2021年第四期信息安全管理體系審核員(ISMS)復(fù)習(xí)題含解析

2021年第四期信息安全管理體系審核員(ISMS)復(fù)習(xí)題一、單項(xiàng)選擇題1、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審2、加密技術(shù)可以保護(hù)信息的(）A、機(jī)密性B、完整性C、可用性D、A+B3、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)4、文件化信息指（）A、組織創(chuàng)建的文件B、組織擁有的文件C、組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D、對(duì)組織有價(jià)值的文件5、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)6、安全掃描可以實(shí)現(xiàn)（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對(duì)內(nèi)網(wǎng)安全威脅檢測(cè)不足的問題D、掃描檢測(cè)所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流7、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D、可以通過常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制8、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項(xiàng)都正確9、根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議,明確安全和保密義務(wù)與責(zé)任A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任10、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍11、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定12、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審13、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督14、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求15、相關(guān)方的要求可以包括（）A、標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B、法律、標(biāo)準(zhǔn)要求和合同義務(wù)C、法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D、法律、法規(guī)要求和合同義務(wù)16、依據(jù)GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務(wù)監(jiān)視和評(píng)審范疇的是（）。A、監(jiān)視和評(píng)審服務(wù)級(jí)別協(xié)議的符合性B、監(jiān)視和評(píng)審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評(píng)審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評(píng)審服務(wù)方跟蹤處理信息安全事件的能力17、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用18、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A19、以下關(guān)于安全接層協(xié)議(SSL)的敘述中,錯(cuò)誤的是(）A、為TCP/IP連接提供服務(wù)器認(rèn)證B、為TCP/IP連接提供數(shù)據(jù)加密C、提供數(shù)據(jù)安全機(jī)制D、是一種應(yīng)用層安全協(xié)議20、風(fēng)險(xiǎn)處置是（）A、識(shí)別并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程B、確定并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程C、分析并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程D、選擇并執(zhí)行措施來更改風(fēng)險(xiǎn)的過程21、審核抽樣時(shí)，可以不考慮的因素是(）A、場(chǎng)所差異B、管理評(píng)審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果22、關(guān)于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901123、風(fēng)險(xiǎn)評(píng)價(jià)是指（）A、系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和評(píng)估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D、以上都對(duì)24、關(guān)于顧客滿意，以下說法正確的是：()A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意25、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用26、最高管理者應(yīng)確保服務(wù)管理體系要求整合到組織（）中，證實(shí)對(duì)服務(wù)管理體系的領(lǐng)導(dǎo)承諾。A、活動(dòng)B、資源C、過程D、目標(biāo)27、最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A、分配職責(zé)與權(quán)限B、分配崗位與權(quán)限C、分配責(zé)任和權(quán)限D(zhuǎn)、分配角色和權(quán)限28、（）是問題管理流程中最后的環(huán)節(jié)A、將任何與變更請(qǐng)求下相關(guān)的傳遞給問題管理B、關(guān)閉C、問題回顧D、問題記錄29、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)評(píng)估程序30、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識(shí)產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個(gè)人隱私的保護(hù)D、以上都對(duì)31、認(rèn)證機(jī)構(gòu)應(yīng)確定，ITSMS是否能在缺少()的情況下得到充分審核并予以記錄,同時(shí)還應(yīng)詳細(xì)說明理由。A、保密性信息B、遠(yuǎn)程支持C、方案策劃D、服務(wù)目錄32、在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說法正確的是（）A、技術(shù)符合性評(píng)審即滲透測(cè)試B、技術(shù)符合性評(píng)審即漏洞掃描與滲透測(cè)試的結(jié)合C、滲透測(cè)試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D、滲透測(cè)試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估33、（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障34、被黑客控制的計(jì)算機(jī)常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬35、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對(duì)網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對(duì)網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對(duì)信息收集、存儲(chǔ)、傳輸、交換、處理系統(tǒng)的保護(hù)36、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4037、根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級(jí)為(）A、特密B、絕密C、機(jī)密D、秘密38、信息安全目標(biāo)應(yīng)()A、可測(cè)量B、與信息安全方針一致C、適當(dāng)時(shí)，對(duì)相關(guān)方可用D、定期更新39、在現(xiàn)場(chǎng)審核結(jié)束之前，下列哪項(xiàng)活動(dòng)不是必須的？