一、单选题
1、信息安全管理体系中提到的“风险责任人”是指()。
A、发现风险的人或实体
B、风险处置人员或实体
C、对风险管理有责任和权利的人或实体
D、对风险发生后进行负责的人或实体
2、信息安全管理体系中提到的“资产责任人”是指()。
A、对资产拥有财产权的人
B、使用资产的人
C、有权限变更资产安全属性的人
D、资产所在部门负责人
3、组织应给予信息以适当级别保护,是指()。
A、应实施尽可能先进的保护情施以确保其保密性
B、应按信息对于组织业务的关键性给予充分和必要的保护
C、应确保信息对于组织内的所有员工可用
D、以上都对
4、考虑设备安全是为了()。
A、防止设备丢失、损坏带来的财产损失
B、有序保障设备维修时的备件供应
C、及时对设备进行升级和更新换代
D、控制资产的丢失、损坏、失窃、危及资产安全以及组织活动中断的风险
5、一个组织或安全域内所有信息处理设施与己设精确时钟源同步是为了()。
A、便于针对使用信息处理设施的人员计算工时
B、便于探测未经授权的信息处理活动的发生
C、确保信息处理的及时性得到控制
D、人员异地工作时统一作息时间
6、定期备份和测试信息是指()。
A、每次备份完成时对备份结果进行检查,以确保备份效果
B、对系统测试记录进行定期备份
C、定期备份,定期对备份数据的完整性和可用性进行测试
D、定期检査备份存储介质的容量
7、信息处理设施的变更管理不包括()。
A、信息处理设施用途的变更
B、信息处理设施故障部件的更换
C、信息处理设施软件的升级
D、以上都不对
8、为防止对网络服务的未授权访问,组织应()。
A、制定安全策略,确保用户应仅能访问已获专门授权使用的服务
B、禁止内部人员访问互联网
C、禁止外部人员访问组织局域网
D、以上都对
9、组织应进行安全需求分析,规定对安全控制的要求,当()。
A、组织需建立新的信息系统时
B、组织的原有信息系统扩容或升级时
C、组织向顾客交付软件系统时
D、A+B
10、对保密文件复印件张数核对是确保保常文件的()。
A、保密性
B、完整性
C、用性
D、以上全部
11、国家对经营性互联网信息服务实施()。
A、备案制度
B、许可度
C、行政监管制度
D、备案与行政监管相结合的管理制度
12、确定资产的可用性要求须依据()。
A、授权实体的需求
B、信息系统的实际性能水平
C、组织可支付的经济成本
D、最高管理者的决定
13、为了确保布缆安全,以下正确的做法是()。
A、使用同一电缆管道铺设电源电缆和通信电缆
B、网络电缆采用明线架设
C、配线盘应尽量放置在公共可访问区域,以便于应急管理
D、使用配线标记和设各标记,编制配线列表
14、以下不属于信息安全事态或事件的是()。
A、服务、设备或设施的丢失
B、系统故障或超负载
C、物理安全要求的违规
D、安全策略变更的临时通知
15、对于针对信息系统的软件包,以下说法正确的是()。
A、组织应具有有能力的人员,以便随时对软件包进行适用性修改
B、应尽量劝阻对软件包实施变更,以规避变更的风险
C、软件包不必作为配置项进行管理
D、软件包的安装必须由其开发商实施安装
16、依据GB/T22080,组织监视外包软件开发应考虑()。
A、监督外包方及时交付软件的能力
B、监督外包方的开发成果物质量
C、确保外包方的开发满足组织安全需求
D、验证外包方的开发过程符合CMMI要求
17、国家信息安全等级保护采取()。
A、自主定级、自主保护的原则
B、国家保密部门定级、自主保持的原则
C、公安部门定级、自主保护的原则
D、国家保密部门定级、公安部门监督保护的原则
18、信息安全管理中,关于脆弱性,以下说法正确的是()。
A、组织使用的开源软件不须考虑其技术脆弱性
B、软件开发人员为方便维护留的后门是脆弱性的一种
C、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施
D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁和利用的机会
19、信息安全管理中,关于撤销访问权,不包括以下哪种情况()。
A、员工离职时
B、组织内项目人员调换到不同的项目组时
C、顾客或第三方人员结束访问时
