2021年第一期ISMS审核员考试题目—信息安全管理体系含解析.doc

2021年第一期ISMS审核员考试题目—信息安全管理体系

一、单项选择题

1、文件初审是评价受审方ISMS文件的描述与审核准则的（）

A、充分性和适宜性

B、有效性和符合性

C、适宜性、充分性和有效性

D、以上都不对

2、以下说法不正确的是(）

A、应考虑组织架构与业务目标的变化的风险评估进行再评审

B、应考虑以往未充分识别的威胁对风险评估结果进行再评估

C、制造部增加的生产场所对信息安全风险无影响

D、安全计划应适时更新

3、在访问因特网时，为了防止Web网页中恶意代码对自己计算机的损害，可以采取的防范措施是(）

A、利用SSL访问Web站点

B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域

C、在浏览器中安装数字证书

D、利用IP安全协议访问Web站点

4、下列不属于常用云服务类型的是（)

A、软件即服务

B、邮件即服务

C、平台即服务

D、基础设施即服务

5、ISMS文件的多少和详细程度取于

A、组织的规模和活动的类型

B、过程及其相互作用的复杂程度

C、人员的能力

D、A+B+C

6、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的？（）

A、信息安全方针

B、信息安全目标

C、风险评估过程记录

D、沟通记录

7、计算机信息系统安全专用产品是指：（）

A、用于保护计算机信息系统安全的专用硬件和软件产品

B、按安全加固要求设计的专用计算机

C、安装了专用安全协议的专用计算机

D、特定用途（如高保密）专用的计算机软件和硬件产品

8、关于信息安全连续性，以下说法正确的是：

A、信息安全连续性即FT设备运行的连续性

B、信息安全连续性应是组织业务连续性的一部分

C、信息处理设施的冗余即指两个或多个服务器互备

D、信息安全连续性指标由IT系统的性能决定

9、ISO/IEC20000-1:2018标准是依据管理体系高层结构，即()对标准的结构进行调整的

A、ISO/IEC导则的一部分综合ISO补充附录

B、ISO/IEC导则的一部分综合ISO补充结构层

C、ISO/IEC导则的一部分综合ISO补充体质

D、ISO/IEC导则的一部分综合ISO补充模型

10、阐明所取得结果或提供所完成活动的证据的文件是()

A、报告

B、演示

C、记录

D、协议

11、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）

A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证

B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证

C、对于离开组织的设备和资产须验证相关授权信息

D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证

12、关于防范恶意软件，以下说法正确的是：（）

A、物理隔断信息系统与互联网的连接即可防范恶意软件

B、安装入侵探测系统即可防范恶意软件

C、建立白名单即可防范恶意软件

D、建立探测、预防和恢复机制以防范恶意软件

13、下列那些事情是审核员不必要做的？（）

A、对接触到的客户信息进行保密

B、客观公正的给出审核结论

C、关注客户的喜好

D、尽量使用客户熟悉的表达方式

14、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）

A、电力线路调节器

B、电力浪涌保护设备

C、备用的电力供应

D、可中断的电力供应

15、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。

A、4-10

B、1-10

C、4-7和9-10

D、4-10和附录A

16、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）

A、国家经营

B、地方经营

C、许可制度

D、备案制度

17、下列说法不正确的是（）

A、残余风险需要获得管理者的批准

B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果

C、所有的信息安全活动都必须记录

D、管理评审至少每年进行一次

18、关于投诉处理过程的设计，以下说法正确的是：()

A、投诉处理过程应易于所有投诉者使用

B、投诉处理过程应易于所有投诉响应者使用

C、投诉处理过程应易于所有投诉处理者使用

D、投诉处理过程应易于为投诉处理付费的投诉者使用

19、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。

A、半年

B、1年

C、1.5年

D、2年

20、信息安全管理体系中提到的“资产责任人”是指:（）

A、对资产拥有财产权的人

B、使用资产的人

C、有权限变更资产安全属性的人

D、资产所在部门负责人

21、制定信息安全管理体系方针，应予以考虑的输入是（）

A、业务战略

B、法律法规要求

C