2021年第三期ISMS審核員考試題目—信息安全管理體系一、單項選擇題1、信息安全管理中,以下哪一種描述能說明“完整性”（）。A、資產與原配置相比不發生缺失的情況B、資產不發生任何非授權的變更C、軟件或信息資產內容構成與原件相比不發生缺失的情況D、設備系統的部件和配件不發生缺失的情況2、變更請求為提出針對服務、（）或IT服務管理體系（ITSMS）的變更建議A、服務組件B、服務軟件C、配置項D、配置管理數據庫3、組織的風險責任人不可以是（）A、組織的某個部門B、某個系統管理員C、風險轉移到組織D、組織的某個虛擬小組負責人4、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權訪問的？（）A、物理入口控制B、開發、測試和運行環境的分離C、物理安全邊界D、在安全區域工作5、描述組織采取適當的控制措施的文檔是（）A、管理手冊B、適用性聲明C、風險處置計劃D、風險評估程序6、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪向的形式C、以遠程視頻的形式D、以上都対7、根據GB/T22080-2016標準的要求，組織（）實施風險評估A、應按計劃的時間間隔或當重大變更提出或發生時B、應按計劃的時間間隔且當重大變更提出或發生時C、只需在重大變更發生時D、只需按計劃的時間間隔8、—家投資顧問商定期向客戶發送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發送前，用投資顧問商的公鑰加密郵件的HASH值C、電子郵件發送前，用投資顧問商的私鑰數字簽名郵件D、電子郵件發送前，用投資顧問商的私鑰加密郵件9、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析10、風險處置是（）A、識別并執行措施來更改風險的過程B、確定并執行措施來更改風險的過程C、分析并執行措施來更改風險的過程D、選擇并執行措施來更改風險的過程11、以下對GB/T22081-2016/IS0/IEC27002:2013標準的描述，正確的是（）A、該標準屬于要求類標準B、該標準屬于指南類標準C、該標準可用于一致性評估D、組織在建立ISMS時，必須滿足該標準的所有要求12、在訪問因特網時，為了防止Web網頁中惡意代碼對自己計算機的損害，可以采取的防范措施是(）A、利用SSL訪問Web站點B、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區域C、在瀏覽器中安裝數字證書D、利用IP安全協議訪問Web站點13、下列措施中，（）是風險管理的內容。A、識別風險B、風險優先級評價C、風險處置D、以上都是14、在根據組織規模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A、其產品/過程無風險或有低的風險B、客戶的認證準備C、僅涉及單一的活動過程D、具有高風險的產品或過程15、信息安全基本屬性是（）。A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、穩定性、保密性、完整性16、在發布一個軟件升級，修復某個已知錯誤后，哪個流程能確保配置信息被正確更新（）A、變更管理B、服務級別管理C、配置管理D、發布和部署管理17、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規程C、對信息安全事件進行響應D、在組織內通報信息安全事件18、根據《互聯網信息服務管理辦法》，互聯網接入服務提供者應當記錄上網用戶的(）A、用戶帳號、上網時間、訪問端口信息B、用戶帳戶、上網時間、訪問內容C、用戶帳號、訪問IP地址、用戶計算機型號D、上網時間、用戶帳號、互聯網地址19、以下關于認證機構的監督要求表述錯誤的是（）A、認證機構宜能夠針對客戶組織的與信息安全有關的資產威脅、脆弱性和影響制定監督方案，并判斷方案的合理性B、認證機構的監督方案應由認證機構和客戶共同來制定C、監督審核可以與其他管理體系的審核相結合D、認證機構應對認證證書的使用進行監督20、ISO/IEC27701是（）A、是一份基于27002的指南性標準B、是27001和27002的隱私保護方面的擴展C、是ISMS族以外的標準D、在隱私保護方面擴展了270001的要求21、關于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現的順序C、信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