2022年3月國家注冊ISMS審核員復(fù)習(xí)題-信息安全管理體系含解析

2022年3月國家注冊ISMS審核員復(fù)習(xí)題—信息安全管理體系一、單項(xiàng)選擇題1、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D、對組織有價值的文件2、在現(xiàn)場審核時，審核組有權(quán)自行決定變更的事項(xiàng)是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整3、關(guān)于信息安全連續(xù)性，以下說法正確的是（）A、信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定4、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠(yuǎn)程視頻的形式D、以上都對5、根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級。A、5B、6C、3D、46、末次會議包括（）A、請受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、以上都不準(zhǔn)確7、第三方認(rèn)證審核時，對于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評審不符合以確認(rèn)不符合的性質(zhì)D、以上都對8、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進(jìn)行適用性調(diào)整B、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的保密性C、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D、以上都不對9、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）A、對于進(jìn)入組織的設(shè)備和資產(chǎn)須驗(yàn)證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗(yàn)證B、對于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證其合格證，對于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證相關(guān)授權(quán)信息D、對于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗(yàn)證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗(yàn)證10、如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，則應(yīng)具備的保護(hù)水平為：（）A、三級B、二級C、四級D、五級11、《信息安全技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障12、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析13、考慮不同時段的工作負(fù)數(shù)的差異收費(fèi)用于(）。A、故障樹分析(FTA）B、可用性計(jì)劃C、服務(wù)級別管理D、風(fēng)險(xiǎn)分析和管理法14、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202115、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險(xiǎn)評估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險(xiǎn)評估的依據(jù)，是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)16、容災(zāi)的目的和實(shí)質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞17、有關(guān)信息安全管理，風(fēng)險(xiǎn)評估的方法比起基線的方法，主要的優(yōu)勢在于它確保(）A、不考慮資產(chǎn)的價值，基本水平的保護(hù)都會被實(shí)施B、對所有信息資產(chǎn)保護(hù)都投入相同的資源C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、信息資產(chǎn)過度的保護(hù)18、運(yùn)行SMS和服務(wù)所裾的資源包括()A、人員、技術(shù)、信息和資產(chǎn)B、人員、技術(shù)、材料和資金C、人員、技術(shù)、信息和資金D、人員、資產(chǎn)、信息和資金19、在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時候開始，如何測量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果20、根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下做法不正確的是（）A、保留含有敏感信息的介質(zhì)的處置記錄B、離職人員自主刪除敏感信息的即可C、必要時采用多路線路供電D、應(yīng)定期檢查機(jī)房空調(diào)的有效性21、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱為（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)22、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）A、參加信息安全培訓(xùn)B、背景調(diào)査C、安全技能與崗位要求匹配的評估D、簽署保密協(xié)議23、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、作出是否換發(fā)證書的決定24、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求己得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求己得到滿足，即意味著顧客滿意25、涉及運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)C、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷D、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)26、GB/T22080-2016中所指資產(chǎn)的價值取決于（）A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部27、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)28、當(dāng)發(fā)現(xiàn)不符合項(xiàng)時，組織應(yīng)對不符合做出反應(yīng)，適用時（）。A、采取措施，以控制并予以糾正B、對產(chǎn)生的影響進(jìn)行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生29、ISMS文件評審需考慮（）A、收集信息，以準(zhǔn)備審核活動和適當(dāng)?shù)墓ぷ魑募﨎、請受審核方確認(rèn)ISMS文件審核報(bào)告，并簽字C、確認(rèn)受審核方文件與標(biāo)準(zhǔn)的符合性,并提出改進(jìn)意見D、雙方就ISMS文件框架交換不同意見30、關(guān)于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)31、口令管理系統(tǒng)應(yīng)該是（）,并確保優(yōu)質(zhì)的口令A(yù)、唯一式B、交互式C、專人管理式D、A+B+C32、關(guān)于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息33、計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)34、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部35、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為(）A、特密B、絕密C、機(jī)密D、秘密36、下列說法不正確的是（）A、殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