2021年10月《ISMS信息安全管理體系審核員》真題及答案

內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除內(nèi)容為網(wǎng)上收集整理，如有侵權(quán)請(qǐng)聯(lián)系刪除2021年10月《ISMS信息安全管理體系審核員》真題及答案一、單項(xiàng)選擇題(總題數(shù):40,分?jǐn)?shù):40.0分)

1、PKI的主要組成不包括(）

A、SSL

B、CR

C、CA

D、RA

答案:B

2、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）

A、認(rèn)證

B、認(rèn)可

C、審核

D、評(píng)審

答案:B

3、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息

A、相關(guān)方

B、供應(yīng)商

C、顧客

D、上級(jí)機(jī)關(guān)

答案:A

4、被黑客控制的計(jì)算機(jī)常被稱為(）

A、蠕蟲(chóng)

B、肉雞

C、灰鴿子

D、木馬

答案:B

5、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)。

A、2年

B、3年

C、4年

D、5年

答案:D

6、以下哪些可由操作人員執(zhí)行？（)

A、審批變更

B、更改配置文件

C、安裝系統(tǒng)軟件

D、添加/刪除用戶

答案:C

7、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有（）

A、所需審核組能力的要求

B、客戶組織的準(zhǔn)備程度

C、所需能力的審核組成員

D、客戶組織的場(chǎng)所分布

答案:C

8、關(guān)于GB/T28450,以下說(shuō)法正確的是(）。

A、增加了ISMS的審核指導(dǎo)

B、與ISO19011一致

C、與ISO/IEC27000一致

D、等同采用了ISO19011

答案:A

9、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）

A、不同網(wǎng)絡(luò)運(yùn)營(yíng)商之間的隔離

B、不同用戶組之間的隔離

C、內(nèi)網(wǎng)與外網(wǎng)的隔離

D、信息服務(wù)，用戶及信息系統(tǒng)

答案:D

10、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模?

A、對(duì)適宜性和有效性的評(píng)審和批港

B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)

C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)

D、對(duì)適宜性和充業(yè)性的評(píng)審和批準(zhǔn)

答案:D

11、有關(guān)信息安全管理，風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法，主要的優(yōu)勢(shì)在于它確保(）

A、不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會(huì)被實(shí)施

B、對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源

C、對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)

D、信息資產(chǎn)過(guò)度的保護(hù)

答案:C

12、文件化信息指（）

A、組織創(chuàng)建的文件

B、組織擁有的文件

C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)

D、對(duì)組織有價(jià)值的文件

答案:C

13、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)

A、組織環(huán)境和相關(guān)方要求

B、戰(zhàn)略和意思

C、戰(zhàn)略和方針

D、職能和層次

答案:D

14、關(guān)于顧客滿意，以下說(shuō)法正確的是：()

A、顧客沒(méi)有抱怨，表示顧客滿意

B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失就意味著顧客滿意

C、顧客認(rèn)為其要求已得到滿足,即意味著顧客滿意

D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意

答案:C

15、信息是消除（）的東西

A、不確定性

B、物理特性

C、不穩(wěn)定性

D、干擾因素

答案:A

16、根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是(）

A、參加信息安全培訓(xùn)

B、背景調(diào)査

C、安全技能與崗位要求匹配的評(píng)估

D、簽署保密協(xié)議

答案:A

17、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說(shuō)法正確的是(）

A、信息安全政策的培訓(xùn)者與審計(jì)之間的職責(zé)分離

B、職責(zé)分離的是不同管理層級(jí)之間的職責(zé)分離

C、信息安全策略的制定者與受益者之間的職責(zé)分離

D、職責(zé)分離的是不同用戶組之間的職責(zé)分離

答案:B

18、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說(shuō)法正確的是()

A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用

答案:A

19、對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）

A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)

B、國(guó)家密碼管理部門(mén)

C、中央國(guó)家機(jī)關(guān)

D、全國(guó)人大委員會(huì)

答案:A

20、在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為（）

A、設(shè)備要求和網(wǎng)絡(luò)要求

B、硬件要求和軟件要求

C、物理要求和應(yīng)用要求

D、技術(shù)要求和管理要求

答案:D

21、關(guān)于內(nèi)部審核下面說(shuō)法不正確的是(）。

A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍

B、通過(guò)內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)

