一、单选题
1、下列中哪个活动是组织发生重大变更后一定要开展的活动?()
A、对组织的信息安全管理体系进行变更
B、执行信息安全风险评估
C、开展内部审核
D、开展管理评审
2、对于外部方提供的软件包以下说法正确的是()。
A、组织的人员可随时对具进行适用性调整
B、应严格限制对软件包的调整以保护软件包的保密性
C、应严格限制对软件包的调整以保护软件包的完整性和可用性
D、以上都不对
3、从计算机安全的角度看,下面哪一种情况是社交工程的一个直接例子?()
A、计算机舞弊
B、欺骗或胁迫
C、计算机偷窃
D、计算机破坏
4、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级。
A、3
B、4
C、5
D、6
5、控制影响信息安全的变更,包括()。
A、组织、业务活动、信息及处理设施和系统变更
B、组织、业务过程、信息处理设施和系统变更
C、组织、业务过程、信息及处理设施和系统变更
D、组织、业务活动、信息处理设施和系统变更
6、以下描述不正确的是()。
A、防范恶意和移动代码的目标是保护软件和信息的完整性
B、纠正措施的目的是为了消除不符合的原因,防止不符合的再发生
C、风险分析、风险评价、风险处理的整个过程称为风险管理
D、控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响
7、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行。
A、在客户组织的场所
B、在认证机构以网络访问的形式
C、以远程视频的形式
D、以上都对
8、确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程其所用,是指()。
A、完整性
B、可用性
C、机密性
D、抗抵赖性
9、下列哪个文档化信息不是GB/T22080-2016/ISO/IEC27001:2013要求必须有的?()
A、信息安全方针
B、信息安全目标
C、风险评估过程记录
D、沟通记录
10、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起()内,认可机构不再接受其注册申请。
A、2年
B、3年
C、4年
D、5年
11、下列不属于公司信息资产的有()。
A、客户信息
B、被放置在IDC机房的服务器
C、个人使用的电脑
D、审核记录
12、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责?()
A、审查,任用条款和条件
B、管理责任、信息安全意识教育和培训
C、任用终止或变更的责任
D、以上都不对
13、安全区域通常的防护措施有()。
A、公司前台的电脑显示器背对来访者
B、进出公司的访客须在门卫处进行登记
C、重点机房安装有门禁系统
D、以上全部
14、关于《中华人民共和国保密法》,以下说法正确的是()。
A、该法的目的是为了保守国家秘密而定
B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系
C、该法适用于所有组织对其敏感信息的保护
D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护
15、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
A、确定
B、制定
C、落实
D、确保
16、构成风险的关键因素有()。
A、人、财、物
B、技术、管理和操作
C、资产、威胁和弱点
D、资产、可能性和严重性
17、关于访问控制策略,以下不正确的是()。
A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时间和访问类型
B、对于多任务访问,一次性赋予全任务权限
C、物理区域的管理规定须遵从物理区域的访问控制策略
D、物理区域访问控制策略应与其中的资产敏感性一致
18、组织应在相关()上建立信息安全目标。
A、组织环境和相关方要求
B、战略和意思
C、战略和方针
D、职能和层次
19、风险评价是指()。
A、系统地使用信息来识别风险来源和评估风险
B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程
C、指导和控制个组织相关风险的协调活动
D、以上都对
20、关于防范恶意软件,以下说法正确的是()。
A、物理隔断信息系统与互联网的连接即可防范恶意软件
B、安装入侵探测系统即可防范恶意软件
C、建立白名单即可防范恶意软件
D、建立探测、预防和恢复机制以防范恶意软件
21、创建和更新文件化信息时,组织应确保适当的()。
A、对适宜性和有效性的评审和批准
B、对充分性和有效性的测量和批准
C、对适宜性和充分性的测量和批准
D、对适宜性和充分性的评审和批准
22、为了达到组织灾难恢复的要求,备份时间间隔不能超过()。
A、服务水平目标(SLO)
B、恢复点目标(RPO)
C、恢复时间目标(RTO)
D、最长可接受终端时间(MAO)
23、关于系统运行日志,以下说法正确的是()。
A、系统管理员负责对日志信息进行编辑、保存
B、日志信息文件的保存应纳入容量管理
C、日志管理即系统审计日志管理
D、组织的安全策略应决定系统管理员的活动是否有记入日志
24、关于信息安全连续性,以下说法正确的是()。
A、信息安全连续性即IT设备运行的连续性
B、信息安全连续性应是组织业务连续性的一部分
C、信息处理设施的冗余即指两个或多个服务器互备
D、信息安全连续性指标由IT系统的性能决定
25、组织应()。
A、采取过程的规程安全处置不需要的介质
B、采取文件的规程安全处置不需要的介质
C、采取正式的规程安全处置不需要的介质
D、采取制度的规程安全处置不需要的介质
26、关于信息安全管理体系认证,以下说法正确的是()。
A、认证决定人员不宜推翻审核组的正面结论
B、认证决定人员不宜推翻审核组的负面结论
