2021年第三期ISMS信息安全管理體系審核員考試題目含解析

2021年第三期ISMS信息安全管理體系審核員考試題目一、單項選擇題1、GB/T22080-2016中所指資產的價值取決于（）A、資產的價格B、資產對于業(yè)務的敏感程度C、資產的折損率D、以上全部2、ISO/IEC20000-3與ISO/IEC20000J之間的關系是()A、ISO/IEC20000-3為ISO/IEC20000-1提供了實施指南B、ISO/IEC20000-3為ISO/IEC20000-1提供了范圍定義的指南C、ISO/IEC20000-3為ISO/IEC20000-1提供了過程參考模型D、ISO/IEC20000-3為ISO/IEC20000-1提供了實施計劃樣例3、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統(tǒng)4、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準5、當發(fā)生不符合時，組織應（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應，適用時：采取措施，以控制予以糾正；處理后果6、根據《互聯(lián)網信息服務管理辦法》，互聯(lián)網接入服務提供者應當記錄上網用戶的(）A、用戶帳號、上網時間、訪問端口信息B、用戶帳戶、上網時間、訪問內容C、用戶帳號、訪問IP地址、用戶計算機型號D、上網時間、用戶帳號、互聯(lián)網地址7、根據《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機密D、秘密8、ISO/IEC20000-1適用于通過ITSMS的()服務規(guī)劃、設計、轉換、交付和改進。A、有效策劃與保持持續(xù)改進B、有效實施與運行持續(xù)改進C、有效實施與保持持續(xù)改進D、有效策劃與運行持續(xù)改進9、在我國信息系統(tǒng)安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求10、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風險評估D、容災和數(shù)據備份11、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用12、依據GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力13、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對14、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準15、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據竊聽B、誤操作C、數(shù)據流分析D、數(shù)據篡改16、訪問控制是確保對資產的訪問，是基于（）要求進行授權和限制的手段。A、用戶權限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問17、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用D、指網信辦指定信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設,同步使用18、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼19、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶20、依據ISO/IEC20000-1:2018,服務目錄應()A、描述服務及其結果B、由顧客制定C、是合同的一部分D、是統(tǒng)一所有服務描述的匯總21、下列哪一種情況下，網絡數(shù)據管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學D、要保證跨多個數(shù)據卷的備份連續(xù)、一致時22、組織應（）A、采取過程的規(guī)程安全處置不需要的介質B、采取文件的規(guī)程安全處置不需要的介質C、采取正式的規(guī)程安全處置不需要的介質D、采取制度的規(guī)程安全處置不需要的介質23、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務24、應定期評審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標和標準B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標準25、根據《互聯(lián)網信息服務管理辦法》規(guī)定，國家對經營性互聯(lián)網信息服務實行（）A、國家經營B、地方經營C、許可制度D、備案制度26、依法負有網絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確27、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任和權限D、分配角色和權限28、以下關于安全接層協(xié)議(SSL)的敘述中,錯誤的是(）A、為TCP/IP連接提供服務器認證B、為TCP/IP連接提供數(shù)據加密C、提供數(shù)據安全機制D、是一種應用層安全協(xié)議29、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調活動D、以上都對30、桌面系統(tǒng)級聯(lián)狀態(tài)下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除31、在訪問因特網時，為了防止Web網頁中惡意代碼對自己計算機的損害，可以采取的防范措施是(）A、利用SSL訪問Web站點B、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區(qū)域C、在瀏覽器中安裝數(shù)字證書D、利用IP安全協(xié)議訪問Web站點32、當獲得的審核證據表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當?shù)拇胧〤、宣布取消末次會議D、以上各項都不可以33、ISO/IEC20000J標準的范圍聲明是很重要的，因為()A、它定義了管理體系根據什么予以認證B、它詳細描述了所有已被認證的公司C、它詳細描述了所有已被認耐砂D、它確定了哪些流程已超出了范圍34、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權限B、分配崗位與權限C、分配責任與權限D、分配角色和權限35、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C36、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響37、依據GB/T22080/ISO/IEC27001中控制措施的要求，關于網絡服務的訪問控制策略,以下正確的是()A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現(xiàn)對內部用戶的網絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內部用戶訪問外部網絡的訪問控制38、關于防范惡意軟件，以下說法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件39、關于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?40、安全掃描可以實現(xiàn)（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據包攻擊分析所有的數(shù)據流二、多項選擇題41、訪問控制包括()A、網絡和網絡服務的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制42、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估43、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓44、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對45、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復雜程度46、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類47、按覆蓋的地理范圍進行分類，計算機網絡可以分為（）A、局域網B、城域網C、廣域網D、區(qū)域網48、下列哪項屬于《認證機構管理辦法》中規(guī)定的設立認證機構應具備的條件？（）A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度49、關于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則50、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統(tǒng)一領導，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應用C、服務大局D、分級負責51、關鍵信息基礎設施包括三大部分，分別是（）。A、關鍵基礎設施B、基礎信息網絡C、重要信息系統(tǒng)D、重要互聯(lián)網應用系統(tǒng)52、關于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則53、以下做法正確的是（）A、使用生產系統(tǒng)數(shù)據測試時，應先將數(shù)據進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據C、員工調換項目組時，其原使用計算機中的項目數(shù)據經妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內所有的終端啟動屏幕保護時間應一致54、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新55、某金融服務公司為其個人注冊會員提供了借資金和貸款服務，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進行討論評審B、公司使用微信群發(fā)布公司內部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉化其微信群會討論的信息三、判斷題56、審核方案應包括審核所需的資源，例如交通和食宿。（）正確錯誤57、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。正確錯誤58、組織ISMS的相關方的需求和期望由組織戰(zhàn)略決策層的決定（）正確錯誤59、當需要時，組織可設計控制，或識別來自任何來源的控制。（）正確錯誤60、審核組可以由一個人組成。（）正確錯誤61、J031組織對內部供應商應按服務級別管理過程進行管理。（）正確錯誤62、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）正確錯誤63、容量管理策略可以考慮增加容量或降低容量要求（）正確錯誤64、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）正確錯誤65、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導致的影響（）正確錯誤

參考答案一、單項選擇題1、B2、B3、D4、D5、D6、D7、B8、B9、D10、A11、A12、B13、D14、D解析:27001,7