本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2017年09月審核知識（改考前）參考答案單選題（共40題，共40分）1.信息安全管理中，變更管理應(yīng)予以控制的風(fēng)險包括（）。A.組織架構(gòu)、業(yè)務(wù)流程變更的風(fēng)險B.信息系統(tǒng)配置、物理位置變更的風(fēng)險C.信息系統(tǒng)新的組件、功能模塊發(fā)布的風(fēng)險D.以上全部答案：D2.關(guān)于防范惡意軟件，以下說法正確的是（）。A.物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B.安裝入侵深測系統(tǒng)即可防范惡意軟件C.建立白名單即可防范惡意軟件D.建立探測、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件答案：D3.以下不屬于可降低信息傳輸中的信息安全風(fēng)險的措施是（）。A.規(guī)定使用通信設(shè)施的限制規(guī)定B.使用鎧甲線纜以及數(shù)據(jù)加密C.雙路供電以及定期測試備份電機(jī)D.記錄物理介質(zhì)運(yùn)輸全程的交接信息答案：C4.依據(jù)GB/T2208/ISO/IC27001，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A.監(jiān)視和評審服務(wù)級別協(xié)議的符合性B.監(jiān)視和評審服務(wù)方人員聘用和考核的流程C.監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D.監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力答案：B5.在進(jìn)行技術(shù)符合性評審時，以下說法正確的是（）。A.技術(shù)符合性評審即滲透測試B.技術(shù)符合性評審即漏洞掃描和滲透測試的結(jié)合C.滲透測試和漏洞掃描可以替代風(fēng)險評估D.滲透測試和漏洞掃描不可替代風(fēng)險評估答案：D6.信息系統(tǒng)安全等級分為五級，以下說法正確的是（）。A.二級系統(tǒng)每年進(jìn)行一次測評，三級系統(tǒng)每年進(jìn)行二次測評B.四級系統(tǒng)每年進(jìn)行二次測評，五級系統(tǒng)每年進(jìn)行一次測評C.三級系統(tǒng)每年進(jìn)行一次測評，四級系統(tǒng)每年進(jìn)行二次測評D.二級系統(tǒng)和五級系統(tǒng)不進(jìn)行測評答案：C7.關(guān)于涉密信息系統(tǒng)的管理，以下說法不正確的是（）。A.涉密計(jì)算機(jī)、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B.涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C.涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸裁D.涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途答案：B8.殘余風(fēng)險是指（）。A.風(fēng)險評估前，以往活動遺留的風(fēng)險B.風(fēng)險評估后，對以往活動遺留的風(fēng)險的估值C.風(fēng)險處置后剩余的風(fēng)險，比可接受風(fēng)險低D.風(fēng)險處置后剩余的風(fēng)險，不一定比可接受風(fēng)險低答案：D9.信息安全風(fēng)險（R）計(jì)算中涉及脆弱性（V），以下說法正確的是（）。A.脆弱性是資產(chǎn)性質(zhì)決定的固有的弱點(diǎn)，其賦值不變B.如果當(dāng)前控制措施有效，資產(chǎn)脆弱性賦值可以降低C.控制措施是管理范疇的概念，脆弱性是技術(shù)范疇的概念，二者沒有關(guān)系D.只要威脅存在，脆弱性就存在，二者的賦值同向增減答案：B10.如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，則應(yīng)具備的保護(hù)水平為（）。A.三級B.二級C.四級D.五級答案：A11.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B.