中D、信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性22、下列不一定要進行風險評估的是（）A、發布新的法律法規B、ISMS最高管理者人員變更C、ISMS范圍內的網絡采用新的網絡架構D、計劃的時間間隔23、信息安全管理體系中提到的“資產責任人”是指:（）A、對資產擁有財產權的人B、使用資產的人C、有權限變更資產安全屬性的人D、資產所在部門負責人24、保密性是指（）A、根據授權實體的要求可訪問的特性B、信息不被未授權的個人、突體或過程利用或知悉的特性C、保護信息的準確和完整的特性D、以上都不対25、依據GB/T22080_2016/ISO/IEC27001:2013,不屬于第三方服務監視和評審范疇的是（）。A、監視和評審服務級別協議的符合性B、監視和評審服務方人員聘用和考核的流程C、監視和評審服務交付遵從協議規定的安全要求的程度D、監視和評審服務方跟蹤處理信息安全事件的能力26、對于外部方提供的軟件包，以下說法正確的是：（）A、組織的人員可隨時對其進行適用性調整B、應嚴格限制對軟件包的調整以保護軟件包的保密性C、應嚴格限制對軟件包的調整以保護軟件包的完整性和可用性D、以上都不對27、信息安全管理中，支持性基礎設施指：（）A、供電、通信設施B、消防、防雷設施C、空調及新風系統、水氣暖供應系統D、以上全部28、關于容量管理，以下說法不正確的是（）A、根據業務對系統性能的需求，設置閾值和監視調整機制B、針對業務關鍵性，設置資源占用的優先級C、對于關鍵業務，通過放寬閾值以避免或減少報警的干擾D、依據資源使用趨勢數據進行容量規劃29、《中華人民共和國認證認可條例》規定，認證人員自被撤銷職業資格之日起（）內，認可機構不再接受其注冊申請。A、2年B、3年C、4年D、5年30、IT服務中"升級"是（）A、服務等級的升級B、問題管理向變更管理升級C、將事件、問題升級為更高職能的人員或部門處理D、事件管理向問題管理升級31、設備維護維修時，應考慮的安全措施包括：（）A、維護維修前，按規定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權的新增功能C、敏感部件進行物理銷毀而不予送修D、以上全部32、監督、檢查、指導計算機信息系統安全保護工作是（）對計算機信息系統安全保護履行法定職責之一A、電信管理機構B、公安機關C、國家安全機關D、國家保密局33、被黑客控制的計算機常被稱為(）A、蠕蟲B、肉雞C、灰鴿子D、木馬34、安全掃描可以實現（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數據包攻擊分析所有的數據流35、關于訪問控制策略，以下不正確的是：（）A、須考慮被訪問客體的敏感性分類、訪問主體的授權方式、時限和訪問類型B、對于多任務訪問，一次性賦予全任務權限C、物理區域的管理規定須遵從物理區域的訪問控制策D、物理區域訪問控制策略應與其中的資產敏感性一致36、關于信息系統登錄的管理，以下說法不正確的是（）A、網絡安全等級保護中，三級以上系統需采用雙重鑒別方式B、登錄失敗應提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優質口令37、關于信息安全管理體系認證，以下說法正確的是：A、負責作出認證決定的人員中應至少有一人參與了審核B、負責作出認證決定的人員必須是審核組組長C、負責作出認證決定的人員不應參與審核D、負責作出認證決定的人員應包含參與了預審核的人員38、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析39、關于互聯網信息服務，以下說法正確的是A、互聯網服務分為經營性和非經營性兩類，其中經營性互聯網信息服務應當在電信主管部門備案B、非經營性互聯網信息服務未取得許可不得進行C、從事經營性互聯網信息服務，應符合《中華人民共和國電信條例》規定的要求D、經營性互聯網服務，是指通過互聯網向上網用戶無嘗提供具有公開性、共享性信息的服務活動40、()屬于管理脆弱性的識別對象A、物理環境B、網絡結構C、應用系統D、技術管理二、多項選擇題41、當滿足（）時，可考慮使用基于抽樣的方法對多場所進行審核A、所有的場所在相同信息安全管理體系中,這些場所被集中管理和審核B、所有的場所在相同信息安全管理體系中,這些場所被分別管理和審核C、所有場所包括在客戶組織的內部信息安全管理體系審核方案中D、所有場所包括在客戶組織的信息安全管理體系管理評審方案中42、ISO/IEC27000,以下說法正確的是（）A