2021年第三期國家ISMS信息安全管理體系審核員模擬試題含解析

2021年第三期國家ISMS信息安全管理體系審核員模擬試題一、單項選擇題1、依據(jù)《中華人民共和國網(wǎng)絡安全法》應予以重點保護的信息基礎設施，指的是()A、一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數(shù)據(jù)泄雷，可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數(shù)據(jù)泄露，可能危害國家安全、國計民生的信息基礎設施D、—旦遭到破壞、數(shù)據(jù)泄露，可能危害國家安全、國計民生、公共利益的網(wǎng)絡系統(tǒng)2、《中華人民共和國網(wǎng)絡安全法》中的"三同步"要求，以下說法正確的是（）A、指關鍵信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用C、指涉密信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設時須保證安全技術措施同步規(guī)劃、同步建設、同步使用3、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關模式D、旁路接入模式4、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求5、下列措施中不能用于防止非授權訪問的是（）A、采取密碼技術B、采用最小授權C、采用權限復查D、采用日志記錄6、()是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態(tài)A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障7、IT服務中"升級"是（）A、服務等級的升級B、問題管理向變更管理升級C、將事件、問題升級為更高職能的人員或部門處理D、事件管理向問題管理升級8、安全區(qū)域通常的防護措施有（）A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部9、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是10、信息安全管理體系的設計應考慮（）A、組織的戰(zhàn)B、組織的目標和需求C、組織的業(yè)務過程性質D、以上全部11、口令管理系統(tǒng)應該是（）,并確保優(yōu)質的口令A、唯一式B、交互式C、專人管理式D、A+B+C12、審核計劃中不包括（）。A、本次及其后續(xù)審核的時間安排B、審核準則C、審核組成員及分工D、審核的日程安排13、創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模ǎ?。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準14、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA15、依據(jù)《中華人民共和國網(wǎng)絡安全法》，以下說法不正確的是（）A、網(wǎng)絡安全應采取必要措施防范對網(wǎng)絡的攻擊和侵入B、網(wǎng)絡安全措施包括防范對網(wǎng)絡的破壞C、網(wǎng)絡安全即采取措施保護信息在網(wǎng)絡中傳輸期間的安全D、網(wǎng)絡安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護16、（）是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障17、下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響?（）A、電力線路調節(jié)器B、電力浪涌保護設備C、備用的電力供應D、可中斷的電力供應18、關于信息安全管理體系認證，以下說法正確的是（）A、認證決定人員不宜推翻審核組的正面結論B、認證決定人員不宜推翻審核組的負面結論C、認證機構應對客戶組織的ISMS至少進行一次完整的內部審核D、認證機構必須遵從客戶組織規(guī)定的內部審核和管理評審的周期19、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡D、安全模式下查殺不容易死機20、《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件,有關使用單位應當在（）向當?shù)乜h級以上人民政府公安機關報告。A、8小時內B、12小時內C、24小時內D、48小時內21、以下可表明知識產(chǎn)權方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費軟件C、禁止安裝未經(jīng)驗證的軟件包D、禁止軟件安裝超出許可權規(guī)定的最大用戶數(shù)22、考慮不同時段的工作負數(shù)的差異收費用于(）。A、故障樹分析(FTA）B、可用性計劃C、服務級別管理D、風險分析和管理法23、下列不屬于常用云服務類型的是（)A、軟件即服務B、郵件即服務C、平臺即服務D、基礎設施即服務24、()是風險管理的重要一環(huán)。A、管理手冊B、適用性聲明C、風險處置計劃D、風險管理程序25、下列哪項不是監(jiān)督審核的目的？（）A、驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C、確認是否持續(xù)符合認證要求D、做出是否換發(fā)證書的決定26、變更請求為提出針對服務、（）或IT服務管理體系（ITSMS）的變更建議A、服務組件B、服務軟件C、配置項D、配置管理數(shù)據(jù)庫27、關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務與責任。A、安全保密B、安全保護C、安全保障D、安全責任28、《信息技術服務分類與代碼》規(guī)定(）屬于軟件運營服務。A、在線殺毒B、物流信息管理服務平臺C、電子商務D、在線娛樂平臺29、由認可機構對認證機構、檢測機構、實驗室從事評審、審核的認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動是（）A、認證B、認可C、審核D、評審30、風險處置是（）A、識別并執(zhí)行措施來更改風險的過程B、確定并執(zhí)行措施來更改風險的過程C、分析并執(zhí)行措施來更改風險的過程D、選擇并執(zhí)行措施來更改風險的過程31、信息安全目標應()A、可測量B、與信息安全方針一致C、適當時，對相關方可用D、定期更新32、根據(jù)《信息安全等級保護管理辦法》,對于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證33、ISO/IEC20000-3與ISO/IEC20000J之間的關系是()A、ISO/IEC20000-3為ISO/IEC20000-1提供了實施指南B、ISO/IEC20000-3為ISO/IEC20000-1提供了范圍定義的指南C、ISO/IEC20000-3為ISO/IEC20000-1提供了過程參考模型D、ISO/IEC20000-3為ISO/IEC20000-1提供了實施計劃樣例34、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監(jiān)視和評審范疇的是（）。