ISO27001的考试真题汇编（精心整理）.pdfVIP

单选题 1、下列不是适用性声明所要包括的内容是（B ） （A）附录A 中选择的控制目标和控制措施，以及选择的理由 （B）GB/T 22080-2008 条款的要求 （C）当前实施的控制目标和控制措施 （D）对附录A 中任何控制目标和控制措施的删减，以及删减的合理性说明 2、依据GB/T 22080/ISO/IEC 27001，制定信息安全管理体系方针，应予以考虑的输入是（D） （A）业务战略 （B）法律法规要求 （C）合同要求 （D）以上全部 3、风险评估过程一般应包括（ D） （A）风险识别 （B）风险分析 （C）风险评价 （D）以上都是 4、依据GB/T 22080/ISO/IEC 27001，以下符合责任分割原则的是：（B） （A）某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁 系统为自己配置了各个机房的不限时门禁权限。 （B）某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授 权时，由另外5 位副总到场分别输入自己的口令然后完成授权。 （C）某公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，其次为副 总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限。 （D）以上均符合责任分割原则。 5、目前在用的中华人民共和国保守国家秘密法是在（ D）正式实施的 （A）1951年6 月1 日 （B）1989年5 月1 日 （C）1993年2 月22 日 （D）2010 年10 月1 日 6、资产是指对组织有（ A）的任何东西 （A）价值 （B）（B）使用价值 （C）有形价值 （D）无形价值 7、依据GB/T 22080/ISO/IEC 27001，建立资产清单即： （A）列明信息生命周期内关联到的资产，明确其对组织业务的关键性。 （B）完整采用组织的固定资产台账，同时指定资产责任人。 （C）资产价格越高，往往意味着功能越全，因此资产重要性等级就越高。 （D）A+B 8、依据GB/T 22080/ISO/IEC 27001，信息分类方案的目的是：（A） （A）划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘。 （B）划分信息载体所属的职能以便于明确管理责任。 （C）划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置 的原则 （D）划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技 术对其分析。 9、以下不正确说法是：（C） （A）保留含有敏感信息的介质的处置记录 （B）将大量含有信息的介质汇集在一起时提高其集体敏感性等级。 （C）将所有的已用过一遍的复印纸分配各部门复用以符合组织的节能策略。 （D）根据风险评估的结果将转移更换下列的磁盘交第三方进行处置。 10、 信息安全管理实用规则GB/T 22081-2008 属于（ C）标准 （A）术语类 （B）要求类 （C）指南类 （D）相关类 11、 可用性是指（A ） （A）根据授权试题的要求可访问和利用的特性 （B）信息不被未授权的个人、实体或过程利用或窃取的特性 （C）保护资产准确和完整的特性 （D）反映事物真实情况的程度 12、 信息安全是保证信息的保密性、完整性、（C ） （A）充分性 （B）适宜性 （C）可用性 （D）有效性 13、 建立ISMS 体系的目的，是为了充分保护信息资产并基于（ A）信心 （A）相关方 （B）供应商 （C）顾客 （D）上级机关 14、 关于访问控制策略，一下不正确的是：（B） （A）应考虑被访问课题的敏感性分类，访问主题的授权方式、时限和访问类型 （B）对于多任务访问，一次性赋予全任务权限 （C）物理区域的管理规定应遵从控制缺的访问控制策略 （D）物理区域访问控制策略应与其中的资产敏感性一致 15、 依据 GB/T 22080/ISO/IEC 27001，关于网络服务的访问控制策略，以下正确的说 法是：（C） （A）没有描述为禁止访问的网络服务，应为允许访问的网络服务 （B）对于允许访问的网络服务，默认可通过无线、VPN 等多种手段连接 （C）对于允许访问的网络服务，按照规定的授权机制进行授权 （D）以上都对 16、 ISMS 是基于组织的（ A）