2023年01月《ISMS信息安全管理体系审核员》试题.docx

2023年01月ISMS信息安全管理体系审核员试题单选题1.根据GB17859计算机信息系统安全保护等级划分准则，计算机信息系统安全保护能力分为()等级。A.5B.6C.3D.4单选题（江南博哥）2.ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的()系统。A.测量B.报告C.传递D.评价单选题3.风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()A.识别可能性和影响B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影响单选题4.关于中华人民共和国网络安全法中的“三同步"要求，以吓说法正确的是()。A.指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用B.建设三级以上信息系统须保证子系统同步规划、同步建设、同步使用C.建设机密及以上信息系统须保证子系统同步规划、同步建设、同步使用D.以上都不对单选题5.根据GB/T22080-2016,应按照既定的备份策略，对()进行备份，并定期测试。A.信息、软件和系统镜像B.信息、软件和数据镜像C.数据、信息和软件D.数据、信息和系统镜像单选题6.关于散布图，以下说法正确的是:()。A.是描述特性值分布区间的图趋势图B.是描述对变量关系的图敏布图C.是描述特性随时间变化趋势的图趋势图D.是描述变量类别分布的图直方图单选题7.有关数据中心机房中,支持性基础设施不包括()A.供电、通信设施B.消防、防雷设施C.空调及新风系统、水气暖供应系统D.网络设备单选题8.保密性是指()。A.根据授权实体的要求可访问的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护信息准确和完整的特性D.以上都不对单选题9.根据GB/T22080-2016标准中控制措施的要求，有关系统获取、开发和维护过程中的安全问题，以下描述错误的是()？A.运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险B.系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理C.系统的获取、开发和维护过程中的安全问题，不仅仅是考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统D.系统的开发设计，应该越早考虑系统的安全需求越好单选题10.根据GB/T22080-2016标准，审核中下列哪些章节不能删减()。A.1-10B.4-10C.4-7和9-10D.4-10和附录A单选题11.下列说法不正确的是()。A.残余风险需要获得风险责任人的批准B.适用性声明需要包含必要的控制及其选择的合理性说明C.所有的信息安全活动都必须有记录D.组织控制下的员工应了解信息安全方针单选题12.在信息安全技术中，涉及信息系统灾难恢复，其中“恢复点目标”指()？A.史难发生后，信息系统或业务功能从停顿到必须恢复的时间B.灾难发生后，信息系统或业务功能项恢复的范围C.灾难发生后，系统和数据必须恢复到的时间点要求D.灾难发生后，关键数据能被复原的范围单选题13.按照PDCA思路进行审核，是指()。A.按照认可规范中规定的PDCA流程进行审核B.按照认证机构的PDCA流程进行审核C.按照受审核区域的信息安全管理活动的PDCA过程进行审核D.按照检查表策划9PDCA进行审核单选题14.信息安全等级保护管理办法规定的5级是信息系统受到破坏后会对()造成严重损害。A.国家安全B.公共利益C.公民、法人和其他组织的合法权益D.社会秩序单选题15.为了达到组织灾难恢复的要求，备份时间间隔不能超过()A.服务水平目标(SLO)B.恢复点目标(RPO)C.恢复时间目标(RTO)D.最长可接受终端时间(MAO)单选题16.GB/T22080标准中所指资产的价值取决于()。A.资产的价格B.资产对于业务的敏感度C.资产的折损率D.以上全部单选题17.在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有()。A.客户组织的准备程度B.所需能力的审核组成员C.所需审核组能力的要求D.客户组织的场所分布单选题18.