ISO27001的真题整理含答案.pdf

《ISO27001的真题整理含答案.pdf》由会员分享，可在线阅读，更多相关《ISO27001的真题整理含答案.pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、单选题单选题 1、 下列不是适用性声明所要包括的内容是（B ） （A）附录 A 中选择的控制目标和控制措施，以及选择的理由 （B）GB/T 22080-2008 条款的要求 （C）当前实施的控制目标和控制措施 （D）对附录 A 中任何控制目标和控制措施的删减，以及删减的合理性说明 2、 依据 GB/T 22080/ISO/IEC 27001， 制定信息安全管理体系方针， 应予以考虑的输入是 （D） （A）业务战略 （B）法律法规要求 （C）合同要求 （D）以上全部 3、 风险评估过程一般应包括（ D） （A）风险识别 （B）风险分析 （C）风险评价 （D）以上都是 4、 依据 GB/T 220

2、80/ISO/IEC 27001，以下符合责任分割原则的是： （B） （A）某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁 系统为自己配置了各个机房的不限时门禁权限。 （B）某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授 权时，由另外 5 位副总到场分别输入自己的口令然后完成授权。 （C）某公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，其次为副 总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限。 （D）以上均符合责任分割原则。 5、 目前在用的中华人民共和国保守国家秘密法是在（ D）正式实施的 （

3、A）1951 年 6 月 1 日 （B）1989 年 5 月 1 日 （C）1993 年 2 月 22 日 （D）2010 年 10 月 1 日 6、 资产是指对组织有（ A）的任何东西 （A）价值 （B）（B）使用价值 （C）有形价值 （D）无形价值 7、 依据 GB/T 22080/ISO/IEC 27001，建立资产清单即： （A）列明信息生命周期内关联到的资产，明确其对组织业务的关键性。 （B）完整采用组织的固定资产台账，同时指定资产责任人。 （C）资产价格越高，往往意味着功能越全，因此资产重要性等级就越高。 （D）A+B 8、 依据 GB/T 22080/ISO/IEC 27001，

4、信息分类方案的目的是： （A） （A）划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘。 （B）划分信息载体所属的职能以便于明确管理责任。 （C）划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置 的原则 （D）划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技 术对其分析。 9、 以下不正确说法是： （C） （A）保留含有敏感信息的介质的处置记录 （B）将大量含有信息的介质汇集在一起时提高其集体敏感性等级。 （C）将所有的已用过一遍的复印纸分配各部门复用以符合组织的节能策略。 （D）根据风险评估的结果将转移更换下列的磁盘交第三方进行处

5、置。 10、 信息安全管理实用规则 GB/T 22081-2008 属于（ C）标准 （A）术语类 （B）要求类 （C）指南类 （D）相关类 11、 可用性是指（A ） （A）根据授权试题的要求可访问和利用的特性 （B）信息不被未授权的个人、实体或过程利用或窃取的特性 （C）保护资产准确和完整的特性 （D）反映事物真实情况的程度 12、 信息安全是保证信息的保密性、完整性、 （C ） （A）充分性 （B）适宜性 （C）可用性 （D）有效性 13、 建立 ISMS 体系的目的，是为了充分保护信息资产并基于（ A）信心 （A）相关方 （B）供应商 （C）顾客 （D）上级机关 14、 关于访问控制策

6、略，一下不正确的是： （B） （A）应考虑被访问课题的敏感性分类，访问主题的授权方式、时限和访问类型 （B）对于多任务访问，一次性赋予全任务权限 （C）物理区域的管理规定应遵从控制缺的访问控制策略 （D）物理区域访问控制策略应与其中的资产敏感性一致 15、 依据 GB/T 22080/ISO/IEC 27001，关于网络服务的访问控制策略，以下正确的说 法是： （C） （A）没有描述为禁止访问的网络服务，应为允许访问的网络服务 （B）对于允许访问的网络服务，默认可通过无线、VPN 等多种手段连接 （C）对于允许访问的网络服务，按照规定的授权机制进行授权 （D）以上都对 16、 ISMS 是基于

