本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2020年11月信息安全管理體系真題試卷單選題（共50題，共50分）1.關(guān)于GB/T22080-2016/ISO/IEC27001:2013標準，下列說法錯誤的是（）。A.標準可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求B.標準中所表述要求的順序反映這些要求要實現(xiàn)的順序C.信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D.信息安全管理體系通過應(yīng)用風(fēng)險管理過程來保持信息的保密性、完整性和可用性答案：B2.（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施。A.補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B.漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C.漏洞掃描、補丁管理系統(tǒng)和防火墻D.網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻答案：D3.ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影晌，但不包括（）。A.業(yè)務(wù)要求變更B.合同義務(wù)變更C.安全要求的變更D.以上都不對答案：D4.組織應(yīng)（）。A.對信息按照法律要求、價值、重要性及其對授權(quán)泄露或修改的敏感性進行分級B.對信息按照制度要求、價值、有效性及其對授權(quán)泄露或修改的敏感性進行分級C.對信息按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級D.對信息按照制度要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級答案：C5.《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A.普密、商密兩個級別B.低級和高級兩個級別C.絕密、機密、秘密三個級別D.一密、二密、三密、四密四個級別答案：C6.創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模ǎ?。A.對適宜性和有效性的評審和批準B.對充分性和有效性的測量和批準C.對適宜性和充分性的測量和批準D.對適宜性和充分性的評審和批準答案：D7.根據(jù)GB/T22080-2016/ISO/1EC27001:2013標準，以下做法不正確的是（）。A.保留含有敏感信息的介質(zhì)的處置記錄B.離職人員自主刪除敏感信息的即可C.必要時采用多路線路供電D.應(yīng)定期檢查機房空調(diào)的有效性答案：B8.下面哪種屬于網(wǎng)絡(luò)上的被動攻擊（）。A.消息篡改B.偽裝C.拒絕服務(wù)D.流量分析答案：D9.當(dāng)操作系統(tǒng)發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行（），以確保對組織的運行和安全沒有負面影晌。A.隔離和遷移B.評審和測試C.評審和隔離D.驗證和確認答案：B10.（）是風(fēng)險管理的重要一環(huán)。A.管理手冊B.適用性聲明C.風(fēng)險處置計劃D.風(fēng)險管理程序答案：C11.風(fēng)險評價是指（）。A.系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B.將估算的風(fēng)險與給定的風(fēng)險準則加以比較以確定風(fēng)險嚴重性的過程C.指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D.以上都對答案：B12.關(guān)于GB/T22081標準，以下說法正確的是（）。A.提供了選擇控制措施的指南，可用作信息安全管理體系認證的依據(jù)B.提供了選擇控制措施的指南，不可用作信息安全管理體系認證的依據(jù)C.提供了信息安全風(fēng)險評估的指南，是ISO/IEC27001的構(gòu)成部分D.提供了信息安全風(fēng)險評估的依據(jù)，是實施ISO/IEC27000的支持性標準答案：B13.TCP/IP協(xié)議層次結(jié)構(gòu)由（）。A.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D.其他選項均不正確答案：C14.（）屬于管理脆弱性的識別對象。A.物理環(huán)境B.網(wǎng)絡(luò)結(jié)構(gòu)C.應(yīng)用系統(tǒng)D.技術(shù)管理答案：D15.漏洞檢測的方法分為（）。A.靜態(tài)檢測B.動態(tài)測試C.混合檢測D.以上都是答案：D16.GB17859-1999提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求。A.2B.3C.5D.7答案：C17.風(fēng)險識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）。A.識別可能性和影晌B.識別脆弱性和識別后果C.識別脆弱性和可能性D.識別脆弱性和影晌答案：B18.