一、单选题
1、ISMS审核常用的审核方法不包括()。
A、纠正预防
B、文件审核
C、现场审核
D、远程审核
解析:【喵呜刷题小喵解析】:ISMS审核常用的审核方法包括文件审核、现场审核和远程审核。纠正预防不是审核方法,而是审核过程中可能涉及的一个环节,用于对不符合项采取纠正和预防措施。因此,选项A“纠正预防”是不包括在ISMS审核常用审核方法中的。
2、下列说法不正确的是()。
A、审核组可以由一名或多名审核员组成
B、至少配备一名经认可具有专业能力的成员
C、实习审核员可在技术专家指导下承担审核任务
D、审核组长通常由高级审核员担任男
解析:【喵呜刷题小喵解析】本题考察的是审核组的相关知识。A选项提到“审核组可以由一名或多名审核员组成”,这是正确的。审核组是由审核员组成的,审核员的数量可以是一名或多名。B选项指出“至少配备一名经认可具有专业能力的成员”,这也是正确的。审核组中的成员至少需要有一名具有专业能力并被认可的成员,这是确保审核质量的重要条件。C选项说“实习审核员可在技术专家指导下承担审核任务”,这是不正确的。审核工作是一种严肃而专业的工作,需要审核员具备一定的经验和专业能力。实习审核员在没有完全掌握审核技能和专业能力之前,不能独立承担审核任务。他们可以在技术专家的指导下参与审核工作,但不能独立承担审核任务。D选项提到“审核组长通常由高级审核员担任”,这是正确的。审核组长是审核组的负责人,需要具备一定的领导能力和专业能力。通常由具有丰富经验和专业能力的高级审核员担任审核组长。综上所述,不正确的说法是C选项“实习审核员可在技术专家指导下承担审核任务”。
3、当获得的审核证据表明不能达到审核目的时,审核组长可以()。
A、宣布停止受审核方的生产/服务活动
B、向审核委托方和受审核方报告理由以确定适当的措施
C、宜布取消末次会议
D、以上各顶都不可以
解析:【喵呜刷题小喵解析】:根据题目中的描述,当获得的审核证据表明不能达到审核目的时,审核组长需要向审核委托方和受审核方报告理由以确定适当的措施。因此,选项B“向审核委托方和受审核方报告理由以确定适当的措施”是正确的答案。其他选项A、C、D均不符合题目要求。
4、假如某人向一台远程主机发送特定的数据包,却不想远程主机响应其的数据包,说明此人能使用的是下列哪一种类型的攻击手段?()
A、特洛伊木马
B、地址欺骗
C、缓冲区溢出
D、拒绝服务
解析:【喵呜刷题小喵解析】:在给出的选项中,特洛伊木马是一种通过伪装成有用程序或文件来植入恶意代码的软件,它不会直接阻止远程主机的响应。缓冲区溢出是一种攻击手段,通过向程序发送超出其缓冲区大小的数据来导致程序崩溃或执行恶意代码,但它通常不会阻止远程主机的响应。拒绝服务(DDoS)攻击是一种通过发送大量无效或低优先级的数据包来淹没目标系统,使其无法处理正常请求的攻击方式,它会阻止远程主机的响应。地址欺骗(B)是一种通过伪造源地址来发送数据包,使远程主机无法区分合法和非法请求的攻击手段,这也会阻止远程主机的正常响应。因此,如果某人向远程主机发送特定数据包,并不想远程主机响应其数据包,那么最有可能使用的攻击手段是地址欺骗(B)。
5、第三方认证审核时确定审核范围的程序是()。
A、组织提出、与审核组协商、认证机构确认、认证合同规定
B、组织申请、认证机构评审、认证合同规定、审核组确认
C、组织提出、与咨询机构协商、认证机构确认
D、认证机构提出、与组织协商、审核组确认、认证合同规定
解析:【喵呜刷题小喵解析】:在第三方认证审核中,确定审核范围的程序通常涉及多个步骤。首先,组织需要向认证机构提出认证申请,认证机构会对申请进行评审,以确定是否满足认证条件。评审通过后,认证机构会与组织签订认证合同,其中规定了审核的范围和其他相关条款。最后,审核组会依据认证合同确认具体的审核范围,并开始进行审核工作。因此,选项B“组织申请、认证机构评审、认证合同规定、审核组确认”是确定审核范围的正确程序。选项A中的“审核组协商”和选项C中的“与咨询机构协商”在常规流程中并不涉及,而选项D中的“认证机构提出”也不符合通常的做法,因为审核范围的确定通常是基于组织的申请和认证机构的评审结果。
