2022年3月信息安全管理體系審核員(ISMS)復習題含解析

2022年3月信息安全管理體系審核員(ISMS)復習題一、單項選擇題1、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、作出是否換發(fā)證書的決定2、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新3、組織應（）與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保4、信息安全事態(tài)、事件和事故的關系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)5、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人6、依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息7、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段8、下列不屬于取得認證機構資質應滿足條件的是（）。A、取得法人資格B、有固定的場所C、完成足夠的客戶案例D、具有足夠數量的專職認證人員9、依據GB/T22080/ISO/IEC27001,關于網絡服務的訪問控制策略，以下正確的是（）A、網絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網絡服務C、可以通過防病毒產品實現對內部用戶的網絡訪問控制D、可以通過常規(guī)防火墻實現對內部用戶訪問外部網絡的訪問控制10、ISMS關鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的（）系統A、報告B、傳遞C、評價D、測量11、依據《中華人民共和國網絡安全法》應予以重點保護的信息基礎設施，指的是()A、一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數據泄雷，可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數據泄露，可能危害國家安全、國計民生的信息基礎設施D、—旦遭到破壞、數據泄露，可能危害國家安全、國計民生、公共利益的網絡系統12、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數據竊聽B、誤操作C、數據流分析D、數據篡改13、根據《互聯網信息服務管理辦法》，互聯網接入服務提供者應當記錄上網用戶的(）A、用戶帳號、上網時間、訪問端口信息B、用戶帳戶、上網時間、訪問內容C、用戶帳號、訪問IP地址、用戶計算機型號D、上網時間、用戶帳號、互聯網地址14、在我國信息系統安全等級保護的基本要求中針對每一級的基本要求分為（）A、設備要求和網絡要求B、硬件要求和軟件要求C、物理要求和應用要求D、技術要求和管理要求15、組織應()與其意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內部事項。A、確定B、制定C、落實D、確保16、ISO/IEC27001所采用的過程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法17、已知錯誤是一個已識別根本原因或解決方案降低或消除對服務影響的()A、問題B、事件C、錯誤D、事態(tài)18、當操作系統發(fā)生變更時,應對業(yè)務的關鍵應用進行()以確保對組織的運行和安全沒有負面影響A、隔離和遷移B、評審和測試C、評審和隔離D、驗證和確認19、依據《中華人民共和國網絡安全法》，以下正確的是（）。A、檢測記錄網絡運行狀態(tài)的相關網絡日志保存不得少于2個月B、檢測記錄網絡運行狀態(tài)的相關網絡日志保存不得少于12月C、檢測記錄網絡運行狀態(tài)的相關網絡8志保存不得少于6個月D、重要數據備份保存不得少于12個月，網絡日志保存不得少于6個月20、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區(qū)域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區(qū)域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區(qū)域21、以下對GB/T22081-2016/IS0/IEC27002:2013標準的描述，正確的是（）A、該標準屬于要求類標準B、該標準屬于指南類標準C、該標準可用于一致性評估D、組織在建立ISMS時，必須滿足該標準的所有要求22、依據ISO/IEC20000-1:2018,服務目錄應()A、描述服務及其結果B、由顧客制定C、是合同的一部分D、是統一所有服務描述的匯總23、在訪問因特網時，為了防止Web網頁中惡意代碼對自己計算機的損害，可以采取的防范措施是(）A、利用SSL訪問Web站點B、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區(qū)域C、在瀏覽器中安裝數字證書D、利用IP安全協議訪問Web站點24、ISO/IEC20000-1的最新版是()版A、2018B、2005C、2020D、201125、一家投資顧問商定期向客戶發(fā)送有關經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件26、以下說法不正確的是(）A、應考慮組織架構與業(yè)務目標的變化的風險評估進行再評審B、應考慮以往未充分識別的威脅對風險評估結果進行再評估C、制造部增加的生產場所對信息安全風險無影響D、安全計劃應適時更新27、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結果C、最高管理者D、內審的結果28、信息安全殘余風險是（）。A、沒有處置完成的風險B、沒有評估的風險C、處置之后仍存在的風險D、處置之后沒有報告的風險29、依據GB/T22080-2016/IS0/IEC27001:2013，以下關于資產清單正確的是（）。A、做好資產分類是其基礎B、采用組織固定資產臺賬即可C、無需關注資產產權歸屬者D、A+B30、根據ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布31、()對于信息安全管理負有責任A、高級管理層B、安全管理員C、IT管理員D、所有與信息系統有關人員32、對于較大范圍的網絡，網絡隔離是（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對33、ISMS文件的多少和詳細程度取于A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、A+B+C34、依據GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力35、物理安全周邊的安全設置應考慮：（）A、區(qū)域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C36、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、以上全部37、IT部門中的所有服務是否都要包含在認證范圍以內？