版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
2022年第四期ISMS信息安全管理體系審核員復習題一、單項選擇題1、信息安全管理中,支持性基礎設施指:()A、供電、通信設施B、消防、防雷設施C、空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)D、以上全部2、構成風險的關鍵因素有()A、人、財、物B、技術、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性3、依據(jù)GB/T22080-2016標準,符合性要求包括()A、知識產(chǎn)權保護B、公司信息保護C、個人隱私的保護D、以上都對4、不屬于常見的危險密碼是()A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼5、風險評價是指()A、系統(tǒng)地使用信息來識別風險來源和評估風險B、將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程C、指導和控制一個組織相關風險的協(xié)調(diào)活動D、以上都對6、文件化信息創(chuàng)建和更新時,組織應確保適當?shù)模ǎ〢、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準7、確定資產(chǎn)的可用性要求須依據(jù)()。A、授權實體的需求B、信息系統(tǒng)的實際性能水平C、組織可支付的經(jīng)濟成本D、最高管理者的決定8、GB/T22080標準中所指資產(chǎn)的價值取決于()A、資產(chǎn)的價格B、資產(chǎn)對于業(yè)務的敏感度C、資產(chǎn)的折損率D、以上全部9、ISO/IEC20000-1:2018標準是依據(jù)管理體系高層結構,即()對標準的結構進行調(diào)整的A、ISO/IEC導則的一部分綜合ISO補充附錄B、ISO/IEC導則的一部分綜合ISO補充結構層C、ISO/IEC導則的一部分綜合ISO補充體質(zhì)D、ISO/IEC導則的一部分綜合ISO補充模型10、下列關于DMZ區(qū)的說法錯誤的是()A、DMZ可以訪問內(nèi)部網(wǎng)絡B、通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設備,如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C、內(nèi)部網(wǎng)絡可以無限制地訪問夕卜部網(wǎng)絡以及DMZD、有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作11、組織應定義所有事件的記錄和分類、分級、需要時升級、解決和()A、報告B、溝通C、回復顧客D、正式關閉12、《計算機信息系統(tǒng)安全保護條例》規(guī)定:對計算機信息系統(tǒng)中發(fā)生的案件,有關使用單位應當在()向當?shù)乜h民政府公安機關報告A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)13、關于信息安全連續(xù)性,以下說法正確的是()A、信息安全連續(xù)性即IT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定14、文件化信息創(chuàng)建和更新時,組織應確保適當?shù)模?A、對適宜性和有效性的評審和批港B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充業(yè)性的評審和批準15、ISO/IEC27001描述的風險分析過程不包括()A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后,可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性16、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位,公司文件規(guī)定員工計算機密碼必須6位及以上,那么中哪一項不是針對該問題的糾正措施?()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設置方法的培訓C、通過域控進行強制管理D、對所有員工進行意識教育17、關于訪問控制,以下說法正確的是()A、防火墻基于源IP地址執(zhí)行網(wǎng)絡訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強制訪問控制中,用戶標記級別小于文件標記級別,即可讀該文件18、形成ISMS審核發(fā)現(xiàn)時,不需要考慮的是()A、所實施控制措施與適用性聲明的符合性B、適用性聲明的完備性和適宜性C、所實施控制措施的時效性D、所實施控制措施的有效性19、依據(jù)ISO/IEC20000-1:2018,服務目錄應()A、描述服務及其結果B、由顧客制定C、是合同的一部分D、是統(tǒng)一所有服務描述的匯總20、下列說法不正確的是()A、殘余風險需要獲得管理者的批準B、體系文件應能夠顯示出所選擇的控制措施回溯到風險評估和風險處置過程的結果C、所有的信息安全活動都必須記錄D、管理評審至少每年進行一次21、Saas是指()A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務22、文件初審是評價受審方ISMS文件的描述與審核準則的()A