iso27001信息安全试题及答案.doc

iso27001信息安全试题及答案

一、单项选择题（每题2分，共10题）

1.ISO27001是关于（）的标准？

A.质量管理B.环境管理C.信息安全管理

答案：C

2.ISO27001标准的核心是（）。

A.风险评估B.人员培训C.设备采购

答案：A

3.以下哪个不属于信息安全资产（）。

A.服务器B.数据C.办公桌椅

答案：C

4.信息安全管理体系建立的第一步是（）。

A.风险评估B.制定方针C.确定范围

答案：C

5.风险评估的方法不包括（）。

A.定性评估B.定量评估C.随机评估

答案：C

6.以下哪项是物理安全控制措施（）。

A.防火墙B.门禁系统C.加密技术

答案：B

7.信息安全管理体系的文件不包括（）。

A.手册B.程序文件C.财务报表

答案：C

8.对员工的信息安全培训目的不包括（）。

A.提高安全意识B.提升工作效率C.掌握安全技能

答案：B

9.以下哪种属于信息安全的威胁（）。

A.正常维护B.网络攻击C.数据备份

答案：B

10.ISO27001标准遵循的原则不包括（）。

A.完整性B.可用性C.美观性

答案：C

二、多项选择题（每题2分，共10题）

1.ISO27001信息安全管理体系的主要内容包括（）。

A.安全方针B.安全目标C.控制措施D.内部审核

答案：ABCD

2.信息安全的基本属性有（）。

A.保密性B.完整性C.可用性D.可靠性

答案：ABC

3.风险评估的要素包含（）。

A.资产B.威胁C.脆弱性D.风险值

答案：ABCD

4.信息安全管理体系文件层次包括（）。

A.管理手册B.程序文件C.作业指导书D.记录表格

答案：ABCD

5.物理安全的控制措施有（）。

A.机房选址B.温湿度控制C.防火D.防盗

答案：ABCD

6.信息安全技术措施包括（）。

A.加密技术B.访问控制C.入侵检测D.防病毒

答案：ABCD

7.信息安全管理体系的运行包括（）。

A.实施B.监视C.测量D.改进

答案：ABCD

8.对信息安全事件的处理步骤有（）。

A.报告B.评估C.响应D.恢复

答案：ABCD

9.信息安全意识培训的方式有（）。

A.线上培训B.线下培训C.宣传海报D.案例分享

答案：ABCD

10.安全策略的制定原则有（）。

A.合法性B.合理性C.可行性D.完整性

答案：ABCD

三、判断题（每题2分，共10题）

1.ISO27001标准只适用于大型企业。（）

答案：错

2.信息安全管理体系不需要持续改进。（）

答案：错

3.风险评估只需要做一次。（）

答案：错

4.数据加密是一种有效的信息安全技术。（）

答案：对

5.物理安全不重要，信息安全主要是网络安全。（）

答案：错

6.员工不需要对信息安全负责。（）

答案：错

7.信息安全管理体系文件可以随意更改。（）

答案：错

8.安全漏洞发现后不用及时修复。（）

答案：错

9.制定信息安全策略不需要考虑企业实际情况。（）

答案：错

10.信息安全事件发生后不用进行总结。（）

答案：错

四、简答题（每题5分，共4题）

1.简述ISO27001信息安全管理体系建立的主要步骤。

答案：确定范围与方针，进行风险评估，设计并选择控制措施，建立文件化体系，实施与运行体系，开展内部审核与管理评审，持续改进。

2.什么是信息安全风险评估？

答案：信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。

3.列举三种常见的信息安全技术措施。

答案：加密技术，可保护数据保密性；访问控制，限制非法访问；防火墙，阻挡外部非法网络连接，保障内部网络安全。

4.信息安全管理体系文件的作用是什么？

答案：规定信息安全管理活动流程、职责等，为体系运行提供准则和依据，确保各项安全工作规范化、标准化，便于员工执行和管理评审。

五、讨论题（每题5分，共4题）

1.讨论信息安全管理体系持续改进的重要性。

答案：信息技术不断发展，威胁和漏洞层出不穷。持续改进能让体系适应新变化，提升安全防护能力，满足法规与业务要