2022年6月信息安全管理體系審核員(ISMS)模擬試題一、單項選擇題1、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規和其它要求D、A+BE、A+C2、下列說法錯誤的是(）A、ISO/IEC20000-1:2018標準鼓勵組織采用整合的過程方法B、組織滿足ISO/IEC20000-1:2018標準要求，意味著該組織滿足其顧客的所有要求C、組織可以把ISO/IEC20000-1:2018標準作為獨立評估的依據D、組織可以通過ISO/IEC20000-1:2018標準來確定組織IT服務管理基準3、實施管理評審的目的是為確保信息安全管理體系的（）A、充分性B、適宜性C、有效性D、以上都是4、關于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）A、標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B、標準中所表述要求的順序反映了這些要求要實現的順序C、信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中D、信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性5、下列哪一種情況下，網絡數據管理協議(NDM.P)可用于備份?（）A、需要使用網絡附加存儲設備(NAS)時B、不能使用TCP/IP的環境時C、需要備份舊的備份系統不能處理的文件許可時中先創學D、要保證跨多個數據卷的備份連續、一致時6、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當的保護C、確保信息得到保護D、確保信息按照其級別得到處理7、關于信息安全連續性，以下說法正確的是（）A、信息安全連續性即IT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定8、經過風險處理后遺留的風險是（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險9、第三方認證審核時，對于審核提出的不符合項，審核組應：（）A、與受審核方共同評審不符合項以確認不符合的條款B、與受審核方共同評審不符合項以確認不符合事實的準確性C、與受審核方共同評審不符合以確認不符合的性質D、以上都對10、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網關模式D、旁路接入模式11、經過風險處理后遺留的風險通常稱為（）A、重大風險B、有條件的接受風險C、不可接受的風險D、殘余風險12、ITIL的最新版本是(）A、ITILV4B、ITILV3C、ITILV5D、ITILV213、不屬于WEB服務器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼14、下面哪一種屬于網絡上的被動攻擊（）A、消息篡改B、偽裝C、拒絕服務D、流量分析15、組織應（）A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯的職責及責任范圍16、在每天下午5點使計算機結束時斷開終端的連接屬于（）A、外部終端的物理安全B、通信線的物理安全C、竊聽數據D、網絡地址欺騙17、在訪問因特網時，為了防止Web網頁中惡意代碼對自己計算機的損害，可以采取的防范措施是(）A、利用SSL訪問Web站點B、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區域C、在瀏覽器中安裝數字證書D、利用IP安全協議訪問Web站點18、下面哪一種功能不是防火墻的主要功能?A、協議過濾B、應用網關C、擴展的日志記錄能力D、包交換19、（）不是每個過程都需要定義的部分A、輸出B、資源C、輸入D、活動20、依據GB/T22080/ISO/IEC27001，建立資產清單即：（）A、列明信息生命周期內關聯到的資產，明確其對組織業務的關鍵性B、完整采用組織的固定資產臺賬，同時指定資產負責人C、資產價格越高，往往意味著功能越全，因此資產重要性等級就越高D、A+B21、《信息技術安全技術信息安全治理》對應的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701422、我國網絡安全等級保護共分幾個級別？（）A、7B、4C、5D、623、以下對GB/T22081-2016/IS0/IEC27002:2013標準的描述，正確的是（）A、該標準屬于要求類標準B、該標準屬于指南類標準C、該標準可用于一致性評估D、組織在建立ISMS時，必須滿足該標準的所有要求24、()是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態A、信息安全事態B、信息安全事件C、信息安全事故D、信息安全故障25、關于信息安全連續性，以下說法正確的是：A、信息安全連續性即FT設備運行的連續性B、信息安全連續性應是組織業務連續性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續性指標由IT系統的性能決定26、為確保采用一致和有效的方法對信息安全事件進行管理，下列控制措施哪個不是必須的？（）A、建立信息安全事件管理的責任B、建立信息安全事件管理規程C、對信息安全事件進行響應D、在組織內通報信息安全事件27、在現場審核時，審核組有權自行決定變更的事項是（）。A、市核人日B、審核的業務范圍C、審核日期D、審核組任務調整28、按照PDCA思路進行審核，是指（）A、按照受審核區域的信息安全管理活動的PDCA過程進行審核B、按照認證機構的PDCA流程進行審核C、按照認可規范中規定的PDCA流程進行審核D、以上都對29、以下描述不正確的是（）A、防范惡意和移動代碼的目標是保護軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發生C、風險分析、風險評價、風險處理的整個過程稱為風險管理D、控制措施可以降低安全事件發生的可能性，但不能降低安全事件的潛在影響30、管理員通過桌面系統下發IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復其IP至原綁定狀態B、斷開網絡并持續阻斷C、彈出提示街口對其發出警告D、鎖定鍵盤鼠標31、《計算機信息系統安全保護條例》規定：對計算機信息系統中發生的案件，有關使用單位應當在()向當地縣民政府公安機關報告A、8小時內B、12小時內C、24小時內D、48小時內32、根據《中華人民共和國網絡安全法》，關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂（）協議,明確安全和保密義務與責任A、安全保密B、安全保護C、安全保障D、安全責任33、跨國公司的I.S經理打算把現有的虛擬專用網(VPN.,virtualpriavtenetwork)升級，采用通道技術使其支持語音I.P電話(VOI.P,voice-overI.P)服務，那么，需要首要關注的是（）。