2024年8月信息安全管理體系審核員(ISMS)考試題目含解析

2024年8月信息安全管理體系審核員(ISMS)考試題目一、單項選擇題1、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術對其分析2、ISMS關鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量3、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子?（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞4、關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯(lián)B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑5、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應用網(wǎng)關C、擴展的日志記錄能力D、包交換6、不屬于計算機病毒防治的策略的是（）A、確認您手頭常備一張真正“干凈”的引導盤B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測D、整理磁盤7、關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任8、形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性9、設置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制10、若通過桌面系統(tǒng)對終端實行IP、MAC綁定，該網(wǎng)絡IP地址分配方式應為（）A、靜態(tài)B、動態(tài)C、均可D、靜態(tài)達到50%以上即可11、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確12、組織應在相關（）上建立信息安全目標A、組織環(huán)境和相關方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次13、關于容量管理，以下說法不正確的是（）A、根據(jù)業(yè)務對系統(tǒng)性能的需求，設置閾值和監(jiān)視調整機制B、針對業(yè)務關鍵性，設置資源占用的優(yōu)先級C、對于關鍵業(yè)務，通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃14、當發(fā)生不符合時，組織應（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應，適用時：采取措施，以控制予以糾正；處理后果15、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器16、口令管理系統(tǒng)應該是（）,并確保優(yōu)質的口令A、唯一式B、交互式C、專人管理式D、A+B+C17、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術使其支持語音I.P電話(VOI.P,voice-overI.P)服務，那么，需要首要關注的是（）。A、服務的可靠性和質量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?8、制定信息安全管理體系方針，應予以考慮的輸入是（）A、業(yè)務戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部19、關于投訴處理過程的設計，以下說法正確的是：（）A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用20、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項都正確21、風險評價是指（）A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調活動D、以上都對22、殘余風險是指:（）A、風險評估前，以往活動遺留的風險B、風險評估后，對以往活動遺留的風險的估值C、風險處置后剩余的風險，比可接受風險低D、風險處置后剩余的風險，不一定比可接受風險低23、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV224、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度25、文件化信息創(chuàng)建和更新時，組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準26、測量控制措施的有效性以驗證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實施和運行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進階段27、關于《中華人民共和國網(wǎng)絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設,同步使用28、依據(jù)GB/T220802016/SO/EC.27001:2013標準，組織應（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力29、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統(tǒng)、水氣暖供應系統(tǒng)D、以上全部30、與某個特定配置項相關的項目信息被存儲到配置管理數(shù)據(jù)庫，這種項目稱為：A、組件B、特色C、屬性D、特性31、(）是確保信息沒有非授權泄密，即信息不被未授權的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性32、防止計算機中信息被竊取的手段不包括（）A、用戶識別B、權限控制C、數(shù)據(jù)加密D、數(shù)據(jù)備份33、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改34、關于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C、顧客認為其要求己得到滿足，即意味著顧客滿意D、組織認為顧客要求己得到滿足，即意味著顧客滿意35、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據(jù)授權實體的要求可訪問的特性D、保護信息準確和完整的特性?36、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子？（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞37、IT服務管理中所指"服務目錄"是：（）A、一個包含生產(chǎn)環(huán)境IT服務信息的結構化文件，應與服務級別協(xié)議一致B、一個服務項目命名清單，不可隨意更改C、一個定義服務內(nèi)容的企業(yè)標準D、定義IT服務分類的行業(yè)或國家標準38、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定39、GB/T29246標準為組織和個人提供（）A、建立信息安全管理體系的基礎信息B、信息安全管理體系的介紹C、ISMS標準族已發(fā)布標準的介紹D、1SMS標準族中使用的所有術語和定義40、組織應（），以確信相關過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度二、多項選擇題41、以下說法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計的一種B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估42、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設備管理D、處理器管理43、設計一個信息安全風險管理工具，應包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程44、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求45、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術46、對于信息安全方針,（）是GB/T22080-2016標準要求的(分數(shù):10.00分)A、信息安全方針應形成文件B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義D、信息安全方針應定期實施評審47、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核48、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業(yè)概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準49、《信息安全等級保護管理辦法》的分級是依據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對（）的危害程度等因素確定。A、公民、法人和其他組織的合法權益B、公共利益C、國家安全D、社會秩序50、關于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則51、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性52、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據(jù)D、以上都不對53、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業(yè)務案例和數(shù)據(jù)C、員工調換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應一致54、為控制文件化信息，適用時，組織應強調以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理55、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求三、判斷題56、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）正確錯誤57、從審核開始到結束,審核組長應對審核實施負責正確錯誤58、組織應適當保留信息安全目標文件化信息（）正確錯誤59、當需要時，組織可設計控制，或識別來自任何來源的控制。（）正確錯誤60、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾正確錯誤61、ISO/IEC27006是ISO/IEC17021的相關要求的補充。(）正確錯誤62、流量監(jiān)控能夠有效實現(xiàn)對敏感數(shù)據(jù)的過濾（)正確錯誤63、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性（）正確錯誤64、組織應適當保留信息安全目標文件化信息。（）正確錯誤65、某互聯(lián)網(wǎng)服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規(guī)定的安全控制程序，無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。（)正確錯誤

參考答案一、單項選擇題1、C2、D3、B4、C5、D6、D7、A解析:《中華人民共和國網(wǎng)絡安全法》第36條，關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。故選A8、C9、A10、A11、D解析:信息處理設施，任何的信息處理系統(tǒng)，服務或基礎設施，或其安裝的物理位置，abc選項均屬于信息處理設施變更管理范疇，故選D12、D13、C14、D15、D16、B17、A18、D19、A解析:質量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A20、D21、B22、D23、A24、D25、D26、C27、A28、C29、D30、C31、C32、D33、D34、C35、B36、B37、A38