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對23、依據(jù)GB/T22080,關于職責分離,以下說法正確的是()A、信息安全政策的培訓者與審計之間的職責分離B、職責分離的是不同管理層級之間的職責分離C、信息安全策略的制定者與受益者之間的職責分離D、職責分離的是不同用戶組之間的職責分離24、ISMS文件的多少和詳細程度取決于()A、組織的規(guī)模和活動的類型B、過程及其相互作用的復雜程度C、人員的能力D、以上都對25、關于防范惡意軟件,以下說法正確的是:()A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測、預防和恢復機制以防范惡意軟件26、關于投訴處理過程的設計,以下說法正確的是:()A、投訴處理過程應易于所有投訴者使用B、投訴處理過程應易于所有投訴響應者使用C、投訴處理過程應易于所有投訴處理者使用D、投訴處理過程應易于為投訴處理付費的投訴者使用27、你所在的組織正在計劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護關鍵信息資源,在評估這樣一個軟件產(chǎn)品時最重要的標準是什么?()A、要保護什么樣的信息B、有多少信息要保護C、為保護這些重要信息需要準備多大的投入D、不保護這些重要信息,將付出多大的代價28、安全區(qū)域通常的防護措施有()A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部29、以下關于安全接層協(xié)議(SSL)的敘述中,錯誤的是()A、為TCP/IP連接提供服務器認證B、為TCP/IP連接提供數(shù)據(jù)加密C、提供數(shù)據(jù)安全機制D、是一種應用層安全協(xié)議30、我國網(wǎng)絡安全等級保護共分幾個級別?()A、7B、4C、5D、631、以下哪些可由操作人員執(zhí)行?()A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶32、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定,國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行()A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度33、《信息安全等級保護管理辦法》規(guī)定,應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每()至少進行一次保密檢查或系統(tǒng)測評A、半年B、1年C、1,5年D、2年34、相關方的要求可以包括()A、標準、法規(guī)要求和合同義務B、法律、標準要求和合同義務C、法律、法規(guī)和標準要求和合同義務D、法律、法規(guī)要求和合同義務35、《信息安全管理體系認證機構要求》中規(guī)定,第二階段審核()進行A、在客戶組織的場所B、在認證機構以網(wǎng)絡訪向的形式C、以遠程視頻的形式D、以上都対36、過程是指()A、有輸入和輸出的任意活動B、通過使用資源和管理,將輸入轉化為輸出的活動C、所有業(yè)務活動的集合D、以上都不對37、依據(jù)GB/T22080,網(wǎng)絡隔離指的是()A、不同網(wǎng)絡運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務,用戶及信息系統(tǒng)38、完整性是指()A、根據(jù)授權實體的要求可訪問的特性B、信息不被未授權的個人實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、保護資產(chǎn)保密和可用的特性39、ISO/IEC20000-1適用于通過ITSMS的()服務規(guī)劃、設計、轉換、交付和改進。A、有效策劃與保持持續(xù)改進B、有效實施與運行持續(xù)改進C、有效實施與保持持續(xù)改進D、有效策劃與運行持續(xù)改進40、信息系統(tǒng)的變更管理包括()A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部二、多項選擇題41、“云計算服務”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S42、以下屬于“信息處理設施”的是()A、信息處理系統(tǒng)B、信息處理相關的服務C、與信息處理相關的設備D、安置信息處理設備的物理場所與設施43、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息?()A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標44、以下屬于信息安全管理體系審核的證據(jù)是:()A、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告45、設計一個信息安全風險管理工具,應包括如下模塊()。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風險趨勢分析D、信息安全事件管理流程46、下列描述哪些是正確的()。A、程序也可以不形成文件B、程序可以形成文件C、程序必須形成文件D、程序就是文件47、依據(jù)GB/Z20986,確定為重大社會影響的情況包括()A、涉及到一個或多個城市的大部分地區(qū)B、威脅到國家安全C、擾亂社會秩序D、對經(jīng)濟建設設有重大負面影響48、風險評估過程一般應包括()A、風險識別B、風險分析C、風險評價D、風險處置49、風險處置的可選措施包括()。