（）A、是的，整個范圍的服務都要包含在認證范圍之內B、只有當其都被提供給相同的客戶群體時C、不，該范圍可限制為服務的子集D、取決于該服務為內部提供還是外部提供38、依據GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確39、依據GB/T22080，關于職責分離，以下說法正確的是(）A、信息安全政策的培訓者與審計之間的職責分離B、職責分離的是不同管理層級之間的職責分離C、信息安全策略的制定者與受益者之間的職責分離D、職責分離的是不同用戶組之間的職責分離40、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應二、多項選擇題41、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置42、下列哪些是服務預算與核算管理必須的？（）A、服務計費B、服務實際成本C、服務成本預算D、監(jiān)視成本43、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后44、問題管理的輸入不包括（）A、變更請求B、問題解決方案C、事件記錄D、新的已知錯誤45、以下（）活動是ISMS建立階段應完成的內容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓46、組織的信息安全管理體系初次認證應包括的審核活動是A、審核準備B、第一階段審核C、第二階段審核D、認證決定47、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網監(jiān)控系統B、計算機制造企業(yè)IDC供電系統C、髙等院校網絡接入設施D、高鐵信號控制系統48、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）A、信息安全可以按過程管理，采用這種方法時不必再編制資產清單B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高49、審核計劃中應包括（）A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排50、關于審核發(fā)現，以下說法正確的是：（）A、審核發(fā)現是收集的審核證據對照審核準則進行評價的結果B、審核發(fā)現包括正面的和負面的發(fā)現C、審核發(fā)現是審核結論的輸入D、審核發(fā)現是制定審核準則的依據51、管理評審的輸出應包括（）A、與持續(xù)改進機會相關的決定B、變更信息安全管理體系的任何需求C、相關方的反饋D、信息安全方針執(zhí)行情況52、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處理53、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理54、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格率D、過程中存在偶然波動還是異常波動55、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新三、判斷題56、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）正確錯誤57、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。（）正確錯誤58、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）正確錯誤59、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）正確錯誤60、風險處置計劃和信息安全殘余風險應獲得最高管理者的授受和批準。（）正確錯誤61、組織應適當保留信息安全目標文件化信息（）正確錯誤62、信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）正確錯誤63、某組織在生產系統上安裝升級包前制定了回退計劃，這符合GB/T22080-2016/ISO/IEC27001:2013標準A12,5,1條款的要求（）正確錯誤64、某組織租用第三方數據中心機房托管其IT系統設備，因此認證審核時不必審核計算機機房物理安全的相關內容()正確錯誤65、《中華人民共和國網絡安全法》是2017年1月1日開始實施的（）正確錯誤

參考答案一、單項選擇題1、D解析:監(jiān)督審核是現場審核，但不一定是對整個體系的審核，并應與其他監(jiān)督活動一起策劃，以使認證機構能對獲證客戶管理體系在認證周期內持續(xù)滿足要求保持信任。相關管理體系標準的每次監(jiān)督審核應包括對以下方面的審查：（1）內部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現獲證客戶目標和各管理體系的預期結果方面的有效性；（5）為持續(xù)改進而策劃的活動的進展；（6）持續(xù)的運作控制；（7）任何變更；（8）標志的使用和（或）任何其他對認證資格的引用。綜上A,B,C項均是監(jiān)督審核的目的，故選D。另外，再認證的策劃和及時實施，才能確保認證能在到期前及時更新，監(jiān)督審核不能決定是否換發(fā)證書2、B3、A解析:理解組織及其環(huán)境4、D5、C6、C7、C8、C9、B解析:網絡和網絡服務的訪問，應僅向用戶提供他們已獲專門授權使用的網絡和網絡服務的訪問。cd選項錯誤，必須是已授權用戶才可訪問。A選項錯誤，在家登錄，不符合安全訪問控制策略。故選B10、D11、A12、D13、D14、D15、A16、C17、A18、B19、C20、A21、B22、A23、B24、A25、C26、C27、C28、C解析:參考GB/T20984-2007信息安全風險評估規(guī)范，3,12殘余風險是指采取了安全措施后，信息系統仍然可能存在的風險。故選C29、A30、C31、D32、B33、D34、B35、D36、D37、C38、D解析:信息安全目標及其實現規(guī)劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D39、B40、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏⒍囗椷x擇題41、A,B,C42、B,C,D43、A,B,C44、A,B,D45、A,B,C46、B,C47、A,B,C,D48、A,B,C49、B,C,D解析