C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核
D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期
27、管理体系是实现组织的方针、()、指南和相关资源的框架。
A、目标
B、规程
C、文件
D、记录
28、信息安全管理中,支持性基础设施指()。
A、供电、通信设施
B、消防、防雷设施
C、空调及新风系统、水气暖供应系统
D、以上全部
29、计算机病毒是计算机系统中一类隐藏在()上蓄意破坏的捣乱程序。
A、内存
B、软盘
C、存储介质
D、网络
30、依据GB/T22080/ISO/IEC27001建立资产清单即()。
A、列明信息生命周期内关联到的资产,明确其对组织业务的关键性
B、完整采用组织的固定资产台账,同时指定资产负责人
C、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
D、A+B
31、以下哪项不属于脆弱性范畴?()
A、黑客攻击
B、操作系统漏洞
C、应用程序BUG
D、人员的不良操作习惯
32、计算机信息系统安全专用产品是指()。
A、用于保护计算机信息系统安全的专用硬件和软件产品
B、按安全加固要求设计的专用计算机
C、安装了专用安全协议的专用计算机
D、特定用途(如高保密)专用的计算机软件和硬件产品
33、下列说法不正确的是()。
A、残余风险需要获得管理者的批准
B、体系文件应能够显示出所选择的;
C、所有的信息安全活动都必须记录
D、管理评审至少每年进行一次
34、密码技术不适用于控制下列哪种风险()。
A、数据在传输中被窃取的风险
B、数据在传输中被篡改的风险
C、数据在传输中被损坏的风险
D、数据被非授权访问的风险
35、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()。
A、恢复全部程序
B、恢复网络设置
C、恢复所有数据
D、恢复整个系统
36、信息安全管理体系的设计应考虑()。
A、组织的战略
B、组织的目标和需求
C、组织的业务过程性质
D、以上全部
37、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?()
A、硬件和软件
B、技术和制度
C、管理员和用户
D、物理安全和软件缺陷
38、为确保采用一致和有效的方法对信息安全事件进行管理,下列控制措施哪个不是必须的?()
A、建立信息安全事件管理的责任
B、建立信息安全事件管理规程
C、对信息安全事件进行响应
D、在组织内通报信息安全事件
39、数字签名可以有效对付哪一类信息安全风险?()
A、非授权的阅读
B、盗窃
C、非授权的复制
D、篡改
40、下列那些事情是审核员不必要做的?()
A、对接触到的客户信息进行保密
B、客观公正的给出审核结论
C、关注客户的喜好
D、尽量使用客户熟悉的表达方式
41、在规划如何达到信息安全目标时,组织应确定()。
A、要做什么,有什么可用资源,由谁负责,什么时候开始,如何测量结果
B、要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果
C、要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果
D、要做什么,有什么可用资源,由谁执行,什么时候开始,如何评价结果
42、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的?()
A、物理入口控制
B、开发、测试和运行环境的分离
C、物理安全边界
D、在安全区域工作
43、容量管理的对象包括()。
A、信息系统内存
B、办公室空间和基础设施
C、人力资源
D、以上全部
44、信息分类方案的目的是()。
A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘
B、划分信息载体所属的职能以便于明确管理责任
C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则
D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析
45、以下关于认证机构的监督要求表述错误的是()。
A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性
B、认证机构的监督方案应由认证机构和客户共同来制定
C、监督审核可以与其他管理体系的审核相结合
D、认证机构应对认证证书的使用进行监督
46、相关方的要求可以包括()。
A、标准、法规要求和合同义务
B、法律、标准要求和合同义务
C、法律、法规和标准要求和合同义务
D、法律、法规要求和合同义务
47、下列哪项不是监督审核的目的?()
A、验证认证通过的ISMS是否得以持续实现
B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化
C、确认是否持续符合认证要求
D、做出是否换发证书的决定
48、依据GB/T22080-2016/ISO/IEC27001:2013标准,以下说法正确的是()。
A、对于进入组织的设备和资产须验证其是否符合安全策略,对于离开组织的设备设施则不须验证
B、对于离开组织的设备和资产须验证其合格证,对于进入组织的设备设施则不必验证
C、对于离开组织的设备和资产须验证相关授权信息
D、对于进入和离开组织的设备和资产,验证携带者身份信息,可替代对设备设施的验证
49、信息安全管理体系是用来确定()。
A、组织的管理效率
B、产品和服务符合有关法律法规程度
C、信息安全管理体系满足审核准则的程度
D、信息安全手册与标准的符合程度
50、应定期评审信息系统与组织的()的符合性。
A、信息安全目标和标准
B、信息安全方针和策略
C、信息安全策略和制度
D、信息安全策略和标准
二、多选题
51、最高管理层应通过()活动,证实对信息安全管理体系的领导和承诺。
