2021年10月ISMS信息安全管理体系审核员考试试题.docx

《2021年10月ISMS信息安全管理体系审核员考试试题.docx》由会员分享，可在线阅读，更多相关《2021年10月ISMS信息安全管理体系审核员考试试题.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2021年10月ISMS信息安全管理体系审核员考试试题单选题1.ISO/IEC27001描述的风险分析过程不包括()A.分析风险发生的原因B.确定风险级别C.评估识别的风险发生后，可能导致的潜在后果（江南博哥）D.评估所识别的风险实际发生的可能性单选题2.依据GB/T22080,网络隔离指的是()A.不同网络运营商之间的隔离B.不同用户组之间的隔离C.内网与外网的隔离D.信息服务，用户及信息系统单选题3.有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保()A.不考虑资产的价值，基本水平的保护都会被实施B.对所有信息资产保护都投入相同的资源C.对信息资产实施适当水平的保护D.

2、信息资产过度的保护单选题4.在以下认为的恶意攻击行为中，属于主动攻击的是()A.数据窃听B.误操作C.数据流分析D.数据篡改单选题5.ISO/IEC27001所采用的过程方法是()A.PPTR方法B.SMART方法C.PDCA方法D.SWOT方法单选题6.以下哪些可由操作人员执行？()A.审批变更B.更改配置文件C.安装系统软件D.添加/删除用户单选题7.中华人民共和国认证认可条例规定，认证人员自被撤销职业资格之日起()内，认可机构不再接受其注册申请。A.2年B.3年C.4年D.5年单选题8.信息技术安全技术信息安全治理对应的国际标准号为()A.ISO/IEC27011B.ISO/IEC270

3、12C.ISO/IEC27013D.ISO/IEC27014单选题9.文件化信息指()A.组织创建的文件B.组织拥有的文件C.组织要求控制和维护的信息及包含该信息的介质D.对组织有价值的文件单选题10.由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是()A.认证B.认可C.审核D.评审单选题11.根据中华人民共和国国家秘密法，国家秘密的最高密级为()A.特密B.绝密C.机密D.秘密单选题12.被黑客控制的计算机常被称为()A.蠕虫B.肉鸡C.灰鸽子D.木马单选题13.防火墙提供的接入模式不包括()A.透明模式B.混合模式C.网关模式D

4、.旁路接入模式单选题14.设置防火墙策略是为了()A.进行访问控制B.进行病毒防范C.进行邮件内容过滤D.进行流量控制单选题15.组织在确定与ISMS相关的内部和外部沟通需求时可以不包括()A.沟通周期B.沟通内容C.沟通时间D.沟通对象单选题16.审核抽样时，可以不考虑的因素是()A.场所差异B.管理评审的结果C.最高管理者D.内审的结果单选题17.PKI的主要组成不包括()A.SSLB.CRC.CAD.RA单选题18.ISO/IEC27701是()A.是一份基于27002的指南性标准B.是27001和27002的隐私保护方面的扩展C.是ISMS族以外的标准D.在隐私保护方面扩展了27000

5、1的要求单选题19.根据信息安全等级保护管理办法,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A.警告B.罚款C.没收违法所得D.吊销许可证单选题20.关于内部审核下面说法不正确的是()。A.组织应定义每次审核的审核准则和范围B.通过内部审核确定ISMS得到有效实施和维护C.组织应建立、实施和维护一个审核方案D.组织应确保审核结果报告至管理层单选题21.依据GB/T22080，关于职责分离，以下说法正确的是()A.信息安全政策的培训者与审计之间的职责分离B.职责分离的是不同管理层级之间的职责分离C.信息安全策略的制定者与受益者之间的职责分离D.职责分离的是不同用户组之间的职责

6、分离单选题22.对全国密码工作实行统一领导的机构是()A.中央密码工作领导机构B.国家密码管理部门C.中央国家机关D.全国人大委员会单选题23.关于适用性声明下面描述错误的是()A.包含附录A中控制删减的合理性说明B.不包含未实现的控制C.包含所有计划的控制D.包含附录A的控制及其选择的合理性说明单选题24.()是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。A.搞抵赖性B.完整性C.机密性D.可用性单选题25.以下说法不正确的是()A.应考虑组织架构与业务目标的变化的风险评估进行再评审B.应考虑以往未充分识别的威胁对风险评估结果进行再评估C.制造部增加的生产场所对信

7、息安全风险无影响D.安全计划应适时更新单选题26.风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()?A.识别可能性和影响B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影响单选题27.中华人民共和国网络安全法中的三同步要求，以下说法正确的是()A.指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B.指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C.指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D.指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用单选题28.关于顾客

8、满意，以下说法正确的是：()A.顾客没有抱怨，表示顾客满意B.信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C.顾客认为其要求已得到满足,即意味着顾客满意D.组织认为顾客要求已得到满足，即意味着顾客满意单选题29.根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有()A.所需审核组能力的要求B.客户组织的准备程度C.所需能力的审核组成员D.客户组织的场所分布单选题30.文件化信息创建和更新时，组织应确保适当的()A.对适宜性和有效性的评审和批港B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜

