2024年商業(yè)經濟行業(yè)技能考試-ISMS信息安全管理體系審核員筆試歷年真題薈萃含答案

2024年商業(yè)經濟行業(yè)技能考試-ISMS信息安全管理體系審核員筆試歷年真題薈萃含答案（圖片大小可自由調整）答案解析附后卷I一.參考題庫(共25題)1.訪問信息系統(tǒng)的用戶注冊的管理是（）A、對用戶訪問信息系統(tǒng)和服務的授權的管理B、對用戶予以注冊時須同時考慮與訪問控制策略的一致性C、當I（D）資源充裕時可允許用戶使用多個I（D）D、用戶在組織內變換工作崗位吋不必重新評審其所用I（D）的訪問權2.監(jiān)視和評審ISMS是為了統(tǒng)計和評估已造成不良后果的安全違規(guī)和事件。3.在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內容監(jiān)控B、安全教育和培訓C、責任追查和懲處D、訪問控制4.對于針對信息系統(tǒng)的軟件包，以下說法正確的是（）A、組織應具有有能力的人員，以便隨時對軟件包進行適用性修改。B、應盡量勸阻對軟件包實施變更，以規(guī)避變更的風險。C、軟件包不必作為配置項進行管理。D、軟件包的安裝必須由其開發(fā)商實施安裝。5.1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求。A、7B、8C、6D、56.實施第三方信息安全管理體系審核，主要是為了：（）A、發(fā)現(xiàn)盡可能多的不符合項B、檢測信息安全產品質量的符合性C、建立互利的供方關系D、證實組織的信息安全管理體系符合已確定的審核準則的程度要求7.ISMS范圍內的資產負責人只能是網絡管理員。8.審核人曰數(shù)的計算方式是審核天數(shù)乘以（）A、審核組中審核員+實習審核員+技術專家+觀察員的總人數(shù)B、審核組中審核員+實習審核員的總人數(shù)C、審核組中審核員的總人數(shù)D、審核組中審核員+實習審核員+技術專家的總人數(shù)9.應用系統(tǒng)應在設計時考慮對輸入數(shù)據、內部處理和輸出數(shù)據進行確認的措施。10.信息安全管理體系認證審核的范圍即（）A、組織的全部經營管理范圍B、組織的全部信息安全管理范圍C、組織根據其業(yè)務、組織、位置、資產和技術等方面的特性確定信息安企管理體系范圍D、組織承諾按照GB/T22080標準要求建立、實施和保持信息安全管理體系的范圍11.受審核組織對于不符合項原因分析的準確性是影響糾正措施有效性的因素之一。12.在本地服務器上不啟動動態(tài)主機配置協(xié)議（DHCP），可以：（）A、降低未授權訪問網絡資源的風險B、不適用于小型網絡C、能自動分配IP地址D、增加無線加密協(xié)議（WEP）相關的風險13.現(xiàn)場審核的結束是指（）。A、末次會議結束B、對不符合項糾正措施進行驗證后C、發(fā)了經批準的審核報告時D、監(jiān)督審核結束14.（）是指系統(tǒng)、服務或網絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障15.審核報告是（）A、受審核方的資產B、審核委托方和受審核方的共同資產C、審核委托方的資產D、審核組和審核委托方的資產16.對于所釘擬定的糾正和預防措施，在實施前應通過（）過程進行評審。A、薄弱環(huán)節(jié)識別B、風險分析C、管理方案D、A+CE、A+B17.信息安全管理體系認證是（）A、與信息安全管理體系有關的規(guī)定要求得到滿足的證實活動B、對信息系統(tǒng)是否滿足有關的規(guī)定要求的評價C、信息安全管理體系認證是合格評定活動的一種D、是信息安全風險管理的實施活動18.應用結束時終止活動的會話，除非采—種合造的鎖定機制保證其安全，符合信息安全的（）措施A、使用網絡服務的策略B、清空桌雨和屏幕策略C、無人值守的用P設備D、使用密碼的控制策略19.信息安全管理即信息系統(tǒng)設施的維護。20.以下屬于管理體系審核發(fā)現(xiàn)的是（）A、審核員看到的物理入口控制方式B、審核員看到的信息系統(tǒng)資源閾值。