2019年5月《ISMS信息安全管理體系審核員》真題及答案

內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除2019年5月《ISMS信息安全管理體系審核員》真題及答案一、單項(xiàng)選擇題(總題數(shù):50,分?jǐn)?shù):50.0分)

1、下列哪項(xiàng)不是監(jiān)督審核的目的？（）

A、驗(yàn)證認(rèn)證通過(guò)的ISMS是否得以持續(xù)實(shí)現(xiàn)

B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過(guò)程的變化而可能引起的體系的變化

C、確認(rèn)是否持續(xù)符合認(rèn)證要求

D、做出是否換發(fā)證書(shū)的決定

答案:D

2、下列不屬于公司信息資產(chǎn)的有

A、客戶信息

B、被放置在IDC機(jī)房的服務(wù)器

C、個(gè)人使用的電腦

D、審核記錄

答案:D

3、以下描述不正確的是（）

A、防范惡意和移動(dòng)代碼的目標(biāo)是保護(hù)軟件和信息的完整性

B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生

C、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理的整個(gè)過(guò)程稱為風(fēng)險(xiǎn)管理

D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響

答案:D

4、管理體系是實(shí)現(xiàn)組織目標(biāo)的方針、（）、指南和相關(guān)資源的框架

A、目標(biāo)

B、規(guī)程

C、文件

D、記錄

答案:B

5、信息安全管理體系是用來(lái)確定（)

A、組織的管理效率

B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度

C、信息安全管理體系滿足審核準(zhǔn)則的程度

D、信息安全手冊(cè)與標(biāo)準(zhǔn)的符合程度

答案:C

6、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）

A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性

B、完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)負(fù)責(zé)人

C、資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高

D、A+B

答案:A

7、控制影響信息安全的變更，包括（)

A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更

B、組織、業(yè)務(wù)過(guò)程、信息處理設(shè)施和系統(tǒng)變更

C、組織、業(yè)務(wù)過(guò)程、信息及處理設(shè)施和系統(tǒng)變更

D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更

答案:B

8、關(guān)于系統(tǒng)運(yùn)行日志，以下說(shuō)法正確的是：（)

A、系統(tǒng)管理員負(fù)責(zé)對(duì)日志信息進(jìn)行編輯、保存

B、日志信息文件的保存應(yīng)納入容量管理

C、日志管理即系統(tǒng)審計(jì)日志管理

D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動(dòng)是否有記入曰志

答案:B

9、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。

A、確定

B、制定

C、落實(shí)

D、確保

答案:A

10、下列哪個(gè)文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）

A、信息安全方針

B、信息安全目標(biāo)

C、風(fēng)險(xiǎn)評(píng)估過(guò)程記錄

D、溝通記錄

答案:D

11、下列那些事情是審核員不必要做的？（）

A、對(duì)接觸到的客戶信息進(jìn)行保密

B、客觀公正的給出審核結(jié)論

C、關(guān)注客戶的喜好

D、盡量使用客戶熟悉的表達(dá)方式

答案:C

12、信息安全管理體系的設(shè)計(jì)應(yīng)考慮（）

A、組織的戰(zhàn)

B、組織的目標(biāo)和需求

C、組織的業(yè)務(wù)過(guò)程性質(zhì)

D、以上全部

答案:D

13、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）

A、供電、通信設(shè)施

B、消防、防雷設(shè)施

C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)

D、以上全部

答案:D

14、應(yīng)定期評(píng)審信息系統(tǒng)與組織的（）的符合性。

A、信息安全目標(biāo)和標(biāo)準(zhǔn)

B、信息安全方針和策

C、信息安全策略和制度

D、信息安全策略和標(biāo)準(zhǔn)

答案:D

15、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)

A、2年

B、3年

C、4年

D、5年

答案:D

16、關(guān)于訪問(wèn)控制策略，以下不正確的是：（）

A、須考慮被訪問(wèn)客體的敏感性分類、訪問(wèn)主體的授權(quán)方式、時(shí)限和訪問(wèn)類型

B、對(duì)于多任務(wù)訪問(wèn)，一次性賦予全任務(wù)權(quán)限

C、物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問(wèn)控制策

D、物理區(qū)域訪問(wèn)控制策略應(yīng)與其中的資產(chǎn)敏感性一致

答案:B

17、下列哪個(gè)措施不是用來(lái)防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問(wèn)的？（）

