2024年03月《ISMS信息安全管理体系审核员》（真题卷）.docx

《2024年03月《ISMS信息安全管理体系审核员》（真题卷）.docx》由会员分享，可在线阅读，更多相关《2024年03月《ISMS信息安全管理体系审核员》（真题卷）.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2024年03月ISMS信息安全管理体系审核员（真题卷）单选题1.根据GB/T29246信息技术安全技术信息安全管理体系概述和词汇标准，信息安全管理中的“可用性”是指()。A.反映事物真（江南博哥）实情况的程度B.保护资产准确和完整的特性C.根据授权实体的要求可访问和利用的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性 正确答案：C单选题2.GB/T22080-2016标准中提到的“风险责任者”，是指()。A.发现风险的人或实体B.风险处置人员或实体C.有责任和权威来管理风险的人或实体D.对风险发生后结果进行负责的人或实体 正确答案：C单选题3.组织应按照GB/T22080-2016

2、标准的要求()信息安全管理体系。A.建立、实施、监视和持续改进B.策划、实现、维护和持续改进C.建立、实现、维护和持续改进D.策划、实现、监视和持续改进 正确答案：C单选题5.ISO/IEC27002最新版本为()。A.2022B.2015C.2005D.2013 正确答案：A单选题6.关于ISO/IEC27004，以下说法正确的是()。A.该标准可以替代GB/T28450B.该标准是信息安全水平的度量标准C.该标准是ISMS管理绩效的度量指南D.该标准可以替代ISO/IEC27001中的9.2的要求 正确答案：C单选题7.在ISO/IEC27000系列标准中，为组织的信息安全风险管理提供指南

3、的标准是()。A.ISO/IEC27004B.ISO/IEC27003C.ISO/IEC27002D.IS0/IEC27005 正确答案：D单选题8.根据GB/T22080-2016标准的要求，最高管理层应()，以确保信息安全管理体系符合标准要求。A.分配责任和权限B.分配角色和权限C.分配岗位与权限D.分配职责与权限 正确答案：A单选题9.根据GB/T22080-2016标准，组织应在相关()上建立信息安全目标。A.职能和层次B.战略和意图C.战略和方针D.组织环境和相关方要求 正确答案：A单选题10.根据GB/T22080-2016标准的要求，组织()实施风险评估。A.只需在重大变更发生时

4、B.只需按计划的时间间隔C.应按计划的时间间隔或当重大变更提出或发生时D.应按计划的时间间隔且当重大变更提出或发生时 正确答案：C单选题11.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”，对此以下说法正确的是()。A.附录A.8可以删减B.附录A.17可以删减C.附录A.12可以删减D.附录A.14可以删减 正确答案：D单选题12.根据GB/T22080-2016标准中控制措施的要求，关于技术脆弱性管理，以下说法正确的是()。A.技术脆弱性应单独管理，与事件管理没有关联B.及时获取在用的信息系统的技术方面的脆弱性信息C.了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险验

5、越小D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径 正确答案：B单选题13.根据GB/T22080-2016标准中控制措施的要求，关于资产清单，正确的是()。？A.做好资产整理是其基础B.识别信息，以及与信息和信息处理设施相关的其他资产C.识别和完整采用组织的固定资产台账，同时指定资产责任人D.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高 正确答案：B单选题14.根据GB/T22080-2016中控制措施的要求，为了确保布缆安全，以下正确的做法是()。A.为了防止干扰，电源电缆宜与通信电缆分开B.使用同一电缆管道铺设电源电缆和通信电缆C.网络电缆采用明线架设，

6、以便于探查故障和维修D.配线盘应尽量放置在公共可访问区域，以便于应急管理 正确答案：A单选题15.()不是保护办公室、房间和设施的安全的考虑措施。A.电磁屏蔽B.关键设施的安置避免公众访问的场地C.配置设施以防保密信息被外部可视或可听D.建筑物内侧或外侧以明确标记给出其用途的指示 正确答案：D单选题16.投诉受理后收到的每件投诉都应该按照准则进行初步评估，评估的内容不包括()。？A.风险偏好B.复杂程度C.影响程度D.严重程度 正确答案：A单选题17.根据GB/T28450信息安全技术信息安全管理体系审核指南标准，ISMS的规模不包括()。A.组织的部门数量B.信息系统的数量C.ISMS覆盖的