7、组织的（ A）风险角度建立的 （A）整体业务 （B）财务部门 （C）资产安全 （D）信息部门 17、 为信息系统用户注册时，以下正确的是： （A） （A）按用户的职能或业务角色设定访问权 （B）组共享用户 ID 按组任务的最大权限注册 （C）预授权用户 ID 并保有冗余，以保障可用性 （D）避免频繁变更用户访问权 18、 风险评估过程一般应包括（D ） （A）风险识别 （B）风险分析 （C）风险评价 （D）a+b+c 19、 ISMS 有效性的定期评审应考虑（ D） 、事故、有效性策略结果等内容 （A）识别风险 （B）风险评价 （C）风险评估方法 （D）安全评审结果 20、 下列不是安全要求的

8、来源有（C ） （A）通过风险评估获得 （B）法律、法规和合同要求 （C）出事故后的评价 （D）组织需要的结果处理的特定原则、目标和要求 21、 关于特权访问，一下说法正确的是： （D） （A）特权访问用户通常包含顾客 （B）特权访问用户必须包含最高管理者 （C）特权访问用户的访问权限最大权限原则的的应用 （D）特殊访问权应与其职能角色一致 22、 关于用户访问权，以下做法正确的是： （A） （A）用户职位变更时，其原访问权应终止或撤销 （B）抽样进行针对信息系统用户访问权的定期评审 （C）组织主动解聘员工时等不必复审员工访问权 （D）使用监控系统可替代用户访问权评审 23、 防止计算机中信息

9、被窃采取的手段不包括（ D） （A）用户识别 （B）权限控制 （C）数据加密 （D）病毒控制 24、 口令管理系统应该是（B ） ，并确保优质的口令 （A）唯一式 （B）交互式 （C）专人管理式 （D）a+b+c 25、 关于信息系统登录口令的管理，以下说法不正确的是： （B） （A）必要时，使用密码技术，生物特征等代替口令 （B）用提示信息告知用户输入的口令是否正确 （C）名曲告知用户应遵从的优质口令策略 （D）使用互动式管理确保用户使用优质口令 26、 2005 年 4 月 1 日发布的中华人民共和国电子签名法规定民事活动中的合同或 者其他文件、单证等文书，当事人可以约定使用或者不使用电子

10、签名、数据电文。以下 活动中适用的有（ D） （A）涉及婚姻、收养、继承等人身关系的 （B）涉及土地、房屋等不动产权益转让的 （C）涉及停止供水、供热、供气、供电等公用事业服务的 （D）与商家签订的买卖合同 27、 一个信息安全事件由单个的或一系列的有 （C ）信息安全事态组成，它们具有损 害业务运行和威胁信息安全的极大的可能性。 （A）已经发生 （B）可能发生 （C）意外 （D）a+b+c 28、 对于可能超越系统和应用控制的实用程序，以下做法正确的是： （D） （A）实用程序的使用不在审计范围内 （B）建立禁止使用的实用程序清单 （C）紧急响应时所使用的实用程序不需要授权 （D）建立 、授

11、权机制和许可使用的实用程序清单 29、 关于密码技术和密码产品，以下说法正确的是： （D） （A）未经批准，禁止出口密码技术和密码产品，但进口不受限 （B）未经许可，禁止销售商用密码产品，但自行研发供自行使用不受限 （C）未经指定，禁止生产商用密码产品 （D）密码技术和密码产品均是国家秘密，需实行专控管理 30、 物理安全周边的安全设置应考虑： （D） （A）区域内信息和资产的敏感性分类 （B）重点考虑计算机机房，而不是办公区或其他功能区 （C）入侵探测和报警机制 （D）A+C 31、 以下哪一项不属于物理入口控制的措施： （C） （A）仅允许佩戴规定类型工牌的人员进入 （B）入口处使用指纹识

