2021年10月ISMS信息安全管理體系審核員考試試題（網(wǎng)友回憶版）

2021年10月ISMS信息安全管理體系審核員考試試題（網(wǎng)友回憶版）[單選題]1.ISO/IEC2（江南博哥）7001描述的風(fēng)險(xiǎn)分析過程不包括()A.分析風(fēng)險(xiǎn)發(fā)生的原因B.確定風(fēng)險(xiǎn)級(jí)別C.評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D.評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性參考答案：A[單選題]4.在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是()A.數(shù)據(jù)竊聽B.誤操作C.數(shù)據(jù)流分析D.數(shù)據(jù)篡改參考答案：D[單選題]5.ISO/IEC27001所采用的過程方法是()A.PPTR方法B.SMART方法C.PDCA方法D.SWOT方法參考答案：C[單選題]6.以下哪些可由操作人員執(zhí)行？()A.審批變更B.更改配置文件C.安裝系統(tǒng)軟件D.添加/刪除用戶參考答案：C[單選題]7.《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起()內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)。A.2年B.3年C.4年D.5年參考答案：D[單選題]8.《信息技術(shù)安全技術(shù)信息安全治理》對(duì)應(yīng)的國際標(biāo)準(zhǔn)號(hào)為()A.ISO/IEC27011B.ISO/IEC27012C.ISO/IEC27013D.ISO/IEC27014參考答案：D[單選題]9.文件化信息指()A.組織創(chuàng)建的文件B.組織擁有的文件C.組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D.對(duì)組織有價(jià)值的文件參考答案：C[單選題]10.由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是()A.認(rèn)證B.認(rèn)可C.審核D.評(píng)審參考答案：B[單選題]11.根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級(jí)為()A.特密B.絕密C.機(jī)密D.秘密參考答案：B[單選題]12.被黑客控制的計(jì)算機(jī)常被稱為()A.蠕蟲B.肉雞C.灰鴿子D.木馬參考答案：B[單選題]13.防火墻提供的接入模式不包括()A.透明模式B.混合模式C.網(wǎng)關(guān)模式D.旁路接入模式參考答案：D[單選題]14.設(shè)置防火墻策略是為了()A.進(jìn)行訪問控制B.進(jìn)行病毒防范C.進(jìn)行郵件內(nèi)容過濾D.進(jìn)行流量控制參考答案：A[單選題]15.組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時(shí)可以不包括()A.溝通周期B.溝通內(nèi)容C.溝通時(shí)間D.溝通對(duì)象參考答案：A[單選題]16.審核抽樣時(shí)，可以不考慮的因素是()A.場(chǎng)所差異B.管理評(píng)審的結(jié)果C.最高管理者D.內(nèi)審的結(jié)果參考答案：C[單選題]17.PKI的主要組成不包括()A.SSLB.CRC.CAD.RA參考答案：A[單選題]18.ISO/IEC27701是()A.是一份基于27002的指南性標(biāo)準(zhǔn)B.是27001和27002的隱私保護(hù)方面的擴(kuò)展C.是ISMS族以外的標(biāo)準(zhǔn)D.在隱私保護(hù)方面擴(kuò)展了270001的要求參考答案：B[單選題]19.根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A.警告B.罰款C.沒收違法所得D.吊銷許可證參考答案：A[單選題]20.關(guān)于內(nèi)部審核下面說法不正確的是()。A.組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B.通過內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)C.組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案D.組織應(yīng)確保審核結(jié)果報(bào)告至管理層參考答案：C[單選題]21.依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是()A.信息安全政策的培訓(xùn)者與審計(jì)之間的職責(zé)分離B.職責(zé)分離的是不同管理層級(jí)之間的職責(zé)分離C.信息安全策略的制定者與受益者之間的職責(zé)分離D.職責(zé)分離的是不同用戶組之間的職責(zé)分離參考答案：B[單選題]22.對(duì)全國密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是()A.中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B.國家密碼管理部門C.中央國家機(jī)關(guān)D.全國人大委員會(huì)參考答案：A[單選題]23.關(guān)于適用性聲明下面描述錯(cuò)誤的是()A.包含附錄A中控制刪減的合理性說明B.不包含未實(shí)現(xiàn)的控制C.包含所有計(jì)劃的控制D.