7、场所数量D.在组织控制下开展工作的人员总数，以及与ISMS有关的相关方和合同方 正确答案：A单选题18.形成ISMS审核发现时，不需要考虑的是()。A.所实施控制措施的有效性B.所实施控制措施的时效性C.适用性声明的完备性和合理性D.所实施控制措施与适用性声明的符合性 正确答案：B单选题19.根据GB/T28450标准，ISMS文件评审不包括()。A.风险处置计划的完备性B.风险评估报告的合理性C.适用性声明的完备性和合理性D.信息安全管理手册的充分性 正确答案：D单选题20.根据GB/T29246信息技术安全技术信息安全管理体系概述和词汇标准，信息安全的保密性是指()。A.保证信息不被其他人

8、使用B.保护信息准确和完整的特性C.根据授权实体的要求可访问的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性 正确答案：D单选题21.根据ISO/IEC27000标准，()为组织提供了信息安全管理体系实施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27003D.ISO/IEC27013 正确答案：C单选题22.GB/Z20986信息安全技术信息安全事件分类分级指南规定，未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件是()。A.信息窃取事件B.信息泄漏事件C.信息算改事件D.信息假冒事件 正确答案：C单选题23.下列关于DMZ

9、区的说法错误的是()。A.DMZ可以访问内部网络B.内部网络可以无限制地访问外部网络以及DMZC.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作D.通常DMZ包含允许来自互联网的通信可进入的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等 正确答案：A单选题24.关于顾客满意以下说法错误的是()。A.顾客满意是指顾客对其期望已被满足程度的感受B.确保规定的顾客要求符合顾客的愿望并得到满足，就能确保顾客很满意C.投诉是一种满意程度低的最常见的表达方式，但没有投诉并不一定表明顾客很满意D.为了实现较高的顾客满意，可能有必要满足那些顾客既没有明示也不是通常隐含或必须

10、履行的期望 正确答案：A单选题25.关于“监控系统”的存取与使用，下列说法正确的是()。A.应保持时钟同步B.监控系统所产生的记录可由用户任意存取C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略 正确答案：A单选题26.若通过桌面系统对终端实行引IP、MAC绑定，该网络IP地址分配方式应为()。A.动态B.静态C.静态、动态均可D.静态达到50%以上即可 正确答案：B单选题27.在以下认为的恶意攻击行为中，属于主动攻击的是()。A.数据篡改B.数据窃听C.非法访问D.数据流分析 正确答案：A单选题28.关于信息安全风险评估

11、，以下说法正确的是()。A.风险评估包括风险管理与风险评价B.组织应基于其整体业务活动所在的环境和风险考虑其信息安全管理体系的设计C.风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性D.如果集团企业的各地分子公司业务性质相同，则针对一个分子公司识别、评价风险即可，其风险评估过程和结果文件其他分子公司可直接采用，以节省重复识别和计算的工作品 正确答案：B单选题29.在物联网中，M2M通常由三部分组成，下面哪项不是其组成部分？()A.主机部分B.网络部分C.应用部分D.终端部分 正确答案：A单选题30.()是建立有效的计算机病毒防御体系所需要的技术措施。A.漏洞扫描、网络入

12、侵检测和防火墙B.漏洞扫描、补丁管理系统和防火墙C.网络入侵检测、防病毒系统和防火墙D.补丁管理系统、网络入侵检测和防火墙 正确答案：B单选题31.中华人民共和国网络安全法要求网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于()。A.6个月B.1个月C.3个月D.12个月 正确答案：A单选题32.根据中华人民共和国保守国家秘密法，国家秘密的最高密级为()。A.秘密B.机密C.特密D.绝密 正确答案：D单选题33.根据中华人民共和国保守国家秘密法，国家秘密的保密期限应为()。A.绝密不低于三

13、十年，机密不低于二十年，秘密不低于十年B.绝密不超过三十年，机密不超过二十年，秘密不超过十年C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年 正确答案：B单选题34.根据中华人民共和国密码法，国家对密码实行()管理。A.分类B.有效C.统筹D.统一 正确答案：A单选题35.根据信息安全等级保护管理办法，信息系统安全等级分为五级，以下说法正确的是()。A.二级系统和五级系统不进行测评B.二级系统每年进行一次测评，三级系统每年进行二次测评C.三级系统每年进行一次测评，四级系统每年进行二次测评D.四级系统每年进行二次测评，五级系统每季度

14、进行一次测评 正确答案：C单选题36.信息安全等级保护管理办法规定()级保护时，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。A.2B.3C.4D.5 正确答案：C单选题37.根据GB17859计算机信息系统安全保护等级划分准则标准，以下说法错误的是()。A.信道是系统内的信息传输路径B.访问监控器是监控器主体和客体之间授权访问关系的部件C.敏感标记表示主体安全级别并描述主体数据敏感性的一组信息D.安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则 正确答案：C单选题38.互联网信息服务管理办法现行有效的版本是哪年发布的？()A.2011B.2017C.2

