一、单选题
1、GB/T22080-2016标准中要求保护“测试数据”,以下符合这以要求的情况是()。
A、确保使用生产环境数据用于测试时真实、准确
B、确保对信息系统测试所获得的数据的访问控制
C、对用于信息系统测试的数据进行匿名化处理
D、以上全部
2、包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件已被删除或安全地写覆盖。
A、系统软件
B、游戏软件
C、杀毒软件
D、任何敏感信息
3、表示客体安全级别并描述客体敏感性的一组信息,是()。
A、敏感性标记,是可信计算机中强制访问控制决策的依据
B、关键性标记,是可信计算机中强制访问控制决策的依据
C、关键性等级标记,是信息资产分类分级的依据
D、敏感性标记,是表明访问者安全权限级别
4、不属事于WEB服务器的安全措施的是()。
A、保证注册帐户的时效性
B、删除死帐户
C、强制用户使用不易被破解的密码
D、所有用户使用一次性密码
5、对于第三方服务提供方,以下描述正确的是()。
A、为了监视和评审第三方提供的服务,第三方人员提供服务时应有人员全程陪同
B、应定期度量和评价第三方遵从商定的安全策略和服务水平的程度
C、第三方服务提供方应有符合ITIL的流程
D、第三方服务的变更须向组织呈报以备案
6、关于可信计算基,以下说法正确的是()。
A、指计算机系统中用作保护装置的硬件、固件、软件等的组合体
B、指配置有可信赖安全防护硬件、软件产品的计算机环境
C、指通过了国家有关安全机构认证的计算机信息系统
D、指通过了国家有关机构评测的计算机基础设施,含硬件、软件的配置
7、开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
A、配置
B、系统
C、终端
D、运行
8、《中华人民共和国网络安全法》的实施时间是()。
A、42522
B、42681
C、42887
D、43046
9、末次会议包括()。
A、请受审核方确认不符合报告、并签字
B、向受审核方递交审核报告
C、双方就审核发现的不同意见进行讨论
D、以上都不准确
10、认证审核时,审核组应()。
A、在审核前将审核计划提交受审核方,并与受审核方进行沟通得到确认
B、在审核中将审核计划提交受审核方,并与受审核方进行沟通得到认定
C、在审核后将审核计划提交受审核方,并受审核方进行沟通得到确认
D、在审核后将审核计划提交受审核方,并与受审核方进行沟通得到认可
11、认证审核时,审核组拟抽查的样本应()。
A、由受审核方熟悉的人员事先选取,做好准备
B、由审核组明确总体并在受控状态下独立抽样
C、由审核组和受审核方人员协商抽样
D、由受审核方安排的向导实施抽样
12、下列说法不正确的是()。
A、审核组可以由一名或多名审核员组成
B、配备一名经认可具有专业能力的成员
C、实习审核员可在技术专家指导下承担审核任务
D、审核组长通常由高级审核员担任
13、信息安全管理体系审核时,为了获取审核证据,应考虑的信息源为()。
A、受审核方的业务系统相关的活动和数据
B、受审核方场所中已确定为信息安全管理体系范围内的相关过程和活动
C、受审核方申请信息安全管理体系认证范围内的业务过程和活动
D、以上全部
14、审核的工作文件包括()。
A、检査表
B、审核抽样计划
C、信息记录表格
D、A+B+C
15、强制访问控制是针对()等级的信息系统的要求。
A、二级(含)以上
B、三级(含)以上
C、四级(含)以上
D、五级
16、信息安全管理体系审核的抽样过程是()。
A、由受审核方负责策划系统性的抽样方案
B、验收性质的抽样,决定是否可以认证通过
C、通过对总体的评价来推断样本信息
D、调查性质的抽样,有弃真的风险和取伪的风险
17、现场审核的结束是指()。
A、末次会议结束
B、对不符合项纠正措施进行验证后
C、分发了经批准的审核报告时
D、监督审核结束
18、依据GB/T22080,以下不是“适用性声明”文件必须包含的内容是()。
A、实施信息安全控制措施的角色、职责和权限
B、组织选择的控制目标和控制措施,以及选择的理由
C、当前实施的控制目标和控制措施
D、对附录A中可控制目标和控制措施的删减,以及删减的合理性说明
19、依据GB/Z20986,信息安全事件的分级为()。
A、特别严重事件、严重事件般事件
B、特别重大事件、重大事件较大事件、一般事件
C、I级、II级、III级级、V级
D、严重事件、较严重事件、一般事件
20、信息安全管理体系认证是()。
A、与信息安全管理体系有关的规定要求得到满足的证实活动
B、对信息系统是否满足有关的规定要求的评价
C、信感安全管理体系认证不是合格评定活动
D、信息系统风险管理的实施活动
21、以下不属于“责任分割”原则范畴的做法是()。
A、不同职级人员工作区域隔离
B、保持安全审核人员的独立性
C、授权者、操作者和监视者三者责任分离
D、事件报告人员与事件处理人员职责分离
22、组织针对信息系统的升级版,在向生产系统安装前构建受控环境予以测试,这符合()。
A、GB/T22080-2016标准A11.1.3条款的要求
B、GB/T22080-2016标准A14.2.4条款的要求
C、GB/T22080-2016标准A12.5.1条款的要求
