一、单选题
1、对于“监控系统”的存取与使用,下列正确的是()。
A、监控系统所产生的记录可由用户任意存取
B、计算机系统时钟应予同步
C、只有当系统发生异常事件及其他安全相关事件时才需进行监控
D、监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
2、某信用卡制造工厂,对生产线上产生的不合格品卡,进行逐一登记、密封、送粉碎室拆封、再登记后予以粉碎处理。这符合GB/T22080-2016/ISO/IEC27001:2013标准哪些条款的要求?()
A、A8.3.2和A8.3.3
B、A8.1.1和A8.2.1
C、A11.2.5和A11.2.7
D、10.1和10.2
3、关年认证机构的每次监督审核应至少审查的内容,以下说法错误的是()。
A、ISMS在实现客户信息安全方针的目标的有效性
B、所确定的控制措施的变更,但不包括SOA的变更
C、合规性的定期评价与评审情况
D、控制措施的实施和有效性
4、关于时钟同步的控制要求,描述正确的是()。
A、一个组织或安全区域内的所有相关信息处理设施的时钟,应与多个基准物相同
B、一个组织或安全区域内的核心相关信息处理设施的时钟,应与多个基准物相同
C、一个组织或安全区域内的所有相关信息处理设施的时钟,应与单一一时钟源同步
D、一个组织或安全区域内的核心相关信息处理设施的时钟,应与单一一时钟源同歩
5、《信息技术安全技术信息安全治理》对应的国际标准号为()。
A、ISO/IEC27011
B、ISO/IEC27012
C、ISO/IEC27013
D、ISO/IEC27014
6、《信息技术安全技术信息安全控制实践指南》属于()标准。
A、词汇类标准
B、指南类标准
C、要求类标准
D、强制标准
7、GB/T22080-2016/ISO/IEC27001:2013《信息技术安全技术信息安全要求》附录A包括()。
A、11个方面39个控制目标114条控制措施
B、14个方面35个控制目标114条控制措施
C、11个方面39个控制目标133条控制措施
D、14个方面35个控制目标133条控制措施
8、关于审核组的现场审核,以下说法错误的是()。
A、审核组在审核期间现场可根据受审核方实际情况及变更审核范围
B、审核组在审核期间现场可调整审核路线和审核资源分配
C、审核组遇到重大风险应报告委托方以决定后续措施
D、审核组遇到重大风险应报告受审核方以决定后续措施
9、不适用于边界安全的设备是()。
A、防火墙
B、网闸
C、最外的路由
D、器防病毒产品
10、最高管理者应建立信息安全方针,该信息安全方针应()。
A、形成文件化信息并可用
B、在组织部得到沟通
C、适当时,对相关方可用
D、以上全部
11、审核过程中发现的不符合项的描述和分级由下列哪个角色负责?()
A、发现该不符合项的审核员
B、审核组长
C、受审核方负责人
D、该不符合涉及的受审核方责任人
12、按照PDCA思路进行审核,是指()。
A、按照受审核区域的信息安全管理活动的PDCA过程进行审核
B、按照认证机构的PDCA流程进行审核
C、按照认可规范中规定的PDCA流程进行审核
D、以上都对
13、对于发现的不符合项,下列活动哪个不是认证机构必须要做的?()
A、要求受审核方在规定期限内进行原因分析
B、要求受审核方为消除不符合而釆取的必要纠正
C、要求受审核方建立纠正措施
D、对不符合项的纠正和纠正措施进行现场验证
14、关于最长可接受中断时间、最长可容忍中断时间、事件实际处理时间,正确的是()。
A、最长可接受中断时间与最长可容忍中断时间相等
B、最长可容忍中断时间与事件实际处理时间相等
C、最长可容忍中断时间小于事件实际处理时间
D、最长可容忍中断时间大于事件实际处理时间
15、包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件已被删除或者安全地写覆盖。
A、系统软件
B、杀毒软件
C、游戏软件
D、任何敏感信息
16、关于信息安全管理体系认证,以下说法正确的是()。
A、认证决定人员不宜推翻审核组的正面结论
B、认证决定人员不宜推翻审核组的负面结论
C、认证决定人员宜与审核组长协商做出以证决定
