2024年第二期ISMS审核员考试题目—信息安全管理体系含解析.doc

2024年第二期ISMS审核员考试题目—信息安全管理体系

一、单项选择题

1、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）

A、所需审核组能力的要求

B、客户组织的准备程度

C、所需能力的审核组成员

D、客户组织的场所分布

2、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是

A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用

D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用

3、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）

A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

B、确保信息按照其对组织的重要程度受到适当水平的保护

C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘

D、划分信息载体所属的职能以便于明确管理责任

4、以下哪些可由操作人员执行？（)

A、审批变更

B、更改配置文件

C、安装系统软件

D、添加/删除用户

5、制定信息安全管理体系方针，应予以考虑的输入是（）

A、业务战略

B、法律法规要求

C、合同要求

D、以上全部

6、ISO/IEC27001所采用的过程方法是（)

A、PPTR方法

B、SMART方法

C、PDCA方法

D、SWOT方法

7、关于GB/T22081标准，以下说法正确的是：（）

A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据

B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据

C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分

D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准

8、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）

A、下级管理员无权修改，不可删除

B、下级管理员无权修改，可以删除

C、下级管理员可以修改，可以删除

D、下级管理员可以修改，不可删除

9、设备维护维修时，应考虑的安全措施包括：（）

A、维护维修前，按规定程序处理或清除其中的信息

B、维护维修后，检查是否有未授权的新增功能

C、敏感部件进行物理销毁而不予送修

D、以上全部

10、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态

A、信息安全事态

B、信息安全事件

C、信息安全事故

D、信息安全故障

11、下列管理评审的方式，哪个不满足标准的要求?(）

A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审

B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审

C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审

D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审

12、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式

A、警告

B、罚款

C、没收违法所得

D、吊销许可证

13、对于外部方提供的软件包，以下说法正确的是：（）

A、组织的人员可随时对其进行适用性调整

B、应严格限制对软件包的调整以保护软件包的保密性

C、应严格限制对软件包的调整以保护软件包的完整性和可用性

D、以上都不对

14、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信息

A、相关方

B、供应商

C、顾客

D、上级机关

15、信息系统的变更管理包括（）

A、系统更新的版本控制

B、对变更申请的审核过程

C、变更实施前的正式批准

D、以上全部

16、被黑客控制的计算机常被称为(）

A、蠕虫

B、肉鸡

C、灰鸽子

D、木马

17、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）

A、实用程序的使用不在审计范围内

B、建立禁止使用的实用程序清单

C、紧急响应时所使用的实用程序不需要授权

D、建立、授权机制和许可使用的实用程序清单

18、（）属于管理脆弱性的识别对象。

A、物理环境

B、网络结构

C、应用系统

D、技术管理

19、在以下认为的恶意攻击行为中，属于主动攻击的是()

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

20、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）

A、基本角色的策略

B、基于身份的策略

C、用户向导的策略

D、强制性访问控制策略

21、关键信息基础设施的运营者采购网络产品和服务，应当按照