一、单选题
1、信息安全管理体系审核范围的确定需考虑()。
A、业务范围和边界
B、组织和物理范围边界
C、资产和技术范围和边界
D、以上全部
2、按照PDCA思路进行审核,是指()。
A、按照受审核区域的信息安全管理活动的PDCA过程进行审核
B、按照认证机构的PDCA流程进行审核
C、按照认可规港中规定的PDCA流程进行审核
D、以上都对
3、关于“审核发现”,以下说法正确的是()。
A、人审核发现即审核员观察到的事实
B、人审核发现可以表明正面的或负面的结果
C、审核发现即审核组提出的不符合项报告
D、审核发现即审核结论意见
4、关于信息安全管理体系认证,以下说法正确的是()。
A、认证决定人员不宜推翻审核组的正面建议
B、认证决定人员不宜推翻审核组的负面建议
C、认证决定人员宜与审核组长协商做出认证决定
D、认证决定人员宜与受审核方协商做出认证决定
5、关于第三方认证的监督审核,以下说法不正确的是()。
A、可以与其他监督活动一起策划
B、目的在于认证机构对获证客户信息安全管理体系在认证周期内持续满足要求保持信任
C、次监督审核应包括对内审、管理评审和持续的运作控制的审核
D、每不一定是对整个体系的审核,不一定是现场审核
6、当获得的审核证据表明不能达到审核目的时,审核组长可以()。
A、宣布停止受审核方的生产/服务活动
B、向审核委托方和受审核方报告理由以确定适当的措施
C、宣布取消末次会议
D、以上各项都不可以
7、审核方案是指()。
A、对一次审核活动和安排的描述
B、针对特定时间段所策划,并具有特定目的的一组(一次或多次)审核
C、对“查什么”和“怎么查”的策划
D、以上都不对
8、审核报告是()。
A、受审核方的资产
B、审核委托和受审核方的共同资产
C、审核委托方的资产
D、审核组和审核委托方的资产
9、审核的工作文件包括()。
A、检查表
B、审核抽样计划
C、信息记录表格
D、A+B+C
10、审核人日数的计算方式是()。
A、审核组中审核员+实习审核员技术专家+观察员的审核人天数之和
B、审核组中审核员+实可审核员的审核人天数之和
C、审核组中审核员的审秽人天数之和
D、审核组中审核贡实匀审核员+技术专家的审核人天数之和
11、审核员的检查表应()。
A、事先提交受审核方评审确认
B、基于审核准则事先编制
C、轩对不同的受审核组织应统一格式和内容
D、由审核组长负贵编制审核组使用的检查表
12、审核组长在末次会议上宣布的审核结论是依据()得出的。
A、审核目的
B、不符合项的严重程度
C、所有的审核发现
D、A+B+C
13、现场审核的结束是指()。
A、末次会议结束
B、对不符合项纠正措施进行验证后
C、分发了经批准的审核报告时
D、监督审核结束
14、信息安全管理体系初次认证审核时,第一阶段审核应()。
A、对受审核方信息安全管理体系的策划进行审核和评价
B、对受审核方信息安全管理体系的内部审核及管理评审的有效性进行审核和评价
C、对受审核方信息安全管理体系文件的符合性、适宜性和有效性进行审核和评价
D、对受审核方信息安全管理体系文件进行审核和符合性评价
15、下列不属于在组织控制下工作的人员应了解的是()。
A、信息安全方针
B、业务影响分析结果
C、作人员对信息安全管理体系有效性的贡献
D、工不符合信息安全管理体系要求带来的影响
16、关于认证审核报告,以下说法正确的是()。
A、审核方案管理人员应确保审核报告得到评审和批准
B、审核组长应确保审核报告得到评审和批准
C、管理者代表应确保审核报告得到评审和批准
D、管理者代表应评审和批准审核报告
17、与审核准则有关的并且能够证实的记录、事实陈述或息称为()。
A、信息安全信息
B、审核证据
C、检验记录
D、信息源
18、GB/T22080-2016/ISO/IEC27001:2013《信思歸安全技术信息安全要求》附录A包括()。
A、11个方面39个控制目标114条控制措施