C、組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案

D、組織應(yīng)確保審核結(jié)果報(bào)告至管理層

答案:C

22、《信息技術(shù)安全技術(shù)信息安全治理》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為（）

A、ISO/IEC27011

B、ISO/IEC27012

C、ISO/IEC27013

D、ISO/IEC27014

答案:D

23、根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級(jí)。

A、5

B、6

C、3

D、4

答案:A

24、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括()

A、分析風(fēng)險(xiǎn)發(fā)生的原因

B、確定風(fēng)險(xiǎn)級(jí)別

C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果

D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性

答案:A

25、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時(shí)可以不包括(）

A、溝通周期

B、溝通內(nèi)容

C、溝通時(shí)間

D、溝通對(duì)象

答案:A

26、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)

A、體系覆蓋的人數(shù)

B、使用的信息系統(tǒng)的數(shù)量

C、用戶的數(shù)量

D、其他選項(xiàng)都正確

答案:D

27、根據(jù)《中華人民共和國(guó)國(guó)家秘密法》，國(guó)家秘密的最高密級(jí)為(）

A、特密

B、絕密

C、機(jī)密

D、秘密

答案:B

28、關(guān)于適用性聲明下面描述錯(cuò)誤的是(）

A、包含附錄A中控制刪減的合理性說(shuō)明

B、不包含未實(shí)現(xiàn)的控制

C、包含所有計(jì)劃的控制

D、包含附錄A的控制及其選擇的合理性說(shuō)明

答案:B

29、防火墻提供的接入模式不包括(）

A、透明模式

B、混合模式

C、網(wǎng)關(guān)模式

D、旁路接入模式

答案:D

30、(）是確保信息沒(méi)有非授權(quán)泄密，即信息不被未授權(quán)的個(gè)人、實(shí)現(xiàn)或過(guò)程，不為其所用。

A、搞抵賴性

B、完整性

C、機(jī)密性

D、可用性

答案:C

31、在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是()

A、數(shù)據(jù)竊聽(tīng)

B、誤操作

C、數(shù)據(jù)流分析

D、數(shù)據(jù)篡改

答案:D

32、審核抽樣時(shí)，可以不考慮的因素是(）

A、場(chǎng)所差異

B、管理評(píng)審的結(jié)果

C、最高管理者

D、內(nèi)審的結(jié)果

答案:C

33、ISO/IEC27001所采用的過(guò)程方法是（)

A、PPTR方法

B、SMART方法

C、PDCA方法

D、SWOT方法

答案:C

34、以下說(shuō)法不正確的是(）

A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)審

B、應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估

C、制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響

D、安全計(jì)劃應(yīng)適時(shí)更新

答案:C

35、風(fēng)險(xiǎn)識(shí)別過(guò)程中需要識(shí)別的方面包括:資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、(）

A、識(shí)別可能性和影響

B、識(shí)別脆弱性和識(shí)別后果

C、識(shí)別脆弱性和可能性

D、識(shí)別脆弱性和影響

答案:B

36、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。

A、4-10

B、1-10

C、4-7和9-10

D、4-10和附錄A

答案:A

37、Saas是指(）

A、軟件即服務(wù)

B、服務(wù)平臺(tái)即月勝

C、服務(wù)應(yīng)用即服務(wù)

D、服務(wù)瞇即服務(wù)

答案:A

38、ISO/IEC27701是（）

A、是一份基于27002的指南性標(biāo)準(zhǔn)

B、是27001和27002的隱私保護(hù)方面的擴(kuò)展

C、是ISMS族以外的標(biāo)準(zhǔn)

D、在隱私保護(hù)方面擴(kuò)展了270001的要求

答案:B

39、根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式

A、警告

B、罰款

C、沒(méi)收違法所得

D、吊銷許可證

答案:A

40、設(shè)置防火墻策略是為了(）

A、進(jìn)行訪問(wèn)控制

B、進(jìn)行病毒防范

C、進(jìn)行郵件內(nèi)容過(guò)濾

D、進(jìn)行流量控制

答案:A

二、判斷題(總題數(shù):10,分?jǐn)?shù):10.0分)

