2021年第三期信息安全管理體系審核員(ISMS)模擬試題含解析_第1頁
2021年第三期信息安全管理體系審核員(ISMS)模擬試題含解析_第2頁
2021年第三期信息安全管理體系審核員(ISMS)模擬試題含解析_第3頁
2021年第三期信息安全管理體系審核員(ISMS)模擬試題含解析_第4頁
2021年第三期信息安全管理體系審核員(ISMS)模擬試題含解析_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

2021年第三期信息安全管理體系審核員(ISMS)模擬試題一、單項選擇題1、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的?()A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作2、過程是指()A、有輸入和輸出的任意活動B、通過使用資源和管理,將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對3、下列哪項對于審核報告的描述是錯誤的?()A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構(gòu)審核后,由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對4、《信息技術(shù)服務(wù)分類與代碼》規(guī)定()屬于軟件運營服務(wù)。A、在線殺毒B、物流信息管理服務(wù)平臺C、電子商務(wù)D、在線娛樂平臺5、不屬于WEB服務(wù)器的安全措施的是()A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼6、組織應(yīng)定義所有事件的記錄和分類、分級、需要時升級、解決和()A、報告B、溝通C、回復(fù)顧客D、正式關(guān)閉7、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是()A、不同網(wǎng)絡(luò)運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù),用戶及信息系統(tǒng)8、安全區(qū)域通常的防護措施有()A、公司前臺的電腦顯示器背對來訪者B、進出公司的訪客須在門衛(wèi)處進行登記C、重點機房安裝有門禁系統(tǒng)D、以上全部9、組織應(yīng)(),以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度10、對于可能超越系統(tǒng)和應(yīng)用控制的實用程序,以下做法正確的是()A、實用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實用程序清單C、緊急響應(yīng)時所使用的實用程序不需要授權(quán)D、建立、授權(quán)機制和許可使用的實用程序清單11、為信息系統(tǒng)用戶注冊時,以下正確的是:()A、按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)B、組共享用戶ID按組任務(wù)的最大權(quán)限注冊C、預(yù)設(shè)固定用戶ID并留有冗余,以保障可用性D、避免頻繁變更用戶訪問權(quán)12、管理體系是實現(xiàn)組織目標的方針、()、指南和相關(guān)資源的框架A、目標B、規(guī)程C、文件D、記錄13、依據(jù)GB/T22080,關(guān)于職責分離,以下說法正確的是()A、信息安全政策的培訓者與審計之間的職責分離B、職責分離的是不同管理層級之間的職責分離C、信息安全策略的制定者與受益者之間的職責分離D、職責分離的是不同用戶組之間的職責分離14、關(guān)于《中華人民共和國保密法》,以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級,由組織自主定級、自主保護?15、ISO/IEC20000-1適用于通過ITSMS的()服務(wù)規(guī)劃、設(shè)計、轉(zhuǎn)換、交付和改進。A、有效策劃與保持持續(xù)改進B、有效實施與運行持續(xù)改進C、有效實施與保持持續(xù)改進D、有效策劃與運行持續(xù)改進16、關(guān)于信息安全管理中的“脆弱性”,以下正確的是:()A、脆弱性是威脅的一種,可以導(dǎo)致信息安全風險B、網(wǎng)絡(luò)中“釣魚”軟件的存在,是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令,是口令管理的脆弱性D、以上全部17、計算機信息系統(tǒng)安全專用產(chǎn)品是指:()A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設(shè)計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途(如高保密)專用的計算機軟件和硬件產(chǎn)品18、ISO/IEC20000J標準的范圍聲明是很重要的,因為()A、它定義了管理體系根據(jù)什么予以認證B、它詳細描述了所有已被認證的公司C、它詳細描述了所有已被認耐砂D、它確定了哪些流程已超出了范圍19、《信息技術(shù)服務(wù)分類與代碼》中的分類分為()級A、2B、3C、4D、520、關(guān)于訪問控制,以下說法正確的是()A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問控制B、三層交換機基于MAC實施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強制訪問控制中,用戶標記級別小于文件標記級別,即可讀該文件21、信息分類方案的目的是()A、劃分信息載體的不同介質(zhì)以便于儲存和處理,如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類,按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型,如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù),以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析22、信息安全的機密性是指()A、保證信息不被其他人使用B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、根據(jù)授權(quán)實體的要求可訪問的特性D、保護信息準確和完整的特性?23、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時可以不包括()A、溝通周期B、溝通內(nèi)容C、溝通時間D、溝通對象24、容災(zāi)的目的和實質(zhì)是()A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞25、安全掃描可以實現(xiàn)()A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產(chǎn)生的問題C、彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流26、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、以上都不對27、()是建立有效的計算機病毒防御體系所需要的技術(shù)措施A、補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻28、關(guān)于信息安全連續(xù)性,以下說法正確的是:A、信息安全連續(xù)性即FT設(shè)備運行的連續(xù)性B、信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C、信息處理設(shè)施的冗余即指兩個或多個服務(wù)器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定29、GB/T29246標準為組織和個人提供()A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標準族已發(fā)布標準的介紹D、1SMS標準族中使用的所有術(shù)語和定義30、訪問控制是確保對資產(chǎn)的訪問,是基于()要求進行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問31、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后,終端用戶修改了IP地址,對其的處理方式不包括()A、自動恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標32、組織確定的信息安全管理體系范圍應(yīng)()A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用33、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是()A、劃分信息的數(shù)據(jù)類型,如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù),以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析B、確保信息按照其對組織的重要程度受到適當水平的保護C、劃分信息載體的不同介質(zhì)以便于儲存和處理,如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責任34、《信息技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于()對信息系統(tǒng)物理破壞而導(dǎo)致的信息安全事件。