12、别系统 （C）仅允许穿戴规定防护服的人员进入 （D）保安核实来访人员的登记信息 32、 中华人民共和国保守国家秘密法规定国家秘密的密级分为绝密、 （ A） 、秘密三 级 （A）机密 （B）要密 （C）保密 （D）隐秘 33、 信息系统的变更管理不包括： （D ） （A）软件的升级 （B）系统硬件以旧换新 （C）系统终端设备物理位置变更 （D）以上全部 34、 以下说法不正确的是（C ） （A）应考虑组织架构与业务目标的变化对风险评估结果进行在评审。 （B）应考虑以往未充分识别的威胁对风险评估结果进行再评审。 （C）生产部增加的新的生产流水线对信息安全风险无影响。 （D）安全计划应适时更新 35

13、、 以下属于安全办公区域控制的措施是： （A） （A）敏感信息处理设施避免放置在和外部方共用的办公区 （B）显著标记“敏感档案存储区，闲人免进”标识牌 （C）告知全体员工敏感区域的位置信息，教育员工保护其安全 （D）以上都对 36、 对于交接区域的信息安全管理，以下说法正确的是（C） （A）对于进入组织的设备设施予以检查验证，对于离开组织的设备设施则不必验证 （B）对于离开组织的设备设施予以检查验证，对于进入组织的设备设施不必验证 （C）对于进入和离开组织的设备设施均须检查验证 （D）对于进入和离开组织的设备设施，验证携带者身份信息，可替代对设备设施的验证 37、 信息安全管理中，支持性基础设

14、施指： （D） （A）供电、通信设施 （B）消防、防雷设施 （C）空调及新风系统、水气暖供应系统 （D）以上全部 38、 设备维护维修时，应考虑的安全措施包括： （D） （A）维护维修前，按规定程序处理或清除其中的信息 （B）维护维修后，检查是否有未授权的新增功能 （C）敏感部件进行物理销毁而不予送修 （D）以上全部 39、 信息安全管理中，变更管理应予以控制的风险包括： （D） （A）组织架构、业务流程变更的风险 （B）信息系统配置、物理位置变更的风险 （C）信息系统新的组件、功能模块发布的风险 （D）以上全部 40、 对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包括在

15、（ D）的合同中 （A）雇员 （B）承包方人员 （C）第三方人员 （D）a+b+c 41、 关于容量管理，以下做法不正确的是： （C） （A）根据业务对系统性能的需求，设置阀值和监视调整机制 （B）针对业务关键性，设置资源占用的优先级 （C）对于关键业务，通过放宽阀值以避免或减少报警的干扰 （D）依据资源使用趋势数据进行容量规划 42、 容量管理的对象包括： （D） （A）信息系统内存 （B）办公室空间和基础设施 （C）人力资源 （D）A+B+C 43、 关于防范恶意软件，以下说法正确的是： （D） （A）物理隔断信息系统与互联网的连接即可防范恶意软件 （B）安装入侵探测系统即可防范恶意软件

16、（C）建立授权软件白名单即可防范恶意软件 （D）建立探测、预防和恢复机制以防范恶意软件 44、 关于备份，以下说法正确的是： （A） （A）备份介质应定期进行恢复测试 （B）如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放时可接受的 （C）备份介质的退化是质量管理体系的范畴 （D）备份信息不是管理体系运行记录，不须规定保存期 45、 为确保信息资产的安全，设备、信息或软件在（B ）之前不应带出组织场所。 （A）使用 （B）授权 （C）检查合格 （D）识别出薄弱环节 46、 关于系统运行日志，以下说法正确的是： （A）系统管理员负责对日志信息进行编辑、保持 （B）日志信息文件的保存应

17、纳入容量管理 （C）日志管理及系统审计日志管理 （D）组织的安全策略应决定系统管理员的活动是否记入日志 47、 组织机构在建立和评审 ISMS 时，应考虑（ D） （A）风险评估的结果 （B）管理方案 （C）法律、法规和其他要求 （D）A+C 48、 在运行系统上安装软件，以下说法不正确的是： （C） （A）对于复杂的系统应采取分步部署的策略 （B）应在安装前在隔离的环境中完成验收测试 （C）应在安装前完成单元测试，随之进行安装然后进行验收测试 （D）安装运行后应评审对关键业务应用的影响 49、 关于技术脆弱性管理，以下说法正确的是： （C） （A）技术脆弱性应单独管理，与事件管理没有关联 （

