2018年《ISMS信息安全管理體系審核員》真題一及答案

內容為網上收集整理，如有侵權請聯(lián)系刪除內容為網上收集整理，如有侵權請聯(lián)系刪除內容為網上收集整理，如有侵權請聯(lián)系刪除2018年《ISMS信息安全管理體系審核員》真題一及答案一、單項選擇題(總題數:49,分數:49.0分)

1、信息分級的目的是(

)

A、確保信息按照其對組織的重要程度受到適當級別的保護

B、確保信息按照其級別得到適當的保護

C、確保信息得到保護

D、確保信息按照其級別得到處理

答案:A

2、在運行階段，組織應（）

A、策劃信息安全風險處置計劃，保留文件化信息

B、實現(xiàn)信息安全風險處置計劃，保留文件化信息

C、測量信息安全風險處置計劃，保留文件化信息

D、改進信息安全風險處置計劃，保留文件化信息

答案:B

3、跨國公司的I.S經理打算把現(xiàn)有的虛擬專用網(VPN.,virtualpriavtenetwork)升級，采用通道技術使其支持語音I.P電話(VOI.P,voice-overI.P)服務，那么，需要首要關注的是(

)。

A、服務的可靠性和質量(Qos,qualityofservice)

B、身份的驗證方式

C、語音傳輸的保密

D、數據傳輸的保密

答案:A

4、文件初審是評價受審方ISMS文件的描述與審核準則的（）

A、充分性和適宜性

B、有效性和符合性

C、適宜性、充分性和有效性

D、以上都不對

答案:A

5、依據GB/T220802016/SO/EC.27001:2013標準，組織應()。

A、識別在組織范圍內從事會影響組織信息安全績效的員工的必要能力

B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力

C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力

D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力

答案:C

6、關于互聯(lián)網信息服務，以下說法正確的是

A、互聯(lián)網服務分為經營性和非經營性兩類，其中經營性互聯(lián)網信息服務應當在電信主管部門備案

B、非經營性互聯(lián)網信息服務未取得許可不得進行

C、從事經營性互聯(lián)網信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求

D、經營性互聯(lián)網服務，是指通過互聯(lián)網向上網用戶無嘗提供具有公開性、共享性信息的服務活動

答案:C

7、在每天下午5點使計算機結束時斷開終端的連接屬于（）

A、外部終端的物理安全

B、通信線的物理安全

C、竊聽數據

D、網絡地址欺騙

答案:A

8、組織機構在建立和評審ISMS時，應考慮（）

A、風險評估的結果

B、管理方案

C、法律、法規(guī)和其它要求

D、A+B

E、A+C

答案:E

9、在認證審核時，一階段審核是（）

A、是了解受審方ISMS是否正常運行的過程

B、是必須進行的

C、不是必須的過程

D、以上都不準確

答案:B

10、信息安全管理中,以下哪一種描述能說明“完整性”()。

A、資產與原配置相比不發(fā)生缺失的情況

B、資產不發(fā)生任何非授權的變更

C、軟件或信息資產內容構成與原件相比不發(fā)生缺失的情況

D、設備系統(tǒng)的部件和配件不發(fā)生缺失的情況

答案:B

11、由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是(

)。

A、認證

B、認可

C、審核

D、評審

答案:B

12、對于可能超越系統(tǒng)和應用控制的實用程序,以下做法正確的是(

)

