2021年12月ISMS信息安全管理體系審核員考試題目含解析

2021年12月ISMS信息安全管理體系審核員考試題目一、單項選擇題1、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保2、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務3、《信息技術(shù)信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統(tǒng)物理破壞而導致的信息安全事件。A、網(wǎng)絡攻擊B、不可抗力C、自然災害D、人為因素4、()是風險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序5、服務連續(xù)性管理中,恢復時間目標指（）A、IT服務復原到正常工作狀態(tài)的時間B、IT服務復原到約定的最低可用性水平的時間C、關鍵服務恢復到約定的最低可用性水平的時間D、基礎設施服務恢復到約定的可用性的時間6、保密協(xié)議或不泄露協(xié)議至少應包括：（）A、組織和員工雙方的信息安全職責和責任B、員工的信息安全職責和責任C、組織的信息安全職責和責任D、紀律處罰規(guī)定7、物理安全周邊的安全設置應考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B、重點考慮計算機機房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測和報警機制D、A+C8、由認可機構(gòu)對認證機構(gòu)、檢測機構(gòu)、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審9、《信息安全管理體系認證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構(gòu)以網(wǎng)絡訪向的形式C、以遠程視頻的形式D、以上都対10、一家投資顧問商定期向客戶發(fā)送有關經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件11、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定12、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901113、下列措施中，（）是風險管理的內(nèi)容。A、識別風險B、風險優(yōu)先級評價C、風險處置D、以上都是14、《信息技術(shù)服務分類與代碼》規(guī)定(）屬于軟件運營服務。A、在線殺毒B、物流信息管理服務平臺C、電子商務D、在線娛樂平臺15、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年16、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關于網(wǎng)絡服務的訪問控制策略,以下正確的是()A、網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B、應關閉服務器上不需要的網(wǎng)絡服務C、可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D、可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制17、由認可機構(gòu)對認證機構(gòu)、檢查機構(gòu)、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）。A、認證B、認可C、審核D、評審18、（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施A、補丁管理系統(tǒng)、網(wǎng)絡入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻19、最高管理層應（），以確保信息安全管理體系符合本標準要求。A、分配職責與權(quán)限B、分配崗位與權(quán)限C、分配責任和權(quán)限D(zhuǎn)、分配角色和權(quán)限20、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡21、最高管理者應確保服務管理體系要求整合到組織（）中，證實對服務管理體系的領導承諾。A、活動B、資源C、過程D、目標22、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、作出是否換發(fā)證書的決定23、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應用程序，數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)24、ISO/IEC20000-3與ISO/IEC20000J之間的關系是()A、ISO/IEC20000-3為ISO/IEC20000-1提供了實施指南B、ISO/IEC20000-3為ISO/IEC20000-1提供了范圍定義的指南C、ISO/IEC20000-3為ISO/IEC20000-1提供了過程參考模型D、ISO/IEC20000-3為ISO/IEC20000-1提供了實施計劃樣例25、信息安全管理中，關于脆弱性，以下說法正確的是()。A、組織使用的開源軟件不須考慮其技術(shù)脆弱性B、軟件開發(fā)人員為方便維護留的后門是脆弱性的一種C、識別資產(chǎn)脆弱性時應考慮資產(chǎn)的固有特性，不包括當前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡物理隔離可杜絕其脆弱性被威脅利用的機會26、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素27、在實施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估28、關于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執(zhí)行網(wǎng)絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件29、組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保30、ITSMS監(jiān)督審核的目的不包括()A、確認是否持續(xù)符合認證要求B、驗證認證通過的ITSMS是否得以持續(xù)改進C、作出是否換發(fā)證書的決定D、驗證組織ITSMS的保持是否考慮了組織運作過程的變化31、關于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認征目錄的，應取得國家信息安全產(chǎn)品人證機構(gòu)頒發(fā)的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞32、可用性是指（）A、根據(jù)授權(quán)實體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性C、保護資產(chǎn)的準確和完整的特性D、反映事物真實情況的程度33、根據(jù)GB/T22080-2016標準，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A34、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應（）A、制定ISMS目標和計劃B、實施ISMS管理評審C、決定接受風險的準則和風險的可接受級別D、其他選項均不正確35、主動式射頻識別卡(RFID)存在哪一種弱點?