D、认证决定人员宜与受审核方协商做出认证决定
17、国家信息安全等级保护采取()。
A、自主定级、自主保的原则
B、国家保密部门定级、首主保持的原则
C、公安部门定级、自主保护的原则
D、国家保密部门定级、公安部门监督保护的原则
18、信息安全风险评估的基本要素包括()。
A、资产、可能性、影响
B、资产、脆弱性、威胁
C、可能性、资产、脆弱性
D、脆弱性、威胁、后果
19、关于商用密码技术和产品,以下说法不正确的是()。
A、任何组织不得随意进口密码产品,但可以出口商用密码产品
B、商用密码技术属于国家秘密
C、商用密码是对不涉及国家秘密的内容进行加密保护的产品
D、商用密码产品的用户不得转让其使用的商用密码产品
20、以下强健口令的是()。
A、a8mom9y5fub33
B、1234
C、CNAS
D、Password
21、某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”,对此以下说法正确的是()。
A、A8可以删减
B、A12可以删减
C、A14可以删减
D、以上都对
22、以下不属于密钥管理内容的是()。
A、密钥材料的复制、转移、更新和确认
B、密钥材料的生产、登记、认证、注销
C、密钥材料的撤销、衍生、销毁和恢复
D、密钥材料的分发、安装、存储和归档
23、信息安全管理体系初次认证审核时,第一阶段审核应()。
A、对受审核方信息安全管理体系的策划进行审核和评价
B、对受审核方信息安全管理体系的内部审核及管理评审的有效性进行审核和评价
C、对受审核方信息安全管理体系文件的符合性、适宜性和有效性进行审核和评价
D、对受审核方信息安全管理体系文件进行审核和符合性评价
24、管理体系审核的抽样过程是()。
A、由受审核方负责策划系统性的抽样方案
B、验收性质的抽样,决定是否可以认证通过
C、通过对总体的评价来推断样本信息
D、调査性质的抽样,有弃真的风险和取伪的风险
25、为确保信息资产的安全,设备、信息或软件在()之前不应带出组织场所。
A、使用
B、授权
C、检查合格
D、识别出薄弱环节
26、下列哪种情况不影响审核的公正性?()
A、审核收费
B、审核员为受审核方前雇员
C、审核员参与了受审核方的体系建立工作
D、审核员为受审核方的用户
27、认证审核期间,当审核证据表明审核目的不能实现时,审核组应()。
A、—起讨论,决定后续措施
B、审核组长权衡,决定后续措施
C、由受审核方决定后续措施
D、报告审核委托方并说明理由,确定后续措施
28、《中华人民共和国网络安全法》的实施时间是()。
A、2016年11月7日
B、2016年12月1日
C、2017年6月1日
D、2018年3月1日
29、以下哪项是最完整的定期备份策略()。
A、每次备份完成时对备份结果进行检査,以确保备份效果
B、对系统测试记录进行定期备份
C、定期备份,定期对备份数据的完整性和可用性进行测试
D、定期检查备份存储介质的容量
30、灾难备份系统指()。
A、由供方、公共应急响应中心、冗余供电线路组成的用于灾难恢复目的的支持系统
B、由数据备份系统、备用数据处理系统和备用网络系统组成的用于灾难恢复目的的信息系统
C、由数据备份系统、备用数据处理系统和备用网络系统组成的用于为灾难恢复实施备份的系统
D、以上全部
二、多选题
31、审核计划中应包括()。
A、后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的结论
32、当规划信息安全管理体系时,组织应考虑相关要求,确定需要应对的风险和机会,以()。
A、确保信息安全管理体系可达到预期结果
B、预防或减少不良影响
C、实施有效控制
D、达到持续改进
33、A公司对其核心业务系统中的数据采用每天磁盘备份、每月光盘备份,并在两个城市部署了数据中心,这两令数据中心可以做到实时数据备份。这符合标准GB/T22080-2016/ISO/TEC27001:2013标准哪些条款的要求?()
A、A8.3.1
B、A12.3.1
C、A14.3.1
D、A17.2.1
34、认证审核时,可以考虑釆用多场所抽样审核的条件是()。
A、所有的场所活动相同,仅有规模上的差异
B、所有场所在同一ISMS下运行,并接受统一的管理、内部审核和管理评审