A、實用程序的使用不在審計范圍內

B、建立禁止使用的實用程序清單

C、緊急響應時所使用的實用程序不需要授權

D、建立、授權機制和許可使用的實用程序清單

答案:D

13、對于所有擬定的糾正和預防措施，在實施前應通過（）過程進行評審。

A、薄弱環(huán)節(jié)識別

B、風險分析

C、管理方案

D、A+C

E、A+B

答案:B

14、不屬于常見的危險密碼是（）

A、跟用戶名相同的密碼

B、使用生日作為密碼

C、只有4位數的密碼

D、10位的綜合型密碼

答案:D

15、不屬于計算機病毒防治的策略的是（）

A、確認您手頭常備一張真正“干凈”的引導盤

B、及時、可靠升級反病毒產品

C、新購置的計算機軟件也要進行病毒檢測

D、整理磁盤

答案:D

16、審核計劃中不包括(

)。

A、本次及其后續(xù)審核的時間安排

B、審核準則

C、審核組成員及分工

D、審核的日程安排

答案:A

17、在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。

A、內容監(jiān)控

B、安全教育和培訓

C、責任追查和懲處

D、訪問控制

答案:B

18、依據GB/T22080-2016/1SO/1EC.27001:2013標準，不屬于第三方服務監(jiān)視和評審范疇的是(

)。

A、監(jiān)視和評審服務級別協(xié)議的符合性

B、監(jiān)視和評審服務方人員聘用和考核的流程

C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度

D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力

答案:B

19、關于備份，以下說法正確的是(）

A、備份介質中的數據應定期進行恢復測試

B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的

C、發(fā)現(xiàn)備份介質退化后應考慮數據遷移

D、備份信息不是管理體系運行記錄，不須規(guī)定保存期

答案:A

20、(

)屬于管理脆弱性的識別對象。

A、物理環(huán)境

B、網絡結構

C、應用系統(tǒng)

D、技術管理

答案:D

21、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）

A、自動恢復其IP至原綁定狀態(tài)

B、斷開網絡并持續(xù)阻斷

C、彈出提示街口對其發(fā)出警告

D、鎖定鍵盤鼠標

答案:D

22、造成計算機系統(tǒng)不安全的因素包括(

)。

A、系統(tǒng)不及時打補丁

B、使用弱口令

C、連接不加密的無線網絡

D、以上都對

答案:D

23、對于較大范圍的網絡，網絡隔離是（）

A、可以降低成本

B、可以降低不同用戶組之間非授權訪問的風險

C、必須物理隔離和必須禁止無線網絡

D、以上都對

答案:B

24、系統(tǒng)備份與普通數據備份的不同在于，它不僅備份系統(tǒng)屮的數據，還備份系統(tǒng)中安裝的應用程序、數據庫系統(tǒng)、用戶設置、系統(tǒng)參數等信息，以便迅速（）。

A、恢復全部程序

B、恢復網絡設置

C、恢復所有數據

D、恢復整個系統(tǒng)

答案:D

25、下列哪個選項不屬于審核組長的職責?

A、確定審核的需要和目的

B、組織編制現(xiàn)場審核有關的工作文件

C、主持首末次會議和市核組會議

D、代表審核方與受中核方領導進行溝通

答案:A

26、最高管理層應()，以確保信息安全管理體系符合本標準要求。

A、分配職責與權限

B、分配崗位與權限

C、分配責任與權限

D、分配角色和權限

答案:C

27、(

)是指系統(tǒng)、服務或網絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀態(tài)。

A、信息安全事態(tài)

B、信息安全事件

C、信息安全事故

D、信息安全故障

答案:A

28、實施管理評審的目的是為確保信息安全管理體系的(

)

A、充分性

B、適宜性

C、有效性

D、以上都是

答案:D

29、下列哪一種情況下，網絡數據管理協(xié)議(NDM.P)可用于備份?(

)

A、需要使用網絡附加存儲設備(NAS)時

B、不能使用TCP/IP的環(huán)境時

C、需要備份舊的備份系統(tǒng)不能處理的文件許可時中先創(chuàng)學

D、要保證跨多個數據卷的備份連續(xù)、一致時

答案:A

30、在現(xiàn)場審核時，審核組有權自行決定變更的事項是(

)。

A、市核人日

B、審核的業(yè)務范圍

C、審核日期

D、審核組任務調整

答案:D

31、制定信息安全管理體系方針，應予以考慮的輸入是（）

A、業(yè)務戰(zhàn)略

B、法律法規(guī)要求

C、合同要求

D、以上全部

答案:D

32、《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指

A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)

B、計算機及其相關的設備、設施，不包括軟件

C、計算機運算環(huán)境的總和，但不含網絡

D、一個組織所有計算機的總和，包括未聯(lián)網的微型計算機

答案:A

33、ISMS管理評審的輸出應包括(

)

A、可能影響ISMS的任何變更

B、以往風險評估沒有充分強調的脆弱點或威脅

C、風險評估和風險處理計劃的更新

D、改進的建議

答案:C

34、不屬于WEB服務器的安全措施的是（）

A、保證注冊帳戶的時效性

B、刪除死帳戶

C、強制用戶使用不易被破解的密碼

D、所有用戶使用一次性密碼

答案:D

35、加密技術可以保護信息的(）

A、機密性

B、完整性

C、可用性

D、A+B

答案:D

36、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關鍵信息資源，在評估這樣一個軟件產品時最重要的標準是什么?(

)

