ISO27001内审员理论考试试题题库及答案.pdf

内审员考试题

一、选择题

、下列不是适用性声明所要包括的内容是（）[单选题]*

A）附录A中选择的控制目标和控制措施，以及选择的理由

B）GB/T22080-2008条款的要求√

C）当前实施的控制目标和控制措施

D）对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明

2、依据GB/T22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是（）

A）业务战略

B）法律法规要求

C）合同要求

D）以上全部√

3、风险评估过程一般应包括（）[单选题]*

A）风险识别

B）风险分析

C）风险评价

D）以上都是√

4、依据GB/T22080/ISO/IEC27001，以下符合责任分割原则的是:（）[单选题]*

A）某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己

配置了各个机房的不限时门禁权限。

）某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由

另外5位副总到场分别输入自己的口令然后完成授权。

C）某公司制定了访问权限列表，信息系统权限分配为:董事长拥有全部权限，其次为副总，再其次为

主管经理，依次类推，运维工程师因职务最低，故拥有最少权限。

D）以上均符合责任分割原则。

5、资产是指对组织有（）的任何东西[单选题]*

A）价值√

B）使用价值

C）有形价值

D）无形价值

6、依据GB/T22080/ISO/IEC27001,建立资产清单即（）:[单选题]*

A）列明信息生命周期内关联到的资产，明确其对组织业务的关键性。

B）完整采用组织的固定资产台账，同时指定资产责任人。

C）资产价格越高，往往意味着功能越全，因此资产重要性等级就越高。

D）A+B√

7、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是:（）[单选题]*

A）划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘。√

B）划分信息载体所属的职能以便于明确管理责任。

C）划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则。

D）划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析。

8、以下不正确说法是:（）[单选题]*

A）保留含有敏感信息的介质的处置记录

）将大量含有信息的介质汇集在一起时提高其集体敏感性等级。

C）将所有的已用过一遍的复印纸分配各部门复用以符合组织的节能策略。

D）根据风险评估的结果将转移更换下列的磁盘交第三方进行处置。

9、可用性是指（）[单选题]*

A）根据授权试题的要求可访问和利用的特性√

B）信息不被未授权的个人、实体或过程利用或窃取的特性

C）保护资产准确和完整的特性

D）反映事物真实情况的程度

10、信息安全是保证信息的保密性、完整性、（）。[单选题]*

A）充分性

B）适宜性

C）可用性√

D）有效性

11、关于访问控制策略，以下不正确的是:（）[单选题]*

A）应考虑被访问课题的敏感性分类，访问主题的授权方式、时限和访问类型

B）对于多任务访问，一次性赋予全任务权限√

C）物理区域的管理规定应遵从控制的访问控制策略

D）物理区域访问控制策略应与其中的资产敏感性一致

12、ISMS是基于组织的（）风险角度建立的[单选题]*

A）整体业务√

B）财务部门

C）资产安全

）信息部门

13、为信息系统用户注册时，以下正确的是:（）[单选题]*

A）按用户的职能或业务角色设定访问权

B）组共享用户ID按组任务的最大权限注册

C）预授权用户ID并保有冗余，以保障可用性

D）避免频繁变更用户访问权

14、风险评估过程一般应包括（）[单选题]*

A）风险识别

B）风险分析

C）风险评价

D）a+b+c√

15、ISMS有效