ISO27001内审员理论考试试题题库及答案.docxVIP

ISO27001内审员理论考试试题题库及答案

一、单项选择题（每题1分，共30分）

1.在ISO27001:2022标准中，信息安全管理体系（ISMS）的核心目标是

A.降低所有风险至零

B.确保信息资产的机密性、完整性和可用性

C.完全消除外部威胁

D.实现100%的业务连续性

答案：B

2.下列哪一项不是ISO27001:2022条款5“领导作用”对最高管理者的要求？

A.确保信息安全方针与业务战略一致

B.批准并维护信息安全风险接受准则

C.亲自执行每一次内部审核

D.为ISMS分配必要资源

答案：C

3.关于“信息安全风险处置计划”，以下说法正确的是

A.只需在体系建立初期制定一次

B.必须经最高管理者批准后分发至所有相关方

C.应明确责任人、资源、时间表及验收准则

D.可以不与业务连续性计划关联

答案：C

4.ISO27001:2022中，对“文件化信息”的控制要求不包括

A.分发、访问、检索和使用

B.存储和保存

C.变更控制

D.强制使用纸质媒介

答案：D

5.内部审核方案应基于

A.审核员个人经验

B.以往不符合项的数量

C.风险重要性、以往审核结果及过程关键性

D.外部供应商数量

答案：C

6.当发生严重信息安全事件时，首先应

A.立即删除所有日志以免泄露

B.根据事件响应程序采取控制措施并保留证据

C.等待外部媒体披露后再响应

D.仅通知IT部门

答案：B

7.下列哪项最能体现“持续改进”原则？

A.每年更换一次防火墙型号

B.通过管理评审更新风险处置计划

C.将审核报告锁进档案室

D.只在客户投诉时修订程序

答案：B

8.ISO27001:2022对“供应商管理”要求组织

A.仅对国内供应商进行审计

B.建立供应商信息安全评价准则并定期复评

C.将所有外包活动收回

D.无需在合同中提及信息安全

答案：B

9.关于“信息安全目标”，正确的是

A.只需在体系建立时设定一次

B.必须可测量、与方针一致、在各层级建立

C.只需IT部门制定

D.不需要向全体员工传达

答案：B

10.在认证审核中，第一阶段审核的主要目的是

A.开出严重不符合项

B.评价ISMS文件的符合性并确认第二阶段准备情况

C.测试所有控制措施有效性

D.直接推荐认证注册

答案：B

11.以下哪项属于ISO27001:2022标准中的“监视和测量”活动？

A.每年举办一次年会

B.定期统计入侵检测系统告警数量并分析趋势

C.更换机房墙纸

D.为员工购买保险

答案：B

12.关于“信息安全方针”，错误的是

A.应被最高管理者批准

B.应包含持续改进承诺

C.可仅保存在最高管理者电脑中

D.应在组织内沟通并提供相关方获取

答案：C

13.内部审核员应具备的最低能力不包括

A.理解ISO27001要求

B.理解业务过程与风险

C.拥有独立性和客观性

D.必须持有CISSP证书

答案：D

14.管理评审的输出可以不包括

A.对信息安全方针的修订决定

B.资源分配变更

C.对竞争对手的战略分析

D.对风险处置计划有效性的改进需求

答案：C

15.在风险评估中，“影响”是指

A.威胁利用脆弱性的概率

B.事件对业务造成的负面后果

C.资产的市场价值

D.控制措施的复杂度

答案：B

16.关于“残余风险”，正确的是

A.必须为零才能接受

B.是风险处置后仍存在的风险

C.无需记录

D.只能采用风险转移方式处理

答案：B

17.以下哪项最能体现“基于风险的思维”？

A.所有系统采用同一强度密码策略

B.根据数据分类结果实施分级保护

C.每年统一采购相同品牌防火墙

D.禁止所有外部邮件

答案：B

18.ISO27001:2022要求，对“不符合”采取纠正措施时，首先应

A.立即惩罚责任人

B.评审不符合产生的原因

C.通知媒体

D.关闭系统

答案：B

19.关于“记录控制”，正确的是

A.记录可以随意丢弃

B.记录应清晰、可识别、可检索

C.记录不需要保护隐私信息

D.记录不允许电子存储

答案：B

20.在认证周