A、要保護什么樣的信息

B、有多少信息要保護

C、為保護這些重要信息需要準備多大的投入

D、不保護這些重要信息,將付出多大的代價

答案:D

37、抵御電子郵箱入侵措施中，不正確的是(

)

A、不用生日做密碼

B、不要使用少于5位的密碼

C、不要使用純數字

D、自己做服務器

答案:D

38、末次會議包括（）

A、請受審核方確認不符合報告、并簽字

B、向審核方遞交審核報告

C、雙方就審核發(fā)現(xiàn)的不同意見進行討論

D、以上都不準確

答案:C

39、經過風險處理后遺留的風險是(

)

A、重大風險

B、有條件的接受風險

C、不可接受的風險

D、殘余風險

答案:D

40、(

)是建立有效的計算機病毒防御體系所需要的技術措施。

A、補丁管理系統(tǒng)、網絡入侵檢測和防火墻

B、漏洞掃描、網絡入侵檢測和防火墻

C、漏洞掃描、補丁管理系統(tǒng)和防火墻

D、網絡入侵檢測、防病毒系統(tǒng)和防火墻

答案:D

41、某公司進行風險評估后發(fā)現(xiàn)公司的無線網絡存在大的安全隱患、為了處置這個風險，公司不再提供無線網絡用于辦公，這種處置方式屬于（）

A、風險接受

B、風險規(guī)避

C、風險轉移

D、風險減緩

答案:B

42、防止計算機中信息被竊取的手段不包括(

)

A、用戶識別

B、權限控制

C、數據加密

D、數據備份

答案:D

43、組織應()，以確信相關過程按計劃得到執(zhí)行。

A、處理文件化信息達到必要的程度

B、保持文件化信息達到必要的程度

C、保持文件化信息達到可用的程度

D、產生文件化信息達到必要的程度

答案:B

44、《信息安全等級保護管理辦法》規(guī)定，應加強沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每(

)至少進行次保密檢查或者系統(tǒng)測評。

A、半年

B、1年

C、1.5年

D、2年

答案:D

45、在信息安全管理體系審核時，應遵循(

)原則。

A、保密性和基于準則的

B、保密性和基于風險的

C、最小特權原則最小特權原則是信息系統(tǒng)安全的最基本原則

D、建立阻塞點原則阻塞點就是在網絡系統(tǒng)對外連接通道內，可以被系統(tǒng)管理人員進行監(jiān)控的連接控制點。

答案:B

46、ISMS文件的多少和詳細程度取于

A、組織的規(guī)模和活動的類型

B、過程及其相互作用的復雜程度

C、人員的能力

D、A+B+C

答案:D

47、在實施技術符合性評審時，以下說法正確的是（）

A、技術符合性評審即滲透測試

B、技術符合性評審即漏洞掃描與滲透測試的結合

C、滲透測試和漏洞掃描可以替代風險評估

D、滲透測試和漏洞掃描不可替代風險評估

答案:D

48、下列管理評審的方式，哪個不滿足標準的要求?(）

A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審

B、通過網絡會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審

C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審

D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審

答案:A

49、計算機病毒系指_____。

A、生物病毒感染

B、細菌感染

C、被損壞的程序

D、特制的具有損壞性的小程序

答案:D

二、判斷題(總題數:10,分數:10.0分)

50、風險處置計劃和信息安全殘余風險應獲得最高管理者的接受和批準。

1、正確

0、錯誤

答案:錯誤

51、最高管理層應通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領導和承諾

1、正確

0、錯誤

答案:錯誤

52、從審核開始到結束,審核組長應對審核實施負責

1、正確

0、錯誤

答案:正確

53、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬

1、正確

0、錯誤

答案:正確

54、創(chuàng)建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。

1、正確

0、錯誤

答案:正確

55、組織的業(yè)務連續(xù)性策略即其信息安全連續(xù)性策略。

1、正確

0、錯誤

答案:錯誤

56、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。

1、正確

0、錯誤

答案:正確

57、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。

1、正確

0、錯誤

答案:錯誤

58、訪問控制列表指由主體以及主體對客體的訪問權限所組成列表。

1、正確

0、錯誤

答案:正確

59、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。

1、正確

0、錯誤

答案:正確

三、多項選擇題(總題數:21,分數:50.0分)

60、對于信息安全方針,()是GB/T22080-2016標準要求的(分數:10.00分)

