2021年第四期ISMS審核員考試題目-信息安全管理體系含解析

2021年第四期ISMS審核員考試題目—信息安全管理體系一、單項(xiàng)選擇題1、根據(jù)GB/Z20986《信息安全技術(shù)信息安全事件分類分級指南》，對于違法行為的通報批評處罰，屬于行政處罰中的（）A、資格罰B、人身自由罰C、財產(chǎn)罰D、聲譽(yù)罰2、組織通過哪些措施來確保員工和合同方意識到并履行其信息安全職責(zé)？（）A、審查、任用條款和條件B、管理責(zé)任、信息安全意識教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對3、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任與權(quán)限D(zhuǎn)、分配角色和權(quán)限4、創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ、對適宜性和有效性的評審和批準(zhǔn)B、對充分性和有效性的測量和批準(zhǔn)C、對適宜性和充分性的測量和批準(zhǔn)D、對適宜性和充分性的評審和批準(zhǔn)5、當(dāng)發(fā)生不符合時，組織應(yīng)（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應(yīng)，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應(yīng)，適用時：采取措施，以控制予以糾正；處理后果6、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部7、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度8、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠(yuǎn)程視頻的形式D、以上都對9、依據(jù)GB/T22080/ISO/IEC27001，信息分類方案的目的是（）A、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析B、確保信息按照其對組織的重要程度受到適當(dāng)水平的保護(hù)C、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤D、劃分信息載體所屬的職能以便于明確管理責(zé)任10、《信息安全等級保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對秘密級、機(jī)密級信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測評。A、半年B、1年C、1.5年D、2年11、"多級SLA"是一個三層結(jié)構(gòu)，下列哪層不是這樣類型SLA的部分？()A、客戶級別B、公司級別C、配置級別D、服務(wù)級別12、關(guān)于系統(tǒng)運(yùn)行日志，以下說法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入曰志13、已知錯誤是一個已識別根本原因或解決方案降低或消除對服務(wù)影響的()A、問題B、事件C、錯誤D、事態(tài)14、ITSMS監(jiān)督審核的目的不包括()A、確認(rèn)是否持續(xù)符合認(rèn)證要求B、驗(yàn)證認(rèn)證通過的ITSMS是否得以持續(xù)改進(jìn)C、作出是否換發(fā)證書的決定D、驗(yàn)證組織ITSMS的保持是否考慮了組織運(yùn)作過程的變化15、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限16、《信息技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)物理破壞而導(dǎo)致的信息安全事件。A、網(wǎng)絡(luò)攻擊B、不可抗力C、自然災(zāi)害D、人為因素17、設(shè)備維護(hù)維修時，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部18、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對19、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應(yīng)（）A、制定ISMS目標(biāo)和計劃B、實(shí)施ISMS管理評審C、決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別D、其他選項(xiàng)均不正確20、安全掃描可以實(shí)現(xiàn)（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流21、ISO/IEC20000-1適用于通過ITSMS的()服務(wù)規(guī)劃、設(shè)計、轉(zhuǎn)換、交付和改進(jìn)。A、有效策劃與保持持續(xù)改進(jìn)B、有效實(shí)施與運(yùn)行持續(xù)改進(jìn)C、有效實(shí)施與保持持續(xù)改進(jìn)D、有效策劃與運(yùn)行持續(xù)改進(jìn)22、對保密文件復(fù)印件張數(shù)核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性23、組織的風(fēng)險責(zé)任人不可以是（）A、組織的某個部門B、某個系統(tǒng)管理員C、風(fēng)險轉(zhuǎn)移到組織D、組織的某個虛擬小組負(fù)責(zé)人24、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險評估過程記錄C、管理評審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南25、風(fēng)險評估過程一般應(yīng)包括（）A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險評價D、以上全部26、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍27、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作28、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4029、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求己得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求己得到滿足，即意味著顧客滿意30、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理31、對全國密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B、國家密碼管理部門C、中央國家機(jī)關(guān)D、全國人大委員會32、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部33、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊B、適用性聲明C、風(fēng)險處置計劃D、風(fēng)險評估程序34、對于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更35、下面哪個不是典型的軟件開發(fā)模型？