2021年6月ISMS信息安全管理体系审核员复习题含解析.doc

2021年6月ISMS信息安全管理体系审核员复习题

一、单项选择题

1、容量管理的对象包括（）

A、信息系统内存

B、办公室空间和基础设施

C、人力资源

D、以上全部

2、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）

A、该标准是指南类标准

B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南

C、该标准给出了ISMS的实施指南

D、该标准的名称是《信息技术安全技术信息安全管理实用规则》

3、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。

A、个人信息

B、隐私

C、商业秘密

D、其他选项均正确

4、系统备份与普通数据备份的不同在于，它不仅备份系统屮的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。

A、恢复全部程序

B、恢复网络设置

C、恢复所有数据

D、恢复整个系统

5、形成ISMS审核发现时，不需要考虑的是（）

A、所实施控制措施与适用性声明的符合性

B、适用性声明的完备性和适宜性

C、所实施控制措施的时效性

D、所实施控制措施的有效性

6、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）

A、电力线路调节器

B、电力浪涌保护设备

C、备用的电力供应

D、可中断的电力供应

7、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

8、第三方认证审核时，对于审核提出的不符合项，审核组应：（）

A、与受审核方共同评审不符合项以确认不符合的条款

B、与受审核方共同评审不符合项以确认不符合事实的准确性

C、与受审核方共同评审不符合以确认不符合的性质

D、以上都对

9、ISMS文件的多少和详细程度取决于()

A、组织的规模和活动的类型

B、过程及其相互作用的复杂程度

C、人员的能力

D、以上都对

10、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）

A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）

B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）

C、在指纹识别的基础上增加口令保护

D、保护非授权用户不可能访问到关键数据

11、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）

A、ISO/IEC27002

B、ISO/IEC27003

C、ISO/IEC27004

D、ISO/IEC27005

12、完整性是指（）

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人、实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、以上都不对

13、对保密文件复印件张数核对是确保保密文件的（）

A、保密性

B、完整性

C、可用性

D、连续性

14、下列说法不正确的是（）

A、残余风险需要获得管理者的批准

B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果

C、所有的信息安全活动都必须记录

D、管理评审至少每年进行一次

15、漏洞检测的方法分为（）

A、静态检测

B、动态测试

C、混合检测

D、以上都是

16、依据GB/T22080,网络隔离指的是(）

A、不同网络运营商之间的隔离

B、不同用户组之间的隔离

C、内网与外网的隔离

D、信息服务，用户及信息系统

17、组织的风险责任人不可以是（）

A、组织的某个部门

B、某个系统管理员

C、风险转移到组织

D、组织的某个虚拟小组负责人

18、以下关于安全接层协议(SSL)的叙述中,错误的是(）

A、为TCP/IP连接提供服务器认证

B、为TCP/IP连接提供数据加密

C、提供数据安全机制

D、是一种应用层安全协议

19、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统

A、报告

B、传递

C、评价

D、测量

20、PKI的主要组成不包括(）

A、SSL

B、CR

C、CA

D、RA

21、容灾的目的和实质是（）

A、数据备份

B、系统的

C、业务连续性管理

D、防止数据被破坏

22、关于信息安全策略，下列说法正确的是（）

A、信息安全策略可以分为上层策略和下层策略

B、信息安全方针是信息安全策略的上层部分

C、信息安全策略必须在体系建设之初确定并发布

D、信息安全策略需要定期或在重大变化时进行评审

23、ISO/IEC27001描述的风险分析过程不包括（）

A、分析风险发生的原因

B、确定风险级