2021年3月ISMS信息安全管理体系审核员复习题含解析.doc

2021年3月ISMS信息安全管理体系审核员复习题

一、单项选择题

1、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）

A、静态

B、动态

C、均可

D、静态达到50%以上即可

2、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）

A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

B、确保信息按照其对组织的重要程度受到适当水平的保护

C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘

D、划分信息载体所属的职能以便于明确管理责任

3、不属于公司信息资产的是（）

A、客户信息

B、公司旋转在IDC机房的服务器

C、保洁服务

D、以上都不对

4、关于适用性声明下面描述错误的是(）

A、包含附录A中控制删减的合理性说明

B、不包含未实现的控制

C、包含所有计划的控制

D、包含附录A的控制及其选择的合理性说明

5、ISO/IEC27701是（）

A、是一份基于27002的指南性标准

B、是27001和27002的隐私保护方面的扩展

C、是ISMS族以外的标准

D、在隐私保护方面扩展了270001的要求

6、()是风险管理的重要一环。

A、管理手册

B、适用性声明

C、风险处置计划

D、风险管理程序

7、关于入侵检测，以下不正确的是：（）

A、入侵检测是一个采集知识的过程

B、入侵检测指信息安全事件响应过程

C、分析反常的使用模式是入侵检测模式之一

D、入侵检测包括收集被利用脆弱性发生的时间信息

8、审核证据是指（）

A、与审核准则有关的，能够证实的记录、事实陈述或其他信息

B、在审核过程中收集到的所有记录、事实陈述或其他信息

C、一组方针、程序或要求

D、以上都不对

9、ISO/IEC20000-1:2018标准是依据管理体系高层结构，即()对标准的结构进行调整的

A、ISO/IEC导则的一部分综合ISO补充附录

B、ISO/IEC导则的一部分综合ISO补充结构层

C、ISO/IEC导则的一部分综合ISO补充体质

D、ISO/IEC导则的一部分综合ISO补充模型

10、依据GB/T22080，关于职责分离，以下说法正确的是(）

A、信息安全政策的培训者与审计之间的职责分离

B、职责分离的是不同管理层级之间的职责分离

C、信息安全策略的制定者与受益者之间的职责分离

D、职责分离的是不同用户组之间的职责分离

11、在认证审核时，一阶段审核是（）

A、是了解受审方ISMS是否正常运行的过程

B、是必须进行的

C、不是必须的过程

D、以上都不准确

12、ITSMS监督审核的目的不包括()

A、确认是否持续符合认证要求

B、验证认证通过的ITSMS是否得以持续改进

C、作出是否换发证书的决定

D、验证组织ITSMS的保持是否考虑了组织运作过程的变化

13、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

A、监视和评审服务级别协议的符合性

B、监视和评审服务方人员聘用和考核的流程

C、监视和评审服务交付遵从协议规定的安全要求的程度

D、监视和评审服务方跟踪处理信息安全事件的能力

14、在以下认为的恶意攻击行为中，属于主动攻击的是()

A、数据窃听

B、误操作

C、数据流分析

D、数据篡改

15、根据《互联网信息服务管理办法》，互联网接入服务提供者应当记录上网用户的(）

A、用户帐号、上网时间、访问端口信息

B、用户帐户、上网时间、访问内容

C、用户帐号、访问IP地址、用户计算机型号

D、上网时间、用户帐号、互联网地址

16、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）

A、电力线路调节器

B、电力浪涌保护设备

C、备用的电力供应

D、可中断的电力供应

17、相关方的要求可以包括（）

A、标准、法规要求和合同义务

B、法律、标准要求和合同义务

C、法律、法规和标准要求和合同义务

D、法律、法规要求和合同义务

18、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）

A、物理入口控制

B、开发、测试和运行环境的分离

C、物理安全边界

D、在安全区域工作

19、ITIL的最新版本是(）

A、ITILV4

B、ITILV3

C、ITILV5

D、ITILV2

20、信息安全管理中，关于脆弱性，以下说法正确的是()。

A、组织使用的开源软件不须考虑其技术脆弱性

B、软件开发人员为方便维护留的后门是脆弱性的一种

C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施

D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会

21、根据GB/T22080-2016中控制措施的要求，关于技术脆弱性管理，以下说法正确的是：（）

A、技术脆弱性应单独管理，