A、物理入口控制

B、開(kāi)發(fā)、測(cè)試和運(yùn)行環(huán)境的分離

C、物理安全邊界

D、在安全區(qū)域工作

答案:B

18、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)（）。

A、服務(wù)水平目標(biāo)（SLO)

B、恢復(fù)點(diǎn)目標(biāo)（RPO)

C、恢復(fù)時(shí)間目標(biāo)（RTO)

D、最長(zhǎng)可接受終端時(shí)間（MAO)

答案:C

19、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）

A、要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開(kāi)始，如何測(cè)量結(jié)果

B、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果

C、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果

D、要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開(kāi)始，如何評(píng)價(jià)結(jié)果

答案:C

20、密碼技術(shù)不適用于控制下列哪種風(fēng)險(xiǎn)？（）

A、數(shù)據(jù)在傳輸中被竊取的風(fēng)險(xiǎn)

B、數(shù)據(jù)在傳輸中被篡改的風(fēng)險(xiǎn)

C、數(shù)據(jù)在傳輸中被損壞的風(fēng)險(xiǎn)

D、數(shù)據(jù)被非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)

答案:C

21、確保信息沒(méi)有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程其所用，是指（）

A、完整性

B、可用性

C、機(jī)密性

D、抗抵賴性

答案:C

22、風(fēng)險(xiǎn)評(píng)價(jià)是指（）

A、系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和評(píng)估風(fēng)險(xiǎn)

B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程

C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)

D、以上都對(duì)

答案:B

23、在我國(guó)《信息安全等級(jí)保護(hù)管理辦法》中將信息系統(tǒng)的安全等級(jí)分為（）級(jí)

A、3

B、4

C、5

D、6

答案:C

24、為確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理，下列控制措施哪個(gè)不是必須的？（）

A、建立信息安全事件管理的責(zé)任

B、建立信息安全事件管理規(guī)程

C、對(duì)信息安全事件進(jìn)行響應(yīng)

D、在組織內(nèi)通報(bào)信息安全事件

答案:D

25、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）

A、恢復(fù)全部程序

B、恢復(fù)網(wǎng)絡(luò)設(shè)置

C、恢復(fù)所有數(shù)據(jù)

D、恢復(fù)整個(gè)系統(tǒng)

答案:D

26、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)

A、組織環(huán)境和相關(guān)方要求

B、戰(zhàn)略和意思

C、戰(zhàn)略和方針

D、職能和層次

答案:D

27、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）

A、人、財(cái)、物

B、技術(shù)、管理和操作

C、資產(chǎn)、威脅和弱點(diǎn)

D、資產(chǎn)、可能性和嚴(yán)重性

答案:C

28、計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序

A、內(nèi)存

B、軟盤(pán)

C、存儲(chǔ)介質(zhì)

D、網(wǎng)絡(luò)

答案:C

29、以下哪項(xiàng)不屬于脆弱性范疇？（）

A、黑客攻擊

B、操作系統(tǒng)漏洞

C、應(yīng)用程序BUG

D、人員的不良操作習(xí)慣

答案:A

30、下列中哪個(gè)活動(dòng)是組織發(fā)生重大變更后一定要開(kāi)展的活動(dòng)？（）

A、對(duì)組織的信息安全管理體系進(jìn)行變更

B、執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估

C、開(kāi)展內(nèi)部審核

D、開(kāi)展管理評(píng)審

答案:B

31、在考慮網(wǎng)絡(luò)安全策略時(shí)，應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個(gè)方面提出相應(yīng)的對(duì)策？

A、硬件和軟件

B、技術(shù)和制度

C、管理員和用戶

D、物理安全和軟件缺陷

答案:B

32、相關(guān)方的要求可以包括（）

A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)

B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)

C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)

D、法律、法規(guī)要求和合同義務(wù)

答案:D

33、關(guān)于信息安全連續(xù)性，以下說(shuō)法正確的是（）

A、信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性

B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分

C、信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備

D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定

答案:B

34、組織通過(guò)哪些措施來(lái)確保員工和合同方意識(shí)到并履行其信息安全職責(zé)？（）

A、審查、任用條款和條件

B、管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)

C、任用終止或變更的責(zé)任

D、以上都不對(duì)

答案:B

35、安全區(qū)域通常的防護(hù)措施有（）

A、公司前臺(tái)的電腦顯示器背對(duì)來(lái)訪者

B、進(jìn)出公司的訪客須在門(mén)衛(wèi)處進(jìn)行登記

C、重點(diǎn)機(jī)房安裝有門(mén)禁系統(tǒng)