負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長C.負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D.負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員答案：C12.關(guān)于散布圖，以下說法正確的是（）。A.是描述特性值分布區(qū)間的網(wǎng)——趨勢圖B.是描述一對變量關(guān)系的圖——散布圖C.是描述特性隨時間變化趨勢的圖——趨勢圖D.是描述變量類別分布的圖——直方圖答案：B13.設(shè)置研發(fā)內(nèi)部獨(dú)立內(nèi)網(wǎng)是采?。ǎ┑目刂拼胧?。A.上網(wǎng)流量管控B.行為管理C.敏感系統(tǒng)隔離D.信息交換答案：C14.以下說法不正確的是（）。A.應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化險評估結(jié)果進(jìn)行再評審B.應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進(jìn)行再評估C.制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響D.安全計(jì)劃應(yīng)適時更新答案：C15.A公司的機(jī)房有一扇臨街的窗戶，下列風(fēng)險描述中哪個風(fēng)險與該種情況無關(guān)（）。A.機(jī)房設(shè)備面臨被盜的風(fēng)險B.機(jī)房設(shè)備面臨受破壞的風(fēng)險C.機(jī)房設(shè)備面臨灰塵的風(fēng)險D.機(jī)房設(shè)備面臨人員誤入的風(fēng)險答案：D16.不屬于計(jì)算機(jī)病毒防治的策略是（）。A.確認(rèn)您手頭常備一張真正“干凈的引導(dǎo)盤”B.及時、可靠升級反病毒產(chǎn)品C.新購置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測D.整理磁盤答案：D17.不屬于WEB服務(wù)器的安全措施的是（）。A.保證注冊帳戶的時效性B.刪除死帳戶C.強(qiáng)制用戶使用不易被破解的密碼D.所有用戶使用一次性密碼答案：D18.定期備份和測試信息是指（）。A.每次備份完成時對備份結(jié)果進(jìn)行檢查，以確保備份效果B.對系統(tǒng)測試記錄進(jìn)行定期備份C.定期備份，定期對備份數(shù)據(jù)的完整性和可用性進(jìn)行測試D.定期檢查備份存儲介質(zhì)的容量答案：C19.一個組織或安全域內(nèi)所有信息處理設(shè)施與已設(shè)精確時鐘源同步是為了（）。A.便于針對使用信息處理設(shè)施的人員計(jì)算工時B.便于探測未經(jīng)授權(quán)的信息處理活動的發(fā)生C.確保信息處理的及時性得到控制D.人員異地工作時統(tǒng)一作息時間答案：B20.在策略生命周期中，以下哪個是正確的（）。A.需求分析、制定、發(fā)布、推行、審核、廢除B.制定、發(fā)布、推行、審核、修訂、廢除C.需求分析、制定、發(fā)布、推行、審核、修訂D.需求分析、制定、發(fā)布、推行、審核、修訂、廢除答案：D21.以下強(qiáng)健口令的是（）。A.a8mom9y5fub33B.1234C.CnasD.Password答案：A22.（）屬于系統(tǒng)威脅。A.不穩(wěn)定的電力供應(yīng)B.硬件維護(hù)失誤C.軟件缺乏審計(jì)記錄D.口令管理機(jī)制薄弱答案：A23.防止靜態(tài)信息被非授權(quán)訪問和防止動態(tài)信息被截取解密是（）。A.數(shù)據(jù)完整性B.數(shù)據(jù)可用性C.數(shù)據(jù)可靠性D.數(shù)據(jù)保密性答案：D24.下列關(guān)于“風(fēng)險評價準(zhǔn)則描述不正確的是（）。A.風(fēng)險評價準(zhǔn)則是評價風(fēng)險重要程度的依據(jù)，不能被改變B.風(fēng)險評估準(zhǔn)則應(yīng)盡可能在風(fēng)險管理過程開始制定C.風(fēng)險評估準(zhǔn)則應(yīng)當(dāng)與組織的風(fēng)險管理方針一致D.風(fēng)險評價準(zhǔn)則需體現(xiàn)組織的風(fēng)險承受度，應(yīng)反映組織的價值觀、目標(biāo)和資源答案：A25.對于風(fēng)險管理與組織其他活動的關(guān)系，以下陳述正確的是（）。