2025年05月ISMS信息安全管理體系審核員考試試題（網(wǎng)友回憶版）[單選題]1.根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》標準，以下說法錯誤的是()。A.信道是系統(tǒng)內(nèi)的信息傳輸路徑B.訪（江南博哥）問監(jiān)控器是監(jiān)控器主體和客體之間授權(quán)訪問關(guān)系的部件C.敏感標記表示主體安全級別并描述主體數(shù)據(jù)敏感性的一組信息D.安全策略是有關(guān)管理、保護、發(fā)布敏感信息的法律、規(guī)定和實施細則正確答案：C參考解析：敏感標記是表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，而不是主體，C選項說法錯誤。答案：C[單選題]2.用戶訪問某Web網(wǎng)站，用戶直接采取的安全措施是()。A.服務(wù)器數(shù)據(jù)備份B.防火墻過濾數(shù)據(jù)包C.用戶輸入登錄口令D.核心交換機的熱備正確答案：C參考解析：題目問用戶直接采取的安全措施，A服務(wù)器數(shù)據(jù)備份、B防火墻過濾數(shù)據(jù)包、D核心交換機熱備都是網(wǎng)站運營方等采取的措施，只有C用戶輸入登錄口令是用戶自己能直接做的安全措施。答案：C[單選題]3.在物聯(lián)網(wǎng)中，M2M通常由三部分組成，下列哪項不是其組成部分()A.終端部分B.主機部分C.網(wǎng)絡(luò)部分D.應(yīng)用部分正確答案：B參考解析：M2M通常包含機器、網(wǎng)絡(luò)、應(yīng)用三大部分，對應(yīng)終端部分、網(wǎng)絡(luò)部分、應(yīng)用部分，主機部分不屬于M2M常規(guī)組成部分。答案：B[單選題]4.下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDMP)可用于備份()A.需要使用網(wǎng)絡(luò)附加存儲設(shè)備(NAS)時B.不能使用TCP/IP的環(huán)境中C.需要備份舊的備份系統(tǒng)不能處理的文件許可時D.要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時正確答案：A參考解析：NDMP主要用于網(wǎng)絡(luò)附加存儲（NAS）環(huán)境的備份操作。答案：A[單選題]5.根據(jù)GB/T22080-2016標準中控制措施的要求，控制措施:設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所，是()的要求。A.A.11.2.1B.A.9.4.1C.A.11.2.7D.A.11.2.5正確答案：D[單選題]6.計算機信息系統(tǒng)安全專用產(chǎn)品是指()。A.用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B.按安全加固要求設(shè)計的專用計算機C.安裝了專用安全協(xié)議的專用計算機D.特定用途(如高保密)專用的計算機軟件和硬件產(chǎn)品正確答案：A參考解析：計算機信息系統(tǒng)安全專用產(chǎn)品重點在于“安全專用”且是“產(chǎn)品”，是為保護計算機信息系統(tǒng)安全的，包括硬件和軟件產(chǎn)品。答案：A[單選題]7.根據(jù)GB/T28450標準，ISMS文件評審不包括()。A.信息安全管理手冊的充分性B.風(fēng)險評估報告的合理性C.適用性聲明的完備性和合理性D.風(fēng)險處置計劃的完備性正確答案：A[單選題]8.某信用卡制造工廠，對生產(chǎn)線上產(chǎn)生的不合格品卡，進行逐一登記、密封、送粉碎室拆封、再登記后予以粉碎處理。這符合GB/T22080-2016標準要求的()條款。A.A.8.3.2和A.8.3.3B.A.8.1.1和A.8.2.1C.A.11.2.5和A.11.2.7D.10.1和10.2正確答案：A參考解析：對不合格品卡進行登記、密封、再處理等一系列操作，主要涉及對資產(chǎn)處置過程中的保密性和對介質(zhì)處置的要求。A.8.3.2是關(guān)于介質(zhì)處置，要求組織應(yīng)確保在處置或再利用之前，刪除或安全地覆蓋存儲在介質(zhì)中的敏感信息；A.8.3.3是關(guān)于保密性，要求保護資產(chǎn)免受未經(jīng)授權(quán)的訪問、披露、修改、銷毀或損壞，對不合格品卡的一系列操作符合這兩個條款要求。答案：A[單選題]9.根據(jù)GB17859標準，在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標記來確信信息在傳送中未受損，上述要求適用于以下信息系統(tǒng)的正確選項為()。A.第三、四、五級B.第二、三、四級C.第一、二、三級D.第三級正確答案：A參考解析：GB17859將信息系統(tǒng)安全分為五個等級，對數(shù)據(jù)完整性有使用完整性敏感標記要求的確信信息在傳送中未受損這一要求的是第三、四、五級。答案：A。[單選題]10.某公司員工故意繞過安全限制，訪問了其不應(yīng)訪問的數(shù)據(jù)。根據(jù)GB/T20986-2023標準，該事件屬于哪一類網(wǎng)絡(luò)安全事件()A.違規(guī)操作事件B.數(shù)據(jù)安全事件C.惡意程序事件D.網(wǎng)絡(luò)攻擊事件正確答案：A[單選題]11.根據(jù)GB/T22080-2016標準，最高管理層應(yīng)確保ISMS所需()。