B、14个方面35个控制目标114条控制措施
C、11个方面39个控制目标133条控制措施
D、14个方面35个控制目标133条控制措施
19、关于审核组的现场审核,劣下说法错误的是()。
A、审核组在审核期间现场可根据受审核方实际情况及时变更审核范围
B、审核组在审核期间现场可调整审核路线和审核资源分配
C、审核组遇到重木风险应报告委托方以决定后续措施
D、审核组遇到重大风险应报告受审核方以决定后续措施
20、针对获证组织扩大范围的审核,以下说法正确的是()。
A、必须和监督审核一起进行
B、是监督审核的形式之一
C、一种特殊审核
D、以上都对
21、关于时钟同步的控制要求,描述正确的是()。
A、—个组织或安全区域内的所有相关信息处理设施的时钟,应与多个基准物相同
B、一个组织或安全区域内的核心相关信息处理设施的时钟,应与多个基准物相同
C、一个组织或安全区域内的所有相关信息处理设施的时钟,应与单一一时钟源同步
D、一个组织或安全区域内的核心相关信息处理设施的时钟,应与单一一时钟源同步
22、表示客体安全级别并描述客体敏感性的一组信息,是()。
A、敏感性标记,是可信计算基中强制访问控制决策的依据
B、关键性标记,是可信计算基中强制访问控制决策的依据
C、关键性等级标记,是信息资产分类分级的依据
D、敏感性标记,是表明访问者安全权限级别的信息
23、认证审核时,审核组应()。
A、在审核前将审核计划提交受审核方,并与受审核方进行沟通得到确认
B、在审核中将审核计划提交受审核方,并与受审核方进行沟通得到认定
C、在审核后将审核计划提交受审核方,并与受审核方进行沟通得到确认
D、在审核后将审核计划提交受审核方,并与受审核方进行沟通得到认可
24、设立信息安全管理体系认证机构,须得到以下哪个机构的批准,方可在中国境内从事认证活动()。
A、中国合格评定国家认可委员会
B、中国国家认证认可监督管理委员会
C、认证认可协会
D、工商注册管理部门
25、下列哪项不是监督审核的目的?()
A、验证认证通过的ISMS是否得以持续实现
B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化
C、确认是否持续符合认证要求
D、作出是否换发证书的决定
26、计算机安全保护等级的第三级是()人保护等级。
A、用户自主
B、安全标记
C、系统审计
D、结构化
27、经过风险处理后遗留的风险是()。
A、残余风险,残余风险应得到批准
B、残余风险,残余风险应全部消除
C、残余风险,残余风险应全部保留
D、残余风险,残余风险应继续处置
28、为确保信息资产的安全,设备、信息或软件在()之前不应带出组织场所。
A、使用
B、授权
C、检查合格
D、识别出薄弱环节
29、信息安全管理体系认证是()。
A、与信息安全管理体系有关的规定要求得到满足的证实活动
B、对信息系统是否满足有关的规定要求的评价
C、信息安全管理体系认证不是合格评定活动
D、是信息系统风险管理的实施活动
30、以下说法正确的是()。
A、审核组的每一次审核,均应向委托方提交审核报告
B、认证审核的一阶段审核,可视情况决定是否需要提交审核报告
C、监督审核不要求提交审核报告
D、特殊审核可视情况决定是否需要提交审核报告
31、以下强健口令的是()。
A、a8mom9y5fub33
B、1234
C、CNAS
D、Password
32、下列哪项不属于信息安全风险评估过程()。
A、识别信息安全风险
B、处置信息安全风险
C、分析信息安全风险
D、评价信息安全风险
33、信息安全管理体系审核时,为了获取审核证据,应考虑的信息源为()。
A、受审核方的业务系统相关的活动和数据
B、受审核方场所中已确定为信息安全管理体系范围内的相关
C、受审核方申请信息安全管理体系认证范围内的业务过程
D、以上全部
