2022年第二期ISMS信息安全管理體系審核員模擬試題含解析

2022年第二期ISMS信息安全管理體系審核員模擬試題一、單項(xiàng)選擇題1、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過(guò)程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度2、下列不屬于取得認(rèn)證機(jī)構(gòu)資質(zhì)應(yīng)滿足條件的是（）。A、取得法人資格B、有固定的場(chǎng)所C、完成足夠的客戶案例D、具有足夠數(shù)量的專職認(rèn)證人員3、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來(lái)制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的使用進(jìn)行監(jiān)督4、加密技術(shù)可以保護(hù)信息的(）A、機(jī)密性B、完整性C、可用性D、A+B5、監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作是（）對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)履行法定職責(zé)之一A、電信管理機(jī)構(gòu)B、公安機(jī)關(guān)C、國(guó)家安全機(jī)關(guān)D、國(guó)家保密局6、訪問(wèn)控制是確保對(duì)資產(chǎn)的訪問(wèn)，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問(wèn)的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問(wèn)7、《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行A、在客戶組織的場(chǎng)所B、在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪向的形式C、以遠(yuǎn)程視頻的形式D、以上都対8、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過(guò)什么實(shí)現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險(xiǎn)隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險(xiǎn)釣魚(yú)9、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)10、文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)11、審核計(jì)劃中不包括（）。A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排12、變更請(qǐng)求為提出針對(duì)服務(wù)、（）或IT服務(wù)管理體系（ITSMS）的變更建議A、服務(wù)組件B、服務(wù)軟件C、配置項(xiàng)D、配置管理數(shù)據(jù)庫(kù)13、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式14、《中華人民共和國(guó)密碼法》規(guī)定了國(guó)家秘密的范圍和密級(jí)，國(guó)家秘密的密級(jí)分為（）。A、普密、商密兩個(gè)級(jí)別B、低級(jí)和高級(jí)兩個(gè)級(jí)別C、絕密、機(jī)密、秘密三個(gè)級(jí)別D、—密、二密、三密、四密四個(gè)級(jí)別15、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊(cè)帳戶的時(shí)效性B、刪除死帳戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼16、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)17、當(dāng)發(fā)現(xiàn)不符合項(xiàng)時(shí)，組織應(yīng)對(duì)不符合做出反應(yīng)，適用時(shí)（）。A、采取措施，以控制并予以糾正B、對(duì)產(chǎn)生的影響進(jìn)行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生18、管理體系是實(shí)現(xiàn)組織目標(biāo)的方針、（）、指南和相關(guān)資源的框架A、目標(biāo)B、規(guī)程C、文件D、記錄19、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部20、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用21、服務(wù)連續(xù)性管理中,恢復(fù)時(shí)間目標(biāo)指（）A、IT服務(wù)復(fù)原到正常工作狀態(tài)的時(shí)間B、IT服務(wù)復(fù)原到約定的最低可用性水平的時(shí)間C、關(guān)鍵服務(wù)恢復(fù)到約定的最低可用性水平的時(shí)間D、基礎(chǔ)設(shè)施服務(wù)恢復(fù)到約定的可用性的時(shí)間22、依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略,以下正確的是()A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)的訪問(wèn)控制23、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)A、半年B、1年C、1,5年D、2年24、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次25、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開(kāi)始，如何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開(kāi)始，如何評(píng)價(jià)結(jié)果26、局域網(wǎng)環(huán)境下與大型計(jì)算機(jī)環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯(cuò)能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議27、末次會(huì)議包括（）A、請(qǐng)受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見(jiàn)進(jìn)行討論D、以上都不準(zhǔn)確28、GB/T22080-2016中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部29、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對(duì)變更申請(qǐng)的審核過(guò)程C、變更實(shí)施前的正式批準(zhǔn)D、以上全部30、與某個(gè)特定配置項(xiàng)相關(guān)的項(xiàng)目信息被存儲(chǔ)到配置管理數(shù)據(jù)庫(kù)，這種項(xiàng)目稱為：A、組件B、特色C、屬性D、特性31、被黑客控制的計(jì)算機(jī)常被稱為(）A、蠕蟲(chóng)B、肉雞C、灰鴿子D、木馬32、關(guān)于GB/T28450,以下說(shuō)法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901133、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ?。A、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)34、ISO/IEC27001所采用的過(guò)程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法35、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定36、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過(guò)程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過(guò)程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更37、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計(jì)算機(jī)信息系統(tǒng)，是指A、對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)38、設(shè)備維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn)、以上全部39、IT部門(mén)中的所有服務(wù)是否都要包含在認(rèn)證范圍以內(nèi)？