ISO27001信息安全管理體系內(nèi)審員考核試題

ISO27001:2022信息安全管理體系內(nèi)審員一、單選題1.根據(jù)ISO/IEC27001:2022,將附錄的安全控制項從114個減少至（）[單選題]*A.99B.93√C.92D.902.根據(jù)ISO/EC27001:2022,資產(chǎn)包括（）[單選題]*A.主要資產(chǎn)與輔助資產(chǎn)（所有類型的支撐性資產(chǎn)）√B.主要資產(chǎn)與次要資產(chǎn)C.物理資產(chǎn)與信息資產(chǎn)D.流程資產(chǎn)與活動資產(chǎn)3.攻擊的概念是指（）[單選題]*A.未經(jīng)授權(quán)企圖銷毀、更改、禁用、訪問資產(chǎn)的行為;√B.無意間泄露信息的行為；C．未經(jīng)批準資產(chǎn)就被刪除、處理的行為；D．設備故障導致日志被刪除的現(xiàn)象。4.根據(jù)ISO/EC27001:2022,中斷屬于突發(fā)事件，無論是預期的還是意外的，都會導致根據(jù)組織的目標與預期的產(chǎn)品和服務交付產(chǎn)生計劃外的（）[單選題]*A.風險B.負面偏差√C.影響D.破壞5.根據(jù)ISO/EC27001:2022,關(guān)于與特定利益集團或論壇的聯(lián)系，以下說法不正確對的是（）[單選題]*A.提高有關(guān)最佳實踐的知識并及時了解相關(guān)安全信息√B.確保對信息安全環(huán)境的理解是最新的C.接收有關(guān)攻擊和漏洞的警報、建議和補丁的早期警告D.提供對組織威脅環(huán)境的認識，以便采取適當?shù)木徑獯胧?.根據(jù)ISO/EC27001:2022,以下不屬于終端設備的是（）[單選題]*A.臺式計算機B.ICT設備C.打印機D.手表√7.根據(jù)ISO/EC27001:2022,關(guān)于云服務，以下說法不正確的是（）[單選題]*A.組織應定義與使用云服務相關(guān)的所有信息安全要求B.對于云服務的信息安全控制，應由做為云服務客戶的組織進行管理√C.應確定如何獲得云服務提供商實施的信息安全控制的保證D.應確定如何更改或停止使用云服務，包括云服務的退出策略。8.根據(jù)ISO/IEC27001:2022,關(guān)于信息刪除，以下說法不正確的是（）[單選題]*A.在使用云服務的情況下，組織應驗證云服務提供商提供的刪除方法是否可接受;B.應刪除過時的版本、副本和臨時文件，無論它們位于何處C.對于某些設備(如智能手機)的安全刪除只能通過銷毀進行√D.組織應對信息刪除做出正式記錄.9.根據(jù)ISO/IEC27002:2022,最新版本中，新增了（）個控制項[單選題]*A.11√B.14C.13D.1510.根據(jù)ISO/IEC27001:2022,（）指相互沖突的職責和責任范圍應分開.[單選題]*A.信息安全屬性B.信息安全組織C.訪問控制D.職責分離√11.根據(jù)ISO/IEC27001:2022,當（）時，應刪除存儲在信息系統(tǒng)、設備或任何其他存儲介質(zhì)中的信息。[單選題]*A.法律法規(guī)要求B.敏感信息暴露C.服務中止D.不再需要√12.根據(jù)ISO/IEC27001:2022,信息標記中使用的信息標簽不包括（）[單選題]*A.簽名√B.物理標簽C.水印D.橡皮圖章13.根據(jù)ISO/IEC27001:2022,威脅情報的分類不包括（）[單選題]*A.戰(zhàn)術(shù)威脅情報B.戰(zhàn)略威脅情報C.技術(shù)威脅情報√D.運營威脅情報14以下做法不正確的是：（）[單選題]*A..保留含有敏感信息的介質(zhì)的處置記錄。B..將大量含有信息的介質(zhì)匯集在一起時提高其總體敏感性等級。C..將所有的已用過一面的復印紙一律分配給各部門復用，以符合組織的節(jié)能降耗策略。√D..依據(jù)風險評估的結(jié)果將維修更換下來的磁盤交第三方按雙方約定的程序進行處置。