18、B）了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小 （C）针对技术脆弱性的补丁安装应按变更管理进行控制 （D）及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径 50、 在信息安全管理中进行（B ） ，可以有效解决人员安全意识薄弱问题。 （A）内容监控 （B）安全教育和培训 （C）责任追查和惩处 （D）访问控制 51、 依据 GB/T 22080/ISO/IEC 27001，信息系统审计是（A） （A）发现信息系统脆弱性的手段之一 （B）应在系统运行期间进行，以便于准确地发现弱电 （C）审计工具在组织内应公开可获取，以便于提升员工的能力 （D）只要定期进行，就可以替代内

19、部 ISMS 审核 52、 对于较大范围的网络，网络隔离是： （B） （A）可以降低成本 （B）可以降低不同用户组之间非授权访问的风险 （C）必须物理隔离和必须禁止无线网络 （D）以上都对 53、 以下不属于可降低信息传输中的信息安全风险的措施是： （C） （A）规定使用通信设施的限制规则 （B）使用铠甲线缆以及数据加密 （C）双路供电以及定期测试备份电机 （D）记录物理介质运输全程的交接信息 54、 在审核系统集成时， 该部门负责人介绍项目完成后收集和利用顾客满意信息的具体 要求和方法，这是（D ） （A）审核准则 （B）审核发现 （C）审核结论 （D）审核证据 55、 网络的不安全因素有（

20、 D） （A）非授权用的非法存取和电子窃听 （B）计算机病毒的入侵 （C）网络黑客 （D）以上都是 56、 某台服务器在每个月 150 小时工作时间内正常工作时间为 145 小时， 该服务器的可用性 为（C） （A）145/295 （B）150/295 （C）145/150 （D）150/145 57、灾难备份中心指（B） （A）发生灾难性时间时可以继续完成备份过程的场所 （B）灾难发生后接替主系统进行数据处理和支持关键业务功能运行的场所 （C）为应对灾难性事件实时备份活动的场所 （D）以上都对 58、计算机软件的著作权属于（C） （A）销售商 （B）使用者 （C）软件开发者 （D）购买者 5

21、9、一下关于审核准则正确的描述是（B） A）与审核依据有关，能够证实的记录、事实陈诉或其他信息 B）一组方针、程序或要求 C）在审核过程中收集到的所有记录、事实陈诉或其他信息 D）将收集到的记录、事实陈诉或其他信息对照审核依据进行评价的结果 60、按照中国认证认可条例的规定，一个审核员必须符合下列（A）要求 A）只能在一个认证机构从事审核或培训 工作 B）可以在一个认证机构从事专职审核工作，在另一审核机构从事兼职审核工作 C）可以在一个认证机构从事兼职审核工作，同时从事咨询工作只要不审核所咨询企业 D）可以在一个认证机构从事专职审核工作，在另一培训机构从事专职培训工作 61、以下哪个不是现场审

22、核后的审核结论（A） A）文件审核通过与否的结论 B）推荐认证通过的结论 C）有条件的推荐通过认证的结论 D）不推荐认证通过的结论 62、关于中国认证认可相关活动的监督管理机制，以下正确的是（A） A）CNCA 对 CNAS、CCAA、认证机构依法实施监督管理 B）CNCA 依法监管 CNAS，CNAS 依法监管认证机构 C）CCAA 依法监管认证机构，CNCA 依法监管 CNAS D）CCAA 依法监管认证人员，CNAS 依法监管认证机构，CNCA 依法监管 CNAS 63、审核员在现场审核前至少应了解受审核方信息中不包括（C） A）受审核方产品/服务流程 B）受审核方使用的法律法规 C）受

