一、单选题
1、依据GB/Z20986,信息安全事件的分级为()。
A、特别严重事件、严重事件、一般事件
B、特别重大事件、重大事件、较大事件、一般事件
C、I级、II级、III级、IV级、V级
D、严重事件、较严重事件、一般事件
2、以下属于信息安全管理体系审核发现的是()。
A、审核员看到的物理入口控制方式
B、审核员看到的信息系统资源阈值
C、审核员看到的移动介质的使用与安全策略的符合性
D、审核员看到的项目质量保证活动与CMMI规程的符合性
3、ISMS文件的多少和详细程度取决于()。
A、组织的规模和活动的类型
B、过程及其相互作用的复杂程度
C、人员的能力
D、以上都对
4、以下关于VPN描述正确的是( )。
A、VPN指的是用户自己租用线路,和公共网络物理上完全是隔离的、安全的线路
B、VPN指的是用户通过公用网络建立的临时的、安全的连接
C、VPN不能做到信息认证和身份认证
D、VPN只能提供身份认证,不能提供加密数据的功能
5、1999年,我国发布的第一个信息安全等级保护的国家标准GB17859-1999,提出将信息系统的安全等级划分为()个等级,并提出每个级别的安全功能要求。
A、7
B、8
C、6
D、5
6、关于“纠正措施”,以下说法正确的是()。
A、“针对不符合的原因分析必须釆用"因果分析法”
B、审核组对于不符合项原因分析的准确性影响纠正措施的有效性受审核方对于
C、不符合项原因分析的准确性是影响纠正措施有效性的因素之一
D、以上都对
7、某银行将其物理区域按敏感性划分了安全等级,其中金库为最高等级,审核员进入金库审核须得到分行长批准。针对该场景,以下说法正确的是()。
A、金库敏感性太高,应排除在认证审核范围之外
B、这符合GB/T 22080-2016/ISO/IEC 27001:2013标准A9.1.1的要求
C、这符合GB/T 22080-2016/ISO/IEC 27001:2013标准A11.1.2的要求
D、这符合GB/T 22080-2016/ISO/IEC 27001:2013标准A6.1.2的要求
8、设立信息安全管理体系认证机构,须得到以下哪个机构的批准,方可在中国境内从事认证活动()。
A、中国合格评定国家认可委员会
B、中国国家认证认可监督管理委员会
C、认证认可协会
D、工商注册管理部门
9、以下不属于认证机构应考虑对组织的信息安全管理体系实施特殊审核的情形的是()。
A、组织获证范围内的业务活动场所、地址变更
B、组织的适用性声明中对控制措施的选释相关内容发生变更
C、组织获证范围内业务应用系统发生重大变更,如系统架构变更
D、组织的信息安全管理体系年度内部审核计划变更
10、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全方针的违反或控制措施的失效,或是和安全相关的一个先前未知的状态。
A、信息安全事态
B、信息安全事件
C、信息安全肃故
D、信息安全故障
11、已获得认证的组织,第二年拟在证书范围上新增加一个场所,针对此情况,以下说法正确的是()。
A、新增场所须实施现场审核,在监督审核人天数基础上加一个人天
B、新增场所须实施现场审核,新增场所按初审计算人天数
C、若组织内审已覆盖新增场所,监督审核时对组织内审报告进行评审,不必去该新场所现场审核
D、新增场所须实施现场审核,按监督审核计算人天数
12、管理体系认证审核的范围即()。
A、组织的全部经营管理范围
B、组织的全部信息系统机房所在的范围
C、组织承诺建立、实施和保持管理体系相关的组织位置、过程和活动以及时期的范围
D、组织机构中所有业务职能涉及的活动范围
13、针对获证组织扩大范围的审核,以下说法正确的是()。
A、必须和监督审核一起进行
B、是监督审核的形式之一
C、一种特殊审核
D、以上都对
14、下列哪个不是审核计划必须的内容?()
A、受审核方的联系人
B、审核目的
C、审核范围
D、预计的现场审核持续时间
15、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。
A、恢复全部程序
B、恢复所有数据
C、恢复网络设置
D、恢复整个系统
16、信息安全管理中,“远程访问”指()。
A、访问者的物理位置与被访问客体不在一个城市
B、访问者的物理位置与被访问客体的距离大于30米