C、審核員看到的移動介質的使用與規(guī)定要求的符合性D、審核員看到的項目質量保證活動與CMMI規(guī)程的符合性21.審核的工作文件包括（）A、檢杳表B、審核抽樣計劃C、信息記錄表格D、a+b+c22.信息安全災備管理中，”恢復點目標”指（）A、災難發(fā)生后，信息系統(tǒng)或業(yè)務功能從停頓到必須恢復的時間。B、災難發(fā)生后，信息系統(tǒng)或業(yè)務功能項恢復的范圍。C、災難發(fā)生后，系統(tǒng)和必須恢復到的時間點要求。D、災難發(fā)生后，關鍵數(shù)據能被復原的范圍。23.當計劃對組織的遠程辦公系統(tǒng)進行加密吋，應該首先冋答下面哪一個問題？（）A、什么樣的數(shù)據屬于機密信息B、員工需要訪問什么樣的系統(tǒng)和數(shù)據C、需要什么樣類型的訪問D、系統(tǒng)和數(shù)據具有什么樣的敏感程度24.下列措施中，哪些是風險管理的內容（）A、識別風險B、風險優(yōu)先級評價C、風險化解D、以上都是25.據國家發(fā)布的規(guī)定，以下哪些人員不得在一個認證機構從事認證活動（）A、已經在另外一個認證機構從事認證活動的人員B、國家公務員C、從事認證咨詢活動的人員D、已經與認證咨詢機構簽訂合同的認證咨詢人員卷II一.參考題庫(共25題)1.審核準則有關的并且能夠證實的記錄、事實陳述或其他信息稱為（）A、信息安全信息B、審核證據C、檢驗記錄D、信息源2.信息安全管理中的應急預案應指（）A、如何獲取備份數(shù)據的計劃。B、描述應急響應方法與措施的計劃。C、規(guī)定如何獲取災后恢復所需資源以及技術措施的計劃。D、以上全部。3.關于保密性，以下說法正確的是（）A、規(guī)定被授權的個人和實體，同時規(guī)定訪問時間和訪問范圍以及訪問類型。B、職級越高可訪問信息范圍越大。C、默認情況下IT系統(tǒng)維護人員可以任何類型訪問所有信息。D、顧客對信息的訪問權按顧客需求而定。4.關于審核組的現(xiàn)場審核，以下說法錯誤的是（）A、審核組在審核期間現(xiàn)場可根據受審核方實際情況及時變更審核范圍。B、審核組在審核期間現(xiàn)場可調整審核路線和審核資源分配。C、審核組遇到重大風險應報告委托方以決定后續(xù)措施。D、審核組遇到重大風險應報告受審核方以決定后續(xù)措施。5.信息安全管理中，關于脆弱性，以下說法正確的是（）A、組織使用的開源軟件不須考慮其技術脆弱性B、軟件開發(fā)人員為方便維護留的后門是脆弱性的一種C、識別資產脆弱性時應考慮資產的固有特性，不包括當前安全控制措施使信息系D、統(tǒng)與網絡物理隔離可社絕其脆弱性被威脅利用的機會6.現(xiàn)場審核吋間應該包括（）A、文件評審時間B、首、末次會議的時間C、編寫審核報告的時間D、午餐時間7.信息安全管理的持續(xù)改進就是信息系統(tǒng)技術的不斷升級。8.風險處置計劃應包含計劃的目標、職責分配、財務預算及時間表。9.末次會議包括（）A、請受審核方確認不符合報告、并簽字B、向審核方遞交審核報告C、雙方就審核發(fā)現(xiàn)的不同意見進行討論D、以上都不準確10.以下可接受的正確做法是（）A、使用網盤存儲涉及國家秘密的信息。B、IT系統(tǒng)維護人員使用自用的計算機對涉密計算機系統(tǒng)進行測試C、將涉密移動硬盤的信息簡單刪除后作為普通存儲裝置使用D、被確定涉及國家秘密的計算機系統(tǒng)即切斷其可與互聯(lián)網的連接11.以下符合“責任分割”原則的做法是（）A、不同職級人員工作區(qū)域隔離B、保持安全審核人員的獨立性C、授權者、操作者和監(jiān)視者三者責任分離D、事件報告人員與事件處理人員職責分離12.系統(tǒng)的識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為（）A、管理的系統(tǒng)方法B、信息安全管理體系方法C、過程方法D、以事實為基礎的決策方法13.