（）A、是的，整個(gè)范圍的服務(wù)都要包含在認(rèn)證范圍之內(nèi)B、只有當(dāng)其都被提供給相同的客戶群體時(shí)C、不，該范圍可限制為服務(wù)的子集D、取決于該服務(wù)為內(nèi)部提供還是外部提供40、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保二、多項(xiàng)選擇題41、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問(wèn),使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為42、關(guān)于審核委托方，以下說(shuō)法正確的是（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核43、以下說(shuō)法不正確的是（）A、信息安全管理體系審核是信息系統(tǒng)審計(jì)的一種B、信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C、組織對(duì)信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D、如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過(guò)風(fēng)險(xiǎn)評(píng)估44、以下（）活動(dòng)是ISMS監(jiān)視預(yù)評(píng)審階段需完成的內(nèi)容A、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃B、實(shí)施ISMS內(nèi)部審核C、實(shí)施ISMS管理評(píng)審D、采取糾正措施45、對(duì)于涉密信息系統(tǒng)，以下說(shuō)法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國(guó)產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)檢測(cè)C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國(guó)家信息安全等級(jí)保護(hù)第四級(jí)水平46、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場(chǎng)所等的冗余配置B、定期或?qū)崟r(shí)進(jìn)行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)D、有保障信息安全連續(xù)性水平的過(guò)程和程序文件47、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫(xiě)人員的態(tài)度和能力B、組織的規(guī)模和活動(dòng)的類型C、人員的能力D、管理系統(tǒng)的復(fù)雜程度48、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)()類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門(mén)審核制度A、新聞、出版B、醫(yī)療、保健C、知識(shí)類D、教育類49、按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)50、以下說(shuō)法不正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問(wèn)卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測(cè)評(píng)只能通過(guò)第三方機(jī)構(gòu)來(lái)實(shí)施D、顧客不投訴并不意味著顧客滿意了51、關(guān)于審核委托方，以下說(shuō)法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核52、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用53、依據(jù)IS020000-6:2017以下可構(gòu)成減少ITSMS初審人日的因素包括（)A、已獲得的認(rèn)證在最近12個(gè)月內(nèi)對(duì)其至少實(shí)施了一次審核B、擬認(rèn)證的范圍已獲得ISO/IEC27001證書(shū)C、已獲得其他認(rèn)證的范圍大于擬認(rèn)證的范圍D、擬認(rèn)證的范圍與獲得ISMS證書(shū)范圍等同54、以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施D、實(shí)施體系文件培訓(xùn)55、信息安全風(fēng)險(xiǎn)分析包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性三、判斷題56、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲(chǔ)、傳輸、刪除和銷毀無(wú)關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）正確錯(cuò)誤57、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。正確錯(cuò)誤58、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。正確錯(cuò)誤59、不同組織有關(guān)信息安全管理體系文件化信息的詳細(xì)程度應(yīng)基本相同（）正確錯(cuò)誤60、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。正確錯(cuò)誤61、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）正確錯(cuò)誤62、組織應(yīng)識(shí)別并提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。（）正確錯(cuò)誤63、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）正確錯(cuò)誤64、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）正確錯(cuò)誤65、訪問(wèn)控制列表指由主體以及主體對(duì)客體的訪問(wèn)權(quán)限所組成列表。正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、A2、C3、B4、D5、B6、D7、A8、B9、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對(duì)照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果，故選C10、D11、A12、A13、D14、C解析:《中華人民共和國(guó)保守國(guó)家秘密法》第十條，國(guó)家秘密的密級(jí)分為絕密，機(jī)密，秘密三級(jí)15、D16、D解析:短期停電即電力中斷，故選D?？芍袛嗟碾娏?yīng)17、A解析:參考2700110,1當(dāng)發(fā)生不符合時(shí)，組織應(yīng)：對(duì)不符合做出反應(yīng)，適用時(shí)：（1）采取措施，以控制并予以糾正（2）處理后果。故選A18、B19、D20、A21、C22、B23、D24、D25、C26、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計(jì)算機(jī)環(huán)境是指類似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯(cuò)能力上，故選B27、C28、B29、D30、C31、B32、A33、D34、C35、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A36、B37、A38、D39、C40、A解析:理解組織及其環(huán)境二、多項(xiàng)選擇題41、A,B,C,D42、B,C,D解析:gb/t19011-2013管理體系審核指南3,6審核委托方是要求審核的組織或人員，3,7受審核方是被審核的組織。對(duì)于內(nèi)部審核，審核委托方可以是受審核方或?qū)徍朔桨?/p>