C、访问者的物理位置与被访问客体的距离大于15米
D、访问者从并不永久连接到所访问网络的终端访问资源
17、将计算机信息系统中的自主和强制访问控制扩展到所有主体和客体,这是()。
A、二级及以上的要求
B、三级及以上的要求
C、四级及以上的要求
D、五级的要求
18、某认证机构A获得批准实施QMS认证,但未获得批准实施ISMS认证;认证机构B获得批准实施ISMS认证,但未获得谁实施QMS认证:某审核员同时具备QMS审核员资格以及ISMS审核员资格,对此以下说法正确的是()。
A、该审核员可在机构A专职从事QMS认证审核,同时加入机构B作为兼职审核员从事ISMS认证审核
B、项审核员可在机构B专职从事ISMS认证审核,同时加入机构A从事QMS认证审核
C、该审核员若在机构A从事QMS认证审核,同时在机构B从事ISMS认证审核则在两个机构都只能担当兼职审核员,不得担当专职审核员
D、该审核员只可在机构A从事QMS认证审核,或在机构B从事ISMS认证审核,无论担当专职还是兼职审核员
19、认证审核期间,当审核证据表明审核目的不能实现时,审核组应()。
A、一起讨论,决定后续措施
B、审核组长权衡,决定后续措施
C、由受审核方决定后续措施
D、报告审核委托方并说明理由,确定后续措施
20、关于第三方认证的监督审核,以下说法不正确的是()。
A、可以与其他监督活动一起策划
B、目的在于认证机构对获证客户信息安全管理体系在认证周期内持续满足要求保持信任
C、每次监督审核应包括对内审、管理评审和持续的运作控制的审核
D、不一定是对整个体系的审核,不一定是现场审核
21、审核过程中发现的不符合项的描述和分级由下列哪个角色负责?()
A、发现该不符合项的审核员
B、审核组长
C、受审核方负责人
D、该不符合涉及的受审核方责任人
22、不属于计算机病毒防治的策略是()。
A、确认您手头常备一张真正“干净”的引导盘
B、及时、可靠升级反病毒产品
C、新购置的计算机软件也要进行病毒检测
D、整理磁盘
23、审核组中的技术专家是()。
A、为审核组提供文化、法律、技术等方面知识咨询的人员
B、特别负责对受审核方的专业技术过程进行审核的人员
C、审核期间为受审核方提供技术咨询的人员
D、从专业的角度对审核员的审核进行观察评价的人员
24、当访问单位服务器时,响应速度明显减慢时,最有可能受到了哪一种攻击?()
A、特洛伊木马
B、地址欺骗
C、缓冲区溢出
D、公拒绝服务
25、残余风险是()。
A、低卡可接受风险水平的风险
B、高于可接受风险水平的风险
C、经过风险处置后剩余的风险
D、未经处置的风险
26、与审核准则有关的并且能够证实的记录、事实陈述或其他信息称为()。
A、信息安全信息
B、审核证据
C、检验记录
D、信息源
27、在以下人为的恶意攻击行为中,属于主动攻击的是()。
A、数据篡改及破坏
B、数据窃听
C、数据流分析
D、非法访问
28、对于针对信息系统的软件包,以下说法正确的是()。
A、组织应具有有能力的人员,以便随时对软件包进行适用性修改
B、应尽量劝阻对软件包实施变更,以规避变更的风险
C、软件包不必作为配置项进行管理
D、软件包的安装必须由其开发商实施安装
29、为了确保布缆安全,以下正确的做法是()。
A、使用同一电缆管道铺设电源电缆和通信电缆
B、网络电缆采用明线架设
C、配线盘应尽量放置在公共可访问区域,以便于应急管理
D、使用配线标记和设备标记,编制配线列表
30、下列哪项不属于《认证机构管理办法》中规定的设立认证机构应具备的条件()。
A、具有固定的办公场所和必备设施
B、注册资本不得少于人民币600万元
C、具有10名以上相应领域的专职认证人员
D、具有符合认证认可要求的管理制度
二、多选题
31、能够表明审核方案得到执行的证据包括()。
A、审核计划
B、审核报告
C、审核员能力评价记录
D、认证证书
32、信息安全管理体系认证是()。
A、与信息安全管理体系有关的规定要求得到满足的证实活动
B、对信息系统是否满足有关的规定要求的评价
C、信息安全管理体系认证是合格评定活动的一种
D、是信息系统风险管理的实施活动
33、一种关于()、应急响应和灾后恢复的计划不能被称为应急预案。
A、备份
B、灭火
C、培训
D、评审
34、组织应有正式的传输(),以保护通过使用各类型通信设施进行的信息传输。
A、策略