關(guān)于容量管理，以下說法不正確的是（）。A.根據(jù)業(yè)務(wù)對系統(tǒng)性能的要求，設(shè)置闊值和監(jiān)視調(diào)整機制B.針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C.對于關(guān)鍵業(yè)務(wù)，通過放寬闌值以避免或減少報警的干擾D.依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃答案：C19.當(dāng)發(fā)現(xiàn)不符合項時，組織應(yīng)對不符合做出反應(yīng)，適用時（）。A.采取措施，以控制并予以糾正B.對產(chǎn)生的影響進行處理C.分析產(chǎn)生原因D.建立糾正措施以避免再發(fā)生答案：A20.訪問控制是指確定（）以及實施訪間權(quán)限的過程。A.用戶權(quán)限B.可給予哪些主體訪問權(quán)利C.可被用戶訪問的資源D.系統(tǒng)是否遭受入侵答案：B21.風(fēng)險處置是（）。A.識別并執(zhí)行措施來更改風(fēng)險的過程B.確定并執(zhí)行措施來更改風(fēng)險的過程C.分析并執(zhí)行措施來更改風(fēng)險的過程D.選擇并執(zhí)行措施來更改風(fēng)險的過程答案：D22.關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議，明確安全和保密義務(wù)與責(zé)任。A.安全保密B.安全保護C.安全保障D.安全責(zé)任答案：A23.對于信息安全方針，（）是ISO/IEC27001所要求的。A.信息安全方針應(yīng)形成文件B.信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C.信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D.信息安全方針是建立信息安全工作的總方向和原則，不可變更答案：A24.關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）。A.投訴處理過程應(yīng)易于所有投訴者使用B.投訴處理過程應(yīng)易于所有投訴晌應(yīng)者使用C.投訴處理過程應(yīng)易于所有投訴處理者使用D.投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用答案：A25.依據(jù)GB/T29246，控制目標指，描述實施控制的實施結(jié)果所要達到的目標的（）。A.說明B.聲明C.想法D.描述答案：B26.關(guān)于信息安全管理中的＂脆弱性”，以下正確的是（）。A.脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險B.網(wǎng)絡(luò)中＂釣魚“軟件的存在，是網(wǎng)絡(luò)的脆弱性C.允許使用：“1234“這樣容易記憶的口令，是口令管理的脆弱性D.以上全部答案：C27.過程是指（）。A.有輸入和輸出的任意活動B.通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C.所有業(yè)務(wù)活動的集合D.以上都不對答案：B28.關(guān)于信息系統(tǒng)登錄的管理以下說法不正確的是（）。A.網(wǎng)絡(luò)安全等級保護中，三級以上系繞需采用雙重鑒別方式B.登錄失敗應(yīng)提供失敗揭示信息C.為提高效率，可選擇保存鑒別信息的直接登錄方式D.使用交互式管理確保用戶使用優(yōu)質(zhì)口令答案：C29.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行（）。A.國家經(jīng)營B.地方經(jīng)營C.許可制度D.備案制度答案：C30.審核發(fā)現(xiàn)是指（）。A.審核中觀察到的事實B.審核的不符合項C.審核中收集到的審核證據(jù)對照審核準則評價的結(jié)果D.審核中的觀察項答案：C31.確定資產(chǎn)的可用性要求須依據(jù)（）。A.授權(quán)實體的需求B.信息系統(tǒng)的實際性能水平C.組織可支付的經(jīng)濟成本D.最高管理層的決定答案：A32.關(guān)于信息安全管理體系認證，以下說法正確的是：（）。A.負責(zé)作出認證決定的人員中應(yīng)至少有一人參與審核B.負責(zé)作出認證決定的人員必須是審核組組長C.負責(zé)作出認證決定的人員不應(yīng)參與審核D.負責(zé)作出認證決定的人員應(yīng)包含參與了預(yù)審核的人員答案：C33.監(jiān)督、檢查、指導(dǎo)計算機信息系統(tǒng)安全保護工作是（）對計算機信息系統(tǒng)安全保護履行法定職責(zé)。A.電信管理機構(gòu)B.公安機關(guān)C.國家安全機關(guān)D.國家保密局答案：B34.數(shù)字簽名可以有效對付哪一類信息安全風(fēng)險（）？A.非授權(quán)的閱讀B.盜竊C.非授權(quán)的復(fù)制D.篡改答案：D35.信息安全殘余風(fēng)險是（）。A.沒有處置完成的風(fēng)險B.沒有評估的風(fēng)險C.處置之后仍存在的風(fēng)險D.處置之后沒有報告的風(fēng)險答案：C36.局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A.