2022年第三期ISMS信息安全管理體系審核員復習題一、單項選擇題1、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風險評估過程記錄C、管理評審結果D、重要業務系統操作指南2、信息分類方案的目的是（）A、劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D、劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析3、訪問控制是確保對資產的訪問，是基于（）要求進行授權和限制的手段。A、用戶權限B、可被用戶訪問的資料C、系統是否遭受入侵D、可給予哪些主體訪問4、關于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發生的時間信息5、在形成信息安全管理體系審核發現時，應（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性6、關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是A、指關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B、指所有信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用C、指涉密信息系統建設時須保證安全技術措施同步規劃、同步建設、同步使用D、指網信辦指定信息系統建設時須保證安全技術措施同步規劃、同步建設,同步使用7、風險處置計劃，應（）A、獲得風險責任人的批準，同時獲得對殘余風險的批準B、獲得最高管理者的批準，同時獲得對殘余風險的批準C、獲得風險部門負責人的批準，同時獲得對殘余風險的批準D、獲得管理者代表的批準，同時獲得對殘余風險的批準8、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數字D、自己做服務器9、組織應在相關（）上建立信息安全目標A、組織環境和相關方要求B、戰略和意思C、戰略和方針D、職能和層次10、以下不屬于信息安全事態或事件的是：A、服務、設備或設施的丟失B、系統故障或超負載C、物理安全要求的違規D、安全策略變更的臨時通知11、根據GB/T22080-2016中控制措施的要求，關于技術脆弱性管理，以下說法正確的是：（）A、技術脆弱性應單獨管理，與事件管理沒有關聯B、了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術脆弱性的補丁安裝應按變更管理進行控制D、及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑12、組織應（）A、定義和使用安全來保護敏感或關鍵信息和信息處理設施的區域B、識別和使用安全來保護敏感或關鍵信息和信息處理設施的區域C、識別和控制安全來保護敏感或關鍵信息和信息處理設施的區域D、定義和控控安全來保護敏感或關鍵信息和信息處理設施的區域13、信息處理設施的變更管理包括:A、信息處理設施用途的變更B、信息處理設施故障部件的更換C、信息處理設施軟件的升級D、其他選項均正確14、《信息安全等級保護管理辦法》規定，（）級保護時，國家信息安全管部門對該級信息安全等級保護工作進行強制監督、檢查。A、3B、2C、5D、415、關于信息安全產品的使用，以下說法正確的是:（）A、對于所有的信息系統，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統，己列入信息安全產品認征目錄的，應取得國家信息安全產品人證機構頒發的認證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統，信息安全聲品研制單位須聲明沒有故意留有或設置漏洞16、安全掃描可以實現（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協議本身而產生的問題C、彌補防火墻對內網安全威脅檢測不足的問題D、掃描檢測所有的數據包攻擊分析所有的數據流17、關于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執行可替代以ISO/IEC27001為依據的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護18、在以下認為的惡意攻擊行為中，屬于主動攻擊的是()A、數據竊聽B、誤操作C、數據流分析D、數據篡改19、下列不屬于公司信息資產的有A、客戶信息B、被放置在IDC機房的服務器C、個人使用的電腦D、審核記錄20、依據《中華人民共和國網絡安全法》，以下正確的是（）。A、檢測記錄網絡運行狀態的相關網絡日志保存不得少于2個月B、檢測記錄網絡運行狀態的相關網絡日志保存不得少于12月C、檢測記錄網絡運行狀態的相關網絡8志保存不得少于6個月D、重要數據備份保存不得少于12個月，網絡日志保存不得少于6個月21、（）是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯的一個先前未知的狀態。A、信息安全事態B、信息安全事件C、信息安全事故D、信息安全故障22、在實施技術符合性評審時，以下說法正確的是（）A、技術符合性評審即滲透測試B、技術符合性評審即漏洞掃描與滲透測試的結合C、滲透測試和漏洞掃描可以替代風險評估D、滲透測試和漏洞掃描不可替代風險評估23、對保密文件復印件張數核對是確保保密文件的（）A、保密性B、完整性C、可用性D、連續性24、《信息安全管理體系認證機構要求》中規定，第二階段審核（）進行A、在客戶組織的場所B、在認證機構以網絡訪向的形式C、以遠程視頻的形式D、以上都対25、不屬于公司信息資產的是（）A、客戶信息B、公司旋轉在IDC機房的服務器C、保潔服務D、以上都不對26、與某個特定配置項相關的項目信息被存儲到配置管理數據庫，這種項目稱為：A、組件B、特色C、屬性D、特性27、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態組成，它們具有損害業務運行和威脅信息安全的極大可能性A、已經發生B、可能發生C、意外D、A+B+C28、gb17859-1999提出將信息系統的安全等級劃分為（）個等級，并提出每個級別的安全功能要求A、2B、3C、5D、729、對于較大范圍的網絡，網絡隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權訪問的風險C、必須物理隔離和必須禁止無線網絡D、以上都對30、Saas是指(）A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務31、關于GB/T28450,以下說法正確的是(）。