包含附錄A的控制及其選擇的合理性說明參考答案：B[單選題]24.()是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個(gè)人、實(shí)現(xiàn)或過程，不為其所用。A.搞抵賴性B.完整性C.機(jī)密性D.可用性參考答案：C[單選題]25.以下說法不正確的是()A.應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)審B.應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C.制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無影響D.安全計(jì)劃應(yīng)適時(shí)更新參考答案：C[單選題]26.風(fēng)險(xiǎn)識(shí)別過程中需要識(shí)別的方面包括:資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、()?A.識(shí)別可能性和影響B(tài).識(shí)別脆弱性和識(shí)別后果C.識(shí)別脆弱性和可能性D.識(shí)別脆弱性和影響參考答案：B[單選題]27.《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是()A.指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B.指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C.指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D.指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用參考答案：A[單選題]28.關(guān)于顧客滿意，以下說法正確的是：()A.顧客沒有抱怨，表示顧客滿意B.信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失就意味著顧客滿意C.顧客認(rèn)為其要求已得到滿足,即意味著顧客滿意D.組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意參考答案：C[單選題]29.根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有()A.所需審核組能力的要求B.客戶組織的準(zhǔn)備程度C.所需能力的審核組成員D.客戶組織的場(chǎng)所分布參考答案：C[單選題]30.文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)?)A.對(duì)適宜性和有效性的評(píng)審和批港B.對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C.對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D.對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)參考答案：D[單選題]31.《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括()?A.體系覆蓋的人數(shù)B.使用的信息系統(tǒng)的數(shù)量C.用戶的數(shù)量D.其他選項(xiàng)都正確參考答案：D[單選題]32.根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為()等級(jí)。A.5B.6C.3D.4參考答案：A[單選題]33.建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予()信息A.相關(guān)方B.供應(yīng)商C.顧客D.上級(jí)機(jī)關(guān)參考答案：A[單選題]34.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減()。A.4-10B.1-10C.4-7和9-10D.4-10和附錄A參考答案：A[單選題]35.關(guān)于GB/T28450,以下說法正確的是()。A.增加了ISMS的審核指導(dǎo)B.與ISO19011一致C.與ISO/IEC27000一致D.等同采用了ISO19011參考答案：A[單選題]36.根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是()A.參加信息安全培訓(xùn)B.背景調(diào)査C.安全技能與崗位要求匹配的評(píng)估D.簽署保密協(xié)議參考答案：A[單選題]37.Saas是指()?A.軟件即服務(wù)B.服務(wù)平臺(tái)即月勝C.服務(wù)應(yīng)用即服務(wù)D.服務(wù)瞇即服務(wù)參考答案：A[單選題]38.信息是消除()的東西A.不確定性B.物理特性C.不穩(wěn)定性D.干擾因素參考答案：A[單選題]39.組織應(yīng)在相關(guān)()上建立信息安全目標(biāo)A.組織環(huán)境和相關(guān)方要求B.戰(zhàn)略和意思C.戰(zhàn)略和方針D.職能和層次參考答案：D[單選題]40.在我國信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為()A.設(shè)備要求和網(wǎng)絡(luò)要求B.硬件要求和軟件要求C.物理要求和應(yīng)用要求D.技術(shù)要求和管理要求參考答案：D[多選題]1.根據(jù)《中華人民共和國密碼法》，密碼工作堅(jiān)持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，()依法管理、保障安全的原則。