15.根據(jù)ISO/EC27001:2022,信息安全角色和（）應根據(jù)組織需要進行定義和分配。[單選題]*A.責任√B.職責C.批準D.實施16.根據(jù)ISO/EC27001:2022,關(guān)于ICT供應鏈以下說法不正確的是（）[單選題]*A.組織應在供應商關(guān)系中保持商定的信息安全水平B.若供應商將本組織的服務再分包，應在整個供應鏈中傳達貫徹本組織的安全要求C.組織確?？梢栽谡麄€供應鏈中追蹤關(guān)鍵部件及其來源D.組織應確保在整個供應鏈中各分包單位按本組織的信息安全控制方法實施，而不是僅對其提出要求，√17.根據(jù)ISO/EC27001:2022,訪問控制旨在確保根據(jù)業(yè)務和安全要求對物理和邏輯訪問進行（）和限制[單選題]*A.識別B.授權(quán)√C.分析D.獲取18.根據(jù)ISO/EC27001:2022,對于威脅情報，以下說法不正確的是（）[單選題]*A.應與保護組織相關(guān)B.應為組織提供對威脅形勢的準確和詳細的了解C.應為可操作的D.應確定統(tǒng)一的格式與相關(guān)個人交流和分享√19.根據(jù)ISO/EC27001:2022,應根據(jù)組織的信息安全要求建立獲取、使用、管理和（）云服務的流程。[單選題]*A.退出√B.審核C.防護D.中斷20根據(jù)ISO/EC27001:2022,信息安全策略和（）應由管理人員定義，批準，發(fā)布，傳達給相關(guān)人員和相關(guān)有關(guān)方面并由其確認，應定期進行檢查，如果發(fā)生重大更改，則應進行評審。[單選題]*A.特定主題策略√B.信息安全目標C.信息安全計劃D.內(nèi)部審核21隱私和個人可識別信息（PII）的保護，以下說法不正確的是（）[單選題]*A處理PII的責任宜考慮基于相關(guān)的法律法規(guī)B.應采取適當?shù)募夹g(shù)和組織措施來保護PIIC.單位在未經(jīng)許可情況下，有權(quán)公開員工的照片、家庭信息等個人隱私√D單位選擇隱私快遞，快遞公司應隱藏發(fā)件人的電-話、地址等可識別信息。22.根據(jù)ISO/IEC27001:2022,關(guān)于物理監(jiān)控，組織可選擇的方式不包括（）[單選題]*A.安裝視頻監(jiān)控系統(tǒng)B.安裝電纜電磁屏蔽√C.安裝對玻璃破碎聲音敏感的傳感器、觸點探測器、基于紅外技術(shù)的運動探測器等，以及時觸發(fā)警報。D.設置警衛(wèi)巡邏23信息安全管理體系ISO/IEC27001:2022標準的轉(zhuǎn)換截止期為（）[單選題]*A.2023年12月30日；B.2025年10月30日；√C.2024年4月30日；D.2025年10月25日24.關(guān)于信息安全風險評估和風險處置，按照SO27001:2022標準6.1中規(guī)定，應（）：[單選題]*A．建立并維護信息安全風險評估實施準則，包括風險接受準則；√B．殘余風險必須全部根除；C．風險處置的選項必須立足于規(guī)避所有信息安全風險；D.建立的適用性聲明必須采取附錄A全部的控制措施25.信息安全方針和特定主題策略的差異是（）[單選題]*A．信息安全方針是全面的、具體的要求；B.信息安全方針是最高管理層制定，詳略程度一般；特定主題策略是適當部門/層級的管理者制定，是規(guī)定具體而詳細的控制方法；√C.特定主題策略應宏觀、全面；D．信息安全方針和特定主題策略都要具體而明確。26.數(shù)據(jù)備份的要求是（）[單選題]*A.備份存儲在安全可靠的遠程地點，與主站點相隔足夠距離，以避免主站點發(fā)生災難時受到損壞√B.采取異機備份，但需要定期測試；C．保存?zhèn)浞萑罩荆趥浞萑罩境^存儲空間時及時刪除備份日志D.需要專人操作。27.根據(jù)ISO/EC27001:2022,信息系統(tǒng)和應用程序的監(jiān)視活動涉及很多方面，以下說法不正確的是（）[單選題]*A.