2021年第四期ISMS信息安全管理体系审核员复习题含解析.doc

2021年第四期ISMS信息安全管理体系审核员复习题

一、单项选择题

1、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）

A、所需审核组能力的要求

B、客户组织的准备程度

C、所需能力的审核组成员

D、客户组织的场所分布

2、关于GB/T28450,以下说法正确的是(）。

A、增加了ISMS的审核指导

B、与ISO19011一致

C、与ISO/IEC27000一致

D、等同采用了ISO19011

3、经过风险处理后遗留的风险是（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

4、信息系统的变更管理包括（）

A、系统更新的版本控制

B、对变更申请的审核过程

C、变更实施前的正式批准

D、以上全部

5、Saas是指(）

A、软件即服务

B、服务平台即月勝

C、服务应用即服务

D、服务瞇即服务

6、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）

A、审查、任用条款和条件

B、管理责任、信息安全意识教育和培训

C、任用终止或变更的责任

D、以上都不对

7、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的信息安全事件。

A、人为因素

B、自然灾难

C、不可抗力

D、网络故障

8、完整性是指()

A、根据授权实体的要求可访问的特性

B、信息不被未授权的个人实体或过程利用或知悉的特性

C、保护资产准确和完整的特性

D、保护资产保密和可用的特性

9、关于信息安全产品的使用，以下说法正确的是:（）

A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权

B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书

C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录

D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞

10、下面哪个不是《中华人民共和国密码法》中密码的分类？（）

A、核心密码

B、普通密码

C、国家密码

D、商用密码

11、信息安全风险的基本要素包括（）

A、资产、可能性、影响

B、资产、脆弱性、威胁

C、可能性、资产、脆弱性

D、脆弱性、威胁、后果

12、涉及运行系统验证的审计要求和活动，应（）

A、谨慎地加以规划并取得批准，以便最小化业务过程的中断

B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续

C、谨慎地加以实施并取得批准，以便最小化业务过程的中断

D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续

13、容量管理的对象包括（）

A、信息系统内存

B、办公室空间和基础设施

C、人力资源

D、以上全部

14、主动式射频识别卡(RFID)存在哪一种弱点?（）

A、会话被劫持

B、被窃听

C、存在恶意代码

D、被网络钓鱼攻击DR

15、组织应在相关（）上建立信息安全目标

A、组织环境和相关方要求

B、战略和意思

C、战略和方针

D、职能和层次

16、关于技术脆弱性管理，以下说法正确的是：（）

A、技术脆弱性应单独管理，与事件管理没有关联

B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小

C、针对技术脆弱性的补丁安装应按变更管理进行控制

D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径

17、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。

A、识别可能性和影响

B、识别脆弱性和识别后果

C、识别脆弱性和可能性

D、识别脆弱性和影响

18、关于备份，以下说法正确的是(）

A、备份介质中的数据应定期进行恢复测试

B、如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的

C、发现备份介质退化后应考虑数据迁移

D、备份信息不是管理体系运行记录，不须规定保存期

19、组织应（），以确信相关过程按计划得到执行。

A、处理文件化信息达到必要的程度

B、保持文件化信息达到必要的程度

C、保持文件化信息达到可用的程度

D、产生文件化信息达到必要的程度

20、在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素（）。

A、其产品/过程无风险或有低的风险

B、客户的认证准备

C、仅涉及单一的活动过程

D、具有高风险的产品或过程

21、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）

A、静态

B、动态

C、均可

D、静态达到50%以上即可

22、在形成信息安全管理体系审核发现时，应（）。

A、考虑适用性声明的完备性和可用性

B、考虑适用性声明的完备性和合理性

C、考虑适用性声明的充分性和可用性

D、考虑适用性声明的充分性和合理性

23、TC