23、审核方的经营状况 D）受审核方的规模 64、信息安全管理体系审核是一种（B）活动 A）自我改进 B）正式、有序 C）自我完善 D）自我监督 65、文件评审包括（A）内容 A）信息安全方针和目标和信息安全文件 B）顾客信息安全要求 C）产品标准 D）受审核方适用的法律法规 66、以下可认定为审核范围变更的是（C/D） A）受审核组织增加一个制造场所； B）B）受审核组织职能单元和人员规模增加 C）受审核组织业务过程增加 D）以上全部 67、认证审核时，审核组有权在现场自行决定变更的事项包括（C） A）审核准则 B）审核人日数 C）审核路线 D）应受审核的业务过程 68、审核员的审查表现（B） A

24、、事先提交受审核方评审确认 B、基于审核准则事先编制 C、基于不同的受审核组织应统一格式和内容 D、由审核组长负责编制审核组使用的检查表 69、以下属于信息安全管理体系审核发现的是（C） A、审核员看到的物理入口控制方式 B、审核员看到的信息系统资源 C、审核员看到的移动介质的使用与安全策略的符合性 D、审核员看到的项目质量保证活动 70、依据 GB/T22080/ISO/IEC27001，信息安全管理体系文件应包括： （D） A、ISMS 的范围，适用性声明 B、风险评估报告和风险处置计划 C、风险评估方法 D、以上全部 71、依据 CB/T22080/ISO/IEC27001，以下表明符合

25、资产管理原则的是（C） A.将人作为重要资产管理，人的职务级别越高，资产价值赋值越高 B.存储介质作为资产管理，资产价值的赋值介质中各类信息价值的平均 C.信息系统处理涉密信息时，将信息系统密码标记为所处理的信息的最高密级 D.高端服务器因市场价值高，因此资产价值赋值高 72、风险责任人是指： （A） A、具有责任和权限管理一项风险的个人或实体 B、 实施风险评估的组织的法人 C、 实施风险评估的项目负责人或项目任务责任人 D、 信息及信息处理设施的使用者 73、纠正措施是指： （B ） A、消除已发现的不符合的措施 B、消除已发现的不符合的原因的措施 C、消除潜在不符合的措施 D、消除潜在不

26、符合的原因的措施 74、关于 ISO/IEC27002 标准，以下说法正确的是： （ B ） A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据 B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据 C、提供了信息安全风险评估的指南，是 ISO/IEC27001 的构成部分 D、提供了信息安全风险评估的依据，是实施 ISO/IEC27000 的支持性标准 75、审核组中的技术专家是（A） A、未审核组提供文化、法律、技术等方面知识咨询的人员 B、特别负责对受审核方的专家技术过程进行审核的人员 C、审核期间为受审核方提供技术咨询的人员 D、从专业的角度对审核员的审核进行观

27、察评价的人员 76、信息安全控制目标是指： （A） A、对实施信息安全控制措施拟实现的结果的描述 B、组织的信息安全策略集的描述 C、组织实施信息安全管理体系的总体宗旨和方向 D、A+B 77、小 A 和小 B 想知道小 C 的生日，小 C 给了他们 10 个可能的选项 1.5 月 15 日、5 月 16 日。5 月 19 日 2、6 月 17 日、6 月 18 日 3、7 月 14 日、7 月 16 日 4、8 月 14 日、8 月 15 日、8 月 17 日 然后小 C 分别告诉了小 A 月份，告诉了小 B 日子，以下是小 A 和小 B 的对话： 小 A：我不知道小 C 的生日，而且我很清

28、楚小 B 你也不知道 小 B：本来我也不知道小 C 的生日，不过现在我知道了 小 A：我现在也知道了 请问小 C 的生日是：（D） A、5 月 16 日或者 7 月 14 日 B、8 月 14 日，或 5 月 15 日 C、6 月 17 日、或 8 月 15 日 D、8 月 17 日或 7 月 16 日 78、残余风险是指： （D） A、风险评估前，以往活动遗留的风险 B、风险评估后，对以往活动遗留的风险的估值 C、风险处置后剩余的风险，比可接受风险低 D、风险处置后剩余的风险，不一定比可接受风险低 79、信息安全风险（R）计算中涉及威胁（T）脆弱性（V）资产价值（F）等参数，以下说法 正确的