網(wǎng)絡、系統(tǒng)和應用程序的出入流量；B.系統(tǒng)、服務器、網(wǎng)絡設備、監(jiān)視系統(tǒng)、關(guān)鍵應用程序等的訪問；C.監(jiān)視包括CPU、硬盤、內(nèi)存、帶寬等資源的使用及其性能；D.系統(tǒng)網(wǎng)絡活動的相關(guān)事態(tài)日志、瓶頸和過載不在監(jiān)視活動范圍。√28.時鐘同步應滿足的要求是（）[單選題]*A.應使用與國家原子鐘或全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS）等廣播的無線電時間相關(guān)聯(lián)的時鐘，作為日志系統(tǒng)的參考時鐘;√B.使用多個云服務或同時使用云服務和本地服務時，時鐘同步可能會很困難。在此情況下，可以免除對時鐘同步的監(jiān)視；C.如果要提高外部時鐘的可靠性，同時使用兩個外部時間源是不可行的，即使加以管理也不推薦此種方法；D.為了更安全，在無法實現(xiàn)時鐘同步的情況下，可以放棄使用時鐘同步的策略。29.在處理公司業(yè)務時進行的信息交換方式，以下哪種是相對安全的（）[單選題]*A.在電-話中設置了電-話錄音和來電顯示；B.含有重要信息的郵件在加密的傳輸環(huán)境下被加密發(fā)出,并限制附件的大小；√C.用短信通知客戶確定的商品價格;D以上全部30.運行系統(tǒng)的軟件安裝以下說法正確的是（）[單選題]*A經(jīng)過培訓的管理員在適當管理授權(quán)下，方可執(zhí)行運行軟件更新；√B.確保在運行系統(tǒng)上僅可安裝經(jīng)批準的開發(fā)代碼或編譯器；C安裝時需要小心謹慎，邊操作邊測試，安裝后沒有問題就可以更新配置庫，D在完成變更后要制定回退策略，萬一運行中出現(xiàn)異常立即回退.三、多項選擇1.根據(jù)ISO/IEC.27002,對于敏感或關(guān)鍵系統(tǒng)的布纜安全，組織應考慮：（）[多選題]*A.使用電磁屏蔽裝置保護電纜；√B.定期進行技術(shù)掃描和物理檢查，以檢測連接到電纜上的未授權(quán)設備；√C.對配線架和電纜室的訪問進行控制，如使用機械鑰匙或插銷;√D.使用光纜；√2.根據(jù)ISO/IEC.27002:2022,組織為硬件、軟件、服務和網(wǎng)絡的安全配置建立標準模板時，應考慮（）[多選題]*A.禁用不必要的、未使用的或不安全的身份√B.禁用或限制不必要的功能和服務√C.啟用超時功能，在會話等預定的不活動時間后自動注銷計算設備√D.時鐘同步√3.根據(jù)ISO/EC.27002,組織為確保辦公室、房間和設施的安全，應考慮（）[多選題]*A.關(guān)鍵設施的放置如項目服務器等要避免公眾可訪問，√B.適用時，確保對建筑物、辦公場所的房間給出其最少用途的指示，以降低識別其內(nèi)部信息處理活動的內(nèi)容；√C.配置設施，以防止從外部可看到和聽到保密信息或活動，還應酌情考慮電磁屏蔽；√D.內(nèi)部電-話簿和在線可訪問地圖應做好保護，不應被任何未授權(quán)人輕易獲得?！?.ISO/IEC.27001:2022附錄A的控制，由原來的A5-A18，變更為以下控制（）類別，涵蓋了所有新版要求的控制項：[多選題]*A．技術(shù)控制和物理控制；√B.管理控制和技術(shù)控制；C.組織控制和人員控制；√D.威脅、脆弱性和風險控制。5.根據(jù)ISO/EC.27002,組織在刪除有關(guān)系統(tǒng)、應用程序和服務的信息時，應考慮（）[多選題]*A.如果委托第三方存儲組織的信息，應在與供方協(xié)議中規(guī)定信息刪除的要求，并應獲取其信息刪除的證據(jù)?！藼.根據(jù)業(yè)務需求并考慮相關(guān)法律法規(guī)，選擇刪除方式(如電子覆蓋或加密擦除)√C.記錄刪除結(jié)果作為證據(jù)√D.制作準確和完整的備份副本記錄用以恢復信息6.根據(jù)ISO/EC.27002視圖屬性，信息安全屬性包含（）[多選題]*A.