根据GB/T22080-2016标准中控制措施的要求，应按计划的时间间隔或在重大变化发生时，对组织的信息安全管理方法及其实现进行的()A.内部评审B.第三方评审C.系统评审D.独立评审单选题19.国家秘密的保密期限应为:()A.绝密不超过三十年，机密不超过二十年，秘密不超过十年B.绝密不低于三十年，机密不低于二十年，秘密不低于十年C.绝密不超过二十五年，机密不超过十五年,秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年单选题20.某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于()A.风险接收B.风险规避C.风险转移D.风险减缓单选题21.ISMS不-定必须保留的文件化信息有()。A.适用性声明B.信息安全风险评估过程记录C.管理评审结果D.重要业务系统操作指南单选题22.残余风险是指:()。A.风险评估前，以往活动遗留的风险B.风险评估后，对以往活动遗留的风险的估值C.风险处置后剩余的风险，比可接受风险低D.风险处置后剩余的风险，不一定比可接受风险低单选题23.信息安全管理体系标准族中关于信息安全管理体系建设指南的标准是()A.ISO/IEC27003B.ISO/IEC27004C.ISO/IEC27005D.ISO/IEC27002单选题24.有关信息安全管理，风险评估的方法比起基线的方法，其主要的优势在于确保()A.不考虑资产的价值，基本水平的保护都会被实施B.对所有信息资产保护都投入相同的资源C.对信息资产实施适当水平的保护D.信息资产过度的保护单选题25.某公司财务管理数据职能提供给授权的用户，安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉，这样就可以确保数据的哪个方面的安全性得到保障。()A.保密性B.完整性C.可用性D.稳定性单选题26.TCP/IP协议层次结构由()。A.网络接口层、网络层组成B.网络接口层、网络层、传输层组成C.网络接口层、网络层、传输层和应用层组成D.其他选项均不正确单选题27.计算机信息系统安全保护条例规定:对计算机信息系统中发生的案件，有关使用单位应当在()向当地县级以上人民政府公安机关报告。A.8小时内B.12小时内C.24小时内D.48小时内单选题28.形成ISMS审核发现时，不需要考虑的是()A.所实施控制措施与适用性声明的符合性B.适用性声明的完备性和合理性C.所实施控制措施的时效性D.所实施控制措施的有效性单选题29.根据GB/T22086-2016的要求，内部审核是为了确保信息安全管理体系()A.实现和维护的符合性B.实现和维护的适宜性C.适宜的实现和维护D.有效的实现和维护单选题30.某数据中心申请ISMS认证的范围为IDC基础设施服务的提供”，对此以下说法正确的是()。A.A.8可以删减B.A.12可以删减C.A.14可以删减D.以上都对单选题31.对于获准认可的认证机构，认可机构证明()A.认证机构能够开展认证活动B.其在特定范围内按照标准具有从事认证活动的能力C.认证机构的每张认证证书都符合要求D.认证机构具有从事相应认证活动的能力单选题32.信息系统的安全保护等级分为()。A.三级B.五级C.四级D.二级单选题33.公司A在内审时发现部分员工计算机开机密码少于六位，公司文件规定员工计算机密码必须六位及以上，那么下列选项中哪一项不是针对该问题的纠正措施？()？A.要求员工立刻改正B.对员工进行优质口令设置方法的培训C.通过域控进行强制管理D.对所有员工进行意识教育单选题34.被黑客控制的计算机常被称为()。A.蠕虫B.肉鸡C.灰鸽子D.木马单选题35.依据GB/T22080,信息的标记应表明:()。A.相关供应商信息、日期、资产序列号B.其敏感性和关键性的类别和或等级C.所属部和批准人D.信息的性质，如软件，文档单选题36.关于信息安全连续性，以下说法正确的是()。A.信息安全连续性即IT设备运行的连续性B.信息安全连续性应是组织业务连续性的一部分C.信息处理设施的冗余即两个或多个服务器互备D.信息安全连续性指标由IT系统的性能决定单选题37.GB/T29246标准由()提出并归口。A.SC27B.SAC/TC261C.SC40D.SAC/TC260单选题38.某公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关？()。？A.机房设备面临被盗的风险B.机房设备面临受破坏的风险C.机房设备面临灰尘的风险D.机房设备面临人员误入的风险单选题39.