A、服務的可靠性和質量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸的保密D、數據傳輸的保密34、當獲得的審核證據表明不能達到審核目的時，申核組長可以（）A、宣布停止受審核方的生產/服務活動B、向審核委托方和受審核方報告理中以確定適當的措施C、宣布取消末次會議D、以上各項都不可以35、數字簽名可以有效對付哪一類信息安全風險？A、非授權的閱讀B、盜竊C、非授權的復制D、篡改36、創建和更新文件化信息時，組織應確保適當的（）。A、對適宜性和有效性的評審和批準B、對充分性和有效性的測量和批準C、對適宜性和充分性的測量和批準D、對適宜性和充分性的評審和批準37、桌面系統級聯狀態下，關于上級服務器制定的強制策略，以下說法正確的是（）A、下級管理員無權修改，不可刪除B、下級管理員無權修改，可以刪除C、下級管理員可以修改，可以刪除D、下級管理員可以修改，不可刪除38、依據GB/T22080-2016標準，符合性要求包括（）A、知識產權保護B、公司信息保護C、個人隱私的保護D、以上都對39、文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對40、對于獲準認可的認證機構，認可機構證明（）A、認證機構能夠開展認證活動B、其在特定范圍內按照標準具有從事認證活動的能力C、認證機構的每張認證證書都符合要求D、認證機構具有從事相應認證活動的能力二、多項選擇題41、以下（）活動是ISMS監視預評審階段需完成的內容A、實施培訓和意識教育計劃B、實施ISMS內部審核C、實施ISMS管理評審D、采取糾正措施42、公司M將信息系統運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協議規定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內43、關于按照相關國家標準強制性要求進行安全合格認證的要求，以下正確的選項是A、網絡關鍵設備B、網絡安全專用產品C、銷售前D、投入運行后44、管理評審的輸入應包括（）。A、相關方的反饋B、不符合和糾正措施C、信息安全目標完成情況D、業務連續性演練結果45、對于審核發現（）A、審核組應根據需要，在審核的適當階段共同評審審核發現B、根據審核計劃和檢査表要求，只需記錄每個不符合審核發現的審核證據C、應與受審核方一起評審不符合的審核發現，以確認審核證據的準確性，并得到受審核方的理解D、包括正面的和負面的發現46、計算機信息系統的安全保護，應保障（）A、計算機及相關配套設施的安全B、網絡安全C、運行環境安全D、計算機功能和正常發揮47、以下屬于訪問控制的是（)。A、開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B、防火墻基于IP過濾數據包C、核心交換機根據IP控制對不同VLAN間的訪問D、病毒產品査殺病毒48、網絡常見的拓撲形式有（)A、星型B、環型C、總線型D、樹型49、投訴處理過程應包括：（）A、投訴受理、跟蹤和告知B、投訴初步評審、投訴調查C、投訴響應、溝通決定D、投訴終止50、在開展信息安全績效和ISMS有效性評價時，組織應確定（）A、監視、測量、分析和評價的過程B、適用的監視、測量、分析和評價的方法C、需要被監視和測量的內容D、監視、測量、分析和評價的執行人員51、信息安全管理體系審核組的能力包括:（）A、信息安全事件處理方法和業務連續性的知識B、有關有形和無形資產及其影響分析的知識C、風險管理過程和方法的知識D、信息安全管理體系的控制措施及其實施的知識52、下列有關涉密信息系統說法正確的是（）A、涉密信息系統經單位保密工作機構測試后即可投入使用B、涉密信息系統投入運行前應當經過國家保密行政管理部門審批C、涉密計算機重裝操作系統后可降為非涉密計算機使用D、未經單位信息管理部門批準不得自行重裝操作系統53、IS0/IEC27000系列標準主要包括哪幾類標準？()A、要求類B、應用類C、指南類D、術語類54、關于審核委托方，以下說法正確的是（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務提供方的審核是第二方審核55、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新三、判斷題56、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬正確錯誤57、組織使用云盤設施服務時，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）正確錯誤58、較低的恢復時間目標會有更長的中斷時間。（）正確錯誤59、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。（）正確錯誤60、不同組織有關信息安全管理體系文件化信息的詳細程度應基本相同（）正確錯誤61、容量管理策略可以考慮增加容量或降低容量要求。（）正確錯誤62、風險處置計劃和信息安全殘余風險應獲得最高管理者的授受和批準。（）正確錯誤63、敏感信息通過網絡傳輸時必須加密處理。（)正確錯誤64、IS0/IEC27006是ISO/IEC17021的相關要求的補充。（）正確錯誤65、組織的內外部相關方要求屬于組織的內部和外部事項”（）正確錯誤

參考答案一、單項選擇題1、E2、B3、D4、B解析:引言中明確表述，標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實現的順序5、A6、A7、B8、D9、B10、D11、D12、A13、D14、D解析:主動攻擊會導致某些數據流的篡改和虛假數據流的產生，這類攻擊分篡改，偽造消息數據和終端（拒絕服務）。被動攻擊中攻擊者不對數據信息做任何修改，截取/竊聽是指為未經用戶同意和認可的情況下攻擊者獲得了信息或相關數據。通常包括竊聽，流量分析，破解弱加密的數據流等攻擊方式。故選D15、B解析:根據GB/T22080-2016標準A6,1,