2022年12月國(guó)家注冊(cè)ISMS審核員復(fù)習(xí)題—信息安全管理體系一、單項(xiàng)選擇題1、下列()不是創(chuàng)建和維護(hù)測(cè)量要執(zhí)行的活動(dòng)。A、開(kāi)展測(cè)量活動(dòng)B、識(shí)別當(dāng)前支持信息需求的安全實(shí)踐C、開(kāi)發(fā)和更新測(cè)量D、建立測(cè)量文檔并確定實(shí)施優(yōu)先級(jí)2、考慮不同時(shí)段的工作負(fù)數(shù)的差異收費(fèi)用于(）。A、故障樹(shù)分析(FTA）B、可用性計(jì)劃C、服務(wù)級(jí)別管理D、風(fēng)險(xiǎn)分析和管理法3、依據(jù)GB/T22080/IS0/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略，以下正確的是（）A、沒(méi)有陳述為禁止訪問(wèn)的網(wǎng)絡(luò)服務(wù)，視為允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)B、對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過(guò)無(wú)線、VPN等多種手段鏈接C、對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對(duì)4、風(fēng)險(xiǎn)識(shí)別過(guò)程中需要識(shí)別的方面包括：資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、（）。A、識(shí)別可能性和影響B(tài)、識(shí)別脆弱性和識(shí)別后果C、識(shí)別脆弱性和可能性D、識(shí)別脆弱性和影響5、關(guān)于信息安全管理中的“脆弱性”，以下正確的是：（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚(yú)”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部6、保密協(xié)議或不泄露協(xié)議至少應(yīng)包括：（）A、組織和員工雙方的信息安全職責(zé)和責(zé)任B、員工的信息安全職責(zé)和責(zé)任C、組織的信息安全職責(zé)和責(zé)任D、紀(jì)律處罰規(guī)定7、GB/T22080-2016中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部8、認(rèn)證機(jī)構(gòu)應(yīng)確定，ITSMS是否能在缺少()的情況下得到充分審核并予以記錄,同時(shí)還應(yīng)詳細(xì)說(shuō)明理由。A、保密性信息B、遠(yuǎn)程支持C、方案策劃D、服務(wù)目錄9、《信息安全管理體系審核指南》中規(guī)定,ISMS的規(guī)模不包括（)A、體系覆蓋的人數(shù)B、使用的信息系統(tǒng)的數(shù)量C、用戶的數(shù)量D、其他選項(xiàng)都正確10、在現(xiàn)場(chǎng)審核時(shí)，審核組有權(quán)自行決定變更的事項(xiàng)是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整11、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定12、末次會(huì)議包括（）A、請(qǐng)受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見(jiàn)進(jìn)行討論D、以上都不準(zhǔn)確13、下列哪個(gè)措施不是用來(lái)防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問(wèn)的？（）A、物理入口控制B、開(kāi)發(fā)、測(cè)試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作14、在訪問(wèn)因特網(wǎng)時(shí)，為了防止Web網(wǎng)頁(yè)中惡意代碼對(duì)自己計(jì)算機(jī)的損害，可以采取的防范措施是(）A、利用SSL訪問(wèn)Web站點(diǎn)B、將要訪問(wèn)的Web站點(diǎn)按其可信度分配到瀏覽器的不同安全區(qū)域C、在瀏覽器中安裝數(shù)字證書(shū)D、利用IP安全協(xié)議訪問(wèn)Web站點(diǎn)15、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期16、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202117、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部18、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)19、ISO/IEC20000-1適用于通過(guò)ITSMS的()服務(wù)規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)。A、有效策劃與保持持續(xù)改進(jìn)B、有效實(shí)施與運(yùn)行持續(xù)改進(jìn)C、有效實(shí)施與保持持續(xù)改進(jìn)D、有效策劃與運(yùn)行持續(xù)改進(jìn)20、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動(dòng)的類(lèi)型B、過(guò)程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C21、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員22、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器23、容量管理的對(duì)象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部24、設(shè)備維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷(xiāo)毀而不予送修D(zhuǎn)、以上全部25、依據(jù)GB/T29246,控制目標(biāo)指描述控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的（）。A、說(shuō)明B、聲明C、想法D、描述26、不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤(pán)B、及時(shí)、可靠升級(jí)反病毒產(chǎn)品C、新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)D、整理磁盤(pán)27、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程記錄C、管理評(píng)審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南28、下列哪個(gè)文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險(xiǎn)評(píng)估過(guò)程記錄D、溝通記錄29、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部30、涉及運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過(guò)程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過(guò)程的連續(xù)C、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過(guò)程的中斷D、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過(guò)程的連續(xù)31、關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑32、跨國(guó)公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專(zhuān)用網(wǎng)(VPN.,virtualpriavtenetwork)升級(jí)，采用通道技術(shù)使其支持語(yǔ)音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗(yàn)證方式C、語(yǔ)音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?3、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任34、關(guān)于信息安全策略，下列說(shuō)法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審35、關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時(shí)，使用密碼技術(shù)、生物識(shí)等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動(dòng)式管理確保用戶使用優(yōu)質(zhì)口