D、GB/T22080-2016标准A14.2.9条款的要求
23、以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的安全事件称之为()。
A、有害程序事件
B、僵尸网络事件
C、拒绝服务攻击
D、信息破坏事件
24、以下不是信息安全管理体系认证审核目标应规定的内容的是()。
A、确定所审核的管理体系或其一部分与审核准则的符合程度
B、为制定组织信息安全管理体系改进计划提供输入
C、评价管理体系的能力,以确保满足法律法规和其他相关要求
D、评价管理体系在实现组织信息安全目标方面的有效性
25、以下强健口令的是()。
A、a8mom9y5fub33
B、1234
C、CNAS
D、Password
26、在审核中发现了正在使用的某个文件,这是( )。
A、审核准则
B、审核发现
C、审核证据
D、审核结论
27、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。
A、内容监控
B、安全教育和培训
C、责任追查和惩处
D、访问控制
28、针对获证组织扩大范围的审核,以下说法正确的是()。
A、一种特殊审核,可以和监督审核一起进行
B、是监督审核的形式之一
C、审核时抽样的样式范围和监督审核相同
D、以上都对
29、组织应给予信息头适当级别的保护,是指()。
A、应实施尽可能先进的保护措施以确保其保密性
B、应按偏息对于组织业务的关键性给予充分和必要的保护
C、应确保信息对于组织内的所有员工可用
D、以上都对
30、ISMS管理评审的输出应包括()。
A、可能影响ISMS的任何变更
B、以往风险评估没有充分强调的脆弱点或威胁
C、风险评估和风险处理计划的更新
D、改进的建议
二、多选题
31、()是ISMS关键成功因素
A、用于评价信息安全管理执行情况和改进反馈建议的测量系统
B、信息安全方针、目标和与目标保持一致的活动
C、有效的业务连续性管理方法
D、有效的信息安全事件管理过程
32、依据GB/Z20986,确定为重大社会影响的情况包括()。
A、涉及到一个或多个地市的大部分地区
B、威胁到国家安全
C、扰乱社会秩序
D、对经济建设有重大负面影响
33、关于多现场抽样审核,以下说法正确的是()。
A、认证机构的审核方案要在三年内覆盖ISMS认证范围内的代表性样本
B、认证机构的审核方案要在三年内覆盖ISMS认证范围内的所有场所
C、总部或单个场所发现不符合其纠正措施的实施适用于总部和所有场所
D、单个场所发现不符合其纠正措施的实施适用于总部和该单个场所
34、关于个人信息安全的基本原则,以下正确的是()。
A、目的明确原则
B、最少够用原则
C、同意和选择原则
D、公开透明原则
35、以下不符合“客体重用”准则的是()。
A、当项目组A成员离开项目组A进入项目组B时,其在项目组A时持有并使用的PC直接带入项目组B使用
B、资产编号为101#的磁盘分配给财务部用于具所存账务报表等的数据备份,由于财务部数据量较小,该101#磁盘剩余空间很大,因此将该磁盘同时指派给客户接待中心共用
C、IT部对所有的新员工、调岗员工分配计算机之前,将计算机中原存有的所有信息另做备份后进行彻底删除
D、业务应用系统运维部为了节约资源,多个不同职能角色的员工共用一部计算机,每个人分别建立文件夹用来存放自己的文体
36、访问信息系统的用户注册的管理是()。
A、对用户访问信息系统和服务的授权的管理
B、对用户予以注册时须同时考虑与访问控制策略的一致性
C、当ID资源充实时可允许用户使用多个ID
D、用户在组织内变换工作岗位时不必重新评审其所用ID的访问权
37、依据GB/Z20986,确定为严重的系统损失的情况包括()。
A、系统大面积瘫痪,丧失业务处理能力
B、系统关键数据的保密性、完整性、可用性遭到破坏
C、恢复系统正常运行和消除安全事件负面影响所需代价较大
D、恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的
38、认证审核时,可以考虑采用多场所抽样审核的条件是()。
A、所有的场所活动相同,仅有规模上的差异
B、所有场所在同一ISMS下运行,并接受统一的管理、内部审核和管理评审
C、所有场所包括在客户组织的内部信息安全管理体系审核方案中
D、所有场所包括在客户组织的信息安全管理体系管理评审方案中
39、信息安全管理体系审核组的能力包括()。
A、信息安全事件处理方法和业务连续性的知识
B、有关有形和无形资产及其影响分析的知识
C、风险管理过程和方法的知识
D、信息安全管理体系的控制措施及其实施的知识
40、以下属于信息安全事件的是()。
A、软件自身故障
B、硬件或外围保障设施自身故障
C、人为破坏设备设施事故
D、计划的系统维护期间的业务停止
三、填空题
41、阐述实施审核时针对标准取证应包含哪些基本内容举例说明。
参考答案:应按照标准条款所要求的内容逐一进行抽样核查,调取审核证据包括现场询问到、听到、看到及与要求相关的文件化信息。 例如:查组织5.2方针的过程: 1)组织的方针是否书面化形成文件,查书面证据: 2)依据组织的管理方针与最高管理层交谈,了解企业的运营宗旨、框架方向,是否与企业的方针相一致; 3)查看方针中的内容是否包含组织适用的信息安全内容的承诺; 4)查看方针中是否包含行对持续改进信息安全管理体系的相关承诺: 5)公司各部门交谈,了解公司工作人员是否都是否清楚公司的方针; 6)询问最高管理层解相关方获取公司组织。
