2023年05月《ISMS信息安全管理体系审核员》试题.docx

2023年05月ISMS信息安全管理体系审核员试题单选题1.根据GBT2080-2016标准的要求，信息安全管理体系通过风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立()信心。A.信（江南博哥）息安全得到充分管理B.风险得到适当管理C.风险得到充分管理D.信息安全得到适当管理单选题2.根据GB/T22080-2016标准的要求，下列选项不属于最高管理层用来证实对信息安全管理体系的领导和承诺的活动？()A.确保信息安全组织职责分离B.促进持续改进C.确保建立了信息安全策略和信息安全目标，并与组织战略方向一致D.确保将信息安全管理体系要求整合到组织过程中单选题3.根据GB/T22080-2016标准，在理解组织及其环境时，组织应确定()。A.与其意图相关的，且影响其实现信息安全管理能力的外部和内部事项B.与信息安全方针相关的，且影响其实现信息安全管理能力的内部和外部事项C.与其战略相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项D.与其意图相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项单选题4.对于信息安全方针，（)是GB/T22080-2016标准所要求的。A.信息安全方针应形成文件化信息并可用B.信息安全方针文件为公司内部重要信息，不得向外部泄露C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D.信息安全方针是建立信息安全工作的总方向和原则，不可变更单选题5.根据GB/T22080-2016标准的要求，信息安全管理体系最高管理层确保信息安全管理达到()。A.预期效果B.顾客满意C.法规要求D.法律要求单选题6.根据GB/T22080-2016标准的要求，相关方的要求可能包括()。A.标准、法规要求和合同义务B.法律、标准要求和合同义务C.法律、法规要求和合同义务D.法律、法规和标准要求和合同义务单选题7.根据GB/T22080-2016标准中控制措施的要求，有关安全登陆规程，不能接受的做法是()。A.在设备上张贴警示通告，说明只有已授权用户才能访问计算机B.忘记个人口令，暴力破解尝试登陆C.输入口令时不显示系统或应用标识符，直到登陆过程已成功完成为止D.在安全登陆期间，不提供对未授权用户有帮助作用的信息单选题8.根据GB/T22080-2016标准中控制措施的要求，有关系统软件安全开发策略，可以不考虑下列哪一项内容？()A.项目里程碑的安全检查点B.开发项目进度C.软件开发生命周期中的安全指南D.开发环境的安全单选题9.根据GB/T22080-2016标准的要求，以下说法正确的是()。A.潜在事件发生的可能性与后果的和决定了风险的级别B.潜在事件后果的严重性决定了风险级别C.潜在事件发生的可能性和后果相乘决定了风险级别D.已发生事件的后果决定了风险级别单选题10.关于GB/T22080-2016，以下说法正确的是()。A.相关方的需求和期望是组织制定信息安全方针的输入B.实施标准4.14.2，须编制“相关方管理程序”，形成文件C.组织须维护一份相关方及其需求和期望的清单D.组织应识别的相关方不随ISMS围而变化单选题11.根据GB/T22080-2016标准中控制措施的要求，应根据法律、法规、规章、合同和业务要求，确保对记录进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。是()的条款的要求。A.A13.2.3B.A18.1.3C.A9.4.1D.A7.5.3单选题12.以下符合GB/T22080-2016标准A18.1.4条款要求的情况是()。A.认证范围内员工的个人隐私数据得到保护B.认证范围内涉及顾客的个人隐私数据得到保护C.认证范围内涉及相关方的个人隐私数据得到保护D.其他选项均正确单选题13.根据ISO/IEC27000标准，()为组织提供了信息安全管理体系实施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27013D.ISO/IEC27003单选题14.根据GB/T22080-2016/ISO/1EC27001:2013标准，以下做法不正确的是()。A.应保留含有敏感信息的介质的处置记录B.离职人员自主删除敏感信息的即可C.必要时采用多路线路供电D.应定期检查机房空调的有效性单选题15.根据GB/T22081-2016标准的要求，附录A包含()项控制措施。A.114B.139C.143D.133单选题16.根据ISO/IEC27006标准，认证决定应基于审核报告中()对客户ISMS是否通过认证的建议。A.审核组B.观察员C.认证决定人员D.审核员单选题17.根据GB/T28450标准，ISMS文件评审不包括()。A.信息安全管理手册的充分性B.风险评估报告的合理性C.适用性声明的完备性和合理性D.风险处置计划的完备性单选题18.ISO/IEC27701是()A.ISO/IEC27001和ISO/IEC27002在隐私保护方面的扩展B.