29、是： （A） A、R 由 T、V、F 共同决定，并与 T、V、F 同向增减 B、R 由 T、V、F 共同决定，并与 T、V、F 同反增减 C、V 由 T、F 共同决定，并与 T、F 同向增减 D、F 由 R、V 共同决定，并与 R、V 同向增减 80、信息安全风险（R）计算中涉及脆弱性（V） ，以下说法正确的是： （ B） A、脆弱性是资产性质决定的固有的弱点，其赋值不变 B、如果当前控制措施有效，资产脆弱性赋值可以降低 C、控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系 D、只要威胁存在，脆弱性就存在，二者的赋值同向增减 81、以下哪个场景表明了对保密性的保护？（C） A、将

30、含有敏感信息的介质集中在一个地方存放 B、组织安全策略中规定所有的变更必须得到评审、批准和授权 C、针对某一系统服务，用户只有在通过了指纹验证，才可在允许的时间段使用 D、为计算机机房配备双路供电、UPS 电源、柴油发动机等多重保障措施 82、关于信息安全风险评估，以下说法正确的是： （C） A、 如果集团企业的各地分/子公司业务性质相同， 则针对一个分/子公司识别评价风险即可， 其风险评估过程和结果文件其他分/子公司可直接采用，以节省重复识别和计算的工作量 B、风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性 C、组织应基于其整体业务活动所在的环境和风险考虑其 ISM

31、S 的设计 D、以上都对 83、关于互联网信息服务，以下说法正确的是： （C） A、互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部 门备案 B、非经营性互联网信息服务未取得许可不得进行 C、从事经营性互联网信息服务，应符合中华人民共和国电信条例规定的要求 D、经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息 的服务活动。 多选题多选题 1.信息安全管理体系认证审核组的能力包括（ CD） A、信息安全事件处理方法和业务连续性的知识 B、有关有形和无形资产及其影响分析的知识 C、风险管理过程和方法的知识 D、信息安全管理体系的控制措施及其实

32、施的知识 2.投诉处理过程应包括（ABCD） A、投诉受理、跟踪和告知 B、投诉初步评审，投诉调查 C、投诉响应、沟通决定 D、投诉终止 3.以下（ABCD）活动是 ISMS 建立阶段应完成的内容 A、确定范围和边界 B、确定 ISMS 方针 C、确定风险评估方法并实施 D、实施体系文件培训 4.关于审核方案，以下说法正确的是（BD） A、审核方案是审核计划的一种 B、审核方案可包括一段时期内各种类型的审核 C、审核方案的年度内部审核计划 D、审核方案是审核计划的输入 5.实施管理评审的目的是为确保信息安全管理体系的（AC） A、充分性 B、符合性 C、有效性 D、适宜性 6.以下属于“信息处

33、理设施”的是（ABCD ） A、信息处理系统 B、与信息处理相关的服务 C、与信息处理相关的设备 D、安置信息处理设备的物理场所预设值 7.在未得到授权的前提下，以下属于信息安全“攻击”的是（ABCD） A、盗取、暴露、变更资产的行为 B、破坏、或使资产失去预期功能的行为 C、访问、使用资产的功能 D、监事和获取资产使用状态信息的行为 8.关于“不可否认性” ，以下说法正确的是（ABCD） A、数字签名是实现“不可否认性”的有效技术手段 B、身份认证是实现“不可否认性”的重要环节 C、数字时间是“不可否认性”的重要环节 D、具有证实一个声称的事态或行为的发生及其缘起者的能力即不可否认 9.关于