（）A、變換型B、漸增型C、瀑布型D、結(jié)構(gòu)型36、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析37、當(dāng)操作系統(tǒng)發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對組織的運(yùn)行和安全沒有負(fù)面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗(yàn)證和確認(rèn)38、保密性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対39、加密技術(shù)可以保護(hù)信息的(）A、機(jī)密性B、完整性C、可用性D、A+B40、確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實(shí)體或進(jìn)程其所用，是指（）A、完整性B、可用性C、機(jī)密性D、抗抵賴性二、多項(xiàng)選擇題41、影響審核時間安排的因素包括（)A、ITSMS的范圍大小B、場所的數(shù)量C、認(rèn)證機(jī)構(gòu)審核人員的能力D、認(rèn)證機(jī)構(gòu)審核人員的數(shù)量42、風(fēng)險處置的可選措施包括（）。A、風(fēng)險識別B、風(fēng)險分析C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩43、管理評審的輸入應(yīng)包括（）。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標(biāo)完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果44、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)檢測C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級保護(hù)第四級水平45、評價信息安全風(fēng)險，包括（）A、將風(fēng)險分析的結(jié)果與信息安全風(fēng)險準(zhǔn)則進(jìn)行比較B、確定風(fēng)險的控制措施C、為風(fēng)險處置排序以分析風(fēng)險的優(yōu)先級D、計算風(fēng)險大小46、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險處置過程C、溝通記錄D、信息安全目標(biāo)47、管理評審的輸出包括（）A、管理評審報告B、持續(xù)改進(jìn)機(jī)會相關(guān)決定C、管理評審會議紀(jì)要D、變更信息的安全管理體系任何需求48、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B、有關(guān)有形和無形資產(chǎn)及其影響分析的知識C、風(fēng)險管理過程和方法的知識D、信息安全管理體系的控制措施及其實(shí)施的知識49、“云計算機(jī)服務(wù)”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS50、風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴51、公司M將信息系統(tǒng)運(yùn)維外包給公司N,以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是（）A、與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B、在對N公司人員服務(wù)時，接入M公司的移動電腦事前進(jìn)行安全掃描C、將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項(xiàng)目組組長名下，由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用D、對N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)52、按覆蓋的地理范圍進(jìn)行分類，計算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)53、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理54、風(fēng)險描述的要素包括（)A、風(fēng)險源B、原因C、后果D、事件55、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括（）A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略三、判斷題56、測量是確定數(shù)值和性質(zhì)的過程。（）正確錯誤57、J020相關(guān)方可以是組織內(nèi)部也可以是組織外部的。(）正確錯誤58、ISO/IEC27018是用于對云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）正確錯誤59、信息系統(tǒng)中的“單點(diǎn)故障”指僅有一個故障點(diǎn)，因此屬于較低風(fēng)險等級的事件。（）正確錯誤60、某組織按信息的敏感性等級將其物理區(qū)域的控制級別劃分為4個等級，這符合GB/T22080-2016標(biāo)準(zhǔn)A9.1.1條款的要求。（）正確錯誤61、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進(jìn)信息安全管理體系的承諾。正確錯誤62、當(dāng)需要時，組織可設(shè)計控制，或識別來自任何來源的控制。（）正確錯誤63、GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)（）正確錯誤64、糾正是指為消除己發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。（）正確錯誤65、組織使用云盤設(shè)施服務(wù)時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）正確錯誤

參考答案一、單項(xiàng)選擇題1、D2、B3、C4、D5、D6、D7、D8、A9、B10、D11、C12、B13、A14、C15、C16、B17、D18、B19、D解析:信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃，組織應(yīng)在相關(guān)職能和層級上建立信息安全目標(biāo)，A項(xiàng)錯誤。B項(xiàng)27001最高管理層應(yīng)按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評審的實(shí)施執(zhí)行者是組織，因此B表述不準(zhǔn)確。C項(xiàng)，27001,5.1.2組織應(yīng)建立并維護(hù)信息安全風(fēng)險準(zhǔn)則，包括風(fēng)險接受準(zhǔn)則和信息安全風(fēng)險評估實(shí)施準(zhǔn)則。而非最高管理者，因此C錯誤，綜上故選D20、C21、B22、A23、C24、D25、D26、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會27、B28、A29、C30、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣響?yīng)對相關(guān)風(fēng)險。故選D31、A32、D33、B34、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時，對相關(guān)方可用。故選A35、A3