C、所有场所包括在客户组织的内部信息安全管理体系审核方案中
D、所有场所包括在客户组织的信息安全管理体系管理评审方案中
35、监督审核的目的是()。
A、验证认证通过的ISMS是否得以持续实现
B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化
C、确认是否持续符合认证要求
D、做出是否换发证书的决定
36、信息安全是保证信息的(),另外也可包括诸如真实性,可核査性,不可否认性和可靠性等特性。
A、可用性
B、机密性
C、完备性
D、完整性
37、信息安全管理体系审核组的能力包括()。
A、信息安全事件处理方法和业务连续性的知识
B、有关有形和无形资产及其影响分析的知识
C、风险管理过程和方法的知识
D、信息安全管理体系的控制措施及其实施的知识
38、能够表明审核方案得到执行的证据包括()。
A、审核计划
B、审核报告
C、审核员能力评价记录
D、认证证书
39、严格的口令策略应当包括哪些要素()。
A、同时包含数字、字母和特殊字符
B、系统强制要素定期更改口令
C、满足一定的长度
D、用户可以随意设备口令
40、应与每可能()的组织信息或为组织信息提供T基础设施组建的供应商建立所有相关的信息安全要素,并达成一致。
A、访问
B、处理
C、存储
D、传递
三、填空题
41、你认为最高管理层应通过什么活动,促进组织的信息安全管理体系建设和运行。
参考答案:建立ISMS方针——应建立信息安全方针,这是最高管理者在ISMS的首要职责,并且应该ISMS方针与组织的战略意图保持一致。方针的制定应该为制定信息安全目标提供框架性的指导,制定方针时还应考虑法律法规和其他规则的要求以及对PDCA持续改进的承诺。方针应该形成文件,并可以通过会议、宣传栏等手段在组织内部得到沟通,并且保证与组织有关的相关方是可以获取到的。 2.确保目标的制定一一最高管理层还应该确保ISMS策略和目标得到制定,在制定过程中应该紧紧围绕ISMS方针进行,不应偏离方针的总要求。 3.ISMS整合过程一一最高管理层应通过组织各层级的职责,应用ISMS标准的要求与实际组织业务过程相结合,将管理体系整体融合进组织的业务过程中,这包括了例如风险与机遇的措施制定、风险评估过程、能力意识的培训、组织业务过程中的沟通确保、文件化信息的管控、体系的运行规划与控制、内审、管评、持续改进措施制定与完善等等方面。 4.资源的确保——最高管理层应实时关注组织在体系运行过程中对于资源的需求,应该时刻关注资源的使用,这包括人力资源、财力资源、技术资源、生产资源等等。 5.确保内审的完成——应关注组织按照计划的时间间隔完成的内部审核工作,确保ISMS能够达到预期的结果。 6.责任和权限分配沟通——最高管理层应对组织各层级的管理职责和ISMS能够符合标准的要求,且最高管理层应通过适宜的渠道能够获取到 7.策划实施管理评审——最高管理者应策划组织的管理评审会议工作,通过管理评审工作来强调符合ISMS要求的重要性,确保ISMS达到预期结果,通过管理评审促进组织持续改进,在管理评审前应该收集相关的输入信息,以确保管理评审会议充分、有效。
42、审核员在A公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
参考答案:应根据标准条款A11.1.2物理入口控制条款审核以下内容: (1)是否有形成文件的物理入口进出控制策略。并且包含针对公司每一部分物理区域的访问控制策略的内容? (2)访问控制策略是否基于业务和访问的安全要素进行过评审? (3)核实保安角色是否在访问控制策略中有明确规定? (4)保安的进出是否都在进入和离开时进行了日期记录。 (5)对进出登记是否有保护机制,确保未发生过丢失、损毁情况。 (6)应现场询问保安负、对外来人员或相关人员关注事项,是否有配带适宜的标识,宜伴有本公司人员。 (7)应现场询问保安员,对安全区域或保密信息处理设施如何巡查、控制。在不必要的时候,任何外来人员不得进入或访间。 (8)应现场询问保安员,是否发生过信息安全事件,是否与物理区域非授权进入有关?如有关,继续追踪处置过程,是否与事件管理流程相一致。 (9)核实如何对保安进行背景调查,是否明确了其安全角色和职责?