是ISMS族以外的标准C.在隐私保护方面扩展了ISO/IEC27001的要求D.是一份基于ISO/IEC27002的指南性标准单选题19.某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于()。A.风险接受B.风险规避C.风险转移D.风险减缓单选题20.风险偏好是组织寻求或保留风险的()。A.行动B.计划C.意愿D.批复单选题21.根据GB/T20986，由于保障信息系统正常运行所必须的外围设施出现故障而导致的信息安全事件是()。A.其他设备设施故障B.外围保障设施故障C.人为破坏事故D.软硬件自身故障单选题22.根据GB/T29246，信息处理设施不包括()。A.信息系统B.系统和设施安置的物理场所C.人及文档D.服务和基础设施单选题23.依据GB/T29246，以()的组合来表示风险的大小。A.后果和其可能性B.资产和其可能性C.资产和其脆弱性D.后果和其脆弱性单选题24.关于GB17859，以下说法正确的是()。A.特定的法律法规引用该标准在引用的范围内视为强制性标准B.这是一份推荐性标准C.这是一份强制性标准D.组织选择使用该标准在选择的范围内视为强制性标准单选题25.根据GB/T25058信息安全技术网络安全等级保护实施指南，对等级保护对象实施等级保护的基本流程包括，等级保护对象()阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和定级对象终止阶段。？A.备案与风险评估B.定级与风险管理C.定级与风险评估D.定级与备案单选题26.以下哪个不是威胁？()A.错误使用B.文献缺乏C.电磁辐射D.权力滥用单选题27.拒绝服务攻击损害了下列哪一种信息安全特性？(）A.完整性B.可用性C.机密性(保密性)D.可靠性单选题28.某种网络安全威胁是通过非法手段对数据进行恶意修改，这种安全威胁属于()。A.窃听数据B.破坏数据完整性C.破坏数据可用性D.物理安全威胁单选题29.当访问某资源存在不存活的链接时，会导致非法用户冒用并进行重放攻击的可能性，因此应采取()控制措施。A.密码控制B.密钥控制C.会话超时D.远程访问控制单选题30.在以下人为的恶意攻击行为中，属于主动攻击的是()？A.数据窃听B.误操作C.数据流分析D.数据篡改单选题31.用户访问某Web站，用户直接采取的安全措施是()。A.服务器数据备份B.防火墙过滤数据包C.用户输入登录口令D.核心交换机的热备单选题32.以下不属于描述性统计技术的是()。A.正态分布B.散布图C.帕累托图D.直方图单选题33.关于密码技术，以下哪项属于非对称密码技术？()A.RSAB.DESC.3DESD.AES单选题34.对于“监控系统”的存取与使用，下列说法正确的是()。A.监控系统所产生的记录可由用户任意存取B.应保持时钟同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略单选题35.SaaS指()。A.软件即服务B.平台即服务C.应用即服务D.基础设施即服务单选题36.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证()。A.安全技术措施同步规划、同步建设、同步使用B.三级以上信息系统的安全子系统同步规划、同步建设、同步使用C.秘密级以上信息系统的安全子系统同步规划、同步建设、同步使用D.机密级及以上信息系统的安全子系统同步规划、同步建设、同步使用单选题37.根据(中华人民共和国密码法所称密码，以下说法不正确的是()。A.国家密码管理部门负责管理全国的密码工作，市级以上地方各级密码管理部门负责管理本行政区域的密码工作B.密码是指采用特定变换的方法对信息进行加密保护、安全认证的技术、产品和服务C.秘密工作坚持总体国家安全观D.密码分为核心密码、普通密码和商用密码单选题38.根据互联网信息服务管理办法，以下哪个说法是错误的？()？A.互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号B.互联网信息服务提供者变更服务项目、网站网址等事项的，应当提前30日向原审核、发证或者备案机关办理变更手续C.非经营性互联网信息服务提供者可以从事有偿服务D.互联网信息服务提供者应当按照经许可或者备案的项目提供服务，不得超出经许可或者备案的项目提供服务单选题39.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为()。A.三级B.二级C.四级D.五级单选题40.根据中华人民共和国计算机信息系统安全保护条例，计算机犯罪是指行为人通过()所实施的危害(）安全以及其他严重危害社会的并应当处以刑罚的行为。A.数据库操作计算机信息系统B.计算机操作计算机信息系统C.数据库操作管理信息系统D.计算机操作应用信息系统多选题1.根据GB/T22080-2016，()活动是ISMS建立阶段完成的内容。A.确定ISMS范围和边界B.确定ISMS针C.确定风险评估方法并实施风险评估D.实施体系文件培训提交答案多选题2.信息有其固有的生命周期，即从其()。A.创建和产生B.使用、传输C.存储、处理D.销毁或消失提交答案多选题3.