A.風(fēng)險管理與組織的其他活動可以分離B.風(fēng)險管理構(gòu)成組織所有過程整體所必須的一部分C.風(fēng)險管理可以獨(dú)立于組織的其他活動D.相對于組織的其他活動，風(fēng)險管理是附加的一項(xiàng)活動答案：B26.關(guān)于文件管理下列說法錯誤的是（）。A.文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B.必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)C.應(yīng)確保文件保持清晰，易于識別D.作廢文件應(yīng)及時銷毀，防止錯誤使用答案：D27.以下哪一項(xiàng)有助于檢測入侵者對服務(wù)器系統(tǒng)日志的改動（）？A.在另一臺服務(wù)器鏡像該系統(tǒng)日志B.在一塊一次寫磁盤上同時復(fù)制該系統(tǒng)日志C.將保存系統(tǒng)日志的目錄設(shè)為寫保護(hù)D.異地保存該系統(tǒng)日志的備份答案：B28.安全管理中經(jīng)常會采用權(quán)限分離的辦法防止單個人員權(quán)限過高，出現(xiàn)內(nèi)部人員的違法犯罪行為，“權(quán)限分離”屬于（）控制措施。A.管理B.檢測C.響應(yīng)D.運(yùn)行答案：A29.（）不屬于必需的災(zāi)前預(yù)防性措施。A.防火設(shè)施B.數(shù)據(jù)備份C.配置冗余設(shè)備D.不間斷電源，至少應(yīng)給服務(wù)器等關(guān)鍵設(shè)備配備答案：D30.（）最好地描述了數(shù)字證書。A.等同于在網(wǎng)絡(luò)上證明個人和公司身份的身份證B.瀏覽器的一標(biāo)準(zhǔn)特性，它使得黑客不能得知用戶的身份C.網(wǎng)站要求用戶使用用戶名和密碼登陸的安全機(jī)制D.伴隨在線交易證明購買的收據(jù)答案：A31.關(guān)于中國認(rèn)證認(rèn)可相關(guān)活動的監(jiān)督管理機(jī)制，以下說法正確的是（）。A.CNCA對CNAS、CCAA、認(rèn)證機(jī)構(gòu)依法實(shí)施監(jiān)督管理B.CNCA依法監(jiān)管CNAS，CNAS依法監(jiān)管認(rèn)證機(jī)構(gòu)C.CCAA依法監(jiān)管認(rèn)證機(jī)構(gòu)，CNCA依法監(jiān)管CNASD.CCAA依法監(jiān)管認(rèn)證人員，CNAS依法監(jiān)管認(rèn)證機(jī)構(gòu)，CNCA依法監(jiān)管CNAS答案：A32.下述關(guān)于安全掃描和安全掃描系統(tǒng)的描述錯誤的是（）。A.安全掃描在企業(yè)部署安全策略中處于非常重要的地位B.安全掃描系統(tǒng)可用于管理和維護(hù)信息安全設(shè)備的安全C.安全掃描系統(tǒng)對防火墻在某些安全功能上的不足不具有彌補(bǔ)性D.安全掃描系統(tǒng)是把雙刃劍答案：C33.下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）可用于備份（）？A.需要使用網(wǎng)絡(luò)附加存儲設(shè)備（NAS）時B.不能使用TCP/IP的環(huán)境中C.需要備份舊的備份系統(tǒng)不能處理的文件許可時D.要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時答案：A34.關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是（）。A.必要時，使用密碼技術(shù)、生物識別等替代口令B.用提示信息告知用戶輸入的口令是否正確C.確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D.適用互動式管理確保用戶使用優(yōu)質(zhì)口令答案：B35.跨國公司的I$經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)（VPN）升級，采用通道技術(shù)使用其支持語音IP電話，（VOIP）服務(wù)，那么，需要首要關(guān)注的是（）。A.服務(wù)的可靠性和質(zhì)量（Qos，qualityofservice）B.身份的驗(yàn)證方式C.語音傳輸?shù)谋Ｃ蹹.