2023年第二期信息安全管理体系审核员(ISMS)模拟试题含解析

2023年第二期信息安全管理体系审核员(ISMS)模拟试题一、单项选择题1、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是2、《信息技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素3、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部4、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的（）。A、说明B、声明C、想法D、描述5、已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A、问题B、事件C、错误D、事态6、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认7、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域8、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认9、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部10、被黑客控制的计算机常被称为(）A、蠕虫B、肉鸡C、灰鸽子D、木马11、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标12、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A、确定B、制定C、落实D、确保13、《计算机信息系统安全保护条例》中所称计算机信息系统，是指A、对信息进行采集、加工、存储、传输、检索等处理的人机系统B、计算机及其相关的设备、设施，不包括软件C、计算机运算环境的总和，但不含网络D、一个组织所有计算机的总和，包括未联网的微型计算机14、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定15、创建和更新文件化信息时，组织应确保适当的（）。A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准16、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙17、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力18、计算机病毒系指_____。A、生物病毒感染B、细菌感染C、被损坏的程序D、特制的具有损坏性的小程序19、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵20、造成计算机系统不安全的因素包括（）。A、系统不及时打补丁B、使用弱口令C、连接不加密的无线网络D、以上都对21、文件化信息创建和更新时，组织应确保适当的（)A、对适宜性和有效性的评审和批港B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充业性的评审和批准22、在发布一个软件升级，修复某个已知错误后，哪个流程能确保配置信息被正确更新（）A、变更管理B、服务级别管理C、配置管理D、发布和部署管理23、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对24、《信息技术服务分类与代码》中的分类分为()级A、2B、3C、4D、525、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督26、依据GB/T22080/ISO/IEC27001的要求，管理者应（）A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、其他选项均不正确27、最高管理者应确保服务管理体系要求整合到组织（）中，证实对服务管理体系的领导承诺。A、活动B、资源C、过程D、目标28、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性29、服务连续性管理中,恢复时间目标指（）A、IT服务复原到正常工作状态的时间B、IT服务复原到约定的最低可用性水平的时间C、关键服务恢复到约定的最低可用性水平的时间D、基础设施服务恢复到约定的可用性的时间30、不属于公司信息资产的是（）A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对31、最高管理者应（）。A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审32、对于较大范围的网络，网络隔离是：（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对33、下面哪个不是《中华人民共和国密码法》中密码的分类？（）A、核心密码B、普通密码C、国家密码D、商用密码34、依据GB/T22080-2016标准，符合性要求包括（）A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对35、信息系统的变更管理包括（）A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部36、以下哪个选项不是ISMS第一阶段审核的目的（）A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求37、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以38、依据GB/T22080-2016/IS0/IEC27001:2013，以下关于资产清单正确的是（）。A、做好资产分类是其基础B、采用组织固定资产台账即可C、无需关注资产产权归属者D、A+B39、下面哪一种属于网络上的被动攻击（）A、消息篡改B、伪装C、拒绝服务D、流量分析40、根据《互联网信息服务管理办法》，互联网接入服务提供者应当记录上网用户的(）A、用户帐号、上网时间、访问端口信息B、用户帐户、上网时间、访问内容C、用户帐号、访问IP地址、用户计算机型号D、上网时间、用户帐号、互联网地址二、多项选择题41、管理评审的输出包括（）A、管理评审报告B、持续改进机会相关决定C、管理评审会议纪要D、变更信息的安全管理体系任何需求42、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块，为方便各项目组讨论，公司创建了一个sharefolder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是（）A、各项目人员访问该sharefolder需要得到授权B、获得sharefolder访问权者可访问该目录下所有子文件夹C、IT人员与各项目负责人共同定期评审sharefolder访问权D、H人员不定期删除sharefolder数据以释放容量，此活动是容量管理，游戏开发人员不参与43、针对敏感应用系统安全，以下正确的做法是（）。