34、开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
A、配置
B、系统
C、终端
D、运行誕
35、以下哪一方面不属于在编制信息安全方针时宜考虑的要求。()
A、业务战略
B、法律、法规和合同
C、当前和预期的信息安全威胁环境
D、年度财务预算要求
36、在ISO组织框架中负贵ISO/IEC27000系列标准编制工作的技术委员会是()。
A、ISO/IECJTCISC27
B、ISO/IECJTCISC40
C、ISO/IEC27
D、ISO/IECTC40
37、在A公司审核时,发现公司某机房管理员虽然离职,但门禁权限分配记录中仍保留该人员的权限,询问发现该门禁止已发放新的机房管理员,但权限未进行更改,请问该情况不符合GB/T22080-2G16/ISO/IEC27001:2013标准哪个条款()。
A、A9.2.6撤销访问权
B、A11.2.1用户注册
C、A11.2.4用户访问权的复查
D、A11.5.2用户标示和鉴别
38、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。
A、内容监控
B、安全教育和培训
C、责任追查和惩处
D、访问控制
39、以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的安全事件称之为()。
A、有害程序事件
B、僵尸网络事件
C、拒绝服务攻击
D、信息破坏事件
40、下列对信息安全风险评估建立准则描述正确的是()。
A、组织应按计划的时间间隔或当重大变更提出或发生时执行信息安全风险评估
B、组织应按计划的时间间隔且当重大变更提出或发生时执行信息安全风险评估
C、组织只需在重大变更发生时执行信息安全风险评估
D、组织只需按计划的时间间隔执行信息安全风险评估
二、多选题
41、以下不符合“客体重用”准则的是()。
A、当项目组A成员离开项目组A进入项目组B时,其在项目组A时持有并使用的PC直接带入项目组B使用
B、资产编号为101#的磁盘分配给财务部用于具所存账务报表等的数据备份,由于财务部数据量较小,该101#磁盘剩余空间很大,因此将该磁盘同时指派给客户接待中心共用
C、IT部对所有的新员工、调岗员工分配计算机之前,将计算机中原存有的所有信息另做备份后进行彻底删除
D、业务应用系统运维部为了节约资源,多个不同职能角色的员工共用一部计算机,每个人分别建立文件夹用来存放自己的文件
42、依据GB/Z20986,确定为重大社会影响的情况包括()。
A、涉及到一个或多个地市的大部分地区
B、威胁到国家安全
C、扰乱社会秩序
D、对经济建设有重大负面影响
43、在设计和平应用安全区域工作规程时,宜考虑()。
A、基于“须知”原则,员工宜仅规定安全区的存在或其中的活动
B、为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作
C、使用的安全区域宜上锁并定期予以评审
D、经授权,不宜允许携带摄影、视频或其他记录设备,例如移动设备中的相机
44、()是ISMS关键成功因素。
A、用于评价信息安全管理执行情况和改进反馈建议的测量系统
B、信息安全方针、目标和与目标保持一致的活动
C、有效的业务连续性管理方法
D、有效的信息安全事件管理
45、关于个人信息安全的基本原则,以下正确的是()。
A、目的明确原则
B、最少够用原则
C、同意和选择原则
D、公开透明原则
三、填空题
46、审核员对某IT服务公司进行审核时,与该公司系统集成项目负责人讨论信息安全管理,该项“我们做的是弱电系统集成,即购买计算机设备及外设、安装、联通调试、网络接入,设备可正常运行,网络连接正常,项目即结束。不涉及此后的顾客使用系统设备的过程,不接触顾客的任何业务运行是数据,所以没有信息安全风险。”该审核员表示赞同,就结束了审核。请问该审核员的做法是否正确,为什么,你会如何审核?
