一、单选题
1、ISMS审核常用的审核方法不包括()。
A、纠正预防
B、文件审核
C、现场审核
D、远程审核
2、下列说法不正确的是()。
A、审核组可以由一名或多名审核员组成
B、至少配备一名经认可具有专业能力的成员
C、实习审核员可在技术专家指导下承担审核任务
D、审核组长通常由高级审核员担任男
3、当获得的审核证据表明不能达到审核目的时,审核组长可以()。
A、宣布停止受审核方的生产/服务活动
B、向审核委托方和受审核方报告理由以确定适当的措施
C、宜布取消末次会议
D、以上各顶都不可以
4、假如某人向一台远程主机发送特定的数据包,却不想远程主机响应其的数据包,说明此人能使用的是下列哪一种类型的攻击手段?()
A、特洛伊木马
B、地址欺骗
C、缓冲区溢出
D、拒绝服务
5、第三方认证审核时确定审核范围的程序是()。
A、组织提出、与审核组协商、认证机构确认、认证合同规定
B、组织申请、认证机构评审、认证合同规定、审核组确认
C、组织提出、与咨询机构协商、认证机构确认
D、认证机构提出、与组织协商、审核组确认、认证合同规定
6、ISMS管理评审的输出应包括()。
A、可能影响ISMS的任何变更
B、以往风险评估没有充分强调的脆弱点或威胁
C、风险评估和风险处理计划的更新
D、改进的建议
7、审核员在信息安全控制措施评审过程中釆用的评审方法不包括()。
A、检查
B、访谈
C、测试
D、暗访
8、第三方认证时的监督审核不一定是对整个体系的审核,以下说法正确的是()。
A、组织获得认证范围内的职能区域可以抽查,但标准条款不可以抽查
B、组织获得认证范围内的业务过程可以抽查,但职能区域不可以抽查
C、组织获得认证范围内的业务过程和职能区域都不可以抽查,仅标准条款可以抽查
D、标准条款可以抽查,但针对内审和管理评审以及持续改进方面的审核不可缺
9、在第三方认证审核时,()不是审核员的职责。
A、实施审核
B、确定不合格项
C、对发现的不合格项采取纠正措施
D、验证审核方所采取纠正措施的有效性
10、确定资产的可用性要求须依据()。
A、授权实体的需求
B、信息系统的实际性能永平
C、组织可支付的经济成本
D、最高管埋者的决定
11、组织称满足GB/T22080-2016/ISO/1EC27001-2013标准要求时()。
A、以可状对正文第八章内容进行删减
B、可以对正文第四章到第八章进行删减,删减需要有别减理由
C、正文不可以删减,仅能对附录A的控制进行删减,删减需要有删减理由
D、标准全文都不可以删减
12、关于认证审核报告,以下说法正确的是()。
A、审核方案管理人员应确保审核报告得到评审和批准
B、审核组长应确保审核报告得到评审和批准
C、管理者代表应确保审核报告得到评审和批准
D、管理者代表应评审和批准审核报告
13、末次会议包括()。
A、请受审核方确认不符合报告、并签字
B、向受审核方递交审核报告
C、双方就审核发现的不同意见进行讨论
D、以上都不准确
14、在每天下午5点使用计算机结束时断开终端的连接属于()。
A、外部终端的物理安全
B、通信线的物理安全
C、窃听数据
D、网络地址欺骗
15、风险评估的基本过程是怎样的?()
A、识别并评估重要的信息资产,识别各种可能的威胁和严重弱点,最终确定风险
B、通过以往发生的信息安全事件,找到风险所在
C、风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位
D、风险评估并没有规律可循,完全取决于评估者的经验所在
16、对保密文件复印件张数核对是确保保密文件的()。
A、保密性
B、完整性
C、可用性
D、以上全部
17、强制访问控制是针对()等级的信息系统。
A、二级(含)以上
B、三级(含)以上
C、四级(含)以上
D、五级
18、以下有关访问控制的描述不正确的是()。
A、口令是最常见的验证身份的措施,也是重要的信息资产,需要保护和管理
B、系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,部分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不予分配。
C、单点登录系统以一次登录/验证,即可访问多个系统)最大的优势是突出了便利性。但是又面临着“把所有鸡蛋放一个篮子”的风险
D、双因认证(又称强认证)就是一个系统需要两道密码才能进入
19、认证审核初审时,可以不进行第一阶段审核的条件之一是()。
A、审核组考虑时间效率可用一个阶段审核完成所有的审核准则要求
B、审核组长已充分了解受审核方的信息安全管理过程
C、受审核方认为一个阶段的审核能完成全部的审核要求
D、不允许第一阶段不进行现场审核的情况
20、关于备份,以下说法正确的是()。
A、备份介质应定期进行恢复测试
B、如果组织删减了“信息安全连续性”要求,同机备份或备份本地存放是可接受的
C、退化的备份介质一定会影响备份信息的恢复
D、备份信息不是管理体系运行记录,不须规定保存期
21、以下哪一方面不属于在编制信息安全方针时宜考虑的要求()。
A、业务战略
B、法律、法规和合同
