2021年第一期國家ISMS信息安全管理體系審核員模擬試題含解析

2021年第一期國家ISMS信息安全管理體系審核員模擬試題一、單項選擇題1、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：()A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用2、關(guān)于適用性聲明下面描述錯誤的是(）A、包含附錄A中控制刪減的合理性說明B、不包含未實現(xiàn)的控制C、包含所有計劃的控制D、包含附錄A的控制及其選擇的合理性說明3、()屬于管理脆弱性的識別對象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理4、當(dāng)獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動B、向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當(dāng)?shù)拇胧〤、宣布取消末次會議D、以上都不可以5、《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機構(gòu)不再接受其注冊申請A、2年B、3年C、4年D、5年6、對全國密碼工作實行統(tǒng)一領(lǐng)導(dǎo)的機構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機構(gòu)B、國家密碼管理部門C、中央國家機關(guān)D、全國人大委員會7、文件初審是評價受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對8、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)9、《信息安全管理體系認(rèn)證機構(gòu)要求》中規(guī)定，第二階段審核（）進行A、在客戶組織的場所B、在認(rèn)證機構(gòu)以網(wǎng)絡(luò)訪問的形式C、以遠(yuǎn)程視頻的形式D、以上都對10、組織應(yīng)（）。A、對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進行分級B、對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進行分級C、對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級D、對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級11、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行()A、國家經(jīng)營B、地方經(jīng)營C、備案制度D、許可制度12、以下關(guān)于認(rèn)證機構(gòu)的監(jiān)督要求表述錯誤的是（）A、認(rèn)證機構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機構(gòu)和客戶共同來制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機構(gòu)應(yīng)對認(rèn)證證書的使用進行監(jiān)督13、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動、信息處理設(shè)施和系統(tǒng)變更14、IT服務(wù)中"升級"是（）A、服務(wù)等級的升級B、問題管理向變更管理升級C、將事件、問題升級為更高職能的人員或部門處理D、事件管理向問題管理升級15、風(fēng)險識別過程中需要識別的方面包括:資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、(）A、識別可能性和影響B(tài)、識別脆弱性和識別后果C、識別脆弱性和可能性D、識別脆弱性和影響16、進入重要機構(gòu)時，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計D、標(biāo)記17、gb17859-1999提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求A、2B、3C、5D、718、風(fēng)險偏好是組織尋求或保留風(fēng)險的（）A、行動B、計劃C、意愿D、批復(fù)19、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?0、依據(jù)GB/T220802016/SO/EC.27001:2013標(biāo)準(zhǔn)，組織應(yīng)（）。A、識別在組織范圍內(nèi)從事會影響組織信息安全績效的員工的必要能力B、確保在組織控制下從事會影響組織信息安全績效的員工的必要能力C、確定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力D、鑒定在組織控制下從事會影響組織信息安全績效的工作人員的必要能力21、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說法正確的是(）A、信息安全政策的培訓(xùn)者與審計之間的職責(zé)分離B、職責(zé)分離的是不同管理層級之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶組之間的職責(zé)分離22、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式23、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險越小C、針對技術(shù)脆弱性的補丁安裝應(yīng)按變更管理進行控制D、及時安裝針對技術(shù)脆弱性的所有補丁是應(yīng)對脆弱性相關(guān)風(fēng)險的最佳途徑24、安全掃描可以實現(xiàn)（）A、彌補由于認(rèn)證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產(chǎn)生的問題C、彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊分析所有的數(shù)據(jù)流25、在每天下午5點使計算機結(jié)束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙26、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析27、組織應(yīng)()與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A、確定B、制定C、落實D、確保28、下列哪個文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險評估過程記錄D、溝通記錄29、容量管理的對象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部30、在規(guī)劃如何達到信息安全目標(biāo)時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時候開始，如何測量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果31、以下哪個選項不是ISMS第一階段審核的目的（）A、獲取對組織信息安全管理體系的了解和認(rèn)識B、了解客戶組織的審核準(zhǔn)備狀態(tài)C、為計劃2階段審核提供重點D、確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求32、組織應(yīng)（），以確信相關(guān)過程按計劃得到執(zhí)行。