（）A、關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說明B、審核現(xiàn)場(chǎng)發(fā)現(xiàn)的不符合C、提供審核報(bào)告D、聽取客戶對(duì)審核發(fā)現(xiàn)提出的問題40、下列哪個(gè)文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險(xiǎn)評(píng)估過程記錄D、溝通記錄二、多項(xiàng)選擇題41、以下場(chǎng)景中符合GB/T22080-20161SO1EC27001:2013標(biāo)準(zhǔn)要求的情況是（）A、某公司為保潔人員發(fā)放了公司財(cái)務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，以方便其上班前或下班后打掃這些房間B、某公司將其物理區(qū)域敏感性劃為四個(gè)等級(jí),分別標(biāo)上紅橙黃藍(lán)標(biāo)志C、某公司為少數(shù)核心項(xiàng)目人員發(fā)放了手機(jī)，允許其使用手機(jī)在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機(jī)帶離指定區(qū)域D、某公司門禁系統(tǒng)的時(shí)鐘比公司視頻監(jiān)控系統(tǒng)的時(shí)鐘慢約10分鐘42、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)43、組織建立的信息安全目標(biāo)，應(yīng)（）。A、是可測(cè)量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時(shí)更新44、評(píng)價(jià)信息安全風(fēng)險(xiǎn)，包括（）A、將風(fēng)險(xiǎn)分析的結(jié)果與信息安全風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較B、確定風(fēng)險(xiǎn)的控制措施C、為風(fēng)險(xiǎn)處置排序以分析風(fēng)險(xiǎn)的優(yōu)先級(jí)D、計(jì)算風(fēng)險(xiǎn)大小45、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用46、風(fēng)險(xiǎn)處置包括（)A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)計(jì)劃C、風(fēng)險(xiǎn)控制D、風(fēng)險(xiǎn)轉(zhuǎn)移47、管理評(píng)審的輸出包括（）A、管理評(píng)審報(bào)告B、持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定C、管理評(píng)審會(huì)議紀(jì)要D、變更信息的安全管理體系任何需求48、對(duì)于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測(cè)機(jī)構(gòu)檢測(cè)C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級(jí)保護(hù)第四級(jí)水平49、下列哪些是服務(wù)預(yù)算與核算管理必須的？（）A、服務(wù)計(jì)費(fèi)B、服務(wù)實(shí)際成本C、服務(wù)成本預(yù)算D、監(jiān)視成本50、某游戲開發(fā)公司按客戶的設(shè)計(jì)資料構(gòu)建游戲場(chǎng)景和任務(wù)的基礎(chǔ)要素模塊，為方便各項(xiàng)目組討論，公司創(chuàng)建了一個(gè)sharefolder,在此文件夾中又為對(duì)應(yīng)不同客戶的項(xiàng)目組創(chuàng)建了項(xiàng)目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項(xiàng)目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項(xiàng)目負(fù)責(zé)人共同定期評(píng)審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動(dòng)是容量管理，游戲開發(fā)人員不參與51、關(guān)于審核方案，以下說法正確的是A、審核方案是審核計(jì)劃的一種B、審核方案可包括一段時(shí)期內(nèi)各種類型的審核C、中核方案即年度內(nèi)部審梭計(jì)劃D、審核方案是審核計(jì)劃的輸入52、不符合項(xiàng)報(bào)告應(yīng)包括A、不符合事實(shí)的描述B、不符合的標(biāo)準(zhǔn)條款及內(nèi)容C、不符合的原因D、不符合的性質(zhì)53、防范端口掃描、漏洞掃描和網(wǎng)絡(luò)監(jiān)聽的措施為(）A、安裝防火墻B、定期更新系統(tǒng)或打補(bǔ)丁C、對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密D、關(guān)閉一些不常用的端口54、在開展信息安全績(jī)效和ISMS有效性評(píng)價(jià)時(shí)，組織應(yīng)確定（）A、監(jiān)視、測(cè)量、分析和評(píng)價(jià)的過程B、適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法C、需要被監(jiān)視和測(cè)量的內(nèi)容D、監(jiān)視、測(cè)量、分析和評(píng)價(jià)的執(zhí)行人員55、針對(duì)敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤B、登錄之后，不活動(dòng)超過規(guī)定時(shí)間強(qiáng)制使其退出登錄C、對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D、對(duì)于數(shù)據(jù)庫系統(tǒng)審計(jì)人員開放不限時(shí)權(quán)限三、判斷題56、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的授受和批準(zhǔn)。（）正確錯(cuò)誤57、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機(jī)APP完成對(duì)公司客戶的服務(wù)請(qǐng)求處理，但手機(jī)須安裝公司規(guī)定的安全控制程序，無論手機(jī)是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)正確錯(cuò)誤58、風(fēng)險(xiǎn)處置計(jì)劃和信息安全殘余風(fēng)險(xiǎn)應(yīng)獲得最高管理者的接受和批準(zhǔn)。正確錯(cuò)誤59、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）正確錯(cuò)誤60、較低的恢復(fù)時(shí)間目標(biāo)會(huì)有更長(zhǎng)的中斷時(shí)間。（）正確錯(cuò)誤61、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的（）正確錯(cuò)誤62、J020相關(guān)方可以是組織內(nèi)部也可以是組織外部的。(）正確錯(cuò)誤63、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸檢索等處理的人機(jī)系統(tǒng)（）正確錯(cuò)誤64、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。正確錯(cuò)誤65、在來自可信站點(diǎn)電子郵件中輸入個(gè)人或財(cái)務(wù)信息是安全的。（）正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、B2、D3、D4、C5、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對(duì)照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果，故選C6、C7、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問，應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問。cd選項(xiàng)錯(cuò)誤，必須是已授權(quán)用戶才可訪問。A選項(xiàng)錯(cuò)誤，在家登錄，不符合安全訪問控制策略。故選B8、D9、A10、B解析:根據(jù)GB/T22080-20