C、当前和预期的信息安全威胁环境
D、年度财务预算要求
22、下列哪项不属于技术符合性的评审()。
A、渗透测试
B、脆弱性评估
C、运行系统的检查
D、日常设备巡检
23、ISMS文件评审需考虑()。
A、请受审核方确认ISMS文件审核报告,并签字
B、收集信息,以准备审核活动和适当的工作文件
C、双方就ISMS文件框架交换不同意见
D、以上全部
24、下列哪项不属于最高管理层用来证实对信息安全管理体系的领导和承诺活动?()
A、确保建立了信息安全策略和信息安全目标,并与组织战略方针一致
B、确保将信息安全管理体系要求整合到组织过程中
C、促进持续改进
D、确保信息安全职责分离
25、依据GB/Z20986,信息安全事件的分级为()。
A、特别严重事件、严事件、一般事件
B、特别重大事件、重大事件、较大事件、一般事件
C、I级、II级级、IV级、V级
D、严重事件、严重事件、一般事件
26、信息安全灾备管理中,“恢复点目标”指()。
A、灾雅发生后,信息系统或业务功能从停顿到必须恢复的时间
B、灾难发生后,信息系统或业务功能项恢复的范围
C、灾难发生后,系统和数据必须恢复到的时间点要求
D、灾难发生后,关键数据能被复原的范围
27、《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,釆取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()。
A、1个月
B、3个月
C、6个月
D、12个月
28、以下可认定为审核范围变更的事项是()。
A、受审核组织增加一个制造场所
B、受审核组织职能单元和人员规模增加
C、受审核组织业务过程增加
D、以上全部
29、在信息安全管理中进行()。
A、内容监控
B、安全教育和培训
C、责任追查和惩处
D、访问控制
30、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在()向当地县级以上人民政府公安机关报告。
A、8小时内
B、24小时内
C、12小时内
D、48小时内
二、多选题
31、ISMS审核报告的编制应包括()。
A、所引用的适用性声明的版本
B、对受审核方信息安全风险分析进行的认证审核的说明
C、适用性声明中控制措施的合理性和有效性
D、法律法规
32、关于个人信息安全的基本原则,以下正确的是()。
A、目的明确原则
B、最少够用原则
C、同意和选择原则
D、公开透明原则
33、信息安全管理体系审核的范围即()。
A、组织的全部经尊管理
B、组织的都信息安全管理范围
C、组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息安全管理体系范围
D、组织承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系的范围
34、关于多现场抽样审核,以下说法正确的是()。
A、认证机构的审核方案要在三年内覆盖ISMS认证范围内的代表性样本
B、认证机构的审核方案要在三年内覆盖ISMS认证范围内的所有场所
C、总部或单个场所发现不符合其纠正措施的实施适用于总部和所有场所
D、单个场所发现不符合其纠正措施的实施适用于总部和该单个场所
35、组织在进行布缆安全时,宜保证传输数据或支持信息服务的电源布缆免受窃听、干扰或损坏,宜考虑()。
A、进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的保护
B、为了防止干扰,电源电缆宜与通信电缆分开
C、对于敏感的或关键的系统,宜考虑更进一步的控制
D、所有电缆线进行用途标识
36、以下对网络安全管理的描述中,正确的是()。
A、安全管理需要对重要网络资源的访问进行监视
B、安全管理需要验证用户的访问权限和优先级
C、安全管理的操作依赖于设备的类型
D、安全管理的目标是保证重要的信息不被未授权的用户访问
37、为了实现在网络上自动标识设备,以下做法正确的是()。
A、启用DHCP动态分配IP地址功能
B、为网络设备分配固定IP地址
C、将每一台计算机MAC与一个IP地址绑定
D、釆取有效措施禁止修改MAC
38、以下属于信息安全事件的是()。
A、软件自身故障
B、硬件或外围保障设施自身故障
C、人为破坏设备设施事故
D、计划的系统维护期间的业务停止
39、认证审核时,对于审核组提出的不符合审核准则的审核发现,以下说法不正确的是()。
A、受审核方负责采取纠正措施,纠正措施的实施是审核活动的一部分
B、审核组须验证纠正措施的有效性,纠正措施的实施不是审核活动的一部分
C、审核组须就不符合项的原因分析提出建议,确定纠正措施是否正确
D、采取纠正措施是受审核方的职责,审核组什么都不做
40、A公司定期将新聘用员工的应聘资料邮寄总部,资料经密封处理后交予物流公司,并与物流公司签定了保密协议,以下不涉及的条款包括()。
A、A8.2.1
B、A8.2.2
C、A8.3.3
D、A15.1.2
三、填空题
41、一个组织的网络管理人员,接到人事部门通知被解职,组织应按照一般的安全策略执行哪些安全措施?