根据GB/T22086-2016标准中控制措施的要求，信息安全控制措施不包括()。？A.安全策略B.物理和环境安全C.访问控制D.安全范围单选题40.GB/T22080/IEC27001:2013标准附录A中有()个安全域。？A.18B.16C.15D.14多选题1.中华人民共和国网络安全法适用于在中华人民共和国境内()网络，以及网络安全的监督管理。A.建设B.运营C.维护D.使用提交答案多选题2.含有敏感信息的设备的处置可采取()。A.格式化处理B.采取使原始信息不可获取的技术破坏或删除C.多次的写覆盖D.彻底摧毁提交答案多选题3.GB/T22080-2016/ISO/IEC27001:2013标准可用于A.指导组织建立信息安全管理体系B.为组织建立信息安全管理体系提供控制措施的实施指南C.审核员实施审核的依据D.以上都不对提交答案多选题4.对于组织在风险处置过程中所选的控制措施需()。A.将所有风险都必须被降低到可接受的级别B.可以将风险转移C.在满足公司策略和方针条件下，有意识、客观地接受风险D.规避风险提交答案多选题5.互联网信息服务管理办法中对()类的互联网信息服务实行主管部门审核制度。A.新闻、出版B.医疗、保健C.知识类D.教育类提交答案多选题6.管理评审的输出包括()。A.管理评审报告B.持续改进机会相关决定C.管理评审会议纪要D.变更信息安全管理体系的任何要求提交答案多选题7.ISO/IEC27000系列标准主要包括哪几类标准？()A.要求类B.应用类C.指南类D.术语类提交答案多选题8.设计一个信息安全风险管理I具，应包括如下模块A.资产识别与分析B.漏洞识别与分析C.风险趋势分析D.信息安全事件管理流程提交答案多选题9.依据GB/T22080,建立风险评估过程，包括A.明确风险评估的职责B.定义风险接受准则C.定义风险评估实施准则D.编写风险评估程序提交答案多选题10.审核方案应考虑的内容包括()。A.体系覆盖人数B.体系覆盖场所C.IT平台的数量D.特权用户数量提交答案多选题11.根据GB/T22080-2016标准中控制措施的要求，有关设备安全的相关行为，适当的是()。A.保护设备不受电力故障及其他电力异常影响B.应保护设备降低来自环境的威胁及灾害C.设备报废前将信息安全清除D.保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏提交答案多选题12.信息安全管理体系审核范围的确定应考虑()。A.业务范围和边界B.组织的范围和边界C.物理范围和边界D.资产范围和边界提交答案多选题13.可被视为可靠的电子签名,须同时符合以下条件A.签署后对电子签名的任何改动能够被发现B.签署时电子签名制作数据仅由电子签名人控制C.签署后对数据电文内容和形式的任何改动能够被发现D.电子签名制作数据用于电子签名时，属于电子签名人专有提交答案多选题14.依据GB/Z20986，确定为严重的系统损失的情况包括A.系统大面积瘫痪，丧失业务处理能力B.系统关键数据的保密性、完整性、可用性遭到破坏C.恢复系统正常运行和消除安全事件负面影响所需代价较大D.恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的提交答案多选题15.风险处置的可选措施包括()。A.风险识别B.风险分析C.风险转移D.风险减缓提交答案判断题1.完全备份就是对全部数据库数据进行备份。A.正确B.错误判断题2.组织的业务连续性策略即其信息安全连续性策略。A.正确B.错误判断题3.中华人民共和国网络安全法是2017年1月1日开始实施的A.正确B.错误判断题4.访问控制列表指由主体以及主体对客体的访问权限所组成列表。A.正确B.错误判断题5.最高管理层应建立信息安全方针，该方针应包括对持续改进信息安全智理体系的承诺。A.正确B.错误判断题6.如果-一个ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核，认证机构不应对该ISMS实施认证。A.正确B.错误判断题7.ISO/IEC27018是信息技术安全技术可识个人信息(PII)处理者在公有云中保护PII实践指南。A.正确B.错误判断题8.ISMS审核方案的内容应考虑规划ISMS时所确定的风险和机会的重要性()。A.正确B.错误判断题9.信息安全风险准则包括风险接受准则和风险评价准则A.正确B.错误判断题10.依据GB17859第三级及以上信息系统，需具备强制访问控制的能力，第二级及以下不要求。A.正确B.错误