令36、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)37、關(guān)于系統(tǒng)運(yùn)行日志，以下說(shuō)法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對(duì)日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計(jì)日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動(dòng)是否有記入曰志38、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍39、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》應(yīng)予以重點(diǎn)保護(hù)的信息基礎(chǔ)設(shè)施，指的是()A、一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施B、一旦遭到破壞、數(shù)據(jù)泄雷，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生的信息基礎(chǔ)設(shè)施C、一旦遭到破壞、數(shù)據(jù)泄露，可能危害國(guó)家安全、國(guó)計(jì)民生的信息基礎(chǔ)設(shè)施D、—旦遭到破壞、數(shù)據(jù)泄露，可能危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)系統(tǒng)40、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識(shí)產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個(gè)人隱私的保護(hù)D、以上都對(duì)二、多項(xiàng)選擇題41、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問(wèn),使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為42、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問(wèn)，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理43、以下說(shuō)法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問(wèn)卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測(cè)評(píng)只能通過(guò)第三方機(jī)構(gòu)來(lái)實(shí)施D、顧客不投訴并不意味著顧客滿意了44、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測(cè)試時(shí),應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果,盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其愿使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致45、移動(dòng)設(shè)備策略宜考慮（)A、移動(dòng)設(shè)備注冊(cè)B、惡意軟件防范C、訪問(wèn)控制D、物理保護(hù)要求46、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)（）類(lèi)的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門(mén)審核制度A、新聞、出版B、醫(yī)療、保健C、知識(shí)類(lèi)D、教育類(lèi)47、對(duì)風(fēng)險(xiǎn)安全等級(jí)三級(jí)及以上系統(tǒng)，以下說(shuō)法正確的是（）。A、采用雙重身份鑒別機(jī)制B、對(duì)用戶和數(shù)據(jù)采用安全標(biāo)記C、系統(tǒng)管理員可任意訪問(wèn)日志記錄D、三年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作48、關(guān)于審核委托方，以下說(shuō)法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核49、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類(lèi)標(biāo)準(zhǔn)？()A、要求類(lèi)B、應(yīng)用類(lèi)C、指南類(lèi)D、術(shù)語(yǔ)類(lèi)50、對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施，以下說(shuō)法正確的是（）A、將所有風(fēng)險(xiǎn)都必須被降低至可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)51、網(wǎng)絡(luò)常見(jiàn)的拓?fù)湫问接校?A、星型B、環(huán)型C、總線型D、樹(shù)型52、某金融服務(wù)公司為其個(gè)人注冊(cè)會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請(qǐng)借貸的會(huì)員背景姿料、借貸額度等進(jìn)行討論評(píng)審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會(huì)討論的信息53、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問(wèn)控制D、密碼系統(tǒng)54、風(fēng)險(xiǎn)評(píng)估過(guò)程中威脅的分類(lèi)一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無(wú)作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴(lài)55、關(guān)于個(gè)人信息安全的基本原則，以下正確的是（）A、目的明確原則B、最少夠用原則C、同意和選擇原則D、公開(kāi)透明原則三、判斷題56、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。正確錯(cuò)誤57、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類(lèi)型的網(wǎng)絡(luò)所有者和管理者。（）正確錯(cuò)誤58、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類(lèi)型的網(wǎng)絡(luò)所有者和管理者。（）正確錯(cuò)誤59、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）正確錯(cuò)誤60、流量監(jiān)控能夠有效實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的過(guò)濾（)正確錯(cuò)誤61、J020相關(guān)方可以是組織內(nèi)部也可以是組織外部的。(）正確錯(cuò)誤62、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）正確錯(cuò)誤63、通過(guò)修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，可以稱(chēng)這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)計(jì)算機(jī)病毒的變形。正確錯(cuò)誤64、中華人民共和國(guó)境內(nèi)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),適用本條例。未聯(lián)網(wǎng)的微型計(jì)算機(jī)的安全保護(hù)辦法,另行制定。正確錯(cuò)誤65、J031組織對(duì)內(nèi)部供應(yīng)商應(yīng)按服務(wù)級(jí)別管理過(guò)程進(jìn)行管理。（）正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、D2、B3、C4、B解析:27005信息安全風(fēng)險(xiǎn)管理8,2,,1風(fēng)險(xiǎn)識(shí)別，包括資產(chǎn)識(shí)別，威脅識(shí)別，現(xiàn)有控制措施識(shí)別，脆弱性識(shí)別，后果識(shí)別。故選B5、C6、A7、B8、A9、D10、D11、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A12、C13、B14、B15、B16、D17、D18、D19、B20、D21、C22、D23、D24、D25、B解析:參考27000，控制目標(biāo)指，描述實(shí)施控制的實(shí)施結(jié)果所要達(dá)到的目標(biāo)的聲明。故選B26、D27、D28、D29、B30、A31、C32、A33、A解析:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第36