2024年3月信息安全管理体系审核员(ISMS)复习题含解析.doc

2024年3月信息安全管理体系审核员(ISMS)复习题

一、单项选择题

1、关于信息安全管理中的“脆弱性”，以下正确的是：（）

A、脆弱性是威胁的一种，可以导致信息安全风险

B、网络中“钓鱼”软件的存在，是网络的脆弱性

C、允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性

D、以上全部

2、关于《中华人民共和国保密法》，以下说法正确的是：（）

A、该法的目的是为了保守国家秘密而定

B、该法的执行可替代以ISCVIEC27001为依据的信息安全管理体系

C、该法适用于所有组织对其敏感信息的保护

D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护

3、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月

B、检测记录网络运行状态的相关网络日志保存不得少于12月

C、检测记录网络运行状态的相关网络8志保存不得少于6个月

D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月

4、为信息系统用户注册时，以下正确的是:（）

A、按用户的职能或业务角色设定访问权

B、组共享用户ID按组任务的最大权限注册

C、预设固定用户ID并留有冗余，以保障可用性

D、避免频繁变更用户访问权

5、口令管理系统应该是（）,并确保优质的口令

A、唯一式

B、交互式

C、专人管理式

D、A+B+C

6、容灾的目的和实质是（）

A、数据备份

B、系统的

C、业务连续性管理

D、防止数据被破坏

7、组织应（）。

A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级

B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级

C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级

D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级

8、国家秘密的保密期限应为:（）

A、绝密不超过三十年，机密不超过二十年，秘密不超过十年

B、绝密不低于三十年，机密不低于二十年，秘密不低于十年

C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年

D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年

9、下列哪项不是监督审核的目的？（）

A、验证认证通过的ISMS是否得以持续实现

B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化

C、确认是否持续符合认证要求

D、作出是否换发证书的决定

10、主动式射频识别卡(RFID)存在哪一种弱点?（）

A、会话被劫持

B、被窃听

C、存在恶意代码

D、被网络钓鱼攻击DR

11、当获得的审核证据表明不能达到审核目的时，申核组长可以（）

A、宣布停止受审核方的生产/服务活动

B、向审核委托方和受审核方报告理中以确定适当的措施

C、宣布取消末次会议

D、以上各项都不可以

12、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。

A、内容监控

B、安全教育和培训

C、责任追查和惩处

D、访问控制

13、审核计划中不包括（）。

A、本次及其后续审核的时间安排

B、审核准则

C、审核组成员及分工

D、审核的日程安排

14、完整性是指()

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、保护资产保密和可用的特性

15、以下哪些可由操作人员执行？（)

A、审批变更

B、更改配置文件

C、安装系统软件

D、添加/删除用户

16、运行SMS和服务所裾的资源包括()

A、人员、技术、信息和资产

B、人员、技术、材料和资金

C、人员、技术、信息和资金

D、人员、资产、信息和资金

17、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是()

A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施

B、一旦遭到破坏、数据泄雷，可能严重危害国家安全、国计民生的信息基础设施

C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施

D、—旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统

18、对于外部方提供的软件包，以下说法正确的是：（）

A、组织的人员可随时对其进行适用性调整

B、应严格限制对软件包的调整以保护软件包的保密性

C、应严格限制对软件包的调整以保护软件包的完整性和可用性

D、以上都不对

19、考虑不同时段的工作负数的差异收费用于(）。

A、故障树分析(FTA）

B、可用性计划

C、服务级别管理

D、风险分析和管理法

20、下列不属于公司信息资产的有

A、客户信息

B、被放置在IDC机房的服务器

C、个人使用的电脑

D、审核记录

21、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全