2021年第四期国家ISMS信息安全管理体系审核员模拟试题含解析.doc

2021年第四期国家ISMS信息安全管理体系审核员模拟试题

一、单项选择题

1、IT服务管理中所指服务目录是：（）

A、一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致

B、一个服务项目命名清单，不可随意更改

C、一个定义服务内容的企业标准

D、定义IT服务分类的行业或国家标准

2、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限

B、分配岗位与权限

C、分配责任与权限

D、分配角色和权限

3、以下描述不正确的是（）

A、防范恶意和移动代码的目标是保护软件和信息的完整性

B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生

C、风险分析、风险评价、风险处理的整个过程称为风险管理

D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响

4、风险评估过程一般应包括（）

A、风险识别

B、风险分析

C、风险评价

D、以上全部

5、审核发现是指（）

A、审核中观察到的事实

B、审核的不符合项

C、审核中收集到的审核证据对照审核准则评价的结果

D、审核中的观察项

6、下列关于DMZ区的说法错误的是()

A、DMZ可以访问内部网络

B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等

C、内部网络可以无限制地访问夕卜部网络以及DMZ

D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作

7、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）

A、静态

B、动态

C、均可

D、静态达到50%以上即可

8、管理者应（）

A、制定ISMS方针

B、制定ISMS目标和专划

C、实施ISMS内部审核

D、确保ISMS管理评审的执行

9、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

10、漏洞检测的方法分为（）

A、静态检测

B、动态测试

C、混合检测

D、以上都是

11、防止计算机中信息被窃取的手段不包括（）

A、用户识别

B、权限控制

C、数据加密

D、数据备份

12、下列说法不正确的是（）

A、残余风险需要获得管理者的批准

B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果

C、所有的信息安全活动都必须记录

D、管理评审至少每年进行一次

13、TCP/IP协议层次结构由（）

A、网络接口层、网络层组成

B、网络接口层、网络层、传输层组成

C、网络接口层、网络层、传输层和应用层组成

D、其他选项均不正确

14、安全扫描可以实现（）

A、弥补由于认证机制薄弱带来的问题

B、弥补由于协议本身而产生的问题

C、弥补防火墙对内网安全威胁检测不足的问题

D、扫描检测所有的数据包攻击分析所有的数据流

15、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）

A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证

B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证

C、对于离开组织的设备和资产须验证相关授权信息

D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证

16、IT部门中的所有服务是否都要包含在认证范围以内？（）

A、是的，整个范围的服务都要包含在认证范围之内

B、只有当其都被提供给相同的客户群体时

C、不，该范围可限制为服务的子集

D、取决于该服务为内部提供还是外部提供

17、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响

A、隔离和迁移

B、评审和测试

C、评审和隔离

D、验证和确认

18、最高管理者应（）。

A、确保制定ISMS方针

B、制定ISMS目标和计划

C、实施ISMS内部审核

D、主持ISMS管理评审

19、关于备份，以下说法正确的是(）

A、备份介质中的数据应定期进行恢复测试

B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的

C、发现备份介质退化后应考虑数据迁移

D、备份信息不是管理体系运行记录，不须规定保存期

20、对于交接区域的信息安全管理，以下说法正确的是:（）

A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证

B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证

C、对于进入和离开组织的设备设施均须检查验证

D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证

21、风险评价是指（）

A、系统地使用信息来识别风险来源和评估风险

B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程

C、指导和控制一个