A.預(yù)期結(jié)果B.資源可用C.資源充分D.信息安全方針正確答案：B參考解析：GB/T22080-2016標準中，最高管理層重要職責(zé)之一是保障ISMS（信息安全管理體系）所需資源可用，資源可用涵蓋了資源的獲取和調(diào)配等方面以支持體系運行。答案：B[單選題]12.下列哪個不是RAID三大技術(shù)A.數(shù)據(jù)條帶B.復(fù)制C.鏡像D.數(shù)據(jù)校驗正確答案：B參考解析：RAID三大技術(shù)一般指數(shù)據(jù)條帶、鏡像、數(shù)據(jù)校驗。復(fù)制不屬于RAID三大技術(shù)。答案選B。[單選題]13.密碼技術(shù)不適用于控制下列哪種風(fēng)險()A.數(shù)據(jù)在傳輸中被竊取的風(fēng)險B.數(shù)據(jù)在傳輸中被篡改的風(fēng)險C.數(shù)據(jù)在傳輸中被損壞的風(fēng)險D.數(shù)據(jù)被非授權(quán)訪問的風(fēng)險正確答案：C參考解析：密碼技術(shù)主要通過加密等手段保障數(shù)據(jù)保密性（防止被竊取、非授權(quán)訪問）和完整性（防止被篡改）。而數(shù)據(jù)在傳輸中被損壞，多是由于網(wǎng)絡(luò)故障、硬件問題等物理層面因素，密碼技術(shù)對此無控制作用。答案：C[單選題]14.設(shè)置研發(fā)內(nèi)部獨立內(nèi)網(wǎng)是采取()的控制措施。A.上網(wǎng)流量管控B.行為管理C.敏感系統(tǒng)隔離D.信息交換正確答案：C參考解析：將研發(fā)內(nèi)部網(wǎng)絡(luò)設(shè)置為獨立內(nèi)網(wǎng)，主要目的是把敏感的研發(fā)系統(tǒng)與其他網(wǎng)絡(luò)隔離開，防止信息泄露等風(fēng)險。上網(wǎng)流量管控側(cè)重于對網(wǎng)絡(luò)流量的限制；行為管理針對用戶行為規(guī)范；信息交換強調(diào)信息交互方面，均不如敏感系統(tǒng)隔離貼合。答案：C[單選題]15.形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是()。A.所實施控制措施與適用性聲明的符合性B.適用性聲明的完備性和合理性C.所實施控制措施的時效性D.所實施控制措施的有效性正確答案：C參考解析：形成ISMS審核發(fā)現(xiàn)重點關(guān)注控制措施與聲明的符合、聲明的完備合理以及控制措施的有效等方面。時效性通常不是在形成審核發(fā)現(xiàn)時著重考慮的核心內(nèi)容。答案：C[多選題]1.根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于用戶的秘密鑒別信息管理，正確的是()。A.鑒別信息宜加密保存B.對新創(chuàng)建的用戶，應(yīng)提供臨時鑒別信息，并強制初次使用時需改變鑒別信息C.鑒別信息的保護可作為任用條件或條款的內(nèi)容D.使用QQ傳遞鑒別信息正確答案：ABC參考解析：使用QQ傳遞鑒別信息安全性低，存在信息泄露風(fēng)險，D錯誤；A鑒別信息加密保存、B對新用戶提供臨時鑒別信息并強制初次使用改變、C將鑒別信息保護作為任用條件條款都符合安全管理要求。答案：ABC[多選題]2.根據(jù)GB/T22080-2016標準中控制措施的要求，有關(guān)信息安全管理中“符合性”的敘述，正確的是()。A.組織重要記錄應(yīng)予以保護B.清楚識別所有的法律和合同的要求C.要保護個人信息的數(shù)據(jù)和隱私D.避免非法使用具有知識產(chǎn)權(quán)的專利軟件產(chǎn)品正確答案：ACD[多選題]3.常規(guī)控制圖主要用于區(qū)分()。A.過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B.過程能力的大小C.過程加工的不合格品率D.過程中存在的偶然波動還是異常波動正確答案：ABCD[多選題]4.根據(jù)GB/T22080-2016標準的要求，下列說法正確的是()。A.組織控制下的員工應(yīng)了解信息安全方針B.適用性聲明需要包含必要的控制及其選擇的合理性說明C.殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準D.保留有關(guān)信息安全風(fēng)險處置過程的文件化信息正確答案：ABCD參考解析：GB/T22080-2016即信息安全管理體系要求，A選項組織控制下人員應(yīng)了解信息安全方針表述正確；B選項適用性聲明應(yīng)包含必要控制及其選擇合理性說明正確；C選項殘余風(fēng)險確實需獲風(fēng)險責(zé)任人批準；D選項保留信息安全風(fēng)險處置過程文件化信息也符合標準要求。答案：ABCD[判斷題]1.在一個有多防火墻存在的企業(yè)環(huán)境中，DMZ用于連接兩個防火墻的計算機或網(wǎng)絡(luò)。A.正確B.錯誤正確答案：A[判斷題]2.某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機APP完成對公司客戶的服務(wù)請求處理，無論手機是公司配發(fā)的或員工私有的，均須安裝公司規(guī)定的安裝控制程序。這符合ISO/IEC27001:2013標準A.6.2.1的要求。A.正確B.錯誤正確答案：A參考解析：ISO/IEC27001:2013標準A.6.2.1主要涉及資產(chǎn)管理的職責(zé)，對資產(chǎn)進行識別和分類管理等方面。公司要求無論手機來源，都