審核組要求受審方在不合格報告上簽字是確認該審核發(fā)現(xiàn)。14.審核組的每一次審核，均應向委托方提交審核報告。15.在認證審核時，審核組在現(xiàn)場有權限自行決定變更的事項包括（）A、簾核準則B、審核人日數(shù)C、審核路線D、應受審核的業(yè)務過程16.依據GB/T22080，以下不是"適用性聲明〃文件必須包含的內容是（）A、實施信息安全控制措施的角色、職責和權限B、組織選擇的控制目標和控制措施，以及選擇的理由C、當前實施的控制目標和控制措施D、對附錄A中可控制目標和控制措施的刪減，以及刪減的合理性說明17.第三方認證時的監(jiān)督審核不一定是對整個體系的審核，以下說法正確的是（）A、組織獲得認證范圍內的職能區(qū)域可以抽查，但標準條款不可以抽查B、組織獲得認證范圍內的業(yè)務過程可以抽沓，但職能區(qū)域不可以抽杳C、組織獲得認證范圍內的業(yè)務過程和職能區(qū)域都不可以抽查，僅標準條款可以抽杳D、標準條款可以抽查，但針對內審和管理評審以及持續(xù)改進方面的審核不可缺少18.數(shù)據信息資源的訪問控制指（）A、允許訪問者訪問即訪問者可獲取、拷貝或其他訪問者需要的操作。B、允許訪問者訪問即訪問者按訪問權規(guī)定的的方式訪問數(shù)據信息資源。C、編制一份授權實體清單并保持不變。D、如果訪問時間足夠短則不須提請批準。19.審核組在現(xiàn)場審核期間可保持靈活、變通，根據受審核方實際情況及時變更審核范圍。20.審核范圍的確定應考慮（）A、組織的管理權限B、組織的活動領域C、組織的現(xiàn)場區(qū)域D、覆蓋的時期21.以下不屬于"責任分割"原則范疇的做法是：（）A、不同職級人員工作區(qū)域隔離。B、保持安全審核人員的獨立性。C、授權者、操作者和監(jiān)視者三者責任分離。D、事件報告人員與事件處理人員職責分離。22.內審的目的是確定ISMS體系是否符合策劃的安排并得到有效實施與保持。23.設立信息安全管理體系認證機構，須得到以下哪個機構的批準，方可在中國境內從事認證活動（）A、中國合格評定國家認可委員會B、中國國家認證認可監(jiān)督管理委員會C、中國認證認可協(xié)會D、工商注冊管理部門24.TCP/IP協(xié)議族包含的面向連接的協(xié)議處于傳輸層。25.信息安全管理體系中提到的"資產責任人"是指（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人卷III一.參考題庫(共25題)1.信息系統(tǒng)安全保護法律規(guī)范的基本原則是（）A、誰主管誰負責的原則B、全面管理的原則C、預防為主的原則D、風險管理的原則2.信息安全管理中，關于撤銷訪問權，不包括以下哪種情況（）A、員工離職時。B、組織內項目人員調換到不同的項目組時。C、顧客或第三方人員結束訪問時。D、以上都不對。3.信息安全災備管理中，關于災難恢復能力，以下說法正確的是（）A、恢復能力等級越高，恢復時間目標越短，恢復點目標越近B、恢復能力等級越低，恢復時間目標越長，恢復點目標越長C、恢復能力等級越低，恢復時間目標越短，恢復點目標越長D、恢復能力等級越高，恢復時間目標越長，恢復點目標越長4.關于商用密碼技術和產品，以下說法正確的是（）。A、任何組織不得隨意進口密碼產品，但可以出口商用密碼產品B、商用密碼技術屬于國家秘密C、商用密碼是對不涉及國家秘密的內容進行加密保護的產品D、商用密碼產品的用戶不得轉讓其使用的商用密碼產品5.ISMS文件的多少和詳細程度取于（）A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C6.在第三方認證審核時，（）不是審核員的職責。A、實施審核B、確定不合格項C、對發(fā)現(xiàn)的不合格項采取糾正措施D、驗證受審核方所采取糾正措施的有效性7.組織使用的開源軟件不須考慮其技術脆弱性。8.依據GB/T22080，信息系統(tǒng)在開發(fā)時應考慮信息安全要求，這包括（）A、管理人員應提醒使用者在使用應用系統(tǒng)時注意確認輸入輸出。B、質量人員介入驗證輸入輸出數(shù)據。