A、網(wǎng)絡(luò)攻擊B、不可抗力C、自然災(zāi)害D、人為因素35、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于,它不僅備份系統(tǒng)中的數(shù)據(jù),還備份系統(tǒng)中安裝的應(yīng)用程序,數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息,以便迅速()A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)36、經(jīng)過風險處理后遺留的風險是()A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險37、ITIL的最新版本是()A、ITILV4B、ITILV3C、ITILV5D、ITILV238、依法負有網(wǎng)絡(luò)安全監(jiān)督管理職責的部門及其工作人員,必須對在履行職責中知悉的()嚴格保密,不得泄露、出售或非法向他人提供。A、個人信息B、隱私C、商業(yè)秘密D、其他選項均正確39、關(guān)于備份,以下說法正確的是()A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求,同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄,不須規(guī)定保存期40、關(guān)于《中華人民共和國保密法》,以下說法正確的是:()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級,由組織自主定級、自主保護二、多項選擇題41、GB/T22080-2016/ISO/IEC27001:2013標準中A12,3,1條款要求()A、設(shè)定備份策B、定期測試備份介質(zhì)C、定期備份D、定期測試信息和軟件42、“云計算服務(wù)”包括哪幾個層面?A、PaasB、SaasC、laasD、PII.S43、以下做法正確的是()A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時,應(yīng)先將數(shù)據(jù)進行脫敏處理B、為強化新員工培訓效果,盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項目組時,其愿使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致44、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制45、以下()活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容A、實施培訓和意識教育計劃B、實施ISMS內(nèi)部審核C、實施ISMS管理評審D、采取糾正措施46、風險評估過程一般應(yīng)包括()A、風險識別B、風險分析C、風險評價D、風險處理47、信息安全管理中,以下屬于"按需知悉(need-to-know)原則的是()A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息,僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息48、風險評估過程一般應(yīng)包括()A、風險識別B、風險分析C、風險評價D、風險處置49、不同組織的ISMS文件的詳略程度取決于()A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度50、以下說法不正確的是()A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷,并對結(jié)果進行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施D、顧客不投訴并不意味著顧客滿意了51、在信息安全事件管理中,()是員工應(yīng)該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件52、下列有關(guān)涉密信息系統(tǒng)說法正確的是()A、涉密信息系統(tǒng)經(jīng)單位保密工作機構(gòu)測試后即可投入使用B、涉密信息系統(tǒng)投入運行前應(yīng)當經(jīng)過國家保密行政管理部門審批C、涉密計算機重裝操作系統(tǒng)后可降為非涉密計算機使用D、未經(jīng)單位信息管理部門批準不得自行重裝操作系統(tǒng)53、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)()網(wǎng)絡(luò),以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運營C、維護D、使用54、常規(guī)控制圖主要用于區(qū)分()A、過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過程能力的大小C、過程加工的不合格品率D、過程中存在偶然波動還是異常波動55、在設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程時,宜考慮()A、基于“須知”原則,員工宜僅知曉安全區(qū)的存在或其中的活動B、為了安全原因和減少惡意活動的機會,宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評審D、經(jīng)授權(quán),不宜允許攜帶攝影、視頻或其他記錄設(shè)備,例如移動設(shè)備中的相機三、判斷題56、ISO/IEC27018是用于對云安全服務(wù)中隱私保護認證的依據(jù)。()正確錯誤57、從審核開始到結(jié)束,審核組長應(yīng)對審核實施負責正確錯誤58、創(chuàng)建和更新文件化信息時,組織應(yīng)確保對其適宜性和充分性進行評審和批準。正確錯誤59、計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸檢索等處理的人機系統(tǒng)()正確錯誤60、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。()正確錯誤61、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn),與信息的創(chuàng)建、處理、存儲、傳輸、刪除和銷毀無關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。()正確錯誤62、審核組長在末次會議中應(yīng)該對受審核方是否通過認證給出結(jié)論。()正確錯誤63、利用生物信息進行身份鑒別包括生物行為特征鑒別及生物特征鑒別。正確錯誤64、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級,這符合GB/T22080-2016標準A9.1.1條款的要求。()正確錯誤65、實習審核員可以獨立完成審核任務(wù)。()正確錯誤

參考答案一、單項選擇題1、B2、B解析:so9000-20153,4,1過程,利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B3、A4、A5、D6、D7、D8、D9、B10、D11、A12、B13、B14、A15、B16、C17、A18、D19、B20、C21、C22、B23、A24、C25、C26、C27、D解析:以上都是建立有效的計算機病毒防御體系所需要的技術(shù)措施,但D選項與病毒防御更相關(guān),故選D28、B29、D30、D31、D32、A33、B34、B35、D36、D37、A38、D解析:網(wǎng)絡(luò)安全法第45條,依法負有網(wǎng)絡(luò)安全監(jiān)督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息,隱私和商業(yè)秘密嚴格保密,不得泄露,出售或者非法向他人提供。故選D39、A40、A二、多項選擇題4

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論