6、ISMS管理评审的输出应包括()。
A、可能影响ISMS的任何变更
B、以往风险评估没有充分强调的脆弱点或威胁
C、风险评估和风险处理计划的更新
D、改进的建议
解析:【喵呜刷题小喵解析】:ISMS管理评审的输出应包括风险评估和风险处理计划的更新。这是因为管理评审的目的是确保ISMS的有效性、充分性和适宜性,而风险评估和风险处理计划是确保ISMS能够有效应对信息安全风险的关键要素。因此,管理评审的输出应包括对风险评估和风险处理计划的更新,以确保ISMS能够持续有效地保护组织的信息资产。其他选项如可能影响ISMS的任何变更、以往风险评估没有充分强调的脆弱点或威胁以及改进的建议,虽然也是管理评审中需要考虑的因素,但并不是管理评审输出的直接内容。因此,正确答案为C。
7、审核员在信息安全控制措施评审过程中釆用的评审方法不包括()。
A、检查
B、访谈
C、测试
D、暗访
解析:【喵呜刷题小喵解析】:在信息安全控制措施评审过程中,审核员采用的评审方法通常包括检查、访谈和测试。这些方法分别用于检查控制措施的实施情况、与相关人员交流以获取更多信息,以及测试控制措施的有效性。然而,选项D“暗访”并不是信息安全控制措施评审过程中常用的评审方法。因此,正确答案是D。
8、第三方认证时的监督审核不一定是对整个体系的审核,以下说法正确的是()。
A、组织获得认证范围内的职能区域可以抽查,但标准条款不可以抽查
B、组织获得认证范围内的业务过程可以抽查,但职能区域不可以抽查
C、组织获得认证范围内的业务过程和职能区域都不可以抽查,仅标准条款可以抽查
D、标准条款可以抽查,但针对内审和管理评审以及持续改进方面的审核不可缺
解析:【喵呜刷题小喵解析】在第三方认证时,监督审核不一定是对整个体系的审核。对于组织获得认证范围内的职能区域、业务过程以及标准条款,其抽查情况如下:A选项提到“组织获得认证范围内的职能区域可以抽查,但标准条款不可以抽查”。这与题目中的“监督审核不一定是对整个体系的审核”相矛盾,因为标准条款通常是体系审核的核心部分。B选项提到“组织获得认证范围内的业务过程可以抽查,但职能区域不可以抽查”。这也与第三方认证时的通常做法不符,因为无论是职能区域还是业务过程,都可能涉及到认证范围。C选项提到“组织获得认证范围内的业务过程和职能区域都不可以抽查,仅标准条款可以抽查”。这与监督审核的目的不符,因为监督审核的目的通常是确保体系的持续符合性,这需要对组织的各个方面进行审核。D选项提到“标准条款可以抽查,但针对内审和管理评审以及持续改进方面的审核不可缺”。这符合第三方认证时的通常做法。虽然监督审核可能不是对整个体系的全面审核,但标准条款是体系的核心,因此可以进行抽查。同时,针对内审、管理评审和持续改进方面的审核是确保体系持续符合性的关键部分,因此不可缺。因此,正确答案是D选项。
9、在第三方认证审核时,()不是审核员的职责。
A、实施审核
B、确定不合格项
C、对发现的不合格项采取纠正措施
D、验证审核方所采取纠正措施的有效性
解析:【喵呜刷题小喵解析】:在第三方认证审核中,审核员的职责是实施审核和验证审核方所采取纠正措施的有效性。确定不合格项和对发现的不合格项采取纠正措施不是审核员的职责,而是审核方或其内部质量体系管理部门的职责。因此,选项C不是审核员的职责。
10、确定资产的可用性要求须依据()。
A、授权实体的需求
B、信息系统的实际性能永平
C、组织可支付的经济成本
D、最高管埋者的决定