B、计划
C、规程
D、控制
35、在设计和应用安全区域工作规程时,宜考虑()。
A、基于“须知”原则,员工宜仅知晓安全区的存在或其中的活动
B、为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作
C、使用的安全区域宜上锁并定期予以评审
D、未经授权,不宜允许携带摄影、视频或其他记录设备,例如移动设备中的相机
36、以下属于“责任分割”原则范畴的做法是()。
A、不同职级人员工作区域隔离
B、保持安全审核人员的独立性
C、授权者、操作者和监视者三者责任分离
D、事件报告人员与事件处理人员职责分离
37、在规划如何达到信息安全目标时,组织应确定()。
A、要做什么,需要什么资源
B、由谁负责,什么时候完成
C、完成的目标是什么版权所有
D、如何评价结果
38、识别和评价风险处置的可选措施,可能的措施不是()。
A、采用适当的控制措施在明显满足组织方针策略和接受风险的推则的条件下,不接受风险
B、淡化风险,将相关业务风险转移到其他地方,如保险,供应商等
C、采用适当的控制措施淡化风险
D、采用适当的控制措施将相关业务风险转移到其他地方,如保险,供应商等
39、为了实现在网络上自动标识设备,以下做法正确的是()。
A、启用DHCP动态分配IP地址功能
B、为网络设备分配固定P地址
C、将每一台计算机MAC与不个IP地址绑定
D、采取有效措施禁止修改MAC
40、A公司对其核心业务系统中的数据采用每天磁盘备份、每月光盘备份,并在两个城市部署了数据中心,这两个数据中心可以做到实时数据备份。这符合标准GB/T22080-2016/ISO/IEC27001:2013标准哪些条款的要求?()
A、A8.3.1
B、A12.3.1
C、A14.3.1
D、A17.2.1
三、填空题
41、公司的安全策略规定,通向A公司办公楼层的电梯须凭授权门禁卡刷卡乘梯。办公楼电梯门禁卡的发放由物业公司B负责。A公司完成申请批准流程的人员凭本人身份证及审批单到B公司办理领取相应楼层电佛门禁卡。A公司将物理区域的日常安保管理外包给C公司。中秋节时,A公司举办为期1天的大型活动,邀请200人参加,为参加者便利,委托C公司统一收集受邀者身份证、统一办理申请批准、统一到B公司办理领取200张电梯门禁卡,然后分发给活动受邀者使用,并于活动结束当天由C公司收回这些电梯门禁卡。11月审核员到A公司审核时发现,C公司并未将该200张卡退还B公司进行销权,而是自行保存,有其他申请者需要时发放使用,省去了每次跑B公司办理的麻烦。审核员抽查了几张卡,申请者与持有并使用者非同一人,并调阅B公司发卡登记的身份证信息既非现持有并使用者,亦非申请者,发卡登记的身份证信息拥有者目前既不是A、B、C公司员工,亦不是任何项目合作者。请依据GB/T22080-2016/ISO/IEC27001:2013标准,阐述你对上述场景的审核思路。
参考答案:1、查A公司是否对提供安保服务的C公司有安全要求及相关规定,查相关的服务协议或服务合同。 2、查A公司是否对C公司的安保服务定期进行了评审,抽3-5份评审记录。 3、A公司在本次审核前是否发现本信息安全事件,是否采取了相应的措施予以追踪,是否对C公司进行了审核。 4、查本事件发生之前是否发生过由于C公司提供服务的原因,导致的信息安全事件,处理过程如何? 5、A公司是否督促C公司马上停止滥发门禁卡的行为,并马上采取纠正及提出纠正措施实施方案。 6、A公司对本次信息安全事件管理过程后是否再次进行风险评估。 7、本事件发生后A公司是否收集了事件的相关证据并进行了事件分析,抽查分析记录。 8、A公司内部是否划定了安全区、交接区。既不是ABC公司员工,也不是项目合作者,进到A公司后,A公司在安全区域及交接区是如何识别控制的,抽查来访人员登记记录。
42、在A公司人事部,审核员向人力资源部负责人了解培训情况时得知,公司负责网络安全的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成绩级证书,该负责人说,证书他们自己保存,我们替他们保存反而不方便。培训成绩在培训机构,你们要看的话,我打电话联系,让他们发过来。审核员同意,并查阅了发过来的成绩,由于成绩合格,审核员表满意,并结束了培训的审核。这样的审核是否符合要求?为什么?如果请你去审核,你会怎么做?
