2022年第一期國家ISMS信息安全管理體系審核員考試題目含解析

2022年第一期國家ISMS信息安全管理體系審核員考試題目一、單項選擇題1、為信息系統(tǒng)用戶注冊時，以下正確的是:（）A、按用戶的職能或業(yè)務角色設定訪問權(quán)B、組共享用戶ID按組任務的最大權(quán)限注冊C、預設固定用戶ID并留有冗余，以保障可用性D、避免頻繁變更用戶訪問權(quán)2、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡地址欺騙3、下列哪項對于審核報告的描述是錯誤的？（）A、主要內(nèi)容應與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對4、當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認5、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改6、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責之一A、電信管理機構(gòu)B、公安機關C、國家安全機關D、國家保密局7、風險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響8、經(jīng)過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險9、變更請求為提出針對服務、（）或IT服務管理體系（ITSMS）的變更建議A、服務組件B、服務軟件C、配置項D、配置管理數(shù)據(jù)庫10、在發(fā)布一個軟件升級，修復某個已知錯誤后，哪個流程能確保配置信息被正確更新（）A、變更管理B、服務級別管理C、配置管理D、發(fā)布和部署管理11、《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年12、密碼技術不適用于控制下列哪種風險？（）A、數(shù)據(jù)在傳輸中被竊取的風險B、數(shù)據(jù)在傳輸中被篡改的風險C、數(shù)據(jù)在傳輸中被損壞的風險D、數(shù)據(jù)被非授權(quán)訪問的風險13、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確14、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規(guī)程C、對信息安全事件進行響應D、在組織內(nèi)通報信息安全事件15、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在()向當?shù)乜h民政府公安機關報告A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)16、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關于網(wǎng)絡服務的訪問控制策略,以下正確的是()A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制17、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼18、關于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護19、關于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時，使用密碼技術、生物識等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應遵從的優(yōu)質(zhì)口令策略D、使用互動式管理確保用戶使用優(yōu)質(zhì)口令20、在運行階段，組織應（）A、策劃信息安全風險處置計劃，保留文件化信息B、實現(xiàn)信息安全風險處置計劃，保留文件化信息C、測量信息安全風險處置計劃，保留文件化信息D、改進信息安全風險處置計劃，保留文件化信息21、容量管理的對象包括（）A、服務器內(nèi)存B、網(wǎng)絡通信帶寬C、人力資源D、以上全部22、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質(zhì)D、以上都對23、根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,計算機信息系統(tǒng)安全保護能力分為（）等級。A、5B、6C、3D、424、組織應（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)25、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是26、"多級SLA"是一個三層結(jié)構(gòu)，下列哪層不是這樣類型SLA的部分？()A、客戶級別B、公司級別C、配置級別D、服務級別27、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新28、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定29、IT服務管理中所指"服務目錄"是：（）A、一個包含生產(chǎn)環(huán)境IT服務信息的結(jié)構(gòu)化文件，應與服務級別協(xié)議一致B、一個服務項目命名清單，不可隨意更改C、一個定義服務內(nèi)容的企業(yè)標準D、定義IT服務分類的行業(yè)或國家標準30、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低31、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV232、對保密文件復印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性33、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復制D、篡改34、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失就意味著顧客滿意C、顧客認為其要求已得到滿足,即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意35、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類是其基礎B、采用組織固定資產(chǎn)臺賬即可C、無需關注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B36、某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關鍵數(shù)據(jù)實施時需要（）A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風險（即：把非授權(quán)者錯誤識別為授權(quán)者的風險）C、在指紋識別的基礎上增加口令保護D、保護非授權(quán)用戶不可能訪問到關鍵數(shù)據(jù)37、ISMS文件評審需考慮（）A、收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎、請受審核方確認ISMS文件審核報告，并簽字C、確認受審核方文件與標準的符合性,并提出改進意見D、雙方就ISMS文件框架交換不同意見38、以下對GB/T22081-2016/IS0/IEC27002:2013標準的描述，正確的是（）A、該標準屬于要求類標準B、該標準屬于指南類標準C、該標準可用于一致性評估D、組織在建立ISMS時，必須滿足該標準的所有要求39、下列措施中，（）是風險管理的內(nèi)容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是40、考慮不同時段的工作負數(shù)的差異收費用于(）。A、故障樹分析(FTA）B、可用性計劃C、服務級別管理D、風險分析和管理法二、多項選擇題41、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處置42、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數(shù):10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審43、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務，應當向（）電信管理機構(gòu)或者國務院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)44、下列哪些是服務預算與核算管理必須的？（）A、服務計費B、服務實際成本C、服務成本預算D、監(jiān)視成本45、依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟建設設有重大負面影響46、計算機信息系統(tǒng)的安全保護，應保障（）A、計算機及相關配套設施的安全B、網(wǎng)絡安全C、運行環(huán)境安全D、計算機功能和正常發(fā)揮47、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告48、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求49、針對敏感應用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務運行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權(quán)限50、《中華人民共和國網(wǎng)絡安全法》是為了保障網(wǎng)絡安全,（）A、維護網(wǎng)絡空間主權(quán)B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益51、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核52、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務連續(xù)性的知識B、有關有形和無形資產(chǎn)及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識53、對風險安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重身份鑒別機制B、對用戶和數(shù)據(jù)采用安全標記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡安全等級測評工作54、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應當通過國家保密局授權(quán)的檢測機構(gòu)檢測C、使用的信息安全保密產(chǎn)品應當通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平55、《中華人民共和國網(wǎng)絡安全法》的宗旨是（）A、維護網(wǎng)絡空間主權(quán)B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益三、判斷題56、組織的業(yè)務連續(xù)性策略即其信息安全連續(xù)性策略。正確錯誤57、敏感信息通過網(wǎng)絡傳輸時必須加密處理。（)正確錯誤58、組織的內(nèi)外部相關方要求屬于組織的內(nèi)部和外部事項”（）正確錯誤59、某組織定期請第三方對其IT系統(tǒng)進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）正確錯誤60、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）正確錯誤61、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾。（）正確錯誤62、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）正確錯誤63、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網(wǎng)絡的有效帶寬。（）正確錯誤64、風險源是指那些可能導致消極后果或積極后果的因素和危害的來源。（）正確錯誤65、組織業(yè)務運行使用云基礎設施服務,同時員工通過自有手機APP執(zhí)行業(yè)務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）正確錯誤

參考答案一、單項選擇題1、A2、A3、A4、B解析:2700214,2,3運行平臺變更后對應用的技術評審，當運行平臺發(fā)生變更時，應對業(yè)務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B5、D6、B7、B8、D9、A10、C11、D12、C13、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D14、D15、C16、B17、D18、A19、B20、B21、D22、B23、A24、C25、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D26、C27、B28、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實體的需求而定，故選A29、A30、D31、A32、A33、D34、C35、A36、A37、A38、B39、D40、B二、多項選擇題41、A,B,C42、A,D43、A,B,C44、B,C,D45、A,B,D46、A,B,C,D47、A,B,C,D48、B,D49、B,C50、A,B,C,D51、B,C,D52、A