、ISMS族包含闡述要求的標準B、ISMS族包含闡述通用概論的標準C、ISMS族包含特定行業概述的標準D、ISMS族包含闡述ISMS概述和詞匯的標準43、按覆蓋的地理范圍進行分類，計算機網絡可以分為（）A、局域網B、城域網C、廣域網D、區域網44、風險處置包括（)A、風險降低B、風險計劃C、風險控制D、風險轉移45、依據GB/Z20986，確定為重大社會影響的情況包括（）A、涉及到一個或多個城市的大部分地區B、威脅到國家安全C、擾亂社會秩序D、對經濟建設設有重大負面影響46、以下說法正確的是（）A、顧客不投訴表示顧客滿意了B、監視和測量顧客滿意的方法之一是發調查問卷，并對結果進行分析和評價C、顧客滿意測評只能通過第三方機構來實施D、顧客不投訴并不意味著顧客滿意了47、組織建立的信息安全目標，應（）。A、是可測量的B、與信息安全方針一致C、得到溝通D、適當時更新48、以下屬于信息安全管理體系審核的證據是：（）A、信息系統運行監控中心顯示的實時資源占用數據B、信息系統的閾值列表C、數據恢復測試的日志D、信息系統漏洞測試分析報告49、不同組織的ISMS文件的詳略程度取決于（）A、文件編寫人員的態度和能力B、組織的規模和活動的類型C、人員的能力D、管理系統的復雜程度50、“云計算機服務”包括哪幾個層面？（）A、PaasB、SaaSC、IaaSD、PIIS51、GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A、指導組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實施指南C、審核員實施審核的依據D、以上都不對52、關于鑒別信息保護，正確的是（）A、使用QQ傳遞鑒別信息B、對新創建的用戶，應提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護可作為任用條件或條款的內容53、關于目標，下列說法正確的是（）A、目標現的結果B、溝通記錄C、目標可以采用不同方式進行表示，例如：操作準則D、目標可以是不同層次的，例如組織、項目和產品54、關于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核55、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴三、判斷題56、記錄可提供符合信息安全管理體系要求和有效運行的證據。（）正確錯誤57、組織業務運行使用云基礎設施服務,同時員工通過自有手機APP執行業務過程,此情況下GB/T22080-2016標準A8.1條款可以刪減。（）正確錯誤58、檢測性控制是為了防止未經授權的入侵者從內部或外部訪問系統，并降低進入該系統的無意錯誤操作導致的影響（）正確錯誤59、ISO/IEC27018是用于對云安全服務中隱私保護認證的依據。(）正確錯誤60、最高管理層應確保與信息安全相關角色的職責和權限得到分配和溝通。正確錯誤61、組織的內外部相關方要求屬于組織的內部和外部事項”（）正確錯誤62、IT系統日志信息保存所需的資源不屬于容量管理的范圍（）正確錯誤63、拒絕服務攻擊包括消耗目標服務器的可用資源和/或消耗網絡的有效帶寬。（）正確錯誤64、對不同類型的風險可以采用不同的風險接受準則，例如，導致對法律法規不符合的風險可能是不可接受的，但可能允許接受導致違背合同要求的高風險。（）正確錯誤65、流量監控能夠有效實現對敏感數據的過濾（)正確錯誤

參考答案一、單項選擇題1、B2、A3、C4、B5、B6、A7、A8、C9、D解析:主動攻擊會導致某些數據流的篡改和虛假數據流的產生，這類攻擊分篡改，偽造消息數據和終端（拒絕服務）。被動攻擊中攻擊者不對數據信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數據。通常包括竊聽，流量分析，破解弱加密的數據流等攻擊方式。故選D10、D解析:風險處置，是指選擇并且執行措施來更改風險的過程。故選D11、B12、B13、D14、D解析:高風險的產品或過程應增加審核時間要素15、B解析:270002,19信息安全，保持信息的保密性，完整性，可用性。故選B16、C17、D18、D19、B20、B21、B解析:引言中明確表述，標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現的順序22、D23、C24、B25、B26、D解析:應嚴格限制對軟件包的調整以保護其完整性27、D28、C29、D30、C31、D32、B33、B34、C35、B36、C解析:應確