参考答案:1、查公司是否制定了年度培训方案,是否包含了本次培训的丙容。是否按培训方案的要求执行了本次培训。 2、查公司制定的培训方案中是否覆盖全面,不仅包括基本的信息安全规程,还应包括管理层对信息安全的承诺、员工应遵从的信息安全规则和义务要求、个人作为和不作为的问责要求、法律法规等培训内容。 3、查培训方案中是否有对培训记录要形成文件化信息的要求。 4、查本次网络安全培训的其他相关记录,是否形成文件化信息。 5、查外培的授课内容是否与本公司的信息安全策略相违背。 6、查是否有对本次培训效果的评估记录,即培训有效性的评价。
四、简答题
43、A公司使用SANPOR系统管理公司网络,审核员发现该系统只有2个用户:“ADMIN”和“SANFOR”,其中ADMIN同时拥有制定网策略、配置实施上网策略、日志中心审计等权限,SANFOR只有查看策略的权限。系统管理员(即ADMIN用户)解释说:“公司人手少,就只设置了我一个人做网管,SANFOR是我的领导,平时不过问我工作。”
参考答案:不符含GB/T22080-2016中条款A6.1.2应分离冲突的职责及其责任范围,以减少未授权或无意的修改或煮不当使用组织资产的机会。 不符合事实:公司SANFOR系统中ADMIN用户同时拥有制定上网策略、配置实施上网策略、日志中心审计等权限,解释说:“公司人手少,就只设置了我一个人做网管。”
44、公司信息化系统平台较多,专门成立了信息化部负责公司的网络服务。询问信息化主管领导公司是否与IT部门之间签订了网络服务协议。主管领导认为都是公司内部的事情。不涉及其他外部承包方。所以公司没有必要与信息化部之间签订网络服务协议。
参考答案:不符合GB/T22080-2016中条款A13.1.2网络服务的安全:所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的。 不符合事实:公司成立了信息化部未与IT部门签订网络服务协议。
45、某制造企业釆用全自动化生产线生产产品。审核员在部件成型车间审核时发现,一份纸质NOTEBOOK封面上写着“CMAX41卷料机异常交接本",其中用不同笔迹记载着上一年度8月份以来CMAX-01号设备发生过的异常情况、软件更改、运行参数更改、硬件维护更换等,当审核员问道这些调整和更改的具体内容、授权 情况,以及谁执行的,该车间自动化设备负责人说:都是技术人员自己把握,公司对这些没有具体要求。
参考答案:不符合GB/T22080-2016中条款A12.1.2应控制影响信息安全的变更,包括组织、业务过程、设施和系统变更。 不符合事实:对在部件成型车间“CMAX41卷料机异常交接本"中用不同笔迹记载着上一年度CMAX-01型设备发生的异常情况、软件更改、运行参数更改、硬件维护更换等信息,对于这些调整和更改的信息的具体内容、授权情况,以及谁执行的,公司没有具体要求。
46、“弘历”公司是某行业微电子产品的领先企业。该公司的生产工艺数据文件信安金敏感性等级列为最高级。仅许可技术开发人员读取。审核员在企业审核使用的工作房间是F3-0415公共会议室。企业配备了一台公共电脑在会议连接投影仪用。审核员通过该电脑查看网络共享情况时发现标识为F3EO3#的计算机上存有1~3季度“产品工艺统计分析报告”。该负责人解释说:“是当时为了牙会时论方便,把这些资料在这台公用计算机上共享的。”这个会议室企业外面的人反正也进不来。这毕资料会后没有删除也不会有什么风险。
参考答案:不符合GB/T22080-2016中条款A11.1.6访问点(例如交接区和术授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。 不符合事实:F3-0415会议室公用计算机上可以访问到“产品工艺统计分析报告”等高敏感性资料。
47、审核员在MODEC公司审核时发现,公司在上年度更新的《SMEE风险系统设置标准V5.0》中规定了安全配置基线,审核员问这些基线最近一次的配置时间,网络部负责人回答说:“这些基线是5年前公司刚搬到现在地址时配置的,因为这些基线太重要了我们平时不允许随时访问。”审核员问到这些基线是否与《SMEE网络系统设置标准V5.0》规定一致?网络资责人回答说:“当时的网络管理员3年前已经离职了,他离职前应该是查过的,不会有问题。我们其他人没有再查过。”
参考答案:不符合GB/T22080-2016中条款A12.1.2应控制影响信息安全的变更,包括组织、业务过程、信息处理设施和系统变更。 不符合事实:公司《SEE风险系统设置标准V5.0》基线是5年前配置的,网络管理员3年前已经离职,其他人没有再查过。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
