2021年第二期國家ISMS信息安全管理體系審核員模擬試題含解析

2021年第二期國家ISMS信息安全管理體系審核員模擬試題一、單項選擇題1、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規(guī)程C、對信息安全事件進行響應D、在組織內通報信息安全事件2、對全國密碼工作實行統一領導的機構是(）A、中央密碼工作領導機構B、國家密碼管理部門C、中央國家機關D、全國人大委員會3、《計算機信息系統安全保護條例》規(guī)定：對計算機信息系統中發(fā)生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內4、風險責任人是指（）A、具有責任和權限管理一項風險的個人或實體B、實施風險評估的組織的法人C、實施風險評估的項目負責人或項目任務責任人D、信息及信息處理設施的使用者5、審核發(fā)現是指（）A、審核中觀察到的事實B、審核的不符合項C、審核中收集到的審核證據對照審核準則評價的結果D、審核中的觀察項6、涉及運行系統驗證的審計要求和活動，應（）A、謹慎地加以規(guī)劃并取得批準，以便最小化業(yè)務過程的中斷B、謹慎地加以規(guī)劃并取得批準，以便最大化保持業(yè)務過程的連續(xù)C、謹慎地加以實施并取得批準，以便最小化業(yè)務過程的中斷D、謹慎地加以實施并取得批準，以便最大化保持業(yè)務過程的連續(xù)7、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規(guī)劃、同步建設,同步使用8、IT服務管理中所指"服務目錄"是：（）A、一個包含生產環(huán)境IT服務信息的結構化文件，應與服務級別協議一致B、一個服務項目命名清單，不可隨意更改C、一個定義服務內容的企業(yè)標準D、定義IT服務分類的行業(yè)或國家標準9、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼10、經過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險11、口令管理系統應該是（）,并確保優(yōu)質的口令A、唯一式B、交互式C、專人管理式D、A+B+C12、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901113、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統D、以上全部14、在根據組織規(guī)模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程15、風險識別過程中需要識別的方面包括:資產識別、識別威脅、識別現有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響16、在訪問因特網時，為了防止Web網頁中惡意代碼對自己計算機的損害，可以采取的防范措施是(）A、利用SSL訪問Web站點B、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區(qū)域C、在瀏覽器中安裝數字證書D、利用IP安全協議訪問Web站點17、確定資產的可用性要求須依據（）。A、授權實體的需求B、信息系統的實際性能水平C、組織可支付的經濟成本D、最高管理者的決定18、依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策略，以下正確的是（）A、沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B、對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C、對于允許訪問的網絡服務，按照規(guī)定的授權機制進行授權D、以上都對19、桌面系統級聯狀態(tài)下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除20、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是21、下列哪一種情況下，網絡數據管理協議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環(huán)境時C、需要備份舊的備份系統不能處理的文件許可時中先創(chuàng)學D、要保證跨多個數據卷的備份連續(xù)、一致時22、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數B、使用的信息系統的數量C、用戶的數量D、其他選項都正確23、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作24、關于互聯網信息服務，以下說法正確的是A、互聯網服務分為經營性和非經營性兩類，其中經營性互聯網信息服務應當在電信主管部門備案B、非經營性互聯網信息服務未取得許可不得進行C、從事經營性互聯網信息服務，應符合《中華人民共和國電信條例》規(guī)定的要求D、經營性互聯網服務，是指通過互聯網向上網用戶無嘗提供具有公開性、共享性信息的服務活動25、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA26、依據GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數據類型，如供銷數據、生產數據、開發(fā)測試數據，以便于應用大數據技術對其分析B、確保信息按照其對組織的重要程度受到適當水平的保護C、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責任27、下列說法不正確的是（）A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次28、以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯網下載的免費軟件C、禁止安裝未經驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數29、進入重要機構時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標記30、信息安全的機密性是指（）A、保證信息不被其他人使用B、信息不被未授權的個人、實體或過程利用或知悉的特性C、根據授權實體的要求可訪問的特性D、保護信息準確和完整的特性?31、局域網環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結構B、容錯能力C、網絡拓撲D、局域網協議32、依據GB/T22080,網絡隔離指的是(）A、不同網絡運營商之間的隔離B、不同用戶組之間的隔離C、內網與外網的隔離D、信息服務，用戶及信息系統33、組織確定的信息安全管理體系范圍應（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用34、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護的信息及包含該信息的介質D、對組織有價值的文件35、下列哪項對于審核報告的描述是錯誤的？