A、用户尝试登录失败时，明确提示其用户名错误或口令错误B、登录之后，不活动超过规定时间强制使其退出登录C、对于修改系统核心业务运行数据的操作限定操作时间D、对于数据库系统审计人员开放不限时权限44、对于信息安全方针,（）是GB/T22080-2016标准要求的A、信息安全方针应形成文件B、信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针应定期实施评审45、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A、省B、自治区C、直辖市D、特别行政区46、信息安全管理中，以下属于“按需知悉（need-to-know)”原则的是（）A、根据工作需要仅获得最小的知悉权限B、工作人员仅需要满足工作任务所需要的信息C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围。D、工作范围是可访问的信息47、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后48、《中华人民共和国网络安全法》适用于在中华人民共和国境内（）网络，以及网络安全的监督管理。A、建设B、运营C、维护D、使用49、以下（）活动是ISMS监视预评审阶段需完成的内容A、实施培训和意识教育计划B、实施ISMS内部审核C、实施ISMS管理评审D、采取纠正措施50、关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）A、网络关键设备B、网络安全专用产品C、销售前D、投入运行后51、组织在风险处置过程中所选的控制措施需（）A、将所有风险都必须被降低到可接受的级别B、可以将风险转移C、在满足公司策略和方针条件下有意识、客观地接受风险D、规避风险52、下列属于“开发安全”活动的是（）。A、应规范用户修改软件包，必须的修改应严格管制B、应用系统若有变更，应进行适当审核与测试C、软件应尽量采用自行开发避免外包或采购D、软件的采购应注意其是否内藏隐密通道及特洛伊木马程序53、以下场景中符合GB/T22080-20161SO1EC27001:2013标准要求的情况是（）A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，以方便其上班前或下班后打扫这些房间B、某公司将其物理区域敏感性划为四个等级,分别标上红橙黄蓝标志C、某公司为少数核心项目人员发放了手机，允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP，但不允许将手机带离指定区域D、某公司门禁系统的时钟比公司视频监控系统的时钟慢约10分钟54、关于审核委托方，以下说法正确的是（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核55、关于个人信息安全的基本原则，以下正确的是（）A、目的明确原则B、最少够用原则C、同意和选择原则D、公开透明原则三、判断题56、测量是确定数值和性质的过程。（）正确错误57、组织业务运行使用云基础设施服务,同时員工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以刪減。（）正确错误58、组织的业务连续性策略即其信息安全连续性策略。正确错误59、敏感信息通过网络传输时必须加密处理。（)正确错误60、某组织租用第三方数据中心机房托管其IT系统设备，因此认证审核时不必审核计算机机房物理安全的相关内容()正确错误61、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）正确错误62、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。（）正确错误63、某组织定期请第三方对其IT系统进行漏洞扫描，因此不再进行其他形式的信息安全风险评估，这在认证审核时是可接受的（）正确错误64、组织应适当保留信息安全目标文件化信息。（）正确错误65、实习审核员可以独立完成审核任务。（）正确错误

参考答案一、单项选择题1、D2、B3、D4、B解析:参考27000，控制目标指，描述实施控制的实施结果所要达到的目标的声明。故选B5、A6、B7、A8、B解析:2700214,2,3运行平台变更后对应用的技术评审，当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。故选B9、D10、B11、D12、A13、A14、D15、D16、D解析:以上都是建立有效的计算机病毒防御体系所需要的技术措施，但D选项与病毒防御更相关，故选D17、B18、D19、A解析:访问控制，确保对资产的访问是基于业务和安全要求进行授权和限制的手段。A表述更为全面，B,C选项过于细化，故选A20、D21、D22、C23、A24、B25、B26、D解析:信息安全目标及其实现规划，组织应在相关职能和层级上建立信息安全目标，A项错误。B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性，和有效性。而管理评审的实施执行者是组织，因此B表述不准确。C项，27001,5.1.2组织应建立并维护信息安全风险准则，包括风险接受准则和信息安全风险评估实施准则。而非最高管理者，因此C错误，综上故选D27、A28、A29、C30、C31、D32、B33、C34、D35、D36、D37、B38、A39、D解析:主动攻击会导致某些数据流的篡改和虚假数据流的产生，这类攻击分篡改，伪造消息数据和终端（拒绝服务）。被动攻击中攻击者不对数据信息做任何修改，截取/窃听是指为未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听，流量分析，破解弱加密的数据流等攻击方式。故选D40、D二、多项选择题41、B,D42、A,C43、B,C44、A,D45、A,B,C46、A,B47、A,B,C48、A,B,C,D解析:参考本法第二条，在中华人民共