ISMS信息安全管理體系審核員模擬試卷一（題庫）

ISMS信息安全管理體系審核員模擬試卷一（題庫）[單選題]1.信息安全應(yīng)急響應(yīng)計劃的制定是一個周（江南博哥）而復(fù)始的、持續(xù)改進的過程，以下哪個階段不在其中？A.應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的制定B.編制應(yīng)急響應(yīng)計劃文檔C.應(yīng)急響應(yīng)計劃的測試、培訓(xùn)、演練和維護D.應(yīng)急響應(yīng)計劃的廢棄與存檔參考答案：D[單選題]2.鑒別是用戶進入系統(tǒng)的第一道安全防線。用戶登錄系統(tǒng)時，輸入用戶名和密碼就是對用戶身份進行鑒別，鑒別通過，即可以實現(xiàn)兩個實體之間的連接。例如，一個用戶被服務(wù)器鑒別通過后，則被服務(wù)器認(rèn)為是合法用戶，才可以進行后續(xù)訪問。鑒別是對信息的一項安全屬性進行驗證，該屬性屬于下列選項中的（）A.保密性B.可用性C.真實性D.完整性參考答案：A[單選題]3.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)絡(luò)中利用隧道妓術(shù)，建立一個臨時的、安全的網(wǎng)絡(luò)，這里的字母P的正確解釋是（）A.Specific-purpose,特定，專用用途的B.Proprietary,專有的、專賣的C.Private,私有的、專有的D.Specific,特種的、具體的參考答案：C[單選題]5.在信息安全管理體系的實施過程中，管理者的作用對于信息安全管理體系能否成功實施非常重要，但是以下選項中不屬于管理者應(yīng)有職責(zé)的是（）。A.制定并頒布信息安全方針，為組織的信心安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B.明確組織的信息安全管理體系目標(biāo)和相應(yīng)計劃得以制定，目標(biāo)應(yīng)明確，可度量，計劃應(yīng)具體可實施C.向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求，達成信息安全目標(biāo)，符合信息安全方針，履行法律責(zé)任和持續(xù)改進的重要性D.建立健全信息安全制度，明確安全風(fēng)險管理作用，實施信息安全風(fēng)險評估過程，確保信息安全風(fēng)險評估技術(shù)選擇合理計算正確參考答案：D[單選題]6.隨著信息技術(shù)的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時，發(fā)生的信息安全事件也越來越多，綜合分析信息安全問題產(chǎn)生的根源，下面描述正確的是（）。A.信息系統(tǒng)自身存在脆弱性是根本原因，信息系統(tǒng)越來越重要，同時自身在開發(fā)、部署和使用過程中存在的脆弱性，導(dǎo)致了諸多的信息安全事件發(fā)生，因此，杜絕脆弱性的存在是解決信息安全問題的根本所在B.信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來越廣泛，接觸信息系統(tǒng)的人越多,信息系統(tǒng)越可能遭受攻擊。因此，避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題C.信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個方面分析，因為信息系統(tǒng)自身存在脆弱性，同時外部又有威脅源，從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此，要防范信息安全風(fēng)險，需從內(nèi)外因同時著手D.信息安全問題的根本原因是內(nèi)因、外因和人三個因素的綜合作用。內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生，但最重要的還是人的因素，外部攻擊者和內(nèi)部工作人員通過遠(yuǎn)程攻擊參考答案：C[單選題]7.自ISO27001:2005標(biāo)準(zhǔn)發(fā)布以來，此標(biāo)準(zhǔn)在國際上獲得了空前的認(rèn)可，相當(dāng)數(shù)量的組織采納并進行了（）的認(rèn)證。在我國，自從2008年將27001:2005轉(zhuǎn)化為骨架標(biāo)準(zhǔn)GB/T22080：2008以來，信息安全管理（）在國內(nèi)進一步獲得了全面推廣。越來越多的行業(yè)和組織認(rèn)識到（）的重要性，并把它作為（）工作之一開展起來。依據(jù)慣例，iso組織每5年左右會對標(biāo)準(zhǔn)進行一次升級。2013年10月19日，ISO組織正式發(fā)布了新版的信息安全管理（）（ISO27001:2013）A.體系認(rèn)證；信息安全管理體系；信息安全；基礎(chǔ)管理；體系標(biāo)準(zhǔn)B.信息安全管理體系；體系認(rèn)證；信息安全；基礎(chǔ)管理；體系標(biāo)準(zhǔn)C.信息安全管理體系；信息安全；基礎(chǔ)管理；體系認(rèn)證；體系標(biāo)準(zhǔn)D.信息安全管理體系；基礎(chǔ)管理；體系認(rèn)證；信息安全；體系標(biāo)準(zhǔn)參考答案：B[單選題]8.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升了250%,盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對措施，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措施：A.