（）A、會話被劫持B、被竊聽C、存在惡意代碼D、被網(wǎng)絡釣魚攻擊DR36、下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A、核心密碼B、普通密碼C、國家密碼D、商用密碼37、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應38、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認證機構(gòu)應審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準備程度C、所需能力的審核組成員D、客戶組織的場所分布39、依據(jù)GB/T22080,網(wǎng)絡隔離指的是(）A、不同網(wǎng)絡運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務，用戶及信息系統(tǒng)40、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡拓撲D、局域網(wǎng)協(xié)議二、多項選擇題41、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規(guī)避風險42、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新43、為控制文件化信息，適用時，組織應強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理44、公司M將信息系統(tǒng)運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協(xié)議規(guī)定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)45、關于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則46、組織在風險處置過程中所選的控制措施需（）A、將所有風險都必須被降低到可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識、客觀地接受風險D、規(guī)避風險47、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉(zhuǎn)移48、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創(chuàng)建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內(nèi)容49、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為50、信息安全方針應（）A、形成文件化信息并可用B、與組織內(nèi)外相關方全面進行溝通C、確保符合組織的戰(zhàn)略方針D、適當時，對相關方可用51、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S52、《互聯(lián)網(wǎng)信息服務管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類53、針對敏感應用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務運行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權(quán)限54、《中華人民共和國網(wǎng)絡安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理。A、建設B、運營C、維護D、使用55、關于信息安全風險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、周期性的自評估可以在評估流程上適當簡化C、可由發(fā)起方實施或委托風險評估服務技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風險評估三、判斷題56、《中華人民共和國網(wǎng)絡安全法》是2017年1月1日起實施的。（）正確錯誤57、組織的業(yè)務連續(xù)性策略即其信息安全連續(xù)性策略。正確錯誤58、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。正確錯誤59、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）正確錯誤60、最高管理層應確保與信息安全相關角色的職責和權(quán)限得到分配和溝通。正確錯誤61、較低的恢復時間目標會有更長的中斷時間。（）正確錯誤62、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網(wǎng)絡的有效帶寬。（）正確錯誤63、風險源是指那些可能導致消極后果或積極后果的因素和危害的來源。（）正確錯誤64、創(chuàng)建和更新文件化信息時，組織應確保對其適宜性和充分性進行評審和批準。正確錯誤65、《中華人民共和國網(wǎng)絡安全法》是2017年1月1日開始實施的（）正確錯誤

參考答案一、單項選擇題1、A2、A3、B4、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監(jiān)視和風險評審。因此風險處置計劃是風險管理的重要一環(huán)，故選C5、C6、A7、D8、B9、A10、C11、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實體的需求而定，故選A12、A13、D14、A15、D16、B17、B18、D解析:以上都是建立有效的計算機病毒防御體系所需要的技術(shù)措施，但D選項與病毒防御更相關，故選D19、C20、C21、A22、D解析:監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應與其他監(jiān)督活動一起策劃，以使認證機構(gòu)能對獲證客戶管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任。相關管理體系標準的每次監(jiān)督審核應包括對以下方面的審查：（1）內(nèi)部審核和管理評審；(2)對上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實現(xiàn)獲證客戶目標和各管理體系的預期結(jié)果方面的有效性；（5）為持續(xù)改進而策劃的活動的進展；（6）持續(xù)的運作控制；（7）任何變更；（8）標志的使用和（或）任何其他對認證資格的引用。綜上A,B,C項均是監(jiān)督審核的目的，故選D。另外，再認證的策劃和及時實施，才能確保認證能在到期前及時更新，監(jiān)督審核不能決定是否換發(fā)證書23、D24、B25、B26、A27、D28、C29、A解析:理解組織及其環(huán)境30、C31、B32、A33、A34、D解析:信息安全目標及其實現(xiàn)規(guī)劃，組織應在相關職能和層級上建立信息安全目標，A項錯誤。B項27001最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實施執(zhí)行者是組織，因此B表述不準確。C項，27001,5.1.2組織應建立并維護信息安全風險準則，包括風險接受準則和信息安全風險評估實施準則。而非最高管理者，因此C錯誤，綜上故選D35、B36、C37、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?8、C39、D40、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡。而大型計算機環(huán)境是指類似服務器的大型網(wǎng)絡。兩者本地備份差別主要體現(xiàn)在容錯能力上，故選B二、多項選擇題41、B,C,D42、A,B,C,D43、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理體系及本標準要求的文件化信息應得到控制，以確保：在需要的時間和地點，是可用的和適宜使用的；得到充分的保護（如避免保密性損失，不恰當使用，完整性受損失等）。為控制文件化信息，適用時，組織應強調(diào)下列活動：1,分發(fā)、訪問、檢索和使用；2,存儲和保護，包括保持可讀性；3,控制變更（如版本控制）；4,保留和處置。綜上，本題選ABCD44、A,B45、A,B,D46、B,C,D47、A,D48、B,C,D解析:參考27002,9,2,4用戶的秘密鑒別信息管理，B、C、D均正確，同時該控制中，還包含：建立一些規(guī)程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