参考答案:不正确,因为审核员仅听受审核单位系统集成项目负责人介绍该单位“不涉及此后的顾客使用系统设备过程,不接触顾客的任何业务运行数据,所以没有信息安全风险”,并没有展开深入调查取证工作,就结束了审核,所以不正确。 应通过沟通访谈、观察判断受审核单位是否按照标准相关条款要求,对ISMS进行审核,查看组织提供的《适用性声明》等,开展审核工作。具体如下: (1)文件体系是否建立健全,是否有安全策略。尤其是作为服务提供商,是否与服务对象建立正式合同或签署服务协之类的文件,是否明确服务要求、范围、等级等内容,并对信息安全要求达成一致。 (2)查看部门以及人员职责,并访问相关人员,看其是否写组织规定相吻合。 (3)是否按照组织的体系规定开展具体工作,如何控制变更管理,事件管理等。 (4)看人员能力是否满足组织信息安全绩效的要求,并通过适当的教育培训,使其能够继续胜任。 (5)是否进行风险管理,制定风险评估准则、开展识别风险,风险评估等活动。作为弱电系统集成商,是否在与服务对象及相关方接口的兼容性,支持性设施、布缆安全等方面进行了风险管理。 (6)是否进行绩效评价,按计划的时间间隔进行内审,是否对被服务方的满意度的反馈进行评价。 (7)是否将审核结果作为输入,采取措施纠正不符合,并持续改进本单位信息安全管理体系的适宜性、充分性和有效性。
47、什么是信息安全事态并举例说明。
参考答案:信息安全事态——系统、服务或网络的已识别的状态的发生,该状态表明一项可能的违反信息安全策略或控制措施失效,或一种先前未知的可能与安全相关的状况。信息安全事件——单个或一系列不期望的或意外的信息安全事态,它们具有危害业务运行和威胁信息安全的极大的可能性。
四、简答题
48、审核员在公司的资产登记表中发现,公司于年初将一批2003年购置的电脑特价处理给员工,这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理,该系统管理员说:“由于当时新进了许多新的电脑设备,需要安装调试,没空处理老的电脑,再说这些都是卖给自己员工的,他们本身就接触到这些信息。”
参考答案:不符合条款:GB/T22080-2016中A11.2.7:在弃用和再利用之前,含有存储介质的设备的所有项目应予以验证以确保任何敏感数据和有许可权的软件巳被移除或安全改写。 不符合事实:公司于2003年购置了一批电脑用于核心业务系统,在出售前未做格式化处理直接售给了员工。
49、审核员在A公司计算机房审核时,遇到机房技术人员以及管理人员在忙于解决供电线路故障造成的业务系统服务器运行中断的问题,审核员观察到,当技术人员准备将供电切换到UPS电池组供电时,发现该电池组不能正常启动、输出,而另一组备份电池组也不知道什么时候坏了,于是管理人员决定到邻近公司与其协商看能否连接他们的备用电机,先解决应急问题。审核员问到上一次检查电池组是什么时候,技术人员回答说,从购买到现在很多年了,从来没有管过,这些电池组都是从最好的厂家买的,想不到会是坏的。
参考答案:不符合条款A17.2.1信息处理设施的可用性不符合标准内容:信息处理设施应具有足够的冗余以满足可用性要求。 不符合事实:该公司因供电线路故障造成机房业务系统服务器运行中断,其UPS电池组和另一组备份电池组也不能正常启动供电。
50、审核员在审核过程中发现组织某系统操作手册规定系统出现运行问题时可以请求开发商进行帮助,抽查相关记录时发现,企业在年中进行价格策略调整时,调整配置工作是由开发人员测试账号完成的。
参考答案:不符合条款:A9.4.1信息访问限制不符合标准内容:应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:该单位年中价格策略调整配置工作是由开发人员测试帐号完成的。
51、查某知名网站的总部时,审核员来到陈列室发现任何客户可以随意进入。并且该陈列室中有5台演示用的台式电脑可以连接外网和内网。
参考答案:不符合条款:A11.1.6交接区不符合标准内容:访问点(例如交接区)和未授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。 不符合事实:某知名网站的总部,审核员来到陈列室发现任何客户可以随意进入。并且该陈列室中有5台演示用的台式电脑可以连接外网和内网。
52、某制造企业采用全自动化生产线生产产品。审核员在部件成型车间审核时发现,一份纸质NOTEBOOK封面上写着“CMAX41卷料机异常交接本”,其中用不同笔迹记载着上一年度8月份以来CMAX-01号设备发生过的异常情况、软件更改、运行参数更改、硬件维护更换等,当审核员问道这些调整和更改的具体内容、授权情况,以及谁执行的,该车间自动化设备负责人说:都是技术人员自己把握,公司对这些没有具体要求。
参考答案:不符合条款A12.1.2变更管理不符合标准内容:应控制影响信息安全的变更,包括组织业务过程、信息处理设施和系统变更。 不符合事实:对在部件成型车间CMAX41卷料机异常交接本中用不同笔迹记载着上一年度8月份以来CMAX-01型设备发生的异常情况、软件更改、运行参数更改、硬件维护更换等信息,对于这些调整和更改的信息的具体内容、授权情况,以及谁执行的,公司没有具体要求。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
