2021年12月国家注册ISMS审核员复习题—信息安全管理体系含解析.doc

2021年12月国家注册ISMS审核员复习题—信息安全管理体系

一、单项选择题

1、根据GB/T22080-2016标准的要求，组织（）实施风险评估

A、应按计划的时间间隔或当重大变更提出或发生时

B、应按计划的时间间隔且当重大变更提出或发生时

C、只需在重大变更发生时

D、只需按计划的时间间隔

2、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行

A、在客户组织的场所

B、在认证机构以网络访向的形式

C、以远程视频的形式

D、以上都対

3、风险处置是（）

A、识别并执行措施来更改风险的过程

B、确定并执行措施来更改风险的过程

C、分析并执行措施来更改风险的过程

D、选择并执行措施来更改风险的过程

4、ISO/IEC20000-1的最新版是()版

A、2018

B、2005

C、2020

D、2011

5、()属于管理脆弱性的识别对象

A、物理环境

B、网络结构

C、应用系统

D、技术管理

6、关于《中华人民共和国保密法》，以下说法正确的是:（）

A、该法的目的是为了保守国家秘密而定

B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系

C、该法适用于所有组织对其敏感信息的保护

D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护

7、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）

A、网络管理员可以通过telnet在家里远程登录、维护核心交换机

B、应关闭服务器上不需要的网络服务

C、可以通过防病毒产品实现对内部用户的网络访问控制

D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制

8、文件初审是评价受审方ISMS文件的描述与审核准则的（）

A、充分性和适宜性

B、有效性和符合性

C、适宜性、充分性和有效性

D、以上都不对

9、关于系统运行日志，以下说法正确的是：（)

A、系统管理员负责对日志信息进行编辑、保存

B、日志信息文件的保存应纳入容量管理

C、日志管理即系统审计日志管理

D、组织的安全策略应决定系统管理员的活动是否有记入曰志

10、组织的风险责任人不可以是（）

A、组织的某个部门

B、某个系统管理员

C、风险转移到组织

D、组织的某个虚拟小组负责人

11、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。

A、5

B、6

C、3

D、4

12、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态

A、信息安全事态

B、信息安全事件

C、信息安全事故

D、信息安全故障

13、关于信息安全连续性，以下说法正确的是（）

A、信息安全连续性即IT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

14、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）

A、认证

B、认可

C、审核

D、评审

15、文件化信息创建和更新时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

16、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）

A、审查、任用条款和条件

B、管理责任、信息安全意识教育和培训

C、任用终止或变更的责任

D、以上都不对

17、按照PDCA思路进行审核，是指（）

A、按照受审核区域的信息安全管理活动的PDCA过程进行审核

B、按照认证机构的PDCA流程进行审核

C、按照认可规范中规定的PDCA流程进行审核

D、以上都对

18、控制影响信息安全的变更，包括（)

A、组织、业务活动、信息及处理设施和系统变更

B、组织、业务过程、信息处理设施和系统变更

C、组织、业务过程、信息及处理设施和系统变更

D、组织、业务活动、信息处理设施和系统变更

19、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）

A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值

B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值

C、电子邮件发送前，用投资项问商的私钥数字签名邮件

D、电子邮件发送前，用投资顾向商的私钥加密邮件

20、信息安全目标应()

A、可测量

B、与信息安全方针一致

C、适当时，对相关方可用

D、定期更新

21、在规划如何达到信息安全目标时，组织应确定（）

A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果

B、要做什么，需要什么资源，由谁负责，什么时候完