A、确保将信息安全管理体系要求整合到组织过程中
B、确保信息安全管理体系所需资源可用
C、确保支持相关人员为信息安全管理体系的有效性做出贡献
D、确保信息安全管理体系达到预期结果
52、GB/T22080-2016/ISO/IEC27001:2013标准中A12.3.1条款要求()。
A、设定备份策略
B、定期测试备份介质
C、定期备份
D、定期测试信息和软件
53、不符合项报告应包括()。
A、不符合事实的描述
B、不符合的标准条款及内容
C、不符合的原因
D、不符合的性质
54、某金融资产武装押运服务公司拟申请ISMS认证,下列哪些应列入资产清单中()。
A、行车监控系统
B、行车路线信息
C、押运人员个人信息
D、押运人员用枪支
55、常规控制图主要用于区分()。
A、过程处于稳态还是非稳态
B、过程能力的大小
C、过程加工的不合格品率
D、过程中存在偶然波动还是异常波动
56、对于审核发现()。
A、审核组应根据需要,在审核的适当阶段共同评审审核发现
B、根据审核计划和检查表要求只需记录每个不符合审核发现的审核证据
C、应与受审核方一起审不符合的审核发现,以确认审核证据的准确性,并得到受审核方的理解
D、包括正面的和负面的发现
57、在设计和应用安全区域工作规程时,宜考虑()。
A、基于“须知”原则,员工宜仅知晓安全区的存在或其中的活动
B、为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作
C、使用的安全区域宜上锁并定期予以评审
D、经授权,不宜允许携带摄影、视频或其他记录设备,例如移动设备中的相机
58、为控制文件化信息,适用时,组织应强调以下哪些活动?()
A、分发,访问,检索和使用
B、存储和保护,包括保持可读性
C、控制变更(例如版本控制)
D、保留和处理
59、关于按照相关国家标准强制性要求进行安全合格认证的要求,以下正确的选项是()。
A、网络关键设备
B、网络安全专用产品
C、销售前
D、投入运行后
60、信息安全管理体系审核应樽循的原则包括()。
A、诚实守信
B、保密性
C、基于风险
D、基于事实的决策方法
61、关于个人信息安全的基本原则,以下正确的是()。
A、目的明确原则
B、最少够用原则
C、同意和选择原则
D、公开透明原则
62、下列哪项属于《认证机构管理办法》中规定的设立认证机构应具备的条件?()
A、具有固定的办公场所和必备设施
B、注册资本不得少于人民币600万元
C、具有10名以上相应领域的专职认证人员
D、具有符合认证认可要求的管理制度
63、组织在风险处置过程中所选的控制措施需()。
A、将所有风险都必须被降低到可接受的级别
B、可以将风险转移
C、在满足公司策略和方针条件下有意识、客观地接受风险
D、规避风险
64、关于审核委托方,以下说法正确的()。
A、认证审核的委托方即受审核方
B、受审核方是第一方审核的委托方
C、受审核方的行政上级作为委托方时是第二方审核
D、组织对其外包服务提供方的审核是第二方审核
65、投诉处理过程应包括()。
A、投诉受理、跟踪和告知
B、投诉初发评事投诉调查
C、投诉响应沟通决定
D、投诉终止
66、信息安全管理中,以下属于“按需知悉(need-to-know)”原则的是()。
A、根据工作需要仅获得最小的知悉权限
B、工作人员仅需要满足工作任务所需要的信息
C、工作人员在满足工作任务所需要的信息,仅在必要时才可扩大范围。
D、组织业务范围是可访问的信息
67、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块,为方便各项目组讨论,公司创建了一个share folder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是()。
A、各项目人员访问该share folder需要得到授权
B、获得share folder访问权者可访问该目录下所有子文件夹
C、IT人员与各项目负责人共同定期评审share folder访问权
D、IT人员不定期删除share folder数据以释放容量,此活动是容量管理,游戏开发人员不参与
68、信息安全管理体系范围和边界的确定依据包括()。
A、业务
B、组织
C、物理
D、资产和技术
69、以下属于信息安全管理体系审核的证据是()。
A、信息系统运行监控中心显示的实时资源占用数据
B、信息系统的阈值列表
C、数据恢复测试的日志
D、信息系统漏洞测试分析报告
70、信息安全绩效的反馈,包括以下哪些方面的趋势?()
A、不符合和纠正措施
B、监视测量的结果
C、审核结果
D、信息安全方针完成情况
三、判断题
71、实习审核员可以独立完成审核任务()。
A 正确
B 错误
72、组织使用云盘设施服务时,GB/T22080-2016/ISO1EC27001:2013中A12.3.1条款可以删减()。
A 正确
B 错误
73、《中华人民共和国网绍安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者()。
A 正确
B 错误
74、当需要时,组织可设计控制,或识别来自任何来源的控制()。
A 正确
B 错误
75、某组织定期请第三方对其IT系统进行漏洞扫描,因此不再进行其他形式的信息安全风险评估,这在认证审核时是可接受的()。
A 正确
B 错误
76、容量管理策略可以考虑增加容量或降低容量要求()。
A 正确
B 错误
77、某组织在生产系统上安装升级包前制定了回退计划,这符合GB/T22080-2016/ISO/IEC27001:2013标准A12.5.1条款的要求()。
A 正确
B 错误
78、审核方案应包括审核所需的资源,例如交通和食宿()。
A 正确
B 错误
79、组织应持续改进信息安全管理体系的适宜性、充分性和有效性()。
A 正确
B 错误
80、最高管理层应确保方针得到建立()。
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