四、简答题
43、某财务外包公司办公作业现场员工正在使用的标准版金蝶财务软件为客户进行记账服务,其默认帐号是manage,不需要每次进系统时重新输入,业务主管解释说:“由于没有外人,为了工作方便,所以,我们把登录口令也省掉了,不需要每次进系统前输入口令”。
参考答案:不符合GB/T22080-2016中A9.4.2条款;当访问控制策略要求时,应通过安全登录规程控制对系统和应用的访问。 不符合事实:查公司作业现场员工使用的标准版金蝶财务软件,其默认帐号是manage,不需要每次进系统时重新输入。
44、BCOM公司是一家通信应用软件系统开发公司,开发成果使用SVN服务器进行管理。审核员在BCOM审核时,看到公司的“资产识别表”中列有一项资产号为N0103的移动硬盘,用途为“公司SVN服务器数据备份专用”,敏感性等级标记为4(最高等级为5,1级为最低)。随后审核员在查看机房时看到,该N0103号移动硬盘正连接于*.*.6.4服务器。机房负责人解释说,“这个*.*.6.4服务器是开发部门专用的,硬盘满了,临时接这个N0103扩展一下,反正这个N0103的容量很大,备份数据用了不到10%”。
参考答案:不符合GB/T22080-2016中A8.3.1条款:应按照组织采用的分级方案,实现移动介质管理规定。 不符合项事实:审核员看到用途为公司SVN服务器数据备份专用”的N0103的移动硬盘接到了机房*.*.6.4服务器,该服务器是开发部门专用的。负责人说:硬盘满了,临时接这个N0103扩展一下。
45、审核员在A公司的体系文件中看到了对技术脆弱性的控制要求,询问信息安全管理部长该控制措施的实施情况时,部长回答,我们已经制定了实施策略,但由于资金一直没有到位,所以还没有购买系统审计软件。
参考答案:不符合GB/T22080-2016中A12.6.1条款:及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。 不符合事实:查公司技术脆弱性的控制实施情况,公司已经制定了实施策略,但由于资金一直没有到位,所以还没有购买系统审计软件。
46、审核员审核时发现组织生产系统的机房基础设施的软、硬件运维工作,采用“网络自动化系统运维”对网络的联通状况进行监控,现场查看该系统,发现“IP:11.175.266.14”“11.152.141.3”两台“设备访问失败”的红色告警提示,但未见关注信息,运维人员解释告警信息会通过邮件发送给相关人员关注和处理,但现场查看邮箱,未发现该告警信息的邮件。
参考答案:不符合GB/T22080-2016史A16.1.2报告信息安全事态应通过适当的管理渠道尽快报告信息安全事态。 不符合事实:查公司生音系纺机房网络自动化系统运维监控,发现“IP:11.175.266.14”“11.152.141.3”两台“设备访问失败”的红色告警提示,查看邮箱,未发现该告警信息的邮件给相关人员关注和处理。
47、审核员在组织审核时发现,为了提升服务质量和效率,公司进行了大面积的技术改造,因此,业务系统的运行环境得到了极大改善,部分资源进行了扩容和升级,审核员询问某系统管理员“升级后的系统运行情况如何?能否将你们技术改造的相关文档,特别是系统迁移计划等给我看看”,该管理员很快提供了相关文件电子版,审核员认真审阅后发现,没有对业务系统迁移相关的风险控制文件,管理员回答“当时时间紧任务垂,我们都是有经验的技术人员,大家认为系统迁移不会有问题,如果有问题我们将现场解决,实际效果还不错,到现在基本上没有问题”。
参考答案:不符合GB/T22080-2016中6.1.2C)条款:应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险。 不符合事实:为了提升服务质量和效率,公司进行了大面积的技术改造,没有对业务系统迁移相关的风险控制文件。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