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力35、在形成信息安全管理體系審核發(fā)現(xiàn)時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性36、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼37、依據(jù)GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術對其分析B、確保信息按照其對組織的重要程度受到適當水平的保護C、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責任38、組織應在相關（）上建立信息安全目標A、組織環(huán)境和相關方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次39、關于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明40、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術對其分析二、多項選擇題41、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了42、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類43、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進機會相關決定C、管理評審會議紀要D、變更信息的安全管理體系任何需求44、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核45、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒46、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動47、常規(guī)控制圖主要用于區(qū)分（）A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動48、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、確保將信息安全管理體系要求整合到組織過程中B、確保信息安全管理體系所需資源可用C、確保支持相關人員為信息安全管理體系的有效性做出貢獻D、確保信息安全管理體系達到預期結果49、最高管理層應建立信息安全方針,方針應（）A、對相關方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標D、與組織意圖相適宜50、針對敏感應用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時，明確提示其用戶名錯誤或口令錯誤B、登錄之后，不活動超過規(guī)定時間強制使其退出登錄C、對于修改系統(tǒng)核心業(yè)務運行數(shù)據(jù)的操作限定操作時間D、對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權限51、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》,從事非經(jīng)營性互聯(lián)網(wǎng)信息服務，應當向（）電信管理機構或者國務院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A、省B、自治區(qū)C、直轄市D、特別行政區(qū)52、關于服務組件”以下說法正確的是（）A、不包括基礎設施B、可以是服務的一部分C、可包括配置項、資產(chǎn)或其他要素D、一項或多項配置項可以構成一項服務組件53、管理評審的輸入應包括（）。A、相關方的反饋B、不符合和糾正措施C、信息安全目標完成情況D、業(yè)務連續(xù)性演練結果54、移動設備策略宜考慮（)A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求55、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務B、組織C、物理D、資產(chǎn)和技術三、判斷題56、實習審核員可以獨立完成審核任務。（）正確錯誤57、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據(jù)。(）正確錯誤58、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）正確錯誤59、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)（）。正確錯誤60、J031組織對內部供應商應按服務級別管理過程進行管理。（）正確錯誤61、審核組可以由一個人組成。（）正確錯誤62、ISO/IEC27006是ISO/IEC17021的相關要求的補充。(）正確錯誤63、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）正確錯誤64、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”，指網(wǎng)絡服務提供者，不包括其他類型的網(wǎng)絡所有者和管理者。（）正確錯誤65、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）正確錯誤

參考答案一、單項選擇題1、A2、A3、D4、B5、D6、A7、C8、D9、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D10、D11、B12、A13、D14、B15、C解析:網(wǎng)絡安全法第七十六條，網(wǎng)絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集，存儲，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡安全，是指通過采取必要措施，防范對網(wǎng)絡的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性，保密性，可用性的能力。故選C16、A17、D18、B19、B20、C21、D22、B23、B24、C解析:參考iso/iec27005，風險管理包括風險評估，風險處置，風險接受，風險溝通，風險監(jiān)視和風險評審。因此風險處置計劃是風險管理的重要一環(huán)，故選C25、D26、A27、A解析:《中華人民共和國網(wǎng)絡安全法》第36條，關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。故選A28、A29、B30、D解析:風險處置，是指選擇并且執(zhí)行措施來更改風險的過程。故選D31、B32、A33、B34、B35、B36、D37、B38、D39、B40、C二、多項選擇題41、A,C42、A,B