ISMS考試真題

1、IOS/IEC 27001 ISMS審核員考試基礎知識201606一、 單項選擇1、 Cp是理想過程能力指數(shù)，Cpk是實際過程能力指數(shù)，以下（）是正確的。A、 CpCpk B、CpCpk C、CpCpk D、CpCpk2、 信息安全是保證信息的保密性、完整性、（）。A、充分性 B、適宜性 C、可用性 D、有效性3、應為遠程工作活動開發(fā)和實施策略、（）和規(guī)程。A、制定目標 B、，明確職責 C、編制作業(yè)指導書 D、操作計劃4、一個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務運行和威脅信息安全的極大可能性。A、已經(jīng)發(fā)生 B、可能發(fā)生 C、意外 D、A+B+C5、根

2、據(jù)互聯(lián)網(wǎng)信息服務管理辦法規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行（）。A、國家經(jīng)營 B、地方經(jīng)營 C、許可制度 D、備案制度6、以下說法不正確的是（）A、應考慮組織架構(gòu)與業(yè)務目標的變化對風險評估結(jié)果進行再評審B、應考慮以往未充分識別的威脅對風險評估結(jié)果進行再評估C、制造部增加的生產(chǎn)場所對信息安全風險無影響D、安全計劃應適時更新7、組織在建立和評審信息安全管理體系時，應考慮（）A、風險評估的結(jié)果 B、管理方案 C、法律、法規(guī)和其他要求 D、A+C8、管理體系是指（）。A、建立方針和目標并實現(xiàn)這些目標的體系B、相互關(guān)聯(lián)的相互作用的一組要素C、指揮和控制組織的協(xié)調(diào)活動D、以上都對9、風險評價是指（）A、

3、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關(guān)風險的協(xié)調(diào)活動D、以上都對10、以下屬于計算機病毒感染事件的糾正措施的是（）A、對計算機病毒事件進行相應和處理B、將感染病毒的計算機從網(wǎng)絡隔離C、對相關(guān)責任人進行處罰D、以上都不對11、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構(gòu) B、公安機關(guān) C、國家安全機關(guān) D、國家保密局12、國家秘密的密級分為（）A、絕密 B、機密 C、秘密 D、以上都對 13、信息安全等級保護管理辦法規(guī)定，應加強涉密信息系統(tǒng)運行中的保

4、密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年 B、1年 C、1.5年 D、2年14、中華人民共和國認證認可條例規(guī)定，認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)再接受其注冊申請。A、2年 B、3年 C、4年 D、5年15、信息安全管理體系認證機構(gòu)要求中規(guī)定，第二階段審核（）進行。A、在客戶組織的場所 B、在認證機構(gòu)以網(wǎng)絡訪問的形式C、以遠程視頻的形式 C、以上都對16、以下關(guān)于認證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認證機構(gòu)的監(jiān)督方案應由認證機構(gòu)和客戶共同

5、來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認證機構(gòu)應對認證證書的使用進行監(jiān)督17、滲透測試（）A、可能會導致業(yè)務系統(tǒng)無法正常運行B、是通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡系統(tǒng)安全的一種評估方法C、滲透人員在局域網(wǎng)中進行測試，以期發(fā)現(xiàn)和挖掘系統(tǒng)存在的漏洞，然后輸出滲透測試報告D、必須在計算機網(wǎng)絡系統(tǒng)首次使用前進行，以確保系統(tǒng)安全18、以下哪個算法是非對稱加密算法？（）A、RSA B、DES C、3DES D、AES19、下面是關(guān)于計算機病毒的兩種論斷，經(jīng)判斷（）計算機病毒也是一種程序，它在某些條件下激活，起干擾破壞作用，并能傳染到其他程序中去。 計算機病毒只會破壞磁盤上的數(shù)據(jù)。