D、以上都不对。
20、依据GB/T22080,业务连续性管理活动不包括()。
A、针对业务中断进行风险评估
B、定义恢复的优先顺序
C、定义恢复时间指标
D、按事件管理流程进行处置
21、以下不属于“责任分割”原则范畴的做法是()。
A、不同职级人员斗作区域隔离
B、保持安金审核人员的独立性
C、授权者、操作者和监视者三者责任分离
D、事件报告人员与事件处理人员职责分离
22、对于用户访问信息系统使用的口令,以下说法正确的是()。
A、口令必须定期更换
B、同一工作组的成员可以共享口令
C、如果使用生物识别技术,可替代口令
D、以上全部
23、关于商用密码技术和产品,以下说法不正确的是()。
A、任何组织不得随意进口密码产品,但可以出口商用密码产品
B、商用密码技术属于国家秘密
C、商用密码是对不涉及国家秘密的内容进行加密保护的产品
D、商用密码产品的用户不得转让其使用的商用密码产品
24、信息安全灾备管理中,“恢复点目标”指()。
A、灾难发生后,信息系统或业务功能从停顿到必须恢复的时间
B、灾难发生后,信息系统或业务功能项恢复的范围
C、灾难发生后,系统和必须恢复到的时间点要求
D、灾难发生后,关键数据能被复原的范围
25、信息安全管理中,“防止滥用信息处理设施”是为了防止()。
A、工作场所出现“公私不分”的情况
B、组织信息保密性受损
C、组织资产可用性受损
D、B+C
26、在现场审核时,审核组有权自行决定变更的事项是()。
A、审核准则
B、审核人日数
C、审核路线
D、应受审核的业务过程
27、第三方认证审核时确定审核范围的程序是()。
A、组织提出、与审核组协商、认证机构确认、认证合同规定
B、组织申请、认证机构评审、认证合同规定、审核组确认
C、组织提出、与咨询机构协商、认证机构确认
D、认证机构提出、与组织协商、审核组确认、认证合同规定
28、信息安全管理体系认证过程包含()。
A、现场审核首次会议开始到末次会议结束的所有活动
B、从审核准备到审核报告提交期间的所有活动
C、一次初审以及至少2次监督审核的所有活动
D、从受理认证到证书到期期间所有的审核以及认证服务和管理活动
29、第三方认证时的监督审核不定是对整个体系的审核,以下说法正确的是()。
A、组织获得认证范围内的职能区域可以抽查,但标准条款不可以抽查
B、组织获得认证范围内的亚务过程可以抽查,但职能区域不可以抽查
C、组织获得认证范围内的业务过程和职能区域都不可以抽查,仅标准条款可以抽查
D、标准条款可以射查,但针对内审和管理评审以及持续改进方面的审核不可缺少
30、认证审核时审核组织抽查的样本应()。
A、由受审核方熟悉的人员事先选取,做好准备
B、由审核组明确总体并在受控状态下独立抽样
C、由受审核组和受审核方人员协商抽样
D、有受审核方安排的向导实施抽样
31、关于审核结论,以下说法正确的是()。
A、审核组综合了所有审核证据进行合理推断的结果
B、审核组综合了所有审核证据与受审核方充分协商的结果
C、审核组权衡了不符合的审核发现的数量及严重程度后得岀的结果
D、审核组考虑了审核目的和所有审核发现后得出的审核结果
32、审核组中的技术专家是()。
A、为审核组提供文化、法律、技术等方面知识咨询的人员
B、特别负责对受审核方的专业技术过程进行审核的人员
C、审核期间为受审核方提供技术咨询的人员
D、从专业的角度对审核员的审核进行观察评价的人员
33、对于第三方服务提供方,以下描述正确的是()。
A、为了监视和评审第三方提供的服务,第三方人员提供服务时应有人员全程陪同
B、应定期度量和评价第三方遵从商定的安全策略和服务水平的程度
C、第三方服务提供方应有符合ITIL的流程
D、第三方服务的变更须向组织呈报以备案
34、信息安全管理中,“远程访问”指()。
A、访问者的物理位置与被访问客体不在一个城市
B、访问者的物理位置与被访问客体的距离大于30米
C、访问者的物理位置与被访问客体的距离大于15米
D、访问者从并不永久连接到所访问网络的终端访问资源
35、依据GB/T22080,以下不是“适用性声明”文件必须包含的内容是()。
A、实施信息安全控制措施的角色、职责和权限
B、组织选择的控制目标和控制措施,以及选择的理由