参考答案:应主要考虑以下几方面的安全策略: 1)按A7.3.1要求应确定任用或变更后仍有效的信息安全责任及其职责,传达给所有员工或合同方并执行。并且在员工、合同方雇佣结束后持续一段时间仍然有效的任用条款和条件 2)按A8.1.4要求所有员工和外部用户在任用、合同或协议终止时,应归还其占用的所有组织资产。 3)按A9.2.2要求应对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或 撤销访问权。 4)按A9.2.6所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。 5)按A13.2.4要求应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。
42、审核员在现场审核时,发现公司存有一份软件清单,当询问清单上所列的软件是否都是通过正规途径用买的软件,管理员回答有的是到正规商店,有的是通过网络购买的。如果您是审核员,您会如何审核?
参考答案:1.查公司有没有相关软件购买的采购程序和软件采购方案,要求是否满足法律法规的规定。 2.查是否对软件供方进行过合格供方评价,评价供方是否满足要求。 3.查是否有清单上购买软件的采购记录、软件服务合同(协议)等信息,收集购买授权数量、版本、安装记录、使用人员等信息,按安装设备数量进行抽样检查。 4.检查是否有经过授权安装软件的情况,公司对安装软件是否有相关规定?如果有是否按规定执行?是否有相关软件批准安装的文件信息? 5.随机间问软件使用人员是否知道公司软件安装使用规定?是否有进行过软件使用培训?
四、简答题
43、A公司其产品生产加工车间为无人车间,生产系统的运维由厂商MD公司工程师进行包括系统参数调整、软件升级等。生产部按公司规定在MD公司工程师进行生产区域操作时执行了“物理区域进入授权”、“操作期间全程陪同”等措施,审核员询问MD公司工程师调整系统参数、软件升级是秀需要公司授权?生产部经理回答:不需要,因为这套系统就是MD公司的产品,他们比我们更懂。
参考答案:不符合GB/T22080-2016中条款A15.2.2应管理供应商所提供服务的变更,包括维护和改进现有的信息安全策略、规程和控制,管理应考虑变更涉及到的业务信息、系统和过程联键程度及风险的再评估。 不符合事实:A公司生产系统的运维由厂商MD公司工程师进行,包括系统参数调整、软件升级等。系统参数、软件升级不需要公司授权,因为这套系统就是MD公司的产品,他们更懂。
44、A公司主营业务为工业设备代理销售。审核员在审核销售部时发现,公司的全部销售业务以及与顾客的关系管理数据的维护均依赖网络及信息系统完成,当问及这些系统的维护和管理时,公司管理者代表解释说,公司维护IT系统的工作全由沈某一人担任,称沈某人非常正直可靠,所有的IT系统维护和监控项目均由其1人完成,从未出过信息安全事故。审核员请来沈某询问,沈某确认其工作职责包括对各业务线小组人员的权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性审核等所有的内容。
参考答案:不符合条款:GB/T22080-2016中A6.1.2:应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。 不符合事实:查销售部销售信急系统维护,全由沈某一人完成,经沈某确认其工作职责包括对各业务线小组人员的权限设置、系统运行监视系统维护和升级、以及系统安全策略符合性审核等所有的内容。
45、审核员审核时,通过观察工作人员使用销售管理信息系统时发现,所有人员可以使用相同的权限,审核员进一步了解,系统管理员解释说系统仍在开发中,但公司业务需要一边用一边开发,等待完成后再考虑按角色授权访问。
参考答案:不符合条款GB/T22080-2016标准中A9.4.1:应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:查公司销售管理信息系统,所有人员可以使用相同的权限。
46、审核员在审核过程中发现组织某系统操作手册规定系统出现运行问题时可以请求开发商进行帮助,抽查相关记录时发现,企业在年中进行价格策略调整时,调整配置工作是由开发人员测试帐号完成的。
参考答案:不符合条款:GB/T22080-2016中A9.4.1信息访问限制应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:该单位年中价格策略调整配置工作是由开发人员测试帐号完成的。
47、某软件开发和运维服务公司面向各行业客户提供应用软件产品及相应的运维支持服务,公司只为员工配备台式电脑,另准备了几台便携式电脑供大家需要时借用。笔记本电脑的借用、归还均由公司前台接待小梅兼管。审核员询问小梅:软件开发和客户现场运维部门的人员还电脑时是否要清除资料?小梅说自己有时间时会帮忙清除的,太忙的时候就下次借用的工程师自己清除。审核员访问负责安装部的运维实施部秦主管:工程师出差时借用的电脑通常会有什么资料?秦主管回答:通常有打算给客户安装的软件包、按合同交付客户的设计文档等。审核员査公司《信息资产管理规定》:客户定制软件产品及相关设计资料仅项目组可访问、获取。
参考答案:不符合GB/T22080-2016中条款A11.2.7包含储存介质的设备的所有部分应进行核査,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。 不符合事实:查公司笔记本电脑的借用、归还情况,根据《信息资产管理规定》工程师出差时借用的电脑仅项目组可访问、获取,小梅说笔记本归还后自己有时间时会帮忙清除的,太忙的时候就下次借用工程师自己清除。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
