2021年10月《ISMS信息安全管理體系審核員》真題及答案

內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請聯(lián)系刪除內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請聯(lián)系刪除內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請聯(lián)系刪除2021年10月《ISMS信息安全管理體系審核員》真題及答案一、單項選擇題(總題數(shù):40,分?jǐn)?shù):40.0分)

1、PKI的主要組成不包括(）

A、SSL

B、CR

C、CA

D、RA

答案:B

2、由認可機構(gòu)對認證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）

A、認證

B、認可

C、審核

D、評審

答案:B

3、建立ISMS體系的目的，是為了充分保護信息資產(chǎn)并給予（）信息

A、相關(guān)方

B、供應(yīng)商

C、顧客

D、上級機關(guān)

答案:A

4、被黑客控制的計算機常被稱為(）

A、蠕蟲

B、肉雞

C、灰鴿子

D、木馬

答案:B

5、《中華人民共和國認證認可條例》規(guī)定，認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請。

A、2年

B、3年

C、4年

D、5年

答案:D

6、以下哪些可由操作人員執(zhí)行？（)

A、審批變更

B、更改配置文件

C、安裝系統(tǒng)軟件

D、添加/刪除用戶

答案:C

7、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構(gòu)應(yīng)審查第一階段的審核報告，以便為第二階段選擇具有（）

A、所需審核組能力的要求

B、客戶組織的準(zhǔn)備程度

C、所需能力的審核組成員

D、客戶組織的場所分布

答案:C

8、關(guān)于GB/T28450,以下說法正確的是(）。

A、增加了ISMS的審核指導(dǎo)

B、與ISO19011一致

C、與ISO/IEC27000一致

D、等同采用了ISO19011

答案:A

9、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）

A、不同網(wǎng)絡(luò)運營商之間的隔離

B、不同用戶組之間的隔離

C、內(nèi)網(wǎng)與外網(wǎng)的隔離

D、信息服務(wù)，用戶及信息系統(tǒng)

答案:D

10、文件化信息創(chuàng)建和更新時，組織應(yīng)確保適當(dāng)?shù)模?

A、對適宜性和有效性的評審和批港

B、對充分性和有效性的測量和批準(zhǔn)

C、對適宜性和充分性的測量和批準(zhǔn)

D、對適宜性和充業(yè)性的評審和批準(zhǔn)

答案:D

11、有關(guān)信息安全管理，風(fēng)險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）

A、不考慮資產(chǎn)的價值，基本水平的保護都會被實施

B、對所有信息資產(chǎn)保護都投入相同的資源

C、對信息資產(chǎn)實施適當(dāng)水平的保護

D、信息資產(chǎn)過度的保護

答案:C

12、文件化信息指（）

A、組織創(chuàng)建的文件

B、組織擁有的文件

C、組織要求控制和維護的信息及包含該信息的介質(zhì)

D、對組織有價值的文件

答案:C

13、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)

A、組織環(huán)境和相關(guān)方要求

B、戰(zhàn)略和意思

C、戰(zhàn)略和方針

D、職能和層次

答案:D

14、關(guān)于顧客滿意，以下說法正確的是：()

A、顧客沒有抱怨，表示顧客滿意

B、信息安全事件沒有給顧客造成實質(zhì)性的損失就意味著顧客滿意

C、顧客認為其要求已得到滿足,即意味著顧客滿意

D、組織認為顧客要求已得到滿足，即意味著顧客滿意

答案:C

15、信息是消除（）的東西

A、不確定性

B、物理特性

C、不穩(wěn)定性

D、干擾因素

答案:A

16、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）

A、參加信息安全培訓(xùn)

B、背景調(diào)査

C、安全技能與崗位要求匹配的評估

D、簽署保密協(xié)議

答案:A

17、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是(）

A、信息安全政策的培訓(xùn)者與審計之間的職責(zé)分離

B、職責(zé)分離的是不同管理層級之間的職責(zé)分離

C、信息安全策略的制定者與受益者之間的職責(zé)分離

D、職責(zé)分離的是不同用戶組之間的職責(zé)分離

答案:B

18、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是()