6、經(jīng)判斷A、只有正確 B只有正確 C都正確 D都不正確20、以下關(guān)于入侵檢測系統(tǒng)功能的敘述中，（）是不正確的。A、保護內(nèi)部網(wǎng)絡免受非法用戶的侵入 B、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性 C、識別已知的攻擊行為 D、統(tǒng)計分析異常行為21、容災就是減少災難事件發(fā)生的可能性以及限制災難對（）所造成的影響的一整套行為。A、銷售業(yè)務流程 B、財務業(yè)務流程 C、生產(chǎn)業(yè)務流程 D、關(guān)鍵業(yè)務流程22、（）屬于管理脆弱性的識別對象。A、物理環(huán)境 B、網(wǎng)絡結(jié)構(gòu) C、應用系統(tǒng) D、技術(shù)管理23、防止計算機中信息被竊取的手段不包括（）A、用戶識別 B、權(quán)限控制 C、數(shù)據(jù)加密 D數(shù)據(jù)備份24

7、、從技術(shù)上說，網(wǎng)絡容易受到攻擊的原因主要是由于網(wǎng)絡軟件不完善和（）本身存在安全漏洞造成的。A、人為使用 B、硬件設備 C、操作系統(tǒng) D、網(wǎng)絡協(xié)議25-32 暫無28、被黑客控制的計算機常被稱為（）A、蠕蟲 B、肉雞 C、灰鴿子 D、木馬30、被動掃描的優(yōu)點不包括（）A、無法被監(jiān)測 B、只需要監(jiān)聽網(wǎng)絡流量 C、 D、不需要主動31、從技術(shù)的角度講，數(shù)據(jù)備份的策略不包括（）A、完全備份 B、增量備份 C、定期備份 D、差異備份32、下列屬于公司信息資產(chǎn)的有A、資產(chǎn)信息 B、被放置在IDC機房的服務器 C、 D、以上都不對 33、信息安全管理實用規(guī)則ISO/IEC 27002屬于（）標準A、詞匯類標

8、準 B、指南類標準 C、要求類標準 D、技術(shù)類標準34、依據(jù)GB/T22080/ISO/IEC 27001的要求，管理者應（）A、制定ISMS目標和計劃 B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別 D、以上都不對35、以下對ISO/IEC 27002的描述，正確的是（）A、該標準屬于要求類標準 B、該標準屬于指南類標準C、該標準可用于一致性評估 D、組織在建立ISMS時，必須滿足該標準的所有要求36、要確保信息受到適當?shù)燃壍谋Ｗo，需要（）A、對不同類別的信息分別標記和處理 B、將所有信息存放于重要服務器上，嚴加保管C、應將重要信息打印，加蓋機密章后鎖起來 D、以上都不對3

9、7、對于信息安全方針，（）是ISO/IEC 27001所要求的。A、信息安全方針應形成文件 B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露 C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更38、適用性聲明文件應（）A、描述與組織相關(guān)和適用的控制目標和控制措施 B、版本應保持穩(wěn)定不變C、應包含標準GB/T22080附錄A的所有條款 D、應刪除組織不擬實施的控制措施39、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制 B、對變更申請的審核過程C、變更實施前的正式批準 D、以上全部40、以下對信息安全描述不準確的是（）

10、A、保密性、完整性、可用性 B、適宜性、充分性、有效性C、保密性、完整性、可核查性 D、真實性、可核查性、可靠性41、ISMS文件的多少和詳細程度取決于（）A、組織的規(guī)模和活動的類型 B、過程及其相互作用的復雜程度C、人員的能力 D、以上都對42、ISMS管理評審的輸出應考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務要求變更 B、合同義務變更 C、安全要求的變更 D、以上都對43、經(jīng)過風險處理后遺留的風險通常稱為（）A、重大風險 B、有條件的接受風險 C、不可接受的風險 D、殘余風險44、在公共可用系統(tǒng)中可用信息的（）宜受保護，以防止未授權(quán)的修改。A、保密性 B、可用性 C、完整性