A、增加了ISMS的審核指導B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901132、組織機構在建立和評審ISMS時，應考慮（）A、風險評估的結果B、管理方案C、法律、法規和其它要求D、A+BE、A+C33、密碼技術不適用于控制下列哪種風險？（）A、數據在傳輸中被竊取的風險B、數據在傳輸中被篡改的風險C、數據在傳輸中被損壞的風險D、數據被非授權訪問的風險34、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉化為輸出的活動C、所有業務活動的集合D、以上都不對35、最高管理層應通過（）活動，證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標，并與組織戰略方向一致B、確保建立信息安全策略和信息安全目標，并與組織戰略方向一致C、領導建立信息安全策略和信息安全目標，并與組織戰略方向一致D、溝通建立信息安全策略和信息安全目標，并與組織戰略方向一致36、風險處置是（）A、識別并執行措施來更改風險的過程B、確定并執行措施來更改風險的過程C、分析并執行措施來更改風險的過程D、選擇并執行措施來更改風險的過程37、確定資產的可用性要求須依據（）。A、授權實體的需求B、信息系統的實際性能水平C、組織可支付的經濟成本D、最高管理者的決定38、()可用來保護信息的真實性、完整性A、數字簽名B、惡意代碼C、風險評估D、容災和數據備份39、物理安全周邊的安全設置應考慮：（）A、區域內信息和資產的敏感性分類B、重點考慮計算機機房，而不是辦公區或其他功能區C、入侵探測和報警機制D、A+C40、ISO/IEC20000-1:2018標準是依據管理體系高層結構，即()對標準的結構進行調整的A、ISO/IEC導則的一部分綜合ISO補充附錄B、ISO/IEC導則的一部分綜合ISO補充結構層C、ISO/IEC導則的一部分綜合ISO補充體質D、ISO/IEC導則的一部分綜合ISO補充模型二、多項選擇題41、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息？（)A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標42、對于涉密信息系統，以下說法正確的是（）A、使用的信息安全保密產品原則上應選擇國產產品B、使用的信息安全保密產品應當通過國家保密局授權的檢測機構檢測C、使用的信息安全保密產品應當通過國家保密局審核發布的目錄中選取D、總體保密水平不低于國家信息安全等級保護第四級水平43、按覆蓋的地理范圍進行分類，計算機網絡可以分為（）A、局域網B、城域網C、廣域網D、區域網44、風險評估過程中威脅的分類一般應包括（）A、軟硬件故障、物理環境影響B、無作為或操作失誤、管理不到位、越權或濫用C、網絡攻擊、物理攻擊D、泄密、篡改、抵賴45、某組織在酒店組織召開內容敏感的會議，根據GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）A、會議開始前及持續期間開啟干擾機，這符合A11,2的要求B、進入會議室人員被要求手機不得帶入，這符合A11,1的要求C、對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A11,1的要求D、要求參會人員在散會時將紙質會議資料留下由服務生統一回收，這符合A8,3的要求46、以下屬于“關鍵信息基礎設施”的是（）。A、輸配電骨干網監控系統B、計算機制造企業IDC供電系統C、髙等院校網絡接入設施D、高鐵信號控制系統47、以下做法正確的是（）A、使用生產系統數據測試時，應先將數據進行脫敏處理B、為強化新員工培訓效果，應盡可能使用真實業務案例和數據C、員工調換項目組時，其原使用計算機中的項目數據經妥善刪除后可帶入新項目組使用D、信息系統管理域內所有的終端啟動屏幕保護時間應一致48、公司M將信息系統運維外包給公司N,以下符合GB/T22080-2016標準要求的做法是（）A、與N簽署協議規定服務級別及安全要求B、在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C、將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D、對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內49、在IT服務管理中，"部署"活動包括：（）A、實施變更B、對變更的影響進行評估C、將服務組件遷移到生產環境D、將經測試的軟件包轉移到生產環境50、在信息安全事件管理中，（）是員工應該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進行修補C、發現并報告安全事件D、發現立即處理安全事件51、依據IS020000-6:2017以下可構成減少ITSMS初審人日的因素包括（)A、已獲得的認證在最近12個月內對其至少實施了一次審核B、擬認證的范圍已獲得ISO/IEC27001證書C、已獲得其他認證的范圍大于擬認證的范圍D、擬認證的范圍與獲得ISMS證書范圍等同52、組織建立的信息安全目標，應（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新53、防范端口掃描、漏洞掃描和網絡監聽的措施為(）A、安裝防火墻B、定期更新系統或打補丁C、對網絡上傳輸的信息進行加密D、關閉一些不常用的端口54、下列有關涉密信息系統說法正確的是（）A、涉密信息系統經單位保密工作機構測試后即可投入使用B、涉密信息系統投入運行前應當經過國家保密行政管理部門審批C、涉密計算機重裝操作系統后可降為非涉密計算機使用D、未經單位信息管理部門批準不得自行重裝操作系統55、根據《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀,遵循統一領導，(）依法管理、保障安全的原則。A、創新發展B、分級應用C、服務大局D、分級負責三、判斷題56、糾正是指為消除已發現的不符合或其他不的原因所采取的措施。（）正確錯誤57、某組織定期請第三方對其IT系統進行漏洞掃描，因此不再進行其他形式的信息安全風險評估，這在認證審核時是可接受的（）正確錯誤58、在來自可信站點電子郵件中輸入個人或財務信息是安全的。（）正確錯誤59、GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準（）正確錯誤60、拒絕服務器攻擊包括消耗目標服務器的可用資源或消耗網絡的有效帶寬正確錯誤61、信息安全風險準則包括風險接受準則和風險評價準則。（）正確錯誤62、最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾正確錯誤63、客戶所有場所業務的范圍相同，且在同一ISMS下運行，并接受統一的管理、內部審核和管理評審時，認證機構可以考慮使用基于抽樣的認證審核（)正確錯誤64、實習審核員可以獨立完成審核任務。（）正確錯誤65、糾正是指為消除己發現的不符合或其他不期望情況的原因所采取的措施。（）正確