C、当前实施
D、对附录A中可控制目标和控制措施的删减,头及删减的合理性说明
36、信息安全管理体系审核时,为了获取律核证据,应考虑的信息源为()。
A、受审核方的办公自动化系统管理与维护相关的过程和活动
B、受审核方场所内已确定为涉及国家秘密的相关过程和活动
C、受审核方的核心财务系统的管理与维护相关的过程和活动
D、受审核方申请认证范围内的业务过程和活动
37、信息安全灾备管理中,关于灾难恢复能力,以下说法正确的是()。
A、恢复能力等级越高,恢复时间目标越短,恢复点目标越近
B、恢复能力等级越高,恢复时间目标越长,恢复点目标越长
C、恢复能万等级越高,恢复时间目标越短,恢复点目标越长
D、恢复能力等级越高,恢复时间目标越短,恢复点目标越长。
38、软件企业自行开发了用于管理其软件产品的配置管理工具,以下说法错误的是()。
A、该企业用于向顾客交付的软件产品的测试数据应认真加以选择、保护和控制
B、该企业的配置管理工具的测试数据应认真加以选择、保护和控制
C、该企业配置管理工具不是向顾客交付的成果,因此其测试数据不是需要保护的对象
D、该企业配置管理库中的配置项应识别为信息安全相关资产
39、依据GB/T22080,信息的标记应表明()。
A、相关供应商信息、日期、资产序列号。
B、其敏感性和关键性的类别和等级。
C、所属部门和批准人
D、信息的性质,如软件、文档。
40、信息安全管理中,对于安全违规人员的正式纪律处理过程中必不可少的活动是()。
A、警告与罚款
B、就违规的详情向所有人员通报
C、评估违规对业务造成的影响
D、责成违规人员修复造成的损害
二、多选题
41、为了实现在网络上自动标识设备,以下做法正确的是()。
A、启用DHCP动态分配IP地址功能
B、为网络设备分配固定IP地址
C、将每一台计算机MAC与一个IP地址绑定
D、采取有效措施禁止修改MAC版权
42、信息安全管理体系审核的范围即()。
A、组织的全部经营管理
B、组织的全部信息安全管理范围
C、组织根据其业务、组织、位置、资产和技术等药面的特性确定的信息安全管理体系范围
D、组织承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系的范围
43、为防止业务中断,保持关键业务过程兔受信息系统失误或灾难的影响,应()。
A、定义恢复的优先顺序
B、定义恢复时间指标指标
C、按事件管理流程进行处置
D、心针闲亚务中断进行风险评估。
44、访问信息系统的用户注册的管理是()。
A、对用户访问信息系统和极务的授权的管理
B、对用户予以注册时须同时考虑与访问控制策略的一致性
C、当ID资源充实时可允许用户使用多个ID
D、用户在组织内变换工作岗位时不必重新评审其所用ID的访问权
45、关于IT系统审计,以下说法不正确的是()。
A、IT系统审计是发现系统脆弱性的有效手段,不可删减
B、组织经评估认为IT系统审计的风险不可接受时,可以删减
C、组织认为IT系统审计成本太高时,可以删减
D、组织自己不具备实施IT系统审计的能力时,可以删减
三、填空题
46、审核员在A公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
参考答案:应根据标准条款A11.1.2物理入口控制条款审核以下内容: (1)是否有形成文件的物理入口进出控制策略。并且包含针对公司每一部分物理区域的访问控制策略的内容? (2)访问控制策略是否基于业务和访问的安全要素进行过评审? (3)核实保安角色是否在访问控制策略中有明确规定? (4)保安的进出是否都在进入和离开时进行了日期记录。 (5)对进出登记是否有保护机制,确保未发生过丢失、损毁情况。 (6)应现场询问保安负、对外来人员或相关人员关注事项,是否有配带适宜的标识,宜伴有本公司人员。 (7)应现场询问保安员,对安全区域或保密信息处理设施如何巡查、控制。在不必要的时候,任何外来人员不得进入或访间。 (8)应现场询问保安员,是否发生过信息安全事件,是否与物理区域非授权进入有关?如有关,继续追踪处置过程,是否与事件管理流程相一致。 (9)核实如何对保安进行背景调查,是否明确了其安全角色和职责?