保密性√B.完整性√C.不可否認性D.可用性√7.根據(jù)ISO/IEC.27002,組織針對技術(shù)脆弱性的解決，應考慮（）[多選題]*A.依據(jù)需要解決技術(shù)脆弱性的緊迫程度，根據(jù)變更管理相關(guān)的控制或通過遵循信息安全事件響應程序采取行動；√B.在安裝更新之前對其進行測試和評估，以確保其有效且不會產(chǎn)生系統(tǒng)故障；√C.采取開發(fā)補丁程序等補救措施；√D.僅使用合法來源的軟件安裝和更新系統(tǒng)?！?.根據(jù)ISO/IEC.27002視圖屬性，控制類型屬性包含（）[多選題]*A.預防√B.檢查√C.糾正√D.改進9.ISO27002:2022中創(chuàng)建的屬性表的主要功能和要求是（）：[多選題]*A.可用于不同使用者在不同視圖中進行控制的篩選、分類或展示;√B.是使用者必須進行控制的屬性；組織不應再創(chuàng)建自有屬性；C.僅僅是提供了屬性視圖的示例，并不是該項主題僅有這些屬性而不會涉及其他；√D.文件給出的屬性是基于標準在各類組織中應用的通用性考量而給出的選擇√10.哪一項不屬于信息安全控制中物理和環(huán)境安全的控制（）[多選題]*A.記錄訪問者進入和離開的日期和時間；√B.使用門禁卡、隔離墻或前臺接待等安全屏障；√C.儲存敏感信息的服務器等設備和內(nèi)部電-話簿不能放在公眾可視的范圍內(nèi)；√D.檢查下載的郵件附件是否存在病毒11.你認為如下哪種口令是不安全的（）[多選題]*A.6個0;√B.出生日期√C.用戶名與密碼一致√D.辦公室電-話號碼√12.在信息安全標準中，要求記錄日志信息的設施和日志要加以保護，下列哪些是日志信息的不安全狀況（）？[多選題]*A.日志文件未經(jīng)批準被編輯或刪除；√B.超越了日志文件的存儲容量，導致不能記錄事態(tài)或過去記錄事態(tài)被寫覆蓋；√C.出錯和故障日志的性能未被激活；√D.系統(tǒng)管理員和操作員的日志進行了定期分析和評審。13.項目管理中的信息安全控制應做到但不限于（）[多選題]*A.從項目生命周期的早期階段就提出信息安全要求，確定需要采取的信息安全策略；√B．采用具有知識產(chǎn)權(quán)的工具、軟件進行項目設計、開發(fā)活動√C.采用身份鑒別的控制要求；C√D.執(zhí)行訪問控制、物理環(huán)境安全等控制策略?！?4.防止信息泄露要注意哪些事項（）[多選題]*A．不在公共場所或網(wǎng)絡論壇談論公司內(nèi)部重要的工作；√B.不隨意扔掉未經(jīng)粉碎處理的介質(zhì)；√C.通過微信、QQ等可正常交談公司重要會議的內(nèi)容和意見；D.未經(jīng)授權(quán)人批準，外人不得進入計算機房?！?5.技術(shù)脆弱性管理的主要措施包括（）[多選題]*A.具有完整的信息資產(chǎn)清單；√B.具有在什么系統(tǒng)安裝了什么軟件及其版本、軟件供應商等信息的記錄；√C.從內(nèi)部和外部來源接收脆弱性報告，并進行脆弱性培訓，做到知己知彼?！藾.使用適用的掃描工具來識別脆弱性。√三、判斷題1.（）信息安全是指：信息的保密性、完整性和可用性，即防止未經(jīng)授權(quán)使用信息，防止對信息的不當修改或破壞，確保及時可靠地使用信息。[判斷題]*對√錯2.（）ISO27001:2022附錄A中的控制是指：保持和/或改變風險的措施。[單選題]*對√錯3.（）安置服務器、防火墻等信息資產(chǎn)、服務等基礎設施的物理場所不屬于信息處理設施[判斷題]*對錯√4（）只有惡意破壞、篡改、泄露或非法訪問才屬于安全違規(guī)行為。[判斷題]*對錯√5.（）為本公司提供服務的供方，本公司只在事先與其簽署保密協(xié)議就能保證公司的信息安全。[判斷題]*對錯√6.（）計算機只要不聯(lián)網(wǎng)，就不會有病毒。[判斷題]*對錯√7.（）計算機病毒可能在用戶打開“doc”文件時被啟用。[判斷題]*對√錯8.（）在計算機上安裝防病毒軟件后，