2023年第一期信息安全管理体系审核员(ISMS)模拟试题含解析

2023年第一期信息安全管理体系审核员(ISMS)模拟试题一、单项选择题1、关于投诉处理过程的设计，以下说法正确的是：（）A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用2、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用3、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力4、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》5、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审6、（）是问题管理流程中最后的环节A、将任何与变更请求下相关的传递给问题管理B、关闭C、问题回顾D、问题记录7、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵8、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、69、安全区域通常的防护措施有（）A、公司前台的电脑显示器背对来访者B、进出公司的访客须在门卫处进行登记C、重点机房安装有门禁系统D、以上全部10、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯11、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对12、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制13、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700514、根据GB/Z20986《信息安全技术信息安全事件分类分级指南》，对于违法行为的通报批评处罚，属于行政处罚中的（）A、资格罚B、人身自由罚C、财产罚D、声誉罚15、依据ISO/IEC20000-1:2018,服务目录应()A、描述服务及其结果B、由顾客制定C、是合同的一部分D、是统一所有服务描述的汇总16、当发生不符合时，组织应（）。A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果17、关于《中华人民共和国保密法》，以下说法正确的是：（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护18、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份19、关于访问控制，以下说法正确的是（）A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件20、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷21、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对22、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确23、对全国密码工作实行统一领导的机构是(）A、中央密码工作领导机构B、国家密码管理部门C、中央国家机关D、全国人大委员会24、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用25、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次26、关于认证人员执业要求，以下说法正确的是:A、注册审核员只能在一个认证机构和一个咨询机构执业B、注册审核员和认证决定人员只能在一个认证机构C、注册审核员只能在一个认证机构执业，非注册的认证决定人员不受此限制D、在咨询机构认专职咨询师的人员，只能在认证机构人兼职认证决定人员27、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗28、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认29、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A、2年B、3年C、4年D、5年30、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域31、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确32、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程33、第三方认证审核时，对于审核提出的不符合项，审核组应：（）A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对34、ISO/IEC20000-1的最新版是()版A、2018B、2005C、2020D、201135、PKI的主要组成不包括(）A、SSLB、CRC、CAD、RA36、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定37、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性38、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B39、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。A、主要结构B、容错能力C、网络拓扑D、局域网协议40、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）协议,明确安全和保密义务与责任A、安全保密B、安全保护C、安全保障D、安全责任二、多项选择题41、关于审核委托方，以下说法正确的是（）A、认证审核的委托方即受审核方B、受审核方是第一方审核的委托方C、受审核方的行政上级作为委托方时是第二方审核D、组织对其外包服务提供方的审核是第二方审核42、ISO/IEC27001标准要求以下哪些过程要形成文件化的信息？（)A、信息安全方针B、信息安全风险处置过程C、沟通记录D、信息安全目标43、网络常见的拓扑形式有（)A、星型B、环型C、总线型D、树型44、以下属于信息安全事态或事件的是:（）A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知45、按覆盖的地理范围进行分类，计算机网络可以分为（）A、局域网B、城域网C、广域网D、区域网46、在未得到授权的前提下，以下属于信息安全“攻击”的是:（）A、盗取、暴露、交更资产的行为B、破坏或使资产失去预期功能的行为C、访问,使用资产行为D、监视和获取资产使用状态信息的行为47、信息安全管理体系审核应遵循的原则包括:（）A、诚实守信B、保密性C、基于风险D、基于事实的决策方法48、基础环境运维服务通常包括（）A、机房电力系统B、主机设备C、空调系统D、安防系统49、根据《中华人民共和国保守国家秘密法》，下列属于国家秘密的是（）。A、国家事务重大决策中的秘密事项B、国民经济和社会发展中的秘密事项C、科学技术中的秘密事项D、国防建设和武装力量活动中的秘密事项50、防范端口扫描、漏洞扫描和网络监听的措施为(）A、安装防火墙B、定期更新系统或打补丁C、对网络上传输的信息进行加密D、关闭一些不常用的端口51、信息安全绩效的反馈，包括以下哪些方面的趋势（）A、不符合和纠正措施B、监视测量的结果C、审核结果D、信息安全方针完成情况52、风险评估过程中威胁的分类一般应包括（）A、软硬件故障、物理环境影响B、无作为或操作失误、管理不到位、越权或滥用C、网络攻击、物理攻击D、泄密、篡改、抵赖53、《中华人民共和国网络安全法》是为了保障网络安全,（）A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益54、GB/T28450审核方案管理的内容包括（）A、信息安全风险管理要求B、ISMS的复杂度C、是否存在相似场所D、ISMS的规模55、关于审核方案，以下说法正确的是A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核C、中核方案即年度内部审梭计划D、审核方案是审核计划的输入三、判断题56、组织的内外部相关方要求属于组织的内部和外部事项”（）正确错误57、组织应持续改进信息安全管理体系的适宜性、充分性和有效性。（）正确错误58、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽。（）正确错误59、组织确定的为规划和运行服务管理体系所必需的外来的文档化信息,应得到适当的识别，并予以控制。（）正确错误60、容量管理策略可以考虑增加容量或降低容量要求。（）正确错误61、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。（）正确错误62、组织使用云盘设施服务时，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1条款可以删减。（）正确错误63、组织应适当保留信息安全目标文件化信息。（）正确错误64、风险处置计划和信息安全残余风险应获得最高管理者的接受和批准。正确错误65、纠正是指为消除已发现的不符合或其他不的原因所采取的措施。（）正确错误

参考答案一、单项选择题1、A解析:质量管理顾客满意组织处理投诉指南1范围，投诉处理过程为投诉者提供一个开放，有效，方便的投诉程序，故选A2、A3、B4、D5、D6、B7、A解析:访问控制，确保对资产的访问是基于业务和安全要求进行授权和限制的手段。A表述更为全面，B,C选项过于细化，故选A8、C9、D10、A11、A12、B13、B14、D15、A16、D17、A18、A19、C20、B21、B22、D23、A24、A25、D26、B27、A28、B29、D30、A31、C32、D解析:高风险的产品或过程应增加审核时间要素33、B34、A35、B36、A37、A38、D39、B解析:局域网是指家庭或是办公室，或者其他环境中小型网络。而大型计算机环境是指类似服务器的大型网络。两者本地备份差别主要体现在容错能力上，故选B40、A二、多项选择题41、B,C,D解析:gb/t19011-2013管理体系审核指南3,6审核委托方是要求审核的组织或人员，3,7受审核方是被审核的组织。对于内部审核，审核委托方可以是受审核方或审核方案管理人员；对于外部审核，可以是监管机构、合同方或潜在用户。A错误，认证审核的委托方是认证类结构，而非受审核方。42、A,B,D43、A,B,C,D44、A,B,C45、A,B,C46、A,B,C,D47、B,C48、A,C,D49、A,B,C,D解析:所有选项均符合，本题选ABCD50