9、性和充分性的评审和批准单选题31.信息安全管理体系审核指南中规定,ISMS的规模不包括()?A.体系覆盖的人数B.使用的信息系统的数量C.用户的数量D.其他选项都正确单选题32.根据GB17859计算机信息系统安全保护等级划分准则,计算机信息系统安全保护能力分为()等级。A.5B.6C.3D.4单选题33.建立ISMS体系的目的，是为了充分保护信息资产并给予()信息A.相关方B.供应商C.顾客D.上级机关单选题34.根据GB/T22080-2016标准，审核中下列哪些章节不能删减()。A.4-10B.1-10C.4-7和9-10D.4-10和附录A单选题35.关于GB/T28450,以下说法正

10、确的是()。A.增加了ISMS的审核指导B.与ISO19011一致C.与ISO/IEC27000一致D.等同采用了ISO19011单选题36.根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是()A.参加信息安全培训B.背景调査C.安全技能与岗位要求匹配的评估D.签署保密协议单选题37.Saas是指()?A.软件即服务B.服务平台即月勝C.服务应用即服务D.服务瞇即服务单选题38.信息是消除()的东西A.不确定性B.物理特性C.不稳定性D.干扰因素单选题39.组织应在相关()上建立信息安全目标A.组织环境和相关方要求B.战略和意思C.战略和方针D.职能和层次单选题4

11、0.在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为()A.设备要求和网络要求B.硬件要求和软件要求C.物理要求和应用要求D.技术要求和管理要求多选题1.根据中华人民共和国密码法，密码工作坚持总体国家安全观,遵循统一领导，()依法管理、保障安全的原则。A.创新发展B.分级应用C.服务大局D.分级负责提交答案多选题2.最高管理层应建立信息安全方针,方针应()A.对相关方可用B.包括对持续改进ISMS的承诺C.包括信息安全目标D.与组织意图相适宜提交答案多选题3.下列哪些属于网络攻击事件()A.钓鱼攻击B.后门攻击事件C.社会工程攻击D.DOS攻击提交答案多选题4.依据GB/T220

12、80，经管理层批准，定期评审的信息安全策略包括()A.信息备份策略B.访问控制策略C.信息传输策略D.密钥管理策略提交答案多选题5.风险处置包括()A.风险降低B.风险计划C.风险控制D.风险转移提交答案多选题6.认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备()A.管理体系的知识B.ISMS监视、测量、分析和评价的知识C.与受审核活动相关的技术知识D.信息安全的知识提交答案多选题7.根据互联网信息服务管理办法,从事非经营性互联网信息服务，应当向()电信管理机构或者国务院信息产业主管部门办理备案手续。A.省B.自治区C.直辖市D.特别行政区提交答案多选题8.按覆

13、盖的地理范围进行分类，计算机网络可以分为()A.局域网B.城域网C.广域网D.区域网提交答案多选题9.操作系统的基本功能有()A.存储管理B.文件管理C.设备管理D.处理器管理提交答案多选题10.移动设备策略宜考虑()?A.移动设备注册B.恶意软件防范C.访问控制D.物理保护要求提交答案多选题11.管理评审的输出包括()A.管理评审报告B.持续改进机会相关决定C.管理评审会议纪要D.变更信息的安全管理体系任何需求提交答案多选题12.ISO/IEC27000,以下说法正确的是()A.ISMS族包含阐述要求的标准B.ISMS族包含阐述通用概论的标准C.ISMS族包含特定行业概述的标准D.ISMS族

14、包含阐述ISMS概述和词汇的标准提交答案多选题13.信息安全管理中，以下属于按需知悉(need-to-know)原则的是()A.根据工作需要仅获得最小的知悉权限B.工作人员仅让满足工作所需要的信息C.工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D.得到管理者批准的信息是可访问的信息提交答案多选题14.ISO/IEC27001标准要求以下哪些过程要形成文件化的信息？()A.信息安全方针B.信息安全风险处置过程C.沟通记录D.信息安全目标提交答案多选题15.关于目标，下列说法正确的是()A.目标现的结果B.沟通记录C.目标可以采用不同方式进行表示，例如：操作准则D.目标可以是不同层次

15、的，例如组织、项目和产品提交答案判断题1.中华人民共和国网络安全法是2017年1月1日开始实施的()A.正确B.错误判断题2.检测性控制是为了防止未经授权的入侵者从内部或外部访问系统，并降低进入该系统的无意错误操作导致的影响()A.正确B.错误判断题3.信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。()A.正确B.错误判断题4.容量管理策略可以考虑增加容量或降低容量要求()A.正确B.错误判断题5.组织ISMS的相关方的需求和期望由组织战略决策层的决定()?A.正确B.错误判断题6.GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准()A.正确B.错误判断题7.计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的人机系统()A.正确B.错误判断题8.在来自可信站点电子邮件中输入个人或财务信息是安全的。()A.正确B.错误判断题9.客户所有场所业务的范围相同，且在同一ISMS下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核()?A.正确B.错误判断题10.ISO/IEC27018是用于对云安全服务中隐私保护认证的依据。()A.正确B.错误