A、處理文件化信息達到必要的程度B、保持文件化信息達到必要的程度C、保持文件化信息達到可用的程度D、產(chǎn)生文件化信息達到必要的程度33、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對34、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調(diào)整B、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護軟件包的保密性C、應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護軟件包的完整性和可用性D、以上都不對35、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員36、在現(xiàn)場審核時，審核組有權(quán)自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整37、《信息安全等級保護管理辦法》規(guī)定，應(yīng)加強沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年38、管理體系是實現(xiàn)組織目標(biāo)的方針、（）、指南和相關(guān)資源的框架A、目標(biāo)B、規(guī)程C、文件D、記錄39、《信息安全技術(shù)信息安全事件分類分級指南》中的災(zāi)害性事件是由于（）對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障40、關(guān)于文件管理下列說法錯誤的是（）A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B、必要時對文件進行評審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰，易于識別D、作廢文件應(yīng)及時銷毀，防止錯誤使用二、多項選擇題41、審核計劃中應(yīng)包括（）A、本次及其后續(xù)審核的時間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排42、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態(tài)度和能力B、組織的規(guī)模和活動的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度43、基礎(chǔ)環(huán)境運維服務(wù)通常包括（）A、機房電力系統(tǒng)B、主機設(shè)備C、空調(diào)系統(tǒng)D、安防系統(tǒng)44、關(guān)于審核委托方，以下說法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核45、認(rèn)證機構(gòu)應(yīng)有驗證審核組成員背景經(jīng)驗，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識46、《信息安全等級保護管理辦法》的分級是依據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對（）的危害程度等因素確定。A、公民、法人和其他組織的合法權(quán)益B、公共利益C、國家安全D、社會秩序47、信息安全風(fēng)險分析包括（）A、分析風(fēng)險發(fā)生的原因B、確定風(fēng)險級別C、評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風(fēng)險實際發(fā)生的可能性48、關(guān)于信息安全風(fēng)險自評估，下列選項正確的是（）A、是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估B、周期性的自評估可以在評估流程上適當(dāng)簡化C、可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施D、由信息系統(tǒng)上級管理部門組織的風(fēng)險評估49、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為50、在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件51、對于審核發(fā)現(xiàn)（）A、審核組應(yīng)根據(jù)需要，在審核的適當(dāng)階段共同評審審核發(fā)現(xiàn)B、根據(jù)審核計劃和檢査表要求，只需記錄每個不符合審核發(fā)現(xiàn)的審核證據(jù)C、應(yīng)與受審核方一起評審不符合的審核發(fā)現(xiàn)，以確認(rèn)審核證據(jù)的準(zhǔn)確性，并得到受審核方的理解D、包括正面的和負(fù)面的發(fā)現(xiàn)52、以下說法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進行分析和評價C、顧客滿意測評只能通過第三方機構(gòu)來實施D、顧客不投訴并不意味著顧客滿意了53、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對相關(guān)方可用B、包括對持續(xù)改進ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜54、設(shè)計一個信息安全風(fēng)險管理工具，應(yīng)包括如下模塊（）。A、資產(chǎn)識別與分析B、漏洞識別與分析C、風(fēng)險趨勢分析D、信息安全事件管理流程55、訪問控制包括()A、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制B、邏輯訪問控制C、用戶訪問控制D、物理訪問控制三、判斷題56、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。正確錯誤57、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日起實施的。（）正確錯誤58、某組織租用第三方數(shù)據(jù)中心機房托管其IT系統(tǒng)設(shè)備，因此認(rèn)證審核時不必審核計算機機房物理安全的相關(guān)內(nèi)容()正確錯誤59、最高管理層應(yīng)通過“確保持續(xù)改進”活動，證實對信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）正確錯誤60、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）正確錯誤61、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補充。（）正確錯誤62、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一（）正確錯誤63、敏感信息通過網(wǎng)絡(luò)傳輸時必須加密處理。（)正確錯誤64、審核員由實習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過4次完整體系20天的審核。（）正確錯誤65、考慮了組織所實施的活動，即可確定組織信息安全管理體系范圍。正確錯誤

參考答案一、單項選擇題1、A2、B3、D解析:27001附錄A12,6，技術(shù)方面的脆弱性管理，應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評價組織對這些脆弱性的暴露情況并采取適當(dāng)?shù)拇胧﹣響?yīng)對相關(guān)風(fēng)險。故選D4、B5、D6、A7、A8、D9、A10、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級，信息應(yīng)按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級11、D12、B13、B14、C15、B16、B17、C解析:《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》規(guī)定了計算機系統(tǒng)安全保護能力的五個等級18、C19、A20、C21、B22、D23、C24、C25、A26、C27、A28、D29、D30、C31、D32、B33、D解析:270019,3管理評審，管理評審的輸出應(yīng)包括與持續(xù)改進機會相關(guān)的決定以及變更信息安全管理體系的任何需求。27001附錄A12,1,2變更管理，應(yīng)控制影響信息安全的變更，包括組織，業(yè)務(wù)過程，信息處理設(shè)施和系統(tǒng)變更。因此A,B,C選項的變更均符合變更管理，故選D34、D解析:應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護其完整性35、C36、D37、D38、B39、C40、D二、多項選擇題41、B,C,D解析:參考gb/t19011-2013,6,3,2,2審核計劃包括：a)審核目標(biāo)；b)審核范圍；c)審核準(zhǔn)則和引用文件；d)實施審核活動的地點、日期、預(yù)期的時間和期限，包括與受審核方管理者的會議；e)使用的審核方法，包括所需的審核抽樣的范圍，以獲得足夠的審核證據(jù)，適用時還包括抽樣方案的設(shè)計；f)審核組成員、向?qū)Ш陀^察員的作用和職責(zé)；g)為審核的關(guān)鍵區(qū)域配置適當(dāng)?shù)馁Y源。因此本題選BCD42、B,C,D43、A,C,D44、B,C,D45、A,B,C,D46、A,B,C,D47、B,C,D48、A,B,C解析:g