解析:【喵呜刷题小喵解析】:在确定资产的可用性要求时,主要依据是授权实体的需求。这是因为资产的存在是为了满足特定实体(如组织、部门或个体)的需求,而这些需求通常是由授权实体来定义的。其他选项如信息系统的实际性能水平、组织可支付的经济成本或最高管理者的决定,虽然可能影响可用性要求,但不是其确定的主要依据。因此,正确答案是A。
11、组织称满足GB/T22080-2016/ISO/1EC27001-2013标准要求时()。
A、以可状对正文第八章内容进行删减
B、可以对正文第四章到第八章进行删减,删减需要有别减理由
C、正文不可以删减,仅能对附录A的控制进行删减,删减需要有删减理由
D、标准全文都不可以删减
解析:【喵呜刷题小喵解析】题目中询问的是组织称满足GB/T22080-2016/ISO/1EC27001-2013标准要求时,对标准内容可以进行怎样的操作。根据标准的规定,正文不可以删减,仅能对附录A的控制进行删减,并且删减需要有删减理由。因此,选项C“正文不可以删减,仅能对附录A的控制进行删减,删减需要有删减理由”是正确的答案。其他选项A、B、D均不符合标准的规定。
12、关于认证审核报告,以下说法正确的是()。
A、审核方案管理人员应确保审核报告得到评审和批准
B、审核组长应确保审核报告得到评审和批准
C、管理者代表应确保审核报告得到评审和批准
D、管理者代表应评审和批准审核报告
解析:【喵呜刷题小喵解析】:在认证审核中,审核报告是一份非常重要的文件,它记录了审核的结果和发现的问题。为了确保审核报告的质量和准确性,需要对其进行评审和批准。根据认证审核的相关规定,审核方案管理人员应确保审核报告得到评审和批准。因此,选项A是正确的说法。选项B、C和D中的描述并不符合认证审核的规定,所以都是错误的。
13、末次会议包括()。
A、请受审核方确认不符合报告、并签字
B、向受审核方递交审核报告
C、双方就审核发现的不同意见进行讨论
D、以上都不准确
解析:【喵呜刷题小喵解析】末次会议是审核过程中的一个重要环节,通常在审核结束后进行。在末次会议中,审核组和受审核方会就审核过程中发现的问题和不符合项进行讨论。因此,选项C“双方就审核发现的不同意见进行讨论”是末次会议的主要内容。选项A“请受审核方确认不符合报告、并签字”和选项B“向受审核方递交审核报告”虽然也是审核过程中的环节,但不是末次会议的主要内容。选项D“以上都不准确”显然是不正确的。因此,正确答案是C。
14、在每天下午5点使用计算机结束时断开终端的连接属于()。
A、外部终端的物理安全
B、通信线的物理安全
C、窃听数据
D、网络地址欺骗
解析:【喵呜刷题小喵解析】:断开终端的连接属于外部终端的物理安全。物理安全包括在物理设备层次对机密信息提供的保护,如通信线路的正确安装和物理保护,终端的安全等。每天下午5点使用计算机结束时断开终端的连接,属于对外部终端的物理保护,因此答案为A。
15、风险评估的基本过程是怎样的?()
A、识别并评估重要的信息资产,识别各种可能的威胁和严重弱点,最终确定风险
B、通过以往发生的信息安全事件,找到风险所在
C、风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位
D、风险评估并没有规律可循,完全取决于评估者的经验所在
解析:【喵呜刷题小喵解析】:风险评估的基本过程包括识别并评估重要的信息资产,识别各种可能的威胁和严重弱点,最终确定风险。这是风险评估的核心步骤,确保了对信息资产、威胁和弱点的全面评估,从而能够准确地确定风险。其他选项并不符合风险评估的基本过程。选项B只提到了通过以往的信息安全事件找到风险所在,但并未涵盖评估信息资产和威胁的步骤;选项C将风险评估简化为对照安全检查单,忽略了评估过程的全面性;选项D则错误地认为风险评估没有规律可循,完全取决于评估者的经验,这与风险评估的科学性和系统性相悖。因此,正确答案是A。
16、对保密文件复印件张数核对是确保保密文件的()。