A.創(chuàng)新發(fā)展B.分級(jí)應(yīng)用C.服務(wù)大局D.分級(jí)負(fù)責(zé)參考答案：ACD[多選題]2.最高管理層應(yīng)建立信息安全方針,方針應(yīng)()A.對(duì)相關(guān)方可用B.包括對(duì)持續(xù)改進(jìn)ISMS的承諾C.包括信息安全目標(biāo)D.與組織意圖相適宜參考答案：ABCD[多選題]3.下列哪些屬于網(wǎng)絡(luò)攻擊事件()A.釣魚攻擊B.后門攻擊事件C.社會(huì)工程攻擊D.DOS攻擊參考答案：ABD[多選題]4.依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括()A.信息備份策略B.訪問控制策略C.信息傳輸策略D.密鑰管理策略參考答案：ABCD[多選題]5.風(fēng)險(xiǎn)處置包括()A.風(fēng)險(xiǎn)降低B.風(fēng)險(xiǎn)計(jì)劃C.風(fēng)險(xiǎn)控制D.風(fēng)險(xiǎn)轉(zhuǎn)移參考答案：AD[多選題]6.認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備()A.管理體系的知識(shí)B.ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)C.與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)D.信息安全的知識(shí)參考答案：ABCD[多選題]7.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向()電信管理機(jī)構(gòu)或者國務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A.省B.自治區(qū)C.直轄市D.特別行政區(qū)參考答案：ABC[多選題]8.按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可以分為()A.局域網(wǎng)B.城域網(wǎng)C.廣域網(wǎng)D.區(qū)域網(wǎng)參考答案：ABC[多選題]9.操作系統(tǒng)的基本功能有()A.存儲(chǔ)管理B.文件管理C.設(shè)備管理D.處理器管理參考答案：ABCD[多選題]10.移動(dòng)設(shè)備策略宜考慮()?A.移動(dòng)設(shè)備注冊(cè)B.惡意軟件防范C.訪問控制D.物理保護(hù)要求參考答案：ABCD[多選題]11.管理評(píng)審的輸出包括()A.管理評(píng)審報(bào)告B.持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定C.管理評(píng)審會(huì)議紀(jì)要D.變更信息的安全管理體系任何需求參考答案：BD[多選題]12.ISO/IEC27000,以下說法正確的是()A.ISMS族包含闡述要求的標(biāo)準(zhǔn)B.ISMS族包含闡述通用概論的標(biāo)準(zhǔn)C.ISMS族包含特定行業(yè)概述的標(biāo)準(zhǔn)D.ISMS族包含闡述ISMS概述和詞匯的標(biāo)準(zhǔn)參考答案：ABCD[多選題]13.信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是()A.根據(jù)工作需要僅獲得最小的知悉權(quán)限B.工作人員僅讓滿足工作所需要的信息C.工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍D.得到管理者批準(zhǔn)的信息是可訪問的信息參考答案：ABC[多選題]14.ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過程要形成文件化的信息？()A.信息安全方針B.信息安全風(fēng)險(xiǎn)處置過程C.溝通記錄D.信息安全目標(biāo)參考答案：ABD[多選題]15.關(guān)于目標(biāo)，下列說法正確的是()A.目標(biāo)現(xiàn)的結(jié)果B.溝通記錄C.目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D.目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品參考答案：ABD[判斷題]1.《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的()A.正確B.錯(cuò)誤參考答案：B參考解析：2017年6月1日實(shí)施[判斷題]2.檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無意錯(cuò)誤操作導(dǎo)致的影響()A.正確B.錯(cuò)誤參考答案：A[判斷題]3.信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。()A.正確B.錯(cuò)誤參考答案：B[判斷題]4.容量管理策略可以考慮增加容量或降低容量要求()A.正確B.錯(cuò)誤參考答案：A[判斷題]5.組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定()?A.正確B.錯(cuò)誤參考答案：B[判斷題]6.GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)()A.正確B.錯(cuò)誤參考答案：A[判斷題]7.計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）