2021年12月信息安全管理體系審核員(ISMS)復(fù)習(xí)題含解析

2021年12月信息安全管理體系審核員(ISMS)復(fù)習(xí)題一、單項選擇題1、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度2、最高管理層應(yīng)（），以確保信息安全管理體系符合本標準要求。A、分配職責與權(quán)限B、分配崗位與權(quán)限C、分配責任與權(quán)限D(zhuǎn)、分配角色和權(quán)限3、數(shù)字簽名可以有效對付哪一類信息安全風險？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改4、()是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障5、下列哪個選項不屬于審核組長的職責?A、確定審核的需要和目的B、組織編制現(xiàn)場審核有關(guān)的工作文件C、主持首末次會議和市核組會議D、代表審核方與受中核方領(lǐng)導(dǎo)進行溝通6、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型7、關(guān)于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結(jié)論B、認證決定人員不宜推翻審核組的負面結(jié)論C、認證機構(gòu)應(yīng)對客戶組織的ISMS至少進行一次完整的內(nèi)部審核D、認證機構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期8、組織應(yīng)（），以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度9、信息安全目標應(yīng)()A、可測量B、與信息安全方針一致C、適當時，對相關(guān)方可用D、定期更新10、第三方認證審核時，對于審核提出的不符合項，審核組應(yīng)：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質(zhì)D、以上都對11、最高管理層應(yīng)（），以確保信息安全管理體系符合本標準要求。A、分配職責與權(quán)限B、分配崗位與權(quán)限C、分配責任和權(quán)限D(zhuǎn)、分配角色和權(quán)限12、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排13、《信息安全等級保護管理辦法》規(guī)定，應(yīng)加強沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年14、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)15、組織應(yīng)（）與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保16、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器17、在考慮網(wǎng)絡(luò)安全策略時，應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個方面提出相應(yīng)的對策？A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷18、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4019、組織應(yīng)（）。A、對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級20、（）不是每個過程都需要定義的部分A、輸出B、資源C、輸入D、活動21、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用22、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理23、信息安全控制目標是指：（)A、對實施信息安全控制措施擬實現(xiàn)的結(jié)果的描述B、組織的信息安全策略集的描述C、組織實施信息安全管理體系的總體宗旨和方向D、A+B24、()可用來保護信息的真實性、完整性A、數(shù)字簽名B、惡意代碼C、風險評估D、容災(zāi)和數(shù)據(jù)備份25、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對26、計算機病毒是計算機系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)27、完整性是指（）A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、以上都不對28、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部29、—家投資顧問商定期向客戶發(fā)送有關(guān)財經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件30、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素31、下列()不是創(chuàng)建和維護測量要執(zhí)行的活動。A、開展測量活動B、識別當前支持信息需求的安全實踐C、開發(fā)和更新測量D、建立測量文檔并確定實施優(yōu)先級32、關(guān)于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認為其要求已得到滿足，即意味著顧客滿意D、組織認為顧客要求已得到滿足，即意味著顧客滿意33、安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強制性訪問控制策略34、關(guān)于信息系統(tǒng)登錄的管理，以下說法不正確的是（）A、網(wǎng)絡(luò)安全等級保護中，三級以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令35、"多級SLA"是一個三層結(jié)構(gòu)，下列哪層不是這樣類型SLA的部分？()A、客戶級別B、公司級別C、配置級別D、服務(wù)級別36、（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施A、補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻37、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責任。A、安全保密B、安全保護C、安全保障D、安全責任38、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)39、從計算機安全的角度看，下面哪一種情況是社交工程的一個直接例子?（）A、計算機舞弊B、欺騙或脅迫C、計算機偷竊D、計算機破壞40、下列說法錯誤的是(）A、ISO/IEC20000-1:2018標準鼓勵組織采用整合的過程方法B、組織滿足ISO/IEC20000-1:2018標準要求，意味著該組織滿足其顧客的所有要求C、組織可以把ISO/IEC20000-1:2018標準作為獨立評估的依據(jù)D、組織可以通過ISO/IEC20000-1:2018標準來確定組織IT服務(wù)管理基準二、多項選擇題41、移動設(shè)備策略宜考慮（)A、移動設(shè)備注冊B、惡意軟件防范C、訪問控制D、物理保護要求42、下列描述哪些是正確的(）。A、程序也可以不形成文件B、程序可以形成文件C、程序必須形成文件D、程序就是文件43、關(guān)于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核44、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為45、下列哪些是服務(wù)預(yù)算與核算管理必須的？（）A、服務(wù)計費B、服務(wù)實際成本C、服務(wù)成本預(yù)算D、監(jiān)視成本46、以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實施培訓(xùn)和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施47、對于組織在風險處置過程中所選的控制措施，以下說法正確的是（）A、將所有風險都必須被降低至可接受的級別B、可以將風險轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識、客觀地接受風險D、規(guī)避風險48、某組織在酒店組織召開內(nèi)容敏感的會議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續(xù)期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務(wù)的酒店服務(wù)生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質(zhì)會議資料留下由服務(wù)生統(tǒng)一回收，這符合A8,3的要求49、下列哪些是SSL支持的內(nèi)容類型?（）A、chang_cipher_specB、alertC、handshakleD、applicatlon_data50、關(guān)于個人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開透明原則51、組織建立的信息安全目標，應(yīng)（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新52、問題管理的輸入不包括（）A、變更請求B、問題解決方案C、事件記錄D、新的已知錯誤53、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負責人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與54、信息安全風險分析包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風險實際發(fā)生的可能性55、關(guān)于云計算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實施身份鑒別準則B、服務(wù)提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實施身份鑒別準則D、云服務(wù)客戶提供身份鑒別能力，并定義和實施身份鑒別準則三、判斷題56、完全備份就是對全部數(shù)據(jù)庫數(shù)據(jù)進行備份。（）正確錯誤57、通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。正確錯誤58、測量是確定數(shù)值和性質(zhì)的過程。（）正確錯誤59、檢測性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進入該系統(tǒng)的無意錯誤操作導(dǎo)致的影響（）正確錯誤60、最高管理層應(yīng)確保方針得到建立（）正確錯誤61、訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。正確錯誤62、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標準A9.1.1條款的要求。（）正確錯誤63、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）正確錯誤64、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）正確錯誤65、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）正確錯誤

參考答案一、單項選擇題1、D2、C3、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造，篡改或是抵賴。故選D4、A5、A6、A7、B8、B9、B10、B11、C12、A13、D14、D15、A16、D17、B18、A19、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應(yīng)按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級20、B21、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A22、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當?shù)拇胧﹣響?yīng)對相關(guān)風險。故選D23、A24、A25、D解析:270019,3管理評審，管理評審的輸出應(yīng)包括與持續(xù)改進機會相關(guān)的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應(yīng)控制影響信息安全的變更，包括組織，業(yè)務(wù)過程，信息處理設(shè)施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理，故選D26、C27、C28、D29、C30、A31、D32、C33、D34、C解析:應(yīng)確保秘密鑒別信息的