A、保密性
B、完整性
C、可用性
D、以上全部
解析:【喵呜刷题小喵解析】对保密文件复印件张数核对是确保保密文件的完整性。保密文件的完整性指的是文件的完整性未受到破坏或泄露,而复印件张数的核对正是为了防止复印件的丢失或错误传递,从而确保文件的完整性。保密性主要关注的是文件内容不被未经授权的人员获取,可用性关注的是文件在需要时能够正常使用,虽然这些方面也很重要,但在此题目中,更直接相关的是确保文件的完整性。因此,答案为B,即“完整性”。
17、强制访问控制是针对()等级的信息系统。
A、二级(含)以上
B、三级(含)以上
C、四级(含)以上
D、五级
解析:【喵呜刷题小喵解析】:强制访问控制是一种安全机制,用于限制对信息系统中信息的访问。根据题目中的选项,我们需要确定强制访问控制是针对哪一级别的信息系统。根据常识和一般的安全标准,强制访问控制通常用于较高安全级别的信息系统,以确保信息的机密性、完整性和可用性。在常见的安全等级划分中,三级(含)以上的信息系统通常被认为是较高安全级别的,因此强制访问控制是针对三级(含)以上的信息系统。因此,正确答案为B,即“三级(含)以上”。
18、以下有关访问控制的描述不正确的是()。
A、口令是最常见的验证身份的措施,也是重要的信息资产,需要保护和管理
B、系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,部分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不予分配。
C、单点登录系统以一次登录/验证,即可访问多个系统)最大的优势是突出了便利性。但是又面临着“把所有鸡蛋放一个篮子”的风险
D、双因认证(又称强认证)就是一个系统需要两道密码才能进入
解析:【喵呜刷题小喵解析】:本题要求选择描述不正确的选项。A选项描述正确,口令是验证身份的一种常见方式,并且因为涉及到用户的隐私和安全,确实需要得到保护和管理。B选项描述正确,系统管理员在分配访问权限时,应当遵循“最小特权原则”,即只给予用户完成其工作所需的最低权限,这有助于提升系统的安全性。C选项描述正确,单点登录系统(SSO)允许用户一次登录验证,就可以访问多个系统,确实提供了便利,但也增加了将所有认证信息都放在一处的风险,即“把所有鸡蛋放一个篮子”的风险。D选项描述不正确,双因认证(也称为强认证)通常不仅仅需要两道密码,它可能包括其他验证因素,如智能卡、生物识别等。仅仅说“一个系统需要两道密码才能进入”并不准确描述双因认证的概念。因此,不正确的描述是D选项。
19、认证审核初审时,可以不进行第一阶段审核的条件之一是()。
A、审核组考虑时间效率可用一个阶段审核完成所有的审核准则要求
B、审核组长已充分了解受审核方的信息安全管理过程
C、受审核方认为一个阶段的审核能完成全部的审核要求
D、不允许第一阶段不进行现场审核的情况
解析:【喵呜刷题小喵解析】在认证审核的初审阶段,当审核组考虑时间效率并可用一个阶段审核完成所有的审核准则要求时,通常不需要进行第一阶段审核。但这一条件并不是唯一可以省略第一阶段审核的情况。选项B提到“审核组长已充分了解受审核方的信息安全管理过程”,这表示审核组长已经对受审核方的信息安全管理过程有了全面的了解,因此可能不需要通过第一阶段审核来进一步收集信息。而选项A虽然提到审核组可用一个阶段完成所有审核要求,但这并不是不进行第一阶段审核的充分条件。选项C中受审核方的意见并不能决定审核阶段的选择。选项D明确指出不允许第一阶段不进行现场审核的情况,因此不符合题意。综上所述,正确答案是B。
20、关于备份,以下说法正确的是()。
A、备份介质应定期进行恢复测试
B、如果组织删减了“信息安全连续性”要求,同机备份或备份本地存放是可接受的
C、退化的备份介质一定会影响备份信息的恢复