15、019D.2016 正确答案：A单选题39.互联网信息服务管理办法规定，国家对经营性互联网信息服务实行()。A.许可制度B.地方经营C.国家经营D.备案制度 正确答案：A单选题40.网络安全审查办法的制定，是为了()。A.保守国家秘密，维护国家安全和利益B.保障网络安全，维护网络空间主权和国家安全C.确保关键信息基础设施供应链安全，维护国家安全D.规范互联网信息服务活动，促进互联网信息服务健康有序发展 正确答案：B多选题1.以下()活动是ISMS建立阶段应完成的内容。A.确定ISMS方针B.实施体系文件培训C.确定ISMS的范围和边界D.确定风险评估方法和实施 正确答案：AC多选题2.根据GB

16、/T29246信息技术安全技术信息安全管理体系概述和词汇标准，风险描述的要素包括()。A.后果B.威胁C.脆弱性D.可能性 正确答案：AD多选题3.信息安全是保证信息的()，另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A.可用性B.机密性C.完备性D.完整性 正确答案：ABD多选题4.以下属于相关方的是()。A.顾客B.供方C.所有者D.组织内的人员 正确答案：ABCD多选题5.依据GB/T22080-2016，经管理层批准，定期评审的信息安全策略包括()。A.信息备份策略B.访问控制策略C.信息传输策略D.密钥管理策略 正确答案：ABCD多选题6.根据GB/T22080-20

17、16标准的要求，下列说法正确的是()。A.残余风险需要获得风险责任人的批准B.组织控制下的员工应了解信息安全方针C.保留有关信息安全风险处置过程的文件化信息D.适用性声明需要包含必要的控制及其选择的合理性说明 正确答案：ABCD多选题7.移动设备策略宜考虑()。A.访问控制B.移动设备注册C.恶意软件防范D.物理保护要求 正确答案：ABCD多选题8.根据GB/T22080-2016标准的要求，管理评审是为了确保信息安全管理体系持续的()。A.充分性B.符合性C.有效性D.适宜性 正确答案：ACD多选题9.针对系统和应用访问控制，以下做法不正确的是()。A.对于数据库系统审计人员开放不限时权限B

18、.登录之后，不活动超过规定时间强制使其退出登录C.对于修改系统核心业务运行数据的操作限定操作时间D.用户尝试登录失败时，明确提示其用户名错误或口令错误 正确答案：AD多选题10.对于组织在风险处置过程中所选的控制措施，以下说法正确的是()。A.规避风险B.可以将风险转移C.所有风险都必须被降低到可接受的级别D.在满足公司策略和方针条件下，有意识、客观地接受风险 正确答案：AB多选题11.风险处置的可选措施包括()。A.风险识别B.风险分析C.风险转移D.风险减缓 正确答案：CD多选题12.认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备()。A.信息安全的知识B.

19、管理体系的知识C.与受审核活动相关的技术知识D.ISMS监视、测量、分析和评价的知识 正确答案：ABCD多选题13.可用于信息安全风险分析的方法包括()。A.场景分析法B.ATA（攻击路径分析）法C.FMEA（失效模式分析）法D.HACCP（危害分析与关键控制点）法 正确答案：AD多选题14.中华人民共和国网络安全法适用于在中华人民共和国境内()网络，以及网络安全的监督管理。A.使用B.建设C.运营D.维护 正确答案：ABCD判断题1.2008年6月19日，全国信息安全标准化技术委员会等同采用ISO/IEC27001:2005信息安全管理体系要求，仅有编辑性修改。A.正确B.错误 正确答案：A

20、判断题2.ISO/IEC27018标准是信息技术、安全技术作为P处理者在公有云中保护个人身份信息（P）的实践规范。A.正确B.错误 正确答案：A判断题3.信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。A.正确B.错误 正确答案：B判断题4.ISO/IEC27006是对提供信息安全管理体系审核和认证的机构的要求。()A.正确B.错误 正确答案：A判断题5.组织使用云平台服务（PaaS）时，GB/T22080-2016标准中的A12.5的要求可以删减。A.正确B.错误 正确答案：B判断题6.某信用卡制造企业为接收银行信用卡数据的服务器配置了单独的路由和防火墙，这符合GB/T22080-2016标准附录A.13.1.3条款的要求。()A.正确B.错误 正确答案：A判断题7.较低的恢复时间目标会有更长的中断时间。A.正确B.错误 正确答案：B判断题8.白名单方案规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。A.正确B.错误 正确答案：A判断题9.信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。A.正确B.错误 正确答案：B判断题10.计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。A.正确B.错误 正确答案：A