2021年12月国家注册ISMS审核员模拟试题—信息安全管理体系含解析.doc

2021年12月国家注册ISMS审核员模拟试题—信息安全管理体系

一、单项选择题

1、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+C

E、A+B

2、关于信息安全管理体系认证，以下说法正确的是：

A、负责作出认证决定的人员中应至少有一人参与了审核

B、负责作出认证决定的人员必须是审核组组长

C、负责作出认证决定的人员不应参与审核

D、负责作出认证决定的人员应包含参与了预审核的人员

3、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。

A、人为因素

B、自然灾难

C、不可抗力

D、网络故障

4、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）

A、认证范围内员工的个人隐私数据得到保护

B、认证范围内涉及顾客的个人隐私数据得到保护

C、认证范围内涉及相关方的个人隐私数据数据得到保护

D、以上全部

5、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）

A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值

B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值

C、电子邮件发送前，用投资项问商的私钥数字签名邮件

D、电子邮件发送前，用投资顾向商的私钥加密邮件

6、下列措施中，（）是风险管理的内容。

A、识别风险

B、风险优先级评价

C、风险处置

D、以上都是

7、组织确定的信息安全管理体系范围应（）

A、形成文件化信息并可用

B、形成记录并可用

C、形成文件和记录并可用

D、形成程字化信息并可用

8、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略，以下正确的是（）

A、没有陈述为禁止访问的网络服务，视为允许方问的网络服务

B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接

C、对于允许访问的网络服务，按照规定的授权机制进行授权

D、以上都对

9、阐明所取得结果或提供所完成活动的证据的文件是()

A、报告

B、演示

C、记录

D、协议

10、考虑不同时段的工作负数的差异收费用于(）。

A、故障树分析(FTA）

B、可用性计划

C、服务级别管理

D、风险分析和管理法

11、关于GB/T28450,以下说法正确的是(）。

A、增加了ISMS的审核指导

B、与ISO19011一致

C、与ISO/IEC27000一致

D、等同采用了ISO19011

12、对于较大范围的网络，网络隔离是（）

A、可以降低成本

B、可以降低不同用户组之间非授权访问的风险

C、必须物理隔离和必须禁止无线网络

D、以上都对

13、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级

A、3

B、4

C、5

D、6

14、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）

A、沟通周期

B、沟通内容

C、沟通时间

D、沟通对象

15、关于信息安全策略，下列说法正确的是（）

A、信息安全策略可以分为上层策略和下层策

B、信息安全方针是信息安全策略的上层部分

C、信息安全策略必须在体系建设之初确定并发布

D、信息安全策略需要定期或在重大变化时进行评审

16、信息处理设施的变更管理包括:

A、信息处理设施用途的变更

B、信息处理设施故障部件的更换

C、信息处理设施软件的升级

D、其他选项均正确

17、相关方的要求可以包括（）

A、标准、法规要求和合同义务

B、法律、标准要求和合同义务

C、法律、法规和标准要求和合同义务

D、法律、法规要求和合同义务

18、下面哪个不是《中华人民共和国密码法》中密码的分类？（）

A、核心密码

B、普通密码

C、国家密码

D、商用密码

19、创建和更新文件化信息时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

20、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限

B、分配岗位与权限

C、分配责任与权限

D、分配角色和权限

21、信息安全管理体系的设计应考虑（）

A、组织的战

B、组织的目标和需求

C、组织的业务过程性质

D、以上全部

22、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）

A、建立信息安全事件管理的责任

B、建立信息安全事件管理规程

C、对信息安全事件进行响应

D、在组织内通报信息安全事件

23、关于访问控制策略，以下不正确的是：（）

A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型

B、对于多任务访问，一次性赋予全任务权限

C、物理区域的管理规定须遵从物理区域的访问控