A、信息安全方針應形成文件

B、信息安全方針文件應由管理者批準發(fā)布，并傳達給所有員工和外部相關方

C、信息安全方針文件應包括對信息安全管理的一般和特定職責的定義

D、信息安全方針應定期實施評審

答案:A,D

61、以下屬于信息安全管理體系審核證據的是(

)

A、信息系統(tǒng)的閾值列表

B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數據

C、數據恢復測試的日志

D、信息系統(tǒng)漏洞測試分析報告

答案:A,B,C,D

62、針對敏感應用系統(tǒng)安全，以下正確的做法是(

)。

A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤

B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄

C、對于修改系統(tǒng)核心業(yè)務運行數據的操作限定操作時間

D、對于數據庫系統(tǒng)審計人員開放不限時權限

答案:B,C

63、以下場景中符合GB/T22080-20161SO1EC27001:2013標準要求的情況是(

)

A、某公司為保潔人員發(fā)放了公司財務總監(jiān)、總經理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間

B、某公司將其物理區(qū)域敏感性劃為四個等級,分別標上紅橙黃藍標志

C、某公司為少數核心項目人員發(fā)放了手機，允許其使用手機在指定區(qū)域使用公司無線局域網訪問客戶數據FTP，但不允許將手機帶離指定區(qū)域

D、某公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)控系統(tǒng)的時鐘慢約10分鐘

答案:B,C

64、在信息安全事件管理中，(

)是員工應該完成的活動。

A、報告安全方面的漏洞或弱點

B、對漏洞進行修補

C、發(fā)現(xiàn)并報告安全事件

D、發(fā)現(xiàn)立即處理安全事件

答案:A,C

65、關鍵信息基礎設施包括三大部分，分別是(

)。

A、關鍵基礎設施

B、基礎信息網絡

C、重要信息系統(tǒng)

D、重要互聯(lián)網應用系統(tǒng)

答案:B,C,D

66、以下說法不正確的是(

)

A、信息安全管理體系審核是信息系統(tǒng)審計的一種

B、信息安全技術應用的程度決定信息安全管理體系認證審核的結論

C、組織對信息安全威脅的分析必須是信息安全管理體系審核關注的要素

D、如果組織已獲得業(yè)務連續(xù)性管理體系認證，則信息安全管理體系審核可略過風險評估

答案:A,B,D

67、信息安全方針應(

)

A、形成文件化信息并可用

B、與組織內外相關方全面進行溝通

C、確保符合組織的戰(zhàn)略方針

D、適當時，對相關方可用

答案:A,C,D

68、組織的信息安全管理體系初次認證應包括的審核活動是

A、審核準備

B、第一階段審核

C、第二階段審核

D、認證決定

答案:B,C

69、關于審核方案，以下說法正確的是

A、審核方案是審核計劃的一種

B、審核方案可包括一段時期內各種類型的審核

C、中核方案即年度內部審梭計劃

D、審核方案是審核計劃的輸入

答案:B,D

70、下列有關涉密信息系統(tǒng)說法正確的是（）

A、涉密信息系統(tǒng)經單位保密工作機構測試后即可投入使用

B、涉密信息系統(tǒng)投入運行前應當經過國家保密行政管理部門審批

C、涉密計算機重裝操作系統(tǒng)后可降為非涉密計算機使用

D、未經單位信息管理部門批準不得自行重裝操作系統(tǒng)

答案:B,D

71、某工程公司意圖采用更為靈活的方式建立息安全管理體系，以下說法不正確的（）

A、信息安全可以按過程管理，采用這種方法時不必再編制資產清單

B、信息安全可以按項目來管理，原項目管理機制中的風險評估可替代GC/T22080-2016/I.SO/IED27001:2013標準中的風險評估

C、公司各類項日的臨時場所存在時間都較短，不必納入ISMS范圍

D、工程項目方案因包含設計圖紙等核心技術信息，其敏感性等級定義為最高

答案:A,B,C

72、管理評審的輸出應包括(

)

A、與持續(xù)改進機會相關的決定

B、變更信息安全管理體系的任何需求

C、相關方的反饋

D、信息安全方針執(zhí)行情況

答案:A,B

73、“云計算服務”包括哪幾個層面?

A、Paas

B、Saas

C、laas

D、PII.S

答案:A,B,C

解析:

云計算可以認為包括以下幾個層次的服務：基礎設施即服務（I.aaS），平臺即服務（PaaS）和軟件即服務（SaaS）。云計算服