A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

答案:A

19、對全國密碼工作實行統(tǒng)一領(lǐng)導(dǎo)的機構(gòu)是(）

A、中央密碼工作領(lǐng)導(dǎo)機構(gòu)

B、國家密碼管理部門

C、中央國家機關(guān)

D、全國人大委員會

答案:A

20、在我國信息系統(tǒng)安全等級保護的基本要求中針對每一級的基本要求分為（）

A、設(shè)備要求和網(wǎng)絡(luò)要求

B、硬件要求和軟件要求

C、物理要求和應(yīng)用要求

D、技術(shù)要求和管理要求

答案:D

21、關(guān)于內(nèi)部審核下面說法不正確的是(）。

A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍

B、通過內(nèi)部審核確定ISMS得到有效實施和維護

C、組織應(yīng)建立、實施和維護一個審核方案

D、組織應(yīng)確保審核結(jié)果報告至管理層

答案:C

22、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為（）

A、ISO/IEC27011

B、ISO/IEC27012

C、ISO/IEC27013

D、ISO/IEC27014

答案:D

23、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》,計算機信息系統(tǒng)安全保護能力分為（）等級。

A、5

B、6

C、3

D、4

答案:A

24、ISO/IEC27001描述的風(fēng)險分析過程不包括()

A、分析風(fēng)險發(fā)生的原因

B、確定風(fēng)險級別

C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果

D、評估所識別的風(fēng)險實際發(fā)生的可能性

答案:A

25、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括(）

A、溝通周期

B、溝通內(nèi)容

C、溝通時間

D、溝通對象

答案:A

26、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)

A、體系覆蓋的人數(shù)

B、使用的信息系統(tǒng)的數(shù)量

C、用戶的數(shù)量

D、其他選項都正確

答案:D

27、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）

A、特密

B、絕密

C、機密

D、秘密

答案:B

28、關(guān)于適用性聲明下面描述錯誤的是(）

A、包含附錄A中控制刪減的合理性說明

B、不包含未實現(xiàn)的控制

C、包含所有計劃的控制

D、包含附錄A的控制及其選擇的合理性說明

答案:B

29、防火墻提供的接入模式不包括(）

A、透明模式

B、混合模式

C、網(wǎng)關(guān)模式

D、旁路接入模式

答案:D

30、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。

A、搞抵賴性

B、完整性

C、機密性

D、可用性

答案:C

31、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()

A、數(shù)據(jù)竊聽

B、誤操作

C、數(shù)據(jù)流分析

D、數(shù)據(jù)篡改

答案:D

32、審核抽樣時，可以不考慮的因素是(）

A、場所差異

B、管理評審的結(jié)果

C、最高管理者

D、內(nèi)審的結(jié)果

答案:C

33、ISO/IEC27001所采用的過程方法是（)

A、PPTR方法

B、SMART方法

C、PDCA方法

D、SWOT方法

答案:C

34、以下說法不正確的是(）

A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險評估進行再評審

B、應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進行再評估

C、制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響

D、安全計劃應(yīng)適時更新

答案:C

35、風(fēng)險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）

A、識別可能性和影響

B、識別脆弱性和識別后果

C、識別脆弱性和可能性

D、識別脆弱性和影響

答案:B

36、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。

A、4-10

B、1-10

C、4-7和9-10

D、4-10和附錄A

答案:A

37、Saas是指(）

A、軟件即服務(wù)

B、服務(wù)平臺即月勝

C、服務(wù)應(yīng)用即服務(wù)

D、服務(wù)瞇即服務(wù)

答案:A

38、ISO/IEC27701是（）

A、是一份基于27002的指南性標(biāo)準(zhǔn)

B、是27001和27002的隱私保護方面的擴展

C、是ISMS族以外的標(biāo)準(zhǔn)

