信息安全体系内审员培训考试题及答案.docxVIP

信息安全体系内审员培训考试题及答案

一、单项选择题（每题2分，共40分）

1.信息安全管理体系（ISMS）的核心标准是

A.ISO9001

B.ISO14001

C.ISO/IEC27001

D.ISO45001

答案：C

2.内审员在审核过程中发现重大不符合，应首先

A.立即终止审核

B.口头警告受审核方

C.记录并报告审核组长

D.自行决定整改期限

答案：C

3.下列哪项最能体现“基于风险的思维”

A.统一使用8位密码

B.对所有资产进行等保三级加固

C.按资产价值与威胁频率计算风险值

D.每年固定采购同一品牌防火墙

答案：C

4.关于“适用性声明”（SoA），正确的是

A.只需列出选择的控制措施

B.必须解释删减理由

C.由总经理单独签署即可

D.可以不经过评审直接发布

答案：B

5.审核证据应具备

A.主观性、时效性、模糊性

B.可验证、可重现、可追溯

C.口头说明、即时记录、无需签字

D.仅需电子版，无需纸质备份

答案：B

6.当受审核方对不符合项提出异议，内审员应

A.坚持原判，立即关闭不符合

B.删除记录，避免争议

C.重新评估证据，必要时修改描述

D.上报市场监管部门

答案：C

7.下列活动中，哪一项属于“监视”而非“测量”

A.使用漏洞扫描工具打分

B.查看防火墙日志是否实时传送

C.统计月度补丁安装率

D.计算事件解决平均时长

答案：B

8.关于“信息安全连续性”，最佳实践是

A.仅备份数据库

B.每年演练一次断电场景

C.依据业务影响分析制定冗余策略

D.将备用机房设在同一楼层

答案：C

9.审核组在末次会议上应

A.仅宣布通过与否

B.逐条讲解所有不符合

C.隐藏轻微不符合，避免尴尬

D.由受审核方自行总结

答案：B

10.控制措施A.8.1.3“资产责任”要求

A.所有资产必须贴二维码

B.明确资产在生命周期内的责任人

C.每季度更换责任人

D.仅对硬件资产进行登记

答案：B

11.关于“残余风险”，正确的是

A.必须降为零方可运行系统

B.由董事会审批接受

C.无需记录，只需口头确认

D.由审核员决定是否接受

答案：B

12.审核员抽样时发现两份配置基线完全一致的系统，应

A.只抽查其中一台

B.两台均抽查，验证同质化控制

C.放弃抽样，直接判定符合

D.要求删除一台以节约资源

答案：B

13.以下哪项最能体现PDCA的“C”阶段

A.制定信息安全方针

B.实施安全意识培训

C.进行内部审核

D.更新风险评估报告

答案：C

14.当组织使用云服务时，审核重点不包括

A.云方认证范围

B.合同中的安全角色划分

C.云方员工的婚姻状况

D.数据删除权验证

答案：C

15.关于“供应商管理”，控制措施A.15.1.1要求

A.所有供应商必须等保三级

B.按风险等级实施不同控制

C.只审查主供应商

D.由采购部单独决定

答案：B

16.审核员在现场发现测试服务器与生产服务器共用同一网段，应

A.立即拔掉网线

B.记录为不符合，并评估潜在影响

C.告知管理员后离开

D.视为可接受，因未发生事件

答案：B

17.关于“管理评审”输出，最少应包括

A.财务预算

B.资源需求和改进机会

C.员工生日名单

D.竞争对手分析

答案：B

18.审核证据的“可追溯”是指

A.能定位到具体人员、时间、地点

B.使用高分辨率相机拍照

C.证据必须加密

D.证据需打印成红色文件

答案：A

19.当组织将软件开发外包，审核员应关注

A.外包方食堂卫生

B.代码知识产权归属与安全编码规范

C.外包方员工通勤时间

D.外包方是否上市

答案：B

20.关于“审核计划”，错误的是

A.应提前与受审核方确认

B.可随审核进展动态调整

C.必须一次性固定，不可更改

D.需覆盖ISMS所有相关过程

答案：C

二、多项选择题（每题3分，共30分）

21.以下哪些属于ISO/IEC27001:2022附录A中的“组织控制”

A.A.5.1信息安全方针

B.