D、备份信息不是管理体系运行记录,不须规定保存期
解析:【喵呜刷题小喵解析】:A选项提到“备份介质应定期进行恢复测试”,这是正确的。定期恢复测试可以确保备份介质在需要时能够成功恢复数据,这是备份策略中非常重要的一部分。B选项说“如果组织删减了‘信息安全连续性’要求,同机备份或备份本地存放是可接受的”。这个说法是不准确的。即使组织削减了信息安全连续性的要求,备份策略仍然应该确保数据的完整性和可用性,同机备份或备份本地存放可能无法满足这一要求。C选项提到“退化的备份介质一定会影响备份信息的恢复”,这个说法过于绝对。退化的备份介质可能会影响备份信息的恢复,但并非所有退化的备份介质都会影响。D选项说“备份信息不是管理体系运行记录,不须规定保存期”,这也是不正确的。备份信息通常也是管理体系运行记录的一部分,因此应该规定适当的保存期,以确保在需要时能够恢复数据。因此,正确答案是A选项:“备份介质应定期进行恢复测试”。
21、以下哪一方面不属于在编制信息安全方针时宜考虑的要求()。
A、业务战略
B、法律、法规和合同
C、当前和预期的信息安全威胁环境
D、年度财务预算要求
解析:【喵呜刷题小喵解析】:在编制信息安全方针时,需要考虑与信息安全相关的各种要求。选项A“业务战略”涉及到企业的整体战略方向,信息安全方针需要与业务战略保持一致;选项B“法律、法规和合同”涉及到企业需要遵守的法律法规和合同要求,信息安全方针需要符合这些要求;选项C“当前和预期的信息安全威胁环境”涉及到企业面临的安全威胁,信息安全方针需要针对这些威胁制定相应的措施。而选项D“年度财务预算要求”与信息安全方针没有直接关系,信息安全方针的制定不需要考虑年度财务预算的要求。因此,正确答案是D。
22、下列哪项不属于技术符合性的评审()。
A、渗透测试
B、脆弱性评估
C、运行系统的检查
D、日常设备巡检
解析:【喵呜刷题小喵解析】:在技术符合性的评审中,我们需要考虑的是与特定标准或规定相符的技术层面。从给出的选项中,渗透测试、脆弱性评估和运行系统的检查都是与确保系统或网络的安全性、稳定性、合规性等方面相关的评审。然而,日常设备巡检主要是关于设备正常运行和维护的常规检查,并不直接与技术符合性相关。因此,不属于技术符合性评审的是日常设备巡检,即选项D。
23、ISMS文件评审需考虑()。
A、请受审核方确认ISMS文件审核报告,并签字
B、收集信息,以准备审核活动和适当的工作文件
C、双方就ISMS文件框架交换不同意见
D、以上全部
解析:【喵呜刷题小喵解析】:在题目中,要求从给出的选项中选择ISMS文件评审需考虑的内容。从给出的选项来看,A项是请受审核方确认报告并签字,B项是收集信息以准备审核活动和适当的工作文件,C项是双方就ISMS文件框架交换不同意见。D项包含了A、B、C三项,所以不是最佳答案。根据题目,ISMS文件评审的主要目的是确保文件的准确性和完整性,以便进行后续的审核活动。因此,收集信息以准备审核活动和适当的工作文件是评审过程中需要考虑的重要步骤。而请受审核方确认报告并签字,以及双方就ISMS文件框架交换不同意见,虽然也是审核过程中的一部分,但并不是评审阶段的主要考虑内容。因此,正确答案是B,即“请受审核方确认ISMS文件审核报告,并签字”不是ISMS文件评审需考虑的内容。实际上,这一步骤应该在审核活动完成后进行,而不是在评审阶段。评审阶段的主要任务是确保文件的准确性和完整性,为审核活动做好准备。
24、下列哪项不属于最高管理层用来证实对信息安全管理体系的领导和承诺活动?()
A、确保建立了信息安全策略和信息安全目标,并与组织战略方针一致
B、确保将信息安全管理体系要求整合到组织过程中
C、促进持续改进
D、确保信息安全职责分离