D、以上全部

答案:D

36、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）

A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性

B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來(lái)制定

C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合

D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的使用進(jìn)行監(jiān)督

答案:B

37、組織應(yīng)（）

A、采取過(guò)程的規(guī)程安全處置不需要的介質(zhì)

B、采取文件的規(guī)程安全處置不需要的介質(zhì)

C、采取正式的規(guī)程安全處置不需要的介質(zhì)

D、采取制度的規(guī)程安全處置不需要的介質(zhì)

答案:C

38、關(guān)于防范惡意軟件，以下說(shuō)法正確的是：（）

A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件

B、安裝入侵探測(cè)系統(tǒng)即可防范惡意軟件

C、建立白名單即可防范惡意軟件

D、建立探測(cè)、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件

答案:D

39、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）

A、計(jì)算機(jī)舞弊

B、欺騙或脅迫

C、計(jì)算機(jī)偷竊

D、計(jì)算機(jī)破壞

答案:B

40、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說(shuō)法正確的是（）

A、對(duì)于進(jìn)入組織的設(shè)備和資產(chǎn)須驗(yàn)證其是否符合安全策略，對(duì)于離開(kāi)組織的設(shè)備設(shè)施則不須驗(yàn)證

B、對(duì)于離開(kāi)組織的設(shè)備和資產(chǎn)須驗(yàn)證其合格證，對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證

C、對(duì)于離開(kāi)組織的設(shè)備和資產(chǎn)須驗(yàn)證相關(guān)授權(quán)信息

D、對(duì)于進(jìn)入和離開(kāi)組織的設(shè)備和資產(chǎn)，驗(yàn)證攜帶者身份信息，可替代對(duì)設(shè)備設(shè)施的驗(yàn)證

答案:C

41、對(duì)于外部方提供的軟件包，以下說(shuō)法正確的是：（）

A、組織的人員可隨時(shí)對(duì)其進(jìn)行適用性調(diào)整

B、應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性

C、應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性

D、以上都不對(duì)

答案:D

解析:

應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)其完整性

42、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行

A、在客戶組織的場(chǎng)所

B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問(wèn)的形式

C、以遠(yuǎn)程視頻的形式

D、以上都對(duì)

答案:A

43、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是：（）

A、該法的目的是為了保守國(guó)家秘密而定

B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系

C、該法適用于所有組織對(duì)其敏感信息的保護(hù)

D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)

答案:A

44、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ?/p>

A、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)

B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)

C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)

D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)

答案:D

45、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指：（）

A、用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品

B、按安全加固要求設(shè)計(jì)的專用計(jì)算機(jī)

C、安裝了專用安全協(xié)議的專用計(jì)算機(jī)

D、特定用途（如高保密）專用的計(jì)算機(jī)軟件和硬件產(chǎn)品

答案:A

46、信息分類方案的目的是（）

A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤(pán)、磁盤(pán)

B、劃分信息載體所屬的職能以便于明確管理責(zé)任

C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則

D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析

答案:C

47、容量管理的對(duì)象包括（）

A、信息系統(tǒng)內(nèi)存

B、辦公室空間和基礎(chǔ)設(shè)施

C、人力資源

D、以上全部

答案:D

48、下列說(shuō)法不正確的是（）

A、殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)

B、體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程的結(jié)果

C、所有的信息安全活動(dòng)都必須記錄

D、管理評(píng)審至少每年進(jìn)行一次

答案:A

49、數(shù)字簽名可以有效對(duì)付哪一類信息安全風(fēng)險(xiǎn)？

A、非授權(quán)的閱讀

B、盜竊

C、非授權(quán)的復(fù)制

D、篡改

答案:D

50、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是（）

A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論

B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論

C、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核

D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期

答案:B

二、多項(xiàng)選擇題(總題數(shù):19,分?jǐn)?shù):19.0分)

51、信息安全管理體系范圍和邊界的確定依據(jù)包括（）

A、業(yè)務(wù)

B、組織

C、物理

D、資產(chǎn)和技術(shù)

答案:A,B,C,D

52、信息安全績(jī)效的反饋，包括以下哪些方面的趨勢(shì)（）

A、不符合和糾正措施

B、監(jiān)視測(cè)量的結(jié)果

C、審核結(jié)果

D、信息安全方針完成情況

答案:A,B,C

53、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）

A、具有固定的辦公場(chǎng)所和必備設(shè)施

B、注冊(cè)資本不得少于人民幣600萬(wàn)元

C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員

D、具有符合認(rèn)證認(rèn)可要求的管理制度

答案:A,C,D

54、關(guān)于個(gè)人信息安全的基本原則，以下正確的是（）

A、目的明確原則

B、最少夠用原則

C、同意和選擇原則

D、公開(kāi)透明原則

答案:A,B,C,D

55、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）

A、根據(jù)工作需要僅獲得最小的知悉權(quán)限

B、工作人員僅需要滿足工作任務(wù)所需要的信息

C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍。

D、工作范圍是可訪問(wèn)的信息

答案:A,B

56、組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施需（）

A、將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別

B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移

C、在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)

