2022年第二期ISMS審核員考試題目-信息安全管理體系含解析

2022年第二期ISMS審核員考試題目—信息安全管理體系一、單項(xiàng)選擇題1、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制2、（）不是每個過程都需要定義的部分A、輸出B、資源C、輸入D、活動3、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部4、以下關(guān)于安全接層協(xié)議(SSL)的敘述中,錯誤的是(）A、為TCP/IP連接提供服務(wù)器認(rèn)證B、為TCP/IP連接提供數(shù)據(jù)加密C、提供數(shù)據(jù)安全機(jī)制D、是一種應(yīng)用層安全協(xié)議5、《信息技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)物理破壞而導(dǎo)致的信息安全事件。A、網(wǎng)絡(luò)攻擊B、不可抗力C、自然災(zāi)害D、人為因素6、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部7、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D、對組織有價值的文件8、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實(shí)現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實(shí)現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制9、變更請求為提出針對服務(wù)、（）或IT服務(wù)管理體系（ITSMS）的變更建議A、服務(wù)組件B、服務(wù)軟件C、配置項(xiàng)D、配置管理數(shù)據(jù)庫10、在實(shí)施技術(shù)符合性評審時，以下說法正確的是（）A、技術(shù)符合性評審即滲透測試B、技術(shù)符合性評審即漏洞掃描與滲透測試的結(jié)合C、滲透測試和漏洞掃描可以替代風(fēng)險評估D、滲透測試和漏洞掃描不可替代風(fēng)險評估11、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)12、最高管理者應(yīng)（）。A、確保制定ISMS方針B、制定ISMS目標(biāo)和計劃C、實(shí)施ISMS內(nèi)部審核D、主持ISMS管理評審13、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析14、為確保采用一致和有效的方法對信息安全事件進(jìn)行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責(zé)任B、建立信息安全事件管理規(guī)程C、對信息安全事件進(jìn)行響應(yīng)D、在組織內(nèi)通報信息安全事件15、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對資產(chǎn)擁有財產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負(fù)責(zé)人16、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析17、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行（）A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度18、關(guān)于信息安全連續(xù)性，以下說法正確的是：A、信息安全連續(xù)性即FT設(shè)備運(yùn)行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定19、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當(dāng)級別的保護(hù)B、確保信息按照其級別得到適當(dāng)?shù)谋Ｗo(hù)C、確保信息得到保護(hù)D、確保信息按照其級別得到處理20、在發(fā)布一個軟件升級，修復(fù)某個已知錯誤后，哪個流程能確保配置信息被正確更新（）A、變更管理B、服務(wù)級別管理C、配置管理D、發(fā)布和部署管理21、計算機(jī)病毒是計算機(jī)系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡(luò)22、關(guān)于文件管理下列說法錯誤的是（）A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B、必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰，易于識別D、作廢文件應(yīng)及時銷毀，防止錯誤使用23、關(guān)于內(nèi)部審核下面說法不正確的是(）。A、組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B、通過內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)C、組織應(yīng)建立、實(shí)施和維護(hù)一個審核方案D、組織應(yīng)確保審核結(jié)果報告至管理層24、（）是建立有效的計算機(jī)病毒防御體系所需要的技術(shù)措施。A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻25、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶26、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》27、信息安全控制目標(biāo)是指：（)A、對實(shí)施信息安全控制措施擬實(shí)現(xiàn)的結(jié)果的描述B、組織的信息安全策略集的描述C、組織實(shí)施信息安全管理體系的總體宗旨和方向D、A+B28、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)29、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實(shí)施前的正式批準(zhǔn)D、以上全部30、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動態(tài)測試C、混合檢測D、以上都是31、組織應(yīng)()與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保32、容量管理的對象包括（）A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部33、訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問34、測量控制措施的有效性以驗(yàn)證安全要求是否被滿足是（）的活動。A、ISMS建立階段B、ISMS實(shí)施和運(yùn)行階段C、ISMS監(jiān)視和評審階段D、ISMS保持和改進(jìn)階段35、對保密文件復(fù)印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性36、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)37、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機(jī)密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對38、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時，申核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碇幸源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上各項(xiàng)都不可以39、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理40、文件初審是評價受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對二、多項(xiàng)選擇題41、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴(kuò)大范圍D、得到管理者批準(zhǔn)的信息是可訪問的信息42、信息安全風(fēng)險分析包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實(shí)際發(fā)生的可能性43、以下屬于信息安全事態(tài)或事件的是:（）A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知44、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營C、維護(hù)D、使用45、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時，其原使用計算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致46、問題管理的輸入不包括（）A、變更請求B、問題解決方案C、事件記錄D、新的已知錯誤47、組織建立的信息安全目標(biāo)，應(yīng)（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時更新48、風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴49、為確保員工和合同方理解其職責(zé)、并適合其角色，在員工任用之前，必須（）A、對其進(jìn)行試用B、對員工的背景進(jìn)行適當(dāng)?shù)尿?yàn)證檢查C、在任用條款與合同中指導(dǎo)安全職責(zé)D、面試50、以下屬于訪問控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒51、關(guān)于目標(biāo)，下列說法正確的是（）A、目標(biāo)現(xiàn)的結(jié)果B、溝通記錄C、目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D、目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品52、風(fēng)險處置的可選措施包括（）。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩53、關(guān)于信息安全風(fēng)險自評估，下列選項(xiàng)正確的是（）A、是指信息系統(tǒng)擁有、運(yùn)營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估B、周期性的自評估可以在評估流程上適當(dāng)簡化C、可由發(fā)起方實(shí)施或委托風(fēng)險評估服務(wù)技術(shù)支持方實(shí)施D、由信息系統(tǒng)上級管理部門組織的風(fēng)險評估54、信息安全管理中，以下屬于“按需知悉（need-to-know)”原則的是（）A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅需要滿足工作任務(wù)所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴(kuò)大范圍。D、工作范圍是可訪問的信息55、管理評審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性三、判斷題56、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）正確錯誤57、組織確定的為規(guī)劃和運(yùn)行服務(wù)管理體系所必需的外來的文檔化信息,應(yīng)得到適當(dāng)?shù)淖R別，并予以控制。（）正確錯誤58、風(fēng)險處置計劃和信息安全殘余風(fēng)險應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）正確錯誤59、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。（)正確錯誤60、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）正確錯誤61、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬正確錯誤62、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進(jìn)信息安全管理體系的承諾。正確錯誤63、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）正確錯誤64、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）正確錯誤65、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的（）正確錯誤

參考答案一、單項(xiàng)選擇題1、B2、B3、D4、D5、B6、C7、C8、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問，應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問。cd選項(xiàng)錯誤，必須是已授權(quán)用戶才可訪問。A選項(xiàng)錯誤，在家登錄，不符合安全訪問控制策略。故選B9、A10、D11、D12、D13、C14、D15、C16、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當(dāng)水平的保護(hù)。對比四個選項(xiàng)，c項(xiàng)更能突出對組織的重要程度，故選C17、C解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度，故選C18、B19、A20、C21、C22、D23、C24、D25、C26、D27、A28、D29、D30、D解析:漏洞檢測分為被動檢測（靜態(tài)），主動檢測（動態(tài)），綜合檢測（混合檢測）。故選D31、A32、D33、D34、C35、A36、B37、A38、B39、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣響?yīng)對相關(guān)風(fēng)險。故選D40、A二、多項(xiàng)選擇題41、A,B,C42、B,C,D43、A,B,C44、A,B,C,D解析:參考本法第二條，在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)和