解析:【喵呜刷题小喵解析】:在信息安全管理体系中,最高管理层对体系的领导和承诺是非常重要的。为了确保信息安全管理体系的有效运行,最高管理层需要参与一系列活动来体现其领导和承诺。A选项提到“确保建立了信息安全策略和信息安全目标,并与组织战略方针一致”,这是最高管理层在信息安全管理体系中的核心职责之一,确保信息安全策略和目标与组织战略相一致,以确保信息安全与组织目标一致。B选项“确保将信息安全管理体系要求整合到组织过程中”也是最高管理层需要参与的活动,这涉及到将信息安全管理体系的要求融入组织的日常运营中,确保信息安全管理体系的有效实施。C选项“促进持续改进”也是最高管理层在信息安全管理体系中需要参与的活动,通过促进持续改进,最高管理层可以推动组织在信息安全方面不断提升,以适应不断变化的信息安全威胁和挑战。而D选项“确保信息安全职责分离”虽然是信息安全管理体系中的重要要求,但它更多地是信息安全管理体系的具体实施层面,而不是最高管理层用来证实对信息安全管理体系的领导和承诺的活动。职责分离是为了确保信息安全管理体系的有效性和完整性,但它不是最高管理层直接领导和承诺的活动。因此,D选项“确保信息安全职责分离”不属于最高管理层用来证实对信息安全管理体系的领导和承诺的活动。
25、依据GB/Z20986,信息安全事件的分级为()。
A、特别严重事件、严事件、一般事件
B、特别重大事件、重大事件、较大事件、一般事件
C、I级、II级级、IV级、V级
D、严重事件、严重事件、一般事件
解析:【喵呜刷题小喵解析】:根据GB/Z20986标准,信息安全事件的分级通常分为四个等级,分别是特别重大事件、重大事件、较大事件和一般事件。因此,选项B“特别重大事件、重大事件、较大事件、一般事件”是正确的。其他选项A、C、D中的分级方式与该标准不符。
26、信息安全灾备管理中,“恢复点目标”指()。
A、灾雅发生后,信息系统或业务功能从停顿到必须恢复的时间
B、灾难发生后,信息系统或业务功能项恢复的范围
C、灾难发生后,系统和数据必须恢复到的时间点要求
D、灾难发生后,关键数据能被复原的范围
解析:【喵呜刷题小喵解析】:“恢复点目标”是指灾难发生后,系统和数据必须恢复到的时间点要求。在信息安全灾备管理中,恢复点目标是一个重要的指标,它定义了系统和数据在灾难发生后必须恢复到的时间点,以确保业务功能的连续性和数据的完整性。因此,选项C是正确的。选项A描述的是恢复时间目标,选项B描述的是恢复范围,选项D描述的是数据恢复范围,都与恢复点目标的概念不符。
27、《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,釆取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()。
A、1个月
B、3个月
C、6个月
D、12个月
解析:【喵呜刷题小喵解析】:《中华人民共和国网络安全法》要求网络运营者应当按照网络安全等级保护制度的要求,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月。因此,正确答案为C。
28、以下可认定为审核范围变更的事项是()。
A、受审核组织增加一个制造场所
B、受审核组织职能单元和人员规模增加
C、受审核组织业务过程增加
D、以上全部
解析:【喵呜刷题小喵解析】:审核范围变更通常涉及受审核组织的结构、职能、过程等方面的变化。对于给出的选项,A表示受审核组织增加一个制造场所,这直接涉及了组织的物理结构变化;B表示受审核组织职能单元和人员规模增加,这涉及了组织的人员和职能方面的变化;C表示受审核组织业务过程增加,这涉及了组织业务过程的扩展。因此,所有这些变化都可以被认定为审核范围变更的事项。所以,答案为D,即以上全部。
29、在信息安全管理中进行()。
A、内容监控
B、安全教育和培训
C、责任追查和惩处
D、访问控制