D、在隱私保護方面擴展了270001的要求

答案:B

39、根據(jù)《信息安全等級保護管理辦法》,對于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式

A、警告

B、罰款

C、沒收違法所得

D、吊銷許可證

答案:A

40、設(shè)置防火墻策略是為了(）

A、進行訪問控制

B、進行病毒防范

C、進行郵件內(nèi)容過濾

D、進行流量控制

答案:A

二、判斷題(總題數(shù):10,分?jǐn)?shù):10.0分)

41、ISO/IEC27018是用于對云安全服務(wù)中隱私保護認證的依據(jù)。(）

1、正確

0、錯誤

答案:正確

42、GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)（）

1、正確

0、錯誤

答案:正確

43、計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)（）

1、正確

0、錯誤

答案:正確

44、在來自可信站點電子郵件中輸入個人或財務(wù)信息是安全的。（）

1、正確

0、錯誤

答案:錯誤

45、容量管理策略可以考慮增加容量或降低容量要求（）

1、正確

0、錯誤

答案:正確

46、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）

1、正確

0、錯誤

答案:錯誤

47、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實施的（）

1、正確

0、錯誤

答案:錯誤

48、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導(dǎo)致的影響（）

1、正確

0、錯誤

答案:正確

49、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）

1、正確

0、錯誤

答案:錯誤

50、客戶所有場所業(yè)務(wù)的范圍相同，且在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時，認證機構(gòu)可以考慮使用基于抽樣的認證審核（)

1、正確

0、錯誤

答案:正確

三、多項選擇題(總題數(shù):15,分?jǐn)?shù):15.0分)

51、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。

A、省

B、自治區(qū)

C、直轄市

D、特別行政區(qū)

答案:A,B,C

52、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。

A、創(chuàng)新發(fā)展

B、分級應(yīng)用

C、服務(wù)大局

D、分級負責(zé)

答案:A,C,D

53、風(fēng)險處置包括（)

A、風(fēng)險降低

B、風(fēng)險計劃

C、風(fēng)險控制

D、風(fēng)險轉(zhuǎn)移

答案:A,D

54、認證機構(gòu)應(yīng)有驗證審核組成員背景經(jīng)驗，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）

A、管理體系的知識

B、ISMS監(jiān)視、測量、分析和評價的知識

C、與受審核活動相關(guān)的技術(shù)知識

D、信息安全的知識

答案:A,B,C,D

55、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）

A、對相關(guān)方可用

B、包括對持續(xù)改進ISMS的承諾

C、包括信息安全目標(biāo)

D、與組織意圖相適宜

答案:A,B,C,D

56、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括（）

A、信息備份策略

B、訪問控制策略

C、信息傳輸策略

D、密鑰管理策略

答案:A,B,C,D

57、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）

A、釣魚攻擊

B、后門攻擊事件

C、社會工程攻擊

D、DOS攻擊

答案:A,B,D

58、移動設(shè)備策略宜考慮（)

A、移動設(shè)備注冊

B、惡意軟件防范

C、訪問控制

D、物理保護要求

答案:A,B,C,D

59、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)

A、根據(jù)工作需要僅獲得最小的知悉權(quán)限

B、工作人員僅讓滿足工作所需要的信息

C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴大范圍

D、得到管理者批準(zhǔn)的信息是可訪問的信息

答案:A,B,C

60、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過程要形成文件化的信息？（)

A、信息安全方針

B、信息安全風(fēng)險處置過程

C、溝通記錄

D、信息安全目標(biāo)

答案:A,B,D

61、管理評審的輸出包括（）

A、管理評審報告

B、持續(xù)改進機會相關(guān)決定

C、管理評審會議紀(jì)要

D、變更信息的安全管理體系任何需求

答案:B,D

62、按覆蓋的地理范圍進行分類，計算機網(wǎng)絡(luò)可以分為（）

A、局域網(wǎng)

B、城域網(wǎng)

C、廣域網(wǎng)

D、區(qū)域網(wǎng)

答案:A,