（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C、正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對36、根據《互聯網信息服務管理辦法》規(guī)定，國家對經營性互聯網信息服務實行（）A、國家經營B、地方經營C、許可制度D、備案制度37、在根據組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程38、下列哪項對于審核報告的描述是錯誤的?（）A、主要內容應與末次會議的內容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構審核后，由委托方將報告的副本轉給受審核方D、以上都不對39、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數據D、網絡地址欺騙40、—家投資顧問商定期向客戶發(fā)送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問商的私鑰數字簽名郵件D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件二、多項選擇題41、在設計和應用安全區(qū)域工作規(guī)程時，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內進行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經授權，不宜允許攜帶攝影、視頻或其他記錄設備，例如移動設備中的相機42、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S43、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對44、信息安全管理體系審核應遵循的原則包括:（）A、誠實守信B、保密性C、基于風險D、基于事實的決策方法45、下列描述哪些是正確的(）。A、程序也可以不形成文件B、程序可以形成文件C、程序必須形成文件D、程序就是文件46、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求（）A、設定備份策B、定期測試備份介質C、定期備份D、定期測試信息和軟件47、風險評估過程一般應包括（）A、風險識別B、風險分析C、風險評價D、風險處理48、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新49、《互聯網信息服務管理辦法》中對（）類的互聯網信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類50、防范端口掃描、漏洞掃描和網絡監(jiān)聽的措施為(）A、安裝防火墻B、定期更新系統或打補丁C、對網絡上傳輸的信息進行加密D、關閉一些不常用的端口51、以下屬于信息安全管理體系審核的證據是：（）A、信息系統運行監(jiān)控中心顯示的實時資源占用數據B、信息系統的閾值列表C、數據恢復測試的日志D、信息系統漏洞測試分析報告52、關于云計算服務中的的安全，以下說法不正確的是（）。A、服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B、服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C、云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D、云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則53、最高管理層應建立信息安全方針,方針應（）A、對相關方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜54、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網監(jiān)控系統B、計算機制造企業(yè)IDC供電系統C、髙等院校網絡接入設施D、高鐵信號控制系統55、《中華人民共和國網絡安全法》是為了保障網絡安全,（）A、維護網絡空間主權B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權益三、判斷題56、破壞、摧毀、控制網絡基礎設施是網絡攻擊行為之一（）正確錯誤57、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。正確錯誤58、組織確定的為規(guī)劃和運行服務管理體系所必需的外來的文檔化信息,應得到適當的識別，并予以控制。（）正確錯誤59、通過修改某種已知計算機病毒的代碼，使其能夠躲過現有計算機病毒檢測程序時，可以稱這種新出現的計算機病毒是原來計算機病毒的變形。正確錯誤60、審核方案應包括審核所需的資源，例如交通和食宿。（）正確錯誤61、J031組織對內部供應商應按服務級別管理過程進行管理。（）正確錯誤62、RSA是一種對稱加密算法。（）正確錯誤63、糾正是指為消除己發(fā)現的不符合或其他不期望情況的原因所采取的措施。（）正確錯誤64、IT系統日志保存所需的資源不屬于容量管理的范圍。（）正確錯誤65、計算機信息系統是由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統（）正確錯誤

參考答案一、單項選擇題1、D2、A3、C4、A5、C6、A7、A8、A9、D10、D11、B12、A13、D14、D解析:高風險的產品或過程應增加審核時間要素15、B16、B17、A解析:資產在可用性上的不同要求，依據授權實體的需求而定，故選A18、C19、A20、D21、A22、D23、B24、C25、B26、B27、A28、D29、B30、B31、B解析:局域網是指家庭或是辦公室，或者其他環(huán)境中小型網絡。而大型計算機環(huán)境是指類似服務器的大型網絡。兩者本地備份差別主要體現在容錯能力上，故選B32、D33、A34、C35、A36、C解析:《互聯網信息服務管理辦法》，國家對經營性互聯網信息服務實行許可制度；對非經營性互聯網信息服務實行備案制度，故選C37、D38、A39、A40、C二、多項選