解析:【喵呜刷题小喵解析】:信息安全管理的核心在于确保信息资产的安全性和完整性,而安全教育和培训是实现这一目标的重要手段。通过安全教育和培训,可以提高员工的安全意识,使其了解并遵守安全政策和程序,从而有效预防和减少安全事件的发生。因此,选项B“安全教育和培训”是正确答案。其他选项如内容监控、责任追查和惩处、访问控制虽然也是信息安全管理中需要考虑的因素,但不是核心和首要任务。
30、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在()向当地县级以上人民政府公安机关报告。
A、8小时内
B、24小时内
C、12小时内
D、48小时内
解析:【喵呜刷题小喵解析】:《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。因此,正确选项是“24小时内”,即选项B。
二、多选题
31、ISMS审核报告的编制应包括()。
A、所引用的适用性声明的版本
B、对受审核方信息安全风险分析进行的认证审核的说明
C、适用性声明中控制措施的合理性和有效性
D、法律法规
解析:【喵呜刷题小喵解析】:ISMS审核报告是信息安全管理体系(ISMS)审核的重要输出,用于记录审核的过程、发现、结论和建议。在编制ISMS审核报告时,需要包含以下几个关键信息:A. 所引用的适用性声明的版本:审核报告中应明确说明所依据的适用性声明的版本,这是确保审核过程与标准或规范保持一致的基础。B. 对受审核方信息安全风险分析进行的认证审核的说明:审核报告应包含对受审核方信息安全风险分析过程的审核说明,包括审核的范围、方法、结果等。C. 适用性声明中控制措施的合理性和有效性:审核报告应对适用性声明中控制措施的合理性和有效性进行评估,这是确保ISMS能够有效实施的关键。D. 法律法规:虽然法律法规是信息安全管理体系建设的重要参考,但在审核报告的编制中,通常不直接包含法律法规的具体内容。审核报告更多的是关注受审核方对法律法规的遵守情况,以及ISMS与法律法规的符合性。因此,根据题目要求,正确的选项是A、B、C。
32、关于个人信息安全的基本原则,以下正确的是()。
A、目的明确原则
B、最少够用原则
C、同意和选择原则
D、公开透明原则
解析:【喵呜刷题小喵解析】:个人信息安全的基本原则包括目的明确原则、最少够用原则、同意和选择原则以及公开透明原则。这些原则共同构成了保护个人信息安全的基础,确保个人信息的合法、正当、必要使用,并保障个人的知情权和选择权。因此,选项A、B、C和D都是正确的。
33、信息安全管理体系审核的范围即()。
A、组织的全部经尊管理
B、组织的都信息安全管理范围
C、组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息安全管理体系范围
D、组织承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系的范围
解析:【喵呜刷题小喵解析】:根据题目中的描述,信息安全管理体系审核的范围需要依据组织的实际情况来确定。这包括组织的业务、组织、位置、资产和技术等方面的特性。同时,组织还需要承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系。因此,选项C和D都是正确的答案。选项A“组织的全部经尊管理”与题目无关,选项B“组织的都信息安全管理范围”表述不明确,均不符合题意。
34、关于多现场抽样审核,以下说法正确的是()。
A、认证机构的审核方案要在三年内覆盖ISMS认证范围内的代表性样本
B、认证机构的审核方案要在三年内覆盖ISMS认证范围内的所有场所
C、总部或单个场所发现不符合其纠正措施的实施适用于总部和所有场所
D、单个场所发现不符合其纠正措施的实施适用于总部和该单个场所