34、“信息安全连续性” ，以下正确做法包括（ABCD） A、人员、设备、设施、场所等的冗余配置 B、定期或实时进行数据备份 C、考虑业务关键性确定恢复优先顺序和目标 D、有保障信息安全连续性水平的过程和程序文件 10.不同组织的 ISMS 文件的详略程度取决于（ ABD） A、文件编写的人员的态度和能力 B、组织的规模和活动的类型 C、安全要求 D、被管理系统的范围及复杂程度 11.实施 ISMS 内部审核，可以确定 ISMS 的控制目标、控制措施、过程和程序是否（ABC） A、符合 ISO/27OO1 和相关法律法规的要求 B、符合已识别的信息安全要求 C、得到有效的实施和保持 D、以上都不对

35、12.以下（ACD）可以实现和保持对组织资产的适当保护。 A、形成重要资产清单，并加以保护 B、购买相同设备类型中价值最高的产品 C、确定所有资产的责任人 D、制定合乎公司要求的资产使用规则 13.信息安全方针可以不包括的要求是（ abd） A、考虑业务和法律法规的要求，是合同中的安全义务 B、建立风险评估的准则 C、可测量 D、获得管理者批准 14.计算机信息系统的安全保护或保障（ABCD） A、计算机及相关和配套社保的安全 B、网络安全 C、运行环境安全、 D、计算机功能和正常发挥 15.对于涉密信息系统，以下说法正确的是： （ABC ） A、使用的信息安全保密产品原则上应当选用国产品 B

36、、使用的信息安全保密产品应当通过国家保密局授权的检测机构的检测 C、使用的信息安全保密产品应从由国家保密局审核发布的目录中选取 D、总体保护水平应不低于国家信息安全等级保护第四级水平 16.以下属于弱口令是（BCD） A、z5masdasd6345f B、23456 C、CCAA D、sdfsdf 17.消除计算机病毒说法正确的是（AC） A、专门的杀毒软件不总是有效的 B、删除所有涉毒文件能消除所有病毒 C、若软盘感染病毒，对其进行全面的格式化是消毒的有效方法之一 D、一劳永逸使计算机不感染病毒，最好是装上防病毒卡 18.审核的特点是(ABC） A.审核的信息安全体系必须是文件化的 B.审核

37、活动必须是一种正是有序的活动 C.审核必须具有客观性系统性 D.审核不一定是抽样的 19.以下对网络安全管理的描述中，正确的是（ABD） A.安全管理需要对重要网络资源的访问进行监视 B.安全管理需要验证用户的访问权限和优先度 C.安全管理的操作依赖于设备的类型 D.安全管理的目标是保证重要的信息不被未授权的用户访问 20.ISMS 的文件应该包括（BCD） A.ISMS 手册和程序文件 B.形成文件的 ISMS 方针和目标 C.ISMS 的范围 D.风险评估方法的描述 21.完整的末次会议内容包括（ABD） A.宣读不合格报告 B.宣读审核结论 C.递交审核报告 D.证后监督要求 22.审核

38、方案与审核计划的不同点在于，审核方案是对（A），而审核计划是（B）、 A.同一次审核活动和安排的描述 B.针对特定时间段所策划，并具有特定一组（一次或多次）审核 C.对查什么和怎么查的策划 D.对全年内审核要求的规定 23.实施和运行 ISMS 必须（ABCD） A.制定风险处理计划 B.实施风险处理计划 C.实施所选择的控制措施 D.测量所选择的控制措施与控制方案的有效性 24.信息安全管理体系绩效测量的开发包括（ABCD） A.选择目标和特性 B.确定分析模型 C.确定测量指标 D.确定决策范围 25.关于信息安全管理体系认证的监督审核方案，以下说法正确的是（BC） A.必须包含 ISMS 内审，对不包含管理评审 B.所选择的 GB/T22080/ISO/IEC27001 要素 C.变更所涉及区域 D.由企业指定的监督方案，所得到认证机构的确认 26.信息安全管理体系审核应遵循的原则包括（BC） A.诚实守信 B.保密性 C.基于风险 D.基于事实的决策方法