在防火墻上設(shè)置策略，阻止所有的ICMP流量進入（關(guān)掉ping）B.刪除服務(wù)器上的ping.exe程序C.增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊D.增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊參考答案：A[單選題]9.商用密碼用于保護（）的信息。A.國家秘密B.商業(yè)領(lǐng)域C.不屬于國家秘密D.商業(yè)技術(shù)參考答案：C[單選題]10.《中華人民共和國密碼法》于（）開始正式實施A.2020年1月1日B.2019年12月1日C.2020年3月1日D.2019年10月26日參考答案：A[單選題]11.國家密碼管理部門負(fù)責(zé)管理全國的密碼工作。（）以上地方各級密碼管理部門負(fù)責(zé)管理本行政區(qū)域的密碼工作。A.縣級B.市級C.地方D.省級參考答案：A[單選題]12.可信驗證是指（）A.基于可信根的B.對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序等進行可信驗證C.當(dāng)可信受到破壞后進行報警D.以上都對參考答案：D[單選題]13.由認(rèn)可機構(gòu)對認(rèn)證機構(gòu)、檢查機構(gòu)、實驗室以及從事評審、審核等認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評審活動是（）。A.認(rèn)證B.認(rèn)可C.審核D.評審參考答案：B[單選題]14.實施風(fēng)險處置計劃包括（）A.測試并評估控制措施B.需要與所有利益相關(guān)方對所工作內(nèi)容、職責(zé)、進度等進行溝通C.對項目方案進行必要的培訓(xùn)D.以上都包括參考答案：D[單選題]15.審核時發(fā)現(xiàn)存在不可接受風(fēng)險，審核員應(yīng)該（）。A.繼續(xù)了解是否得到最高管理層的批準(zhǔn)B.繼續(xù)了解是否有處置計劃C.繼續(xù)了解是否有替代方案D.繼續(xù)了解是否需要重新評估參考答案：B[多選題]1.密碼按各類分為（）A.核心密碼B.普通密碼C.動態(tài)密碼D.商用密碼參考答案：ABD[多選題]2.對于信息安全風(fēng)險評估，下列選項中錯誤的是（）。A.風(fēng)險評估只需要實施一次就可以B.風(fēng)險評估應(yīng)該根據(jù)變化了的情況定期或不定期的適時地進行C.風(fēng)險評估不需要形成文化評估結(jié)果報告D.風(fēng)險評估僅對網(wǎng)絡(luò)做定期的掃描就行參考答案：ACD[多選題]3.信息安全風(fēng)險評估是針對事物潛在影響正常執(zhí)行器職能的行為產(chǎn)生于優(yōu)減有破壞的因素進行識別、評價的過程下列選項中屬于風(fēng)險評估要素的是（）A.資產(chǎn)B.脆弱性C.威脅D.安全需求參考答案：ABC[多選題]4.某集團公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計劃，提出了四大培訓(xùn)任務(wù)和目標(biāo)，關(guān)于這四個培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項中正確的是（）A.由于網(wǎng)絡(luò)安全上升到國家安全的高度，因此網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對集團公司下屬公司的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓(xùn)B.對下級單位的網(wǎng)絡(luò)安全管理崗人員實施全面安全培訓(xùn)，計劃下級所有單位通過信息安全管理體系認(rèn)證以確保人員能力得到保障C.不需要對其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開發(fā)人員）進行安全基礎(chǔ)培訓(xùn)，只要部門負(fù)責(zé)人培訓(xùn)即可D.對全體員工安排信息安全意識及基礎(chǔ)安全知識培訓(xùn)，實現(xiàn)全員信息安全意識教育參考答案：AD[多選題]5.以下關(guān)于軟件安全保障說法正確的是？（）A.軟件安全保障以風(fēng)險管理為基礎(chǔ)B.軟件安全保障的目標(biāo)是在軟件開發(fā)生命周期中提升安全性C.沒有考慮風(fēng)險管理的軟件安全是不完整的D.軟件安全保障是對“軟件可以規(guī)避安全漏洞而按照預(yù)期方式執(zhí)行其功能”的客觀證明參考答案：ABC[多選題]6.小張是一名信息安全審核員，某天他聽到小李說某電商平臺在“雙11”節(jié)期間某款平板電腦如果在購買數(shù)量中輸入1111，購買產(chǎn)品的單價就會變?yōu)?元。請問以下哪些行為不符合作為審核員的職業(yè)道德？A.按照小李的說法嘗試，發(fā)現(xiàn)成功后立即付款購買B.在微博上將該信息發(fā)布C.將該漏洞通過電商平臺"反饋通道"進行上報D.打電話或發(fā)郵件告知該電商平臺存在錯誤參考答案：AB[判斷題]1.雖然在安全評估過程中采取定量評估能獲得準(zhǔn)確的分析結(jié)果，但是由于參數(shù)確定較為困難，往往實際評估多采取定性評估，或者定性和定量評估相結(jié)合的方法。A.正確B.錯誤參考答案：A[判斷題]2.PKI系統(tǒng)使用了非對稱算法，對稱算法和散列算法。A.正確B.錯誤參考答案：A