主要結(jié)構(gòu)B.容錯能力C.網(wǎng)絡(luò)拓撲D.局城網(wǎng)協(xié)議答案：B37.下列措施中不能用于防止非授權(quán)訪問的是（）。A.采取密碼技術(shù)B.采用最小授權(quán)C.采用權(quán)限復(fù)查D.采用日志記錄答案：D38.下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影晌（）?A.電力線路調(diào)節(jié)器B.電力浪涌保護設(shè)備C.備用的電力供應(yīng)D.可中斷的電力供應(yīng)答案：D39.信息安全基本屬性是（）。A.保密性、完整性、可靠性B.保密性、完整性、可用性C.可用性、保密性、可能性D.穩(wěn)定性、保密性、完整性答案：B40.下列哪項不是監(jiān)督審核的目的？（）A.驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B.驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C.確認是否持續(xù)符合認證要求D.作出是否換發(fā)證書的決定答案：D41.依據(jù)GB/T22080，信息分類方案的目的是（）。A.劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤B.劃分信息載體所屬的職能以便于明確管理責(zé)任C.劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則D.劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析答案：C42.一個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成。它們具有損害業(yè)務(wù)運行和威脅信息安全的極大可能性。A.已經(jīng)發(fā)生B.可能發(fā)生C.意外D.A+B+C答案：C43.信息處理設(shè)施的變更管理包括：（）。A.信息處理設(shè)施用途的變更B.信息處理設(shè)施故障部件的更換C.信息處理設(shè)施軟件的升級D.其他選項均正確答案：D44.依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》以下說法不正確的是（）。A.網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對網(wǎng)絡(luò)的攻擊和侵入B.網(wǎng)絡(luò)安全措施包括防范對網(wǎng)絡(luò)的破壞C.網(wǎng)絡(luò)安全即采取措施保護信息在網(wǎng)絡(luò)中傳輸中的安全D.網(wǎng)絡(luò)安全包括對信息收集、存儲、傳輸、交換、處理系統(tǒng)的保護答案：C45.在根據(jù)規(guī)模確定基本審核時間的前提下，下列哪一條屬于增加審核時間的要素（）。A.其產(chǎn)品／過程無風(fēng)險或有低的風(fēng)險B.客戶的認證準備C.僅涉及單一的活動過程D.具有高風(fēng)險的產(chǎn)品或過程答案：D46.依據(jù)GB/T22080/ISO/IEC27001關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）。A.網(wǎng)絡(luò)管理員可以通過Internet在家里遠程登錄、維護核心交換機B.應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C.可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D.可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制答案：B47.以下對GB/T22081-2016/ISO/IEC27002:2013標準的描述，正確的是（）。A.該標準屬于要求類標準B.該標準屬于指南類標準C.該標準可用于一致性評估D.組織在建立ISMS時，必須滿足該標準的所有要求答案：B48.組織應(yīng)（）與其意圖相關(guān)的，且影晌其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。A.確定B.制定C.落實D.確保答案：A49.依法負有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的（）嚴格保密，不得泄露、出售或非法向他人提供。A.個人信息B.隱私C.商業(yè)秘密D.其他選項均正確答案：D50.依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應(yīng)（）。A.制定ISMS目標和計劃B.實施ISMS管理評審C.決定接受風(fēng)險的準則和風(fēng)險的可接受級別D.其他選項均不正確答案：D多選題（共20題，共40分）51.關(guān)于鑒別信息保護，正確的是（）。A.使用QQ傳遞鑒別信息B.對新創(chuàng)建的用戶，要在初始時提供給他們一個安全的臨時秘密鑒別信息，并首次使用時強制改變C.鑒別信息宜加密保存，臨時秘密鑒別信息宜對個人而言是唯一的、不可猜測的D.鑒別信息的保護聲明可作為任用條件或條款的內(nèi)容答案：BCD52.以下屬于訪間控制的是（）。A.