根据GB/T22080-2016中控制措施的要求，关于用户的秘密鉴别信息管理，正确的是()A.鉴别信息宜加密保存B.对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息C.鉴别信息的保护可作为任用条件或条款的内容D.使用QQ递鉴别信息提交答案多选题4.根据GB/T22080-2016标准中控制措施的要求，有关信息安全管理中“符合性”的叙述，正确的是()。A.组织重要记录应予以保护B.清楚识别所有的法律和合同的要求C.要保护个人信息的数据和隐私D.避免非法使用具有知识产权的专利软件产品提交答案多选题5.根据GB/T22081标准，有关安全区域的叙述，正确的是()。A.划设为安全区域的场所已有适当管控，可容许任何人进出B.其目标是避免营运场所及信息遭到未授权存取、损害与干扰C.应设立安全区域，以满足不同业务场景的安全需求D.在安全区域内工作时应采取额外的控制措施及指引，以强化该区域的安全性提交答案多选题6.根据GB/T22080-2016标准中控制措施的要求，变更管理应予以控制的风险包括()。A.组织架构、业务流程变更的风险B.信息系统新的组件、功能模块发布的风险C.信息系统配置、物理位置变更的风险D.供应商内部的体系文件修改造成流程变更的风险提交答案多选题7.ISMS核目标可包括()。A.评价ISMS否充分识别B.确定信息安全控制对ISMS求和规程的符合程度C.解决信息安全要求D.评价维护和有效改进ISMS过程提交答案多选题8.根据GB/T29264标准，运行维护服务采用信息技术手段及方法，依据需方提出的服务级别要求，对其信息系统的()等提供的各种技术支持和管理服务。A.硬件B.安全C.基础环境D.软件提交答案多选题9.为了成功达成信息安全管理体系的持续改进，信息安全测量项目应当考虑()。A.基于信息安全管理体系目标的定量安全测度B.业务连续性计划C.信息安全管理体系各过程和规程的存在D.管理层的承诺并有适当资源支持提交答案多选题10.访问控制机制包括()。A.自主访问控制B.安全标记C.客体重用D.强制访问控制提交答案多选题11.关于31000标准，以下哪些说法是正确的？()A.该标准可用于任何公有、私有企业、协会、团体或个体。因此，该标准不针对任何行业或部门B.尽管该标准提供了风险管理的通用性指南，但不要求组织风险管理的统一性C.该标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果D.风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践提交答案多选题12.以下哪些是不能用来进行问责追溯的文件？()A.系统日志B.用户口令C.用户配置文件D.配置文件提交答案多选题13.在信息安全管理中，以下属于“按需知悉(need-to-know)"原则的是()A.针对所需完成的工作，赋予最小集的权限B.工作人员仅需知悉可支持其完成工作任务的信息C.工作人员可访问的信息范围是有限的，仅在必要时可扩大范围D.得到高层管理者批准的信息范围是可访问的信息提交答案多选题14.以下哪种说法是正确的？()A.经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动B.非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动C.国家对经营性互联网信息服务和非经营性互联网信息服务均实行备案制度D.互联网信息服务分为经营性和非经营性两类提交答案多选题15.中华人民共和国网络安全法适用于在中华人民共和国境内()网络，以及网络安全的监督管理。A.建设B.运营C.维护D.使用提交答案判断题1.审核方案风险一般不包括保密要求相关的风险()。A.正确B.错误判断题2.审核目的应包括确定管理体系的有效性，以确保客户已根据风险评估实施了适用的控制并实现了所设立的信息安全方针。()A.正确B.错误判断题3.ISO/IEC27006是ISO/IEC17021的相关要求的补充。()A.正确B.错误判断题4.ISO/IEC27018是信息技术安全技术可识个人信息(PII)处理者在公有云中保护PII实践指南。()A.正确B.错误判断题5.某互联网服务公司允许员工使用手机APP完成对公司客户的服务请求处理，无论手机是公司配发的或员工私有的，均须安装公司规定的安装控制程序。这符合ISO/IEC27001:2013标准A.6.2.1的要求。()A.正确B.错误判断题6.某公司核心业务系统MTPD=4小时，非核心业务系统MTPD=36小时，公司取其平均值，规定业务系统的RTO=20小时。这符合GB/T22080-2016标准A17.1.1的要求。()A.正确B.错误判断题7.防火墙是设置在内部网络和外部网络(如互联网)之间，实施访问控制策略的一个或一组系统。()A.正确B.错误判断题8.域账号的名称在域中必须是唯一的，而且也不能和本地账号名称相同，否则会引起混乱。()A.正确B.错误判断题9.计算机数据恢复在实际生活当中可以百分百恢复。()A.正确B.错误判断题10.申请注册信息安全管理体系审核员应具有大学本科(含)以上学历。()A.正确B.错误