A、風險識別B、風險分析C、風險轉移D、風險減緩50、下列哪些是SSL支持的內(nèi)容類型?()A、chang_cipher_specB、alertC、handshakleD、applicatlon_data51、關于審核委托方,以下說法正確的是:()A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核52、以下()活動是ISMS建立階段應完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓53、信息安全管理中,支持性基礎設施指:()A、供電、通信設施B、消防、防雷設施C、空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)D、網(wǎng)絡設備54、GB/T28450審核方案管理的內(nèi)容包括()A、信息安全風險管理要求B、ISMS的復雜度C、是否存在相似場所D、ISMS的規(guī)模55、以下屬于訪問控制的是()。A、開發(fā)人員登錄SVN系統(tǒng),授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒三、判斷題56、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”,指網(wǎng)絡服務提供者,不包括其他類型的網(wǎng)絡所有者和管理者。()正確錯誤57、最高管理層應確保方針得到建立()正確錯誤58、J031組織對內(nèi)部供應商應按服務級別管理過程進行管理。()正確錯誤59、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據(jù)。()正確錯誤60、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。正確錯誤61、IS0/IEC27006是ISO/IEC17021的相關要求的補充。()正確錯誤62、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍()正確錯誤63、敏感信息通過網(wǎng)絡傳輸時必須加密處理。()正確錯誤64、組織業(yè)務運行使用云基礎設施服務,同時員工通過自有手機APP執(zhí)行業(yè)務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。()正確錯誤65、客戶所有場所業(yè)務的范圍相同,且在同一ISMS下運行,并接受統(tǒng)一的管理、內(nèi)部審核和管理評審時,認證機構可以考慮使用基于抽樣的認證審核()正確錯誤
參考答案一、單項選擇題1、D2、C3、D4、D5、B6、D7、A解析:資產(chǎn)在可用性上的不同要求,依據(jù)授權實體的需求而定,故選A8、B9、A10、A11、D12、C13、B14、D15、A16、A17、C18、C19、A20、A21、A22、A23、B24、D25、D26、A27、D28、D29、D30、C31、C32、C解析:《互聯(lián)網(wǎng)信息服務管理辦法》,國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行許可制度;對非經(jīng)營性互聯(lián)網(wǎng)信息服務實行備案制度,故選C33、D34、D35、A36、B解析:so9000-20153,4,1過程,利用輸入產(chǎn)生輸出的相互關聯(lián)或相互作用的一組活動。故選B37、D38、C39、B40、D二、多項選擇題41、A,B,C解析:云計算可以認為包括以下幾個層次的服務:基礎設施即服務(I.aaS),平臺即服務(PaaS)和軟件即服務(SaaS)。云計算服務通常提供通用的通過瀏覽器訪問的在線商業(yè)應用,軟件和數(shù)據(jù)可存儲在數(shù)據(jù)中心。42、A,B,C,D43、A,B,D44、A,B,C,D45、A,B,C,D解析:參考27001附錄A16,信息安全事件管理
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- GB/T 24055.1-2024環(huán)境管理建立防治土地退化和荒漠化良好實踐指南第1部分:良好實踐框架
- 工作總結之工程部文員實習總結
- 電工電子技術(第3版) 課件 2.3 交流電路的諧振
- 2023年異步轉移模式寬帶交換機資金需求報告
- 銀行員工行為約束制度
- 銀行內(nèi)部財務管理監(jiān)督制度
- 《數(shù)字微波原理》課件
- 最美護士演講稿(20篇)
- 貴州省六盤水市2023-2024學年高一上學期1月期末質(zhì)量監(jiān)測試題 生物 含答案
- 【大學課件】網(wǎng)上支付與安全交易
- 2024年度標準化消防設施保養(yǎng)協(xié)議版B版
- 2024年版:石灰石倉儲服務協(xié)議2篇
- 《紅色江西贛土地》課件
- 形式邏輯金岳霖課后習題答案
- 長安大學《電工與電子技術基礎一》2022-2023學年期末試卷
- 2024新反洗錢法學習課件
- 2024年新疆區(qū)公務員錄用考試《行測》真題及答案解析
- 2024-2025年全國道路隧道、橋梁設計工程師專業(yè)技能及理論知識考試題庫(附含答案)
- 中國特色社會主義理論與實踐研究學習通超星期末考試答案章節(jié)答案2024年
- 投資款退款合同模板
- 2025屆浙江省杭州市高三一模語文試題
評論
0/150
提交評論