11、D、不可抵賴性45、當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關(guān)鍵應用進行（）以確保對組織的運行和安全沒有負面影響。A、隔離和遷移 B、評審和測試 C、評審和隔離 D、驗證和確認46、應要求信息系統(tǒng)和服務的（）記錄并報告觀察到的或懷疑的任何系統(tǒng)或服務的安全弱點A、雇員 B、承包方 C、第三方人員 D、以上全對47、主體訪問權(quán)限的（）。即僅執(zhí)行授權(quán)活動所必需的那些權(quán)利被稱為最小特定權(quán)限。A、最高限度 B、最低限度 C、平均限度 D、次低限度48、遠程訪問就是從另一網(wǎng)絡或者從一個（）到所訪問網(wǎng)絡的終端設備上訪問網(wǎng)絡資源的過程。A、連接 B、永不連接 C、并不永久連接 D、永久連接49、業(yè)務連續(xù)性管理主要目標

12、是防止業(yè)務活動中斷，保護關(guān)鍵業(yè)務過程免受信息系統(tǒng)重大失誤或災難的影響，并確保他們的及時（）A、可用 B、恢復 C、回退 D、維護50、設置研發(fā)內(nèi)部獨立內(nèi)網(wǎng)是采取（）的控制措施A、上網(wǎng)流量管控 B、行為管理 C、敏感系統(tǒng)隔離 D、信息交換51、當訪問某資源存在不存活的聯(lián)接時，會導致非法用戶冒用并進行重放攻擊的可能性，因此應采取（）控制措施A、密碼控制 B、密匙控制 C、會話超時 D、遠程訪問控制52、開發(fā)、測試和（）設施應分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。A、配置 B、系統(tǒng) C、終端 D、運行53、（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施A、防火墻、網(wǎng)絡入侵檢測和防火墻 B、

13、漏洞掃描、網(wǎng)絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻 D、網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻54、符合性要求包括（）A、知識產(chǎn)權(quán)保護 B、公司信息保護 C、個人隱私的保護 D、以上都對55、容災的目的和實質(zhì)是（）A、數(shù)據(jù)備份 B、系統(tǒng)的 C、業(yè)務連續(xù)性管理 D、防止數(shù)據(jù)被破壞56、以下描述正確的是（）A、只要組織的業(yè)務不屬于網(wǎng)絡實時交易，即可不考慮應用“時鐘同步”B、對一段時間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計分析不屬于時間管理的范疇C、實施信息安全管理，須考慮各利益相關(guān)方的需求以及可操作性方面的權(quán)衡D、撤銷對信息和信息處理設施的訪問權(quán)是針對的組織雇員離職的情況57、以下

14、描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響58、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序，數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序 B、恢復網(wǎng)絡設置 C、恢復所有數(shù)據(jù) D、恢復整個系統(tǒng)59、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序。A、內(nèi)存 B、軟盤 C、存儲介質(zhì) D、網(wǎng)絡60、以下說法不正確的是（

15、）A、信息網(wǎng)絡的物理安全要從環(huán)境安全和設備安全兩個角度來考慮B、網(wǎng)絡邊界保護主要采用防火墻系統(tǒng)C、防火墻安全策略一旦設定，就不能再做任何改變D、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以分成系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份61、訪問控制是指確定（ ）以及實施訪問權(quán)限的過程。A、用戶權(quán)限 B、可給予哪些主體訪問權(quán)利 C、可被用戶訪問的資源 D、系統(tǒng)是否遭受入侵62、信息安全管理體系是用來確定（）A、組織的管理效率 B、產(chǎn)品和服務符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準則的程度D、信息安全手冊與標準的符合程度63、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來防者 B、進出公司的訪客須在門衛(wèi)處進行

16、登記C、弱點機房安裝有門禁系統(tǒng) D、A+B+C64、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題A、內(nèi)容監(jiān)控 B、安全教育和培訓 C、責任追查和懲處 D、訪問控制65、信息安全管理體系的設計應考慮（）A、組織的戰(zhàn)略 B、組織的目標和需求 C、組織的業(yè)務過程性質(zhì) D、以上全部66、抵御電子又想入侵措施中，不正確的是（）A、不用生日做密碼C、不要使用純數(shù)字B、不要使用少于5位的密碼D、自己做服務器67、對于所有擬定的糾正和預防措施，在實施前應先通過（）過程進行評審A、薄弱環(huán)節(jié)識別 B、風險分析 C、管理方案 D、A+B68、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信心

