标现的结果B、沟通记录C、目标可以采用不同方式进行表示，例如：操作准则D、目标可以是不同层次的，例如组织、项目和产品54、组织在风险处置过程中所选的控制措施需（）A、将所有风险都必须被降低到可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下有意识、客观地接受风险D、规避风险55、网络常见的拓扑形式有（）A、星型B、环型C、总线D、树型三、判断题56、测量是确定数值和性质的过程。（）正确错误57、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。（）正确错误58、拒绝服务器攻击包括消耗目标服务器的可用资源或消耗网络的有效带宽正确错误59、组织应适当保留信息安全目标文件化信息（）正确错误60、容量管理策略可以考虑增加容量或降低容量要求（）正确错误61、计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统（）正确错误62、IT系統日志信息保存所需的資源不属于容量管理的范围（）正确错误63、信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）正确错误64、风险源是指那些可能导致消极后果或积极后果的因素和危害的来源。（）正确错误65、RSA是一种对称加密算法。（）正确错误

参考答案一、单项选择题1、D2、A3、D4、A5、C6、A7、D8、B9、D10、A11、A12、A13、B14、D15、A16、C17、D18、C19、A20、D21、D解析:主动攻击会导致某些数据流的篡改和虚假数据流的产生，这类攻击分篡改，伪造消息数据和终端（拒绝服务）。被动攻击中攻击者不对数据信息做任何修改，截取/窃听是指为未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听，流量分析，破解弱加密的数据流等攻击方式。故选D22、A23、D24、A25、D26、C解析:网络安全法第七十六条，网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集，存储，传输，交换，处理的系统。网络安全，是指通过采取必要措施，防范对网络的攻击，侵入，干扰，破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性，保密性，可用性的能力。故选C27、C28、A29、A解析:参考2700110,1当发生不符合时，组织应：对不符合做出反应，适用时：（1）采取措施，以控制并予以纠正（2）处理后果。故选A30、C31、D32、A33、D解析:网络安全法第45条，依法负有网络安全监督管理