C、應用系統(tǒng)在設計時考慮對輸入數(shù)據、內部處理和輸出數(shù)據進行確認的措施。D、在用戶須知中增加“提醒”或"警告"內容。9.管理體系認證過程包含了（）A、現(xiàn)場審核首次會議開始到末次會議結束的所有活動。B、從審核準備到審核報告提交期間的所有活動。C、一次初審以及至少2次監(jiān)督審核的所有活動。D、從受理認證到證書到期期間所有的審核以及認證服務和管理活動。10.監(jiān)視和評審ISMS，應考慮（）A、統(tǒng)計和評估已造成不良后果的安全違規(guī)和事件，不包括未造成不良后果的事件。B、針對網絡安全事件，不包括管理性安全措施執(zhí)行情況。C、迅速識別試圖的和得逞的安全違規(guī)事件，包括技術符合性事件和管理性安全措施執(zhí)行情況。D、針對管理性安全措施執(zhí)行情況，不包括技術符合性事件。11.國家指定用途的特種鋼的樣材應按照“包含有信息的介質”處置。12.關于審核結論，以下說法正確的是（）A、審核組綜合了所有審核證據進行合理推斷的結果B、審核組綜合了所有審核證據與受審核方充分協(xié)商的結果C、審核組權衡了不符合的審核發(fā)現(xiàn)的數(shù)量及嚴重程度后得出的結果D、審核組考慮了審核目的和所有審核發(fā)現(xiàn)后得出的審核結果13.對于安全違規(guī)人員的正式紀律處理過程包括違規(guī)對業(yè)務造成的影響的評價。14.信息安全管理體系可以（）A、幫助組織實現(xiàn)信息安全目標B、提供持續(xù)改進的框架C、向組織和顧客提供信任D、a+b+c15.“責任分割”適用于信息系統(tǒng)管理員和操作員的活動。16.管理體系認證審核的范圍即（）A、組織的全部經營管理范圍。B、組織的全部信息系統(tǒng)機房所在的范圍。C、組織承諾建立、實施和保持管理體系相關的組織’?位置、過程和活動以及時期的范圍。D、組織機構中所有業(yè)務職能涉及的活動范圍。17.以下屬于信息安全事件的情況是（）A、通信線路出現(xiàn)未知的干擾噪聲B、郵件通信被捆綁垃圾郵件C、監(jiān)視系統(tǒng)偵測到未遂的嘗試破解密碼行為D、B+C18.關于"審核發(fā)現(xiàn)"，以下說法正確的是（）A、審核發(fā)現(xiàn)即審核員觀察到的事實。B、審核發(fā)現(xiàn)可以表明正面的或負面的結果。C、審核發(fā)現(xiàn)即審核組提出的不符合項報告。D、審核發(fā)現(xiàn)即審核結論意見。19.網絡路由控制應遵從（）A、端到端連接最短路徑策略B、信息系統(tǒng)應用的最佳效率策略；C、確保計算機連接和信息留不違反業(yè)務應用的訪問控制策略D、A+B+C20.關于"糾正措施"，以下說法正確的是（）A、針對不符合的原因分析必須采用“因果分析法”B、審核組對于不符合項原因分析的準確性影響糾正措施的有效性C、受審核方對于不符合項原因分析的準確性是影響糾正措施有效性的因素之一D、以上都對21.關于商用密碼技術和產品，以下說法不正確的是（）A、任何組織不得隨意進口密碼產品，但可以出口商用密碼產品。B、商用密碼技術屬于國家秘密。C、商用密碼是對不涉及國家秘密的內容進行加密保護的產品。D、商用密碼產品的用戶不得轉讓其使用的商用密碼產品。22.信息安全管理體系內部審核就是信息系統(tǒng)審計。23.ISMS管理評審的輸出應包括（）A、可能影響ISMS的任何變更B、以往風險評估沒有充分強調的脆弱點或威脅C、風險評估和風險處理計劃的更新D、改進的建議24.在市核中發(fā)現(xiàn)了正在使用的某個文件，這是（）。A、審核準則B、審核發(fā)現(xiàn)C、審核證據D、車核結論25.認證審核時，審核擬抽査的樣本應（）A、由受審核方熟悉的人員事先選取，做好準備。B、由審核組明確總體并在受控狀態(tài)下獨立抽樣。C、由審核組和受審核方人員協(xié)商抽樣。D、由受審核方安排的向導實施抽樣。卷I參考答案一.參考題庫1.參考答案:A,B2.參考答案:錯誤3.參考答案:B4.參考答案:B5.參考答案:D6.參考