42、AOXI公司面向签约客户提供“数据中心机房基础设施运营服务”,对于客户方设备运维工程师进入机房的授权流程为:客户方提供书面签章文件列明为申请授权指定的联系人、联络邮箱地址→AOXI公司建立邮件人及地址白名单→白名单中的联络人使用指定邮箱为每次需进入机房的工程师申请进入授权→OXI公司按邮代核实工程师本人信息,予以授权。客户方的邮件联络人和邮箱地址一旦进入AOXI公司白名单即永久有效请针对该情景依据GB/T22080-2016标准阐述你的审核思路。
参考答案:从两方面审核该公司的控制情况。 第一方面:访问控制A9.1.1。 1、组织是否制定了物理机房的访问控制策略; 2、策略包含的内容是否齐全?应包括:业务应用的安全要求、相关法律和合同的要求、访问权的管理、控制角色的分离是否正确、访问权的定期评审、访问权的取消、用户身份的秘密鉴别是否到位等内容。 3、题目中描述的确认流程是否经过评审; 4、机房访问用户许可变更和由管理员启动的用户评可变更的程序是否可行; 第二方面:物理入口控制A11.1.2。 1、查公司是否验证所授权访问程度是否与策略相适宜,是否考虑了职责分离之类的其他要求相一致。 综上描述,在查公司访问控制授权白名单是发现,授权名单未考虑访问权的管理要求,不应永久有效,访问权未进行定期评审、未考虑访问权的取消、对白名单上的用户未实施鉴别。
四、简答题
43、审核检查机房时对门禁权限进行随机抽查发现,陈某已离职,但系统中的门禁权限未发同变更。
参考答案:不符合条款:GB/T22080-2016标准中A9.2.6:所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。 不符合事实:查机房门禁权限,陈某已离职,但系统中的门禁权限未发同变更。
44、审核员在公司的资产登记中发现,公司于年初将一批之前购置的电脑特价处理给了员工,这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理,该系统管理员说:“由于当时新进了许多新的电脑设备,需要安装调试,没空处理老的电脑,再说这些都是卖会自已员工的,他们本身就接触到这些信息。”
参考答案:不符合条款:GB/T22080-2016中A11.2.7:在弃用和再利用之含有存储介质的设备的所有项目应予以验证以确保任何敏感数据和有许可权的软件已被移除或安全改写。 不符合事实:公司于2003年购置了一批电脑用于核心业务系统,在出售前未做格式化处理直接售给了员工。
45、审核员在M0TECH公司生产部审核时发现,公司将其产品制造的《工艺说明书》确定为最高敏感性等级的信息资产,规定仅生产部工艺师张某一人可访问,用核员访问张某是否可以展示《工艺说明书》的访问控制,张某说可以,随即走到自己的工位并开机后,指着屏幕上“SQ”字样的图标道“这就是我们专用来访问服务器上存放《工艺说明书》文件的系统,随即用鼠标一击打开,审核员看到展开的目录中确实丰有该《工艺说明书》的各历史版本”,并注意到SQ系统面上端显示出服务器地址*.*.16.17.看到审核员很关注SQ系统,一直跟随审核的IT部经理邵某解释说:这个SQ系统是早年公司成立的时候IT部自行开发的系统,很好用,也是公司每个员工入司时发的计算机上默认安装的应用软件系统之一。审核员查看了其他几个人的电脑,确认邵某陈述的是实情。
参考答案:不符合条款:GB/T22080-2016标准中A9.1.2条款:应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。 不符合事实:公将产品制造的《工艺说明书》确定为最高敏感性等级的信息资产,规定仅生产部工艺师张某一人可访问,查访问控制时发现,服务器上存放《工艺说明书》文件的系统,该工艺说明书的历史版本每个员工都可访问。
46、审核员在A公司的体系文件中看到了需要报告所有发生的信息安全事件和发现的技术脆弱性,访问信息安全管理部长相关记录时,部长回答,这些我们都在每个管理员手中,各人发现的问题各人负责解决,不需我报告。
参考答案:不符合条款:GB/T22080-2016中A16.1.3:报告信息安全弱点:应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。 不符合事实:审核员在A公司的体系文件看见需要报告所发生的信息安全的脆弱性,但信息部长回答不需要报告。
47、审核员审核时,通过观察工作人员使用销售管理信息系统时发现,所有人员可以使用相同的权限,审核员进一步了解,系统管理员解释说系统仍在开发中,但公司业务需要就一边用一边开发,等待完成后再考虑按角色授权访问。
参考答案:不符合条款:GB/T22080-2016标准中A9.4.1:应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:查公司销售管理信息系统,所有人员可以使用相同的权限。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