17、A、相關(guān)方 B、供應商 C、顧客 D、上級機關(guān)69、口令管理系統(tǒng)應該是（），并確保優(yōu)質(zhì)的口令A、唯一式 B、交互式 C、專人管理式 D、A+B+C70、GB/T22080標準中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格 B、資產(chǎn)對于業(yè)務的敏感度 C、資產(chǎn)的折損率 D、以上全部71、加強網(wǎng)絡安全性的最重要的基礎措施是（）A、設計有效的網(wǎng)絡安全策略 B、選擇更安全的操作系統(tǒng)C、安裝殺毒軟件 D、加強安全教育72、在考慮網(wǎng)絡安全策略時，應該在網(wǎng)絡安全分析的基礎上從以下哪兩個方面提出相應的對策？（）A、硬件和軟件 B、技術(shù)和制度 C、管理員和用戶 D、物理安全和軟件缺陷73、以下（）不是訪問控制策略中所允

18、許的A、口令使用 B、無人值守的用戶設備的適當保護C、清空桌面 D、屏幕上留存經(jīng)常工作用文檔74、某種網(wǎng)絡安全威脅是通過非法手段對數(shù)據(jù)進行惡意修改，這種安全威脅屬于（）A、竊聽數(shù)據(jù) B、破壞數(shù)據(jù)完整性 C、破壞數(shù)據(jù)可用性 D、物理安全威脅75、以下（）不是信息安全管理體系中所指的資產(chǎn)A、硬件、軟件、文檔資料 B、關(guān)鍵人員 C、信息服務 D、桌子、椅子76、信息安全方針可以不包括的要求是（）A、考慮業(yè)務和法律法規(guī)的要求，是合同中的安全義務B、建立風險評估的準則 C、可測量 D、獲得管理者批準77、構(gòu)成風險的關(guān)鍵因素有（）A、人、財、物 B、技術(shù)、管理和操作 C、資產(chǎn)、威脅和弱點 D、資產(chǎn)、可能性

19、和嚴重性78、一般來說單位工作中（）安全風險最大A、臨時員工 B、外部咨詢?nèi)藛T C、對公司不滿的員工 D、離職員工79、（）是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生它可能是對信息安全方針的違反或控制措施的實效。或是和安全相關(guān)的一個先前位置的狀態(tài)A、信息安全事態(tài) B、信息安全事件 C、信息安全事故 D、信息安全故障80、數(shù)字簽名是指附加在數(shù)據(jù)單元上，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的（），并保護數(shù)據(jù)防止被人(例如接收者)進行偽造。A、來源和有效性 B、格式和完整性 C、來源和符合性 D、來源和完整性二、多項選擇題81、互聯(lián)網(wǎng)信息服務管理辦法中對

20、（）類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版 B、醫(yī)療、保健 C、知識類 D、教育類82、無83、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了 B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施 D、顧客不投訴并不意味著顧客滿意了84、信息安全的特有審核原則有（）A、保密性 B、獨立性 C、基于風險 D、基于證據(jù)的方法85、ISMS范圍和邊界的確定依據(jù)包括（）A、業(yè)務 B、組織 C、物理 D、資產(chǎn)和技術(shù)86、依照信息安全等級保護管理辦法的規(guī)定，信息系統(tǒng)地安全保護等級可以分為（五）級，其中第（四）級發(fā)生時，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。A、三 B、四 C、五 D、六87、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環(huán)境影響 B、無作為或操作失誤、管理不到位、越權(quán)或濫用C、網(wǎng)絡攻擊、物理攻擊 D、泄密、篡改、抵賴88、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡可分為（）A、局域網(wǎng) B、城域網(wǎng) C、廣域網(wǎng) D、區(qū)域網(wǎng)89、無90、網(wǎng)絡攻擊的方式包括（）A、信息收集 B、信息竊取 C、系統(tǒng)控制 D、資源耗盡攻擊91、以下（）活動是ISMS監(jiān)視預評審階段需完成的內(nèi)容A、實施培訓