數(shù)據(jù)傳輸?shù)谋Ｃ艽鸢福篈36.A公司計(jì)劃升級現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實(shí)施時需要（）。A.所有受信的PC機(jī)用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B.完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）C.指紋識別的基礎(chǔ)上增加口令保護(hù)D.保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)答案：A37.下列哪個選項(xiàng)不屬于審核組長的職責(zé)（）？A.確定審核的需要和目的B.組織編制現(xiàn)場審核有關(guān)的工作文件C.主持首末次會議和審核組會議D.代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通答案：A38.關(guān)于商用密碼技術(shù)和產(chǎn)品，以下說法不正確的是（）。A.任何組織不得隨意進(jìn)口密碼產(chǎn)品，但可以出口商用密碼產(chǎn)品B.商用密碼技術(shù)屬于國家秘密C.商用密碼是對不涉及國家秘密的內(nèi)容進(jìn)行加密保護(hù)的產(chǎn)品D.商用密碼產(chǎn)品的用戶不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品答案：A39.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.認(rèn)證決定人員不宜推翻審核組的正面建議B.認(rèn)證決定人員不宜推翻審核組的負(fù)面建議C.認(rèn)證決定人員宜與審核組長協(xié)商做出認(rèn)證決定D.認(rèn)證決定人員宜與受審核方協(xié)商做出認(rèn)證決定答案：B40.表示客體安全級別并描述客體敏感性的一組信息，是（）。A.敏感性標(biāo)記，是可信計(jì)算機(jī)基中強(qiáng)制訪問控制決策的依據(jù)B.關(guān)鍵性標(biāo)記，是可信目計(jì)算機(jī)基中強(qiáng)制訪問控制決策的依據(jù)C.關(guān)鍵性等級標(biāo)記，是信息資產(chǎn)分類分級的依據(jù)D.敏感性標(biāo)記，是表明訪問者安全權(quán)限級別答案：A多選題（共5題，共5分）41.審核計(jì)劃中應(yīng)涵蓋（）。A.本次及其后續(xù)審核的時間安排B.審核準(zhǔn)則C.審核組成員及分工D.審核的日程安排答案：BCD42.（）是ISMS關(guān)鍵成功因素。A.用于評價信息安全管理執(zhí)行情況和改進(jìn)反饋建議的測量系統(tǒng)B.信息安全方針。目標(biāo)和與目標(biāo)保持一致的活動C.有效的業(yè)務(wù)連續(xù)性管理方法D.有效的信息安全事件管理過程答案：ABCD43.以下做法正確的是（）A.使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B.為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C.員工調(diào)換項(xiàng)目組時，其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D.信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致答案：AD44.某游戲開發(fā)公司按客戶的設(shè)計(jì)資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項(xiàng)目組討論，公司創(chuàng)建了一個sharefolder，在此文件夾中又為對應(yīng)不同客戶的項(xiàng)目組創(chuàng)建了項(xiàng)目數(shù)據(jù)子文件夾以下做法正確的是（）。A.各項(xiàng)目人員訪問該sharefolder需要得到授權(quán)B.獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C.IT人員與各項(xiàng)目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D.IT人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與答案：AC45.