47、审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项共35项其中有30项已经采取了纠正措施,并且有纠正措施的验证记录,但有5项没有采取纠正措施,审核员据此开了不符合项,并结束了此项审核。这样的审核是否符合要求?为什么?如果请你去审核,你会怎么做?
参考答案:不符合要求。审核不够充分,没有继续跟踪审核整个内审过程的有效性,应作如下审核: (1)查组织内审程序,组织如何规定对未整改的不符合项的处理步骤。现场询问相关人员5项不符合未整改的原因。 (2)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解已整改的30项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正错施是否有效: (3)所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。 (4)组织是否评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的风险控制措施后再次评估残余风险,再整改。 综上,如果所有纠正措施符合风险要求。与相关影响相适宜,则纠正措施适宜。
四、简答题
48、在某软件开发企业,质保证部负责对软件开发成果物进行测试,该部门测试人员使用名为“Bug free”的系统记录测试发现的问题,然后由开发人员针对测试人员提出的问题,确定软件修改方案,修改后重新提交测试,通过后由测试人员给出“最终测试通过”的结论。软件开发人员的修改方案以及修改后重新测试的信息也分别在该“Bug free”系统中予以记录。审核员请开发人员演示上述过程时发现,开发人员也可以登录测试问题记录的页面,且能够修改测试记录信息。当审核员问为什么会这样,该开发人员回答说,有时候开发人员与测试人员就软件问题的判定有争议,因此允许开发人员修改测试问题记录,否则会影响开发人员的绩效考核。
参考答案:不符合条款:不符合GB/T22080-2016中A9.4.1:应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:查质保部对软件开发成果物测试,开发人员可以登录测试问题记录的页面,且能够修改测试记录信息。
49、创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
参考答案:不符合条款:GB/T22080-2016中A15.2.2:供应商服务的变更管理:应管理供应商所提供服务的变更,包括维护和改进现有的信息安全策略、规程和控制,管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估。 不符合事实:创新公司的供应商采用了新技术,但创新公司没有采取任何行动,后因该技术兼容问题,导致了业务中断。
50、A公司主营业务为工业设备代理销售。审核员在审核销售部时发现,公司的全部销售业务以及与顾客的关系管理数据的维护均依赖网络及信息系统完成,当问及这些系统的维护和管理时,公司管理者代表解释说公司维护IT系统的工作全由沈某一人担任,称沈某人非常正直可靠,所有的IT系统维护和监控项目均由其1人完成,从未出过信息安全事故。审核员请来沈某询问,沈某确认其工作职责包括对各业务线小组人员的权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性审核等所有的内容。
参考答案:不符合条款:GB/T22080-2016中A6.1.2:应分离冲突的职责及其责任范围,以减少来授权或无意的修改或者不当使用组织资产的机会。 不符合事实:查销售部销售信息系统维护,全由沈某一人完成,经沈某确认其工作职贵包括对各业务线小组人员的权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性演核等所有的内容。
51、审核员在A公司的体系文件中看到了需要报告所发生的信息安全和脆弱性,询问信息管理部长,回答每个管理员中,各人发现个人解决,不需要向我报告。
参考答案:不符合条款:GB/T22080-2016中A16.1.3:报告信息安全弱点:应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信慧安全弱点。 不符合事实:审核员在A公司的体系文件看见需要报告所发生的信息安全的脆弱性,但信息部长回答不需要报告。
52、A公司为国家相关部门指定的敏感票据印刷企业。审核员在现场巡查时发现,公司制版车间的一张办公桌上散放着工作号为111字9、10、11号的三份《票据生产通知单》,通知单中分别详细列出了三种票据的制版工艺要求。审核员问道这是谁的办公桌时,车间主任回答说,这是制版工艺师的办公桌,他今天请假了,没来上班。审核员观察到,制版车间与其他车间共处一个较大的生产厂房内,在上班时间各车间是互通的。
参考答案:不符合GB/T22080-2016中A1429的要求不符合标准:GB/T22080-206中A11.2.9:应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略。 不符合事实:查公司制版车间,见办公桌上散放着工作号为111字9、10、11号的三份《票据生产通知单》,通知单中分别详细列田了三种票据的制版工艺要求,制版工艺师请假,制版车间与其他车间共处一个较大的生产厂房内,在上班时间各车间是互通的。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