置過程的結(jié)果C、所有的信息安全活動都必須記錄D、管理評審至少每年進(jìn)行一次37、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問38、關(guān)于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意39、下列關(guān)于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡(luò)B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C、內(nèi)部網(wǎng)絡(luò)可以無限制地訪問夕卜部網(wǎng)絡(luò)以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作40、在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時候開始，一次何測量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果二、多項(xiàng)選擇題41、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩42、組織建立的信息安全目標(biāo)，應(yīng)（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當(dāng)時更新43、關(guān)于“不可否認(rèn)性”，以下說法正確的是（）A、數(shù)字簽名是實(shí)現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段B、身份認(rèn)證是實(shí)現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)C、數(shù)字時間戳是“不可否認(rèn)性”的關(guān)鍵屬性D、具有證實(shí)一個聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性44、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊45、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？()A、要求類B、應(yīng)用類C、指南類D、術(shù)語類46、管理評審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況47、在IT服務(wù)管理中，"部署"活動包括：（）A、實(shí)施變更B、對變更的影響進(jìn)行評估C、將服務(wù)組件遷移到生產(chǎn)環(huán)境D、將經(jīng)測試的軟件包轉(zhuǎn)移到生產(chǎn)環(huán)境48、風(fēng)險(xiǎn)處置包括（)A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)計(jì)劃C、風(fēng)險(xiǎn)控制D、風(fēng)險(xiǎn)轉(zhuǎn)移49、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)50、關(guān)于信息安全風(fēng)險(xiǎn)自評估，下列選項(xiàng)正確的是（）A、是指信息系統(tǒng)擁有、運(yùn)營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估B、周期性的自評估可以在評估流程上適當(dāng)簡化C、可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施D、由信息系統(tǒng)上級管理部門組織的風(fēng)險(xiǎn)評估51、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)檢測C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護(hù)第四級水平52、針對敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強(qiáng)制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計(jì)人員開放不限時權(quán)限53、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴(kuò)大范圍。D、工作范圍是可訪問的信息54、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠實(shí)守信B、保密性C、基于風(fēng)險(xiǎn)D、基于事實(shí)的決策方法55、對風(fēng)險(xiǎn)安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機(jī)制B、對用戶和數(shù)據(jù)采用安全標(biāo)記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡(luò)安全等級測評工作三、判斷題56、某組織定期請第三方對其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評估，這在認(rèn)證審核時是可接受的（）正確錯誤57、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）正確錯誤58、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評價準(zhǔn)則。（）正確錯誤59、風(fēng)險(xiǎn)源是指那些可能導(dǎo)致消極后果或積極后果的因素和危害的來源。（）正確錯誤60、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）正確錯誤61、對不同類型的風(fēng)險(xiǎn)可以采用不同的風(fēng)險(xiǎn)接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險(xiǎn)可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險(xiǎn)。（）正確錯誤62、創(chuàng)建和更新文件化信息時，組織應(yīng)確保對其適宜性和充分性進(jìn)行評審和批準(zhǔn)。正確錯誤63、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）正確錯誤64、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）正確錯誤65、組織業(yè)務(wù)運(yùn)行使用云基礎(chǔ)設(shè)施服務(wù),同時員工通過自有手機(jī)APP執(zhí)行業(yè)務(wù)過程,此情況下GB/T22080-2016標(biāo)準(zhǔn)A8.1條款可以刪減。（）正確錯誤

參考答案一、單項(xiàng)選擇題1、C2、D3、B4、A5、A6、C7、B8、D解析:應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)其完整性9、C10、A11、C12、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當(dāng)水平的保護(hù)。對比四個選項(xiàng)，c項(xiàng)更能突出對組織的重要程度，故選C13、B14、D15、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實(shí)現(xiàn)信息安全管理體系過程中選擇控制時的參考，或作為組織在實(shí)現(xiàn)通用信息安全控制時的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù)，故選B16、C17、C18、C19、C20、B21、D22、A23、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應(yīng)與其他監(jiān)督活動一起策劃，以使認(rèn)證機(jī)構(gòu)能對獲證客戶管理體系在認(rèn)證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標(biāo)準(zhǔn)的每次監(jiān)督審核應(yīng)包括對以下方面的審查：（1）內(nèi)部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實(shí)現(xiàn)獲證客戶目標(biāo)和各管理體系的預(yù)期結(jié)果方面的有效性；（5）