41、ISO/IEC27018是用于對(duì)云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）

1、正確

0、錯(cuò)誤

答案:正確

42、GB/T28450-2020是等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27007的國(guó)家標(biāo)準(zhǔn)（）

1、正確

0、錯(cuò)誤

答案:正確

43、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸檢索等處理的人機(jī)系統(tǒng)（）

1、正確

0、錯(cuò)誤

答案:正確

44、在來(lái)自可信站點(diǎn)電子郵件中輸入個(gè)人或財(cái)務(wù)信息是安全的。（）

1、正確

0、錯(cuò)誤

答案:錯(cuò)誤

45、容量管理策略可以考慮增加容量或降低容量要求（）

1、正確

0、錯(cuò)誤

答案:正確

46、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）

1、正確

0、錯(cuò)誤

答案:錯(cuò)誤

47、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日開(kāi)始實(shí)施的（）

1、正確

0、錯(cuò)誤

答案:錯(cuò)誤

48、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問(wèn)系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無(wú)意錯(cuò)誤操作導(dǎo)致的影響（）

1、正確

0、錯(cuò)誤

答案:正確

49、信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)，這樣才能保證安全。（）

1、正確

0、錯(cuò)誤

答案:錯(cuò)誤

50、客戶所有場(chǎng)所業(yè)務(wù)的范圍相同，且在同一ISMS下運(yùn)行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評(píng)審時(shí)，認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的認(rèn)證審核（)

1、正確

0、錯(cuò)誤

答案:正確

三、多項(xiàng)選擇題(總題數(shù):15,分?jǐn)?shù):15.0分)

51、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)辦理備案手續(xù)。

A、省

B、自治區(qū)

C、直轄市

D、特別行政區(qū)

答案:A,B,C

52、根據(jù)《中華人民共和國(guó)密碼法》，密碼工作堅(jiān)持總體國(guó)家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。

A、創(chuàng)新發(fā)展

B、分級(jí)應(yīng)用

C、服務(wù)大局

D、分級(jí)負(fù)責(zé)

答案:A,C,D

53、風(fēng)險(xiǎn)處置包括（)

A、風(fēng)險(xiǎn)降低

B、風(fēng)險(xiǎn)計(jì)劃

C、風(fēng)險(xiǎn)控制

D、風(fēng)險(xiǎn)轉(zhuǎn)移

答案:A,D

54、認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）

A、管理體系的知識(shí)

B、ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)

C、與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)

D、信息安全的知識(shí)

答案:A,B,C,D

55、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）

A、對(duì)相關(guān)方可用

B、包括對(duì)持續(xù)改進(jìn)ISMS的承諾

C、包括信息安全目標(biāo)

D、與組織意圖相適宜

答案:A,B,C,D

56、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括（）

A、信息備份策略

B、訪問(wèn)控制策略

C、信息傳輸策略

D、密鑰管理策略

答案:A,B,C,D

57、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）

A、釣魚(yú)攻擊

B、后門(mén)攻擊事件

C、社會(huì)工程攻擊

D、DOS攻擊

答案:A,B,D

58、移動(dòng)設(shè)備策略宜考慮（)

A、移動(dòng)設(shè)備注冊(cè)

B、惡意軟件防范

C、訪問(wèn)控制

D、物理保護(hù)要求

答案:A,B,C,D

59、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)

A、根據(jù)工作需要僅獲得最小的知悉權(quán)限

B、工作人員僅讓滿足工作所需要的信息

C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍

D、得到管理者批準(zhǔn)的信息是可訪問(wèn)的信息

答案:A,B,C

60、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過(guò)程要形成文件化的信息？（)

A、信息安全方針

B、信息安全風(fēng)險(xiǎn)處置過(guò)程

C、溝通記錄

D、信息安全目標(biāo)

答案:A,B,D

61、管理評(píng)審的輸出包括（）

A、管理評(píng)審報(bào)告

B、持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定

C、管理評(píng)審會(huì)議紀(jì)要

D、變更信息的安全管理體系任何需求

答案:B,D

62、按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）

A、局域網(wǎng)

B、城域網(wǎng)

C、廣域網(wǎng)

D、區(qū)域網(wǎng)

答案:A,