D、規(guī)避風(fēng)險(xiǎn)

答案:B,C,D

57、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）

A、分發(fā)，訪問(wèn)，檢索和使用

B、存儲(chǔ)和保護(hù)，包括保持可讀性

C、控制變更（例如版本控制）

D、保留和處理

答案:A,B,C,D

解析:

270017,5,3文件化信息的控制，信息安全管理體系及本標(biāo)準(zhǔn)要求的文件化信息應(yīng)得到控制，以確保：在需要的時(shí)間和地點(diǎn)，是可用的和適宜使用的；得到充分的保護(hù)（如避免保密性損失，不恰當(dāng)使用，完整性受損失等）。為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)下列活動(dòng)：1,分發(fā)、訪問(wèn)、檢索和使用；2,存儲(chǔ)和保護(hù)，包括保持可讀性；3,控制變更（如版本控制）；4,保留和處置。綜上，本題選ABCD

58、在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮（）

A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)

B、為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作

C、使用的安全區(qū)域宜上鎖并定期予以評(píng)審

D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)

答案:A,B

59、最高管理層應(yīng)通過(guò)（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。

A、確保將信息安全管理體系要求整合到組織過(guò)程中

B、確保信息安全管理體系所需資源可用

C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)

D、確保信息安全管理體系達(dá)到預(yù)期結(jié)果

答案:A,B,C,D

60、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）

A、網(wǎng)絡(luò)關(guān)鍵設(shè)備

B、網(wǎng)絡(luò)安全專用產(chǎn)品

C、銷售前

D、投入運(yùn)行后

答案:A,B,C

61、不符合項(xiàng)報(bào)告應(yīng)包括

A、不符合事實(shí)的描述

B、不符合的標(biāo)準(zhǔn)條款及內(nèi)容

C、不符合的原因

D、不符合的性質(zhì)

答案:A,B,D

62、常規(guī)控制圖主要用于區(qū)分（）

A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)

B、過(guò)程能力的大小

C、過(guò)程加工的不合格品率

D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)

答案:A,B,C,D

63、投訴處理過(guò)程應(yīng)包括：（）

A、投訴受理、跟蹤和告知

B、投訴初步評(píng)審、投訴調(diào)查

C、投訴響應(yīng)、溝通決定

D、投訴終止

答案:A,B,C,D

64、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）

A、行車(chē)監(jiān)控系統(tǒng)

B、行車(chē)路線信息

C、押運(yùn)人員個(gè)人信息

D、押運(yùn)人員用槍支

答案:A,B,C,D

65、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12,3,1條款要求（）

A、設(shè)定備份策

B、定期測(cè)試備份介質(zhì)

C、定期備份

D、定期測(cè)試信息和軟件

答案:A,B,D

66、關(guān)于審核委托方，以下說(shuō)法正確的是：（）

A、認(rèn)證審核的委托方即受審核方

B、受審核方是第一方審核的委托方

C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核

D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核

答案:B,C,D

67、某游戲開(kāi)發(fā)公司按客戶的設(shè)計(jì)資料構(gòu)建游戲場(chǎng)景和任務(wù)的基礎(chǔ)要素模塊，為方便各項(xiàng)目組討論，公司創(chuàng)建了一個(gè)sharefolder,在此文件夾中又為對(duì)應(yīng)不同客戶的項(xiàng)目組創(chuàng)建了項(xiàng)目數(shù)據(jù)子文件夾以下做法正確的是（）

A、各項(xiàng)目人員訪問(wèn)該sharefolder需要得到授權(quán)

B、獲得sharefolder訪問(wèn)權(quán)者可訪問(wèn)該目錄下所有子文件夾

C、IT人員與各項(xiàng)目負(fù)責(zé)人共同定期評(píng)審sharefolder訪問(wèn)權(quán)

D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動(dòng)是容量管理，游戲開(kāi)發(fā)人員不參與

答案:A,C

68、以下屬于信息安全管理體系審核的證據(jù)是：（）

A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)