開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相相匹配的訪問權(quán)限B.防火墻基于IP過濾數(shù)據(jù)包C.核心交換機根據(jù)IP控制對不同VLAN間的訪問D.病毒產(chǎn)品查殺病毒答案：AC53.風(fēng)險評估過程一般應(yīng)包括（）。A.風(fēng)險識別B.風(fēng)險分析C.風(fēng)險評價D.風(fēng)險處置答案：ABC54.設(shè)計一個信息安全風(fēng)險管理工具，應(yīng)包括如下模塊（）。A.資產(chǎn)識別與分析B.漏洞識別與分析C.風(fēng)險趨勢分析D.信息安全事件管理流程答案：ABCD55.某金融服務(wù)公司為其個人注冊會員提供了借資和貸款服務(wù)，以下不正確的做法是（）。A.公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進行討論評審B.公司使用微信群發(fā)布公司內(nèi)部投資策略文件C.公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D.公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息答案：AB56.撤銷對信息和信息處理設(shè)施的訪間權(quán)，針對的是（）。A.組織雇員離職的清況B.組織雇員轉(zhuǎn)崗的清況C.臨時任務(wù)結(jié)束的清況D.員工出差答案：ABC57.根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A.國家事務(wù)重大決策中的秘密事項B.國民經(jīng)濟和社會發(fā)展中的秘密事項C.科學(xué)技術(shù)中的秘密事項D.國防建設(shè)和武裝力量活動中的秘密事項答案：ABCD58.關(guān)于審核委托方，以下說法正確的是：（）。A.認證審核的委托方即受審核方B.受審核方是第一方審核的委托方C.受審核方的行政上級作為委托方時是第二方審核D.組織對其外包服務(wù)提供方的審核是第二方審核答案：BD59.在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動。A.報告安全方面的漏洞或弱點B.對漏洞進行修補C.發(fā)現(xiàn)并報告安全事件D.發(fā)現(xiàn)立即處理安全事件答案：AC60.下列屬于“開發(fā)安全”活動的是（）。A.應(yīng)規(guī)范用戶修改軟件包，必須的修改應(yīng)嚴格管制B.應(yīng)用系統(tǒng)若有變更，應(yīng)進行適當(dāng)審核與測試C.軟件應(yīng)盡量采用自行開發(fā)避免外包或采購D.軟件的采購應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序答案：AD61.風(fēng)險評估過程中威脅的分類一般應(yīng)包括（）。A.軟硬件故障、物理環(huán)境影晌B.無作為或操作失誤、管理不到位、越權(quán)或濫用C.網(wǎng)絡(luò)攻擊、物理攻擊D.泄密、篡改、抵賴答案：ABCD62.審核計劃中應(yīng)包括（）。A.本次及其后續(xù)審核的時間安排B.審核準則C.審核組成員及分工D.審核的日程安排答案：BCD63.下列說法正確的是（）。A.殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準B.適用性聲明需要包含必要的控制及其選擇的合理性說明C.所有的信息安全活動都必須有記錄D.組織控制下的員工應(yīng)了解信息安全方針答案：ABD64.關(guān)于信息安全風(fēng)險自評估，下列選項正確的是（）。A.是指信息系統(tǒng)擁有、運營和使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估B.周期性的自評估可以在評估流程上適當(dāng)簡化C.可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施D.由信息系統(tǒng)上級管理部門組織的風(fēng)險評估答案：ABC65.為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A.分發(fā)，訪間，檢索和使用B.存儲和保護，包括保持可讀性C.控制變更（例如版本控制）D.保留和處理答案：ABCD66.以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施＂的是（）。A.輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B.計算機制造企業(yè)IDC供電系統(tǒng)C.高等院校網(wǎng)絡(luò)接入設(shè)施D.高鐵信號控制系統(tǒng)答案：ABCD67.《中華人民共和國認證認可條例》制定的目的是為了規(guī)范認證認可活功，提高產(chǎn)品、服務(wù)的（）促進經(jīng)濟和社會的發(fā)展。A.質(zhì)量B.數(shù)量C.管理水平D.競爭力答案：AC68.以下做法正確的是（）。A.使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進行脫敏處理B.為強化新員工培訓(xùn)效果，應(yīng)盡可能使用真實的業(yè)務(wù)案例和數(shù)據(jù)C.