一個安全的網(wǎng)絡(luò)系統(tǒng)具有的特點(diǎn)是（）。A.保持各種數(shù)據(jù)的機(jī)密B.保持所有信息、數(shù)據(jù)及系統(tǒng)中各種程序的完整性和準(zhǔn)確性C.保證合法訪問者的訪問和接受正常的服務(wù)D.保證網(wǎng)絡(luò)在任何時刻都有很高的傳輸速度答案：ABC主觀題（共3題，共3分）46.列舉密碼系統(tǒng)必須具備的三個安全規(guī)則。參考答案1.機(jī)密性：加密系統(tǒng)在信息的傳送中提供一個或一系列密鑰來把信息通球密碼運(yùn)算譯成密文，使信息不會被非預(yù)期的人員所讀取，只有發(fā)送者和接收者應(yīng)該知曉此信息的內(nèi)容。完整性：數(shù)據(jù)在傳送過程中不應(yīng)被破壞，收到的信宿數(shù)據(jù)與信源數(shù)據(jù)是一致的。認(rèn)證性：加密系統(tǒng)應(yīng)該提供數(shù)字簽名技術(shù)來使接收信息用戶驗(yàn)證是誰發(fā)送的信息，確定信息是否被第三者篡改。只要密鑰還未泄露或與別人共享，發(fā)送者就不能否認(rèn)他發(fā)送的數(shù)據(jù)。47.簡述安全策略體系所包含的內(nèi)容。參考答案一個合理的信息安全策略體系可以包括三個不同層次的策略文檔：1、總體安全策略闡述了指導(dǎo)性的戰(zhàn)略綱領(lǐng)性文件，闡明了企業(yè)對于信息安全的看法和立場、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定以及對于信息資產(chǎn)的管理辦法等內(nèi)容。2、針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、使用辦法、強(qiáng)制要求、角色、責(zé)任認(rèn)定等內(nèi)容。例如針對Internet訪問操作、計(jì)算機(jī)和網(wǎng)絡(luò)病毒放置、口令的使用和管理等特定問題，制定有針對性的安全策略。48.某公司為國家相關(guān)部門指定的敏感票據(jù)印刷企業(yè)。審核員在現(xiàn)場巡查時發(fā)現(xiàn)，公司制版車間的一張辦公桌上散放著工作號為111字9、10、11號的三份《票據(jù)生產(chǎn)通知單》，通知單中分別詳細(xì)列出了三種票據(jù)的制版工藝要求。審核員問道這是誰的辦公桌時，車間主任回答說，這是制版工藝師的辦公桌，他今天請假了，沒來上班。審核員觀察到，制版車間與其他車間共處一個較大的生產(chǎn)廠房內(nèi)，在上班時間各車間是互通的。參考答案不符合GB/T22080-2016中A11.2.9的要求；不符合標(biāo)準(zhǔn)內(nèi)容；應(yīng)針對紙質(zhì)和可移動存儲介質(zhì)，采取清理桌面策略；應(yīng)針對信息處理設(shè)施，采用清理屏幕策略。不符合事實(shí)；無標(biāo)準(zhǔn)答案，詳見考生答題內(nèi)容。49.某財(cái)務(wù)外包公司辦公作業(yè)現(xiàn)場員工正在使用的標(biāo)準(zhǔn)版金蝶財(cái)務(wù)軟件為客戶進(jìn)行記賬服務(wù)，其默認(rèn)帳號是manage，不需要每次進(jìn)系統(tǒng)時重新輸入，業(yè)務(wù)主管解釋說：由于沒有外人，為了工作方便，所以，我們把登錄口令也省掉了，不需要每次進(jìn)系統(tǒng)前輸入口令。參考答案：不符合GB/T22080-2016中A9.4.2條款要求。不符合標(biāo)準(zhǔn)內(nèi)容：當(dāng)訪問控制策略要求時，應(yīng)通過安全登錄規(guī)程控制對系統(tǒng)和應(yīng)用的訪問。不符合事實(shí)：無標(biāo)準(zhǔn)答案，詳見考生答題內(nèi)容。50.審核員在某公司計(jì)算機(jī)房審核時，遇到機(jī)房技術(shù)人員以及管理人員在忙于解決供電線路故障造成的業(yè)務(wù)系統(tǒng)服務(wù)器運(yùn)行中斷的問題，審核員觀察到，當(dāng)技術(shù)人員準(zhǔn)備將供電切換到ups電池組供電時，發(fā)現(xiàn)該電池組不能正常啟動、輸出，而別一組備份電池組也不知道什么時候壞了，于是管理人員決定到鄰近公司與其協(xié)商看能否連接他們的備用電機(jī)，先解決應(yīng)急問題。審核員問到上一次檢查電池組是什么時候，技術(shù)人員回答說，從購買到現(xiàn)在很多年了，從來沒有管過，這些電池組都是從最好的廠家買的