解析:【喵呜刷题小喵解析】多现场抽样审核的相关内容,我们可以根据给出的选项进行逐一分析:A选项提到“认证机构的审核方案要在三年内覆盖ISMS认证范围内的代表性样本”。这一说法是合理的,因为抽样审核的目的就是为了在有限的审核资源和时间内,对体系覆盖的关键或代表性的样本进行审核,确保体系的符合性和有效性。B选项表示“认证机构的审核方案要在三年内覆盖ISMS认证范围内的所有场所”。这与抽样审核的原则相悖,因为抽样审核并不是要审核所有的场所,而是选取代表性的样本进行审核。C选项提到“总部或单个场所发现不符合其纠正措施的实施适用于总部和所有场所”。这是正确的,因为无论问题出现在总部还是单个场所,其纠正措施的实施都应该适用于整个体系,包括总部和所有场所。D选项表示“单个场所发现不符合其纠正措施的实施适用于总部和该单个场所”。这一说法并不准确,因为当问题出现在单个场所时,其纠正措施的实施应该适用于该场所本身,而不是总部。综上所述,正确的选项是A和C。
35、组织在进行布缆安全时,宜保证传输数据或支持信息服务的电源布缆免受窃听、干扰或损坏,宜考虑()。
A、进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的保护
B、为了防止干扰,电源电缆宜与通信电缆分开
C、对于敏感的或关键的系统,宜考虑更进一步的控制
D、所有电缆线进行用途标识
解析:【喵呜刷题小喵解析】:对于组织在进行布缆安全时,需要保证传输数据或支持信息服务的电源布缆免受窃听、干扰或损坏。选项A提到进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的保护。这是为了确保电源和通信线路的安全,避免被非法访问或破坏。选项B为了防止干扰,电源电缆宜与通信电缆分开。这是为了避免电磁干扰,保证电源和通信信号的稳定性。选项C对于敏感的或关键的系统,宜考虑更进一步的控制。这是对于特别重要的系统,需要采取更严格的保护措施,确保系统的安全稳定运行。选项D所有电缆线进行用途标识虽然是一个好的做法,但与题目中提到的确保电源布缆免受窃听、干扰或损坏的要求不直接相关,因此不是最佳答案。
36、以下对网络安全管理的描述中,正确的是()。
A、安全管理需要对重要网络资源的访问进行监视
B、安全管理需要验证用户的访问权限和优先级
C、安全管理的操作依赖于设备的类型
D、安全管理的目标是保证重要的信息不被未授权的用户访问
解析:【喵呜刷题小喵解析】A选项提到“安全管理需要对重要网络资源的访问进行监视”,这是网络安全管理的一个重要方面。通过监视访问,可以及时发现并应对潜在的安全威胁。B选项说“安全管理需要验证用户的访问权限和优先级”,这也是网络安全管理的基本任务之一。确保只有经过授权的用户才能访问特定的网络资源,同时根据用户的角色和权限进行访问控制。C选项提到“安全管理的操作依赖于设备的类型”,这个描述过于宽泛且不准确。网络安全管理的操作通常不直接依赖于设备的类型,而是依赖于网络的安全策略、配置和部署。D选项表示“安全管理的目标是保证重要的信息不被未授权的用户访问”,这是网络安全管理的核心目标之一。确保敏感信息的安全性和保密性,防止未经授权的用户访问或泄露信息。综上所述,A、B和D选项都是对网络安全管理正确的描述。
37、为了实现在网络上自动标识设备,以下做法正确的是()。
A、启用DHCP动态分配IP地址功能
B、为网络设备分配固定IP地址
C、将每一台计算机MAC与一个IP地址绑定
D、釆取有效措施禁止修改MAC
解析:【喵呜刷题小喵解析】:为了实现在网络上自动标识设备,我们需要确保每台设备都有一个唯一的标识,并且这个标识不容易被篡改。A选项“启用DHCP动态分配IP地址功能”虽然可以自动为设备分配IP地址,但这种方式分配的IP地址不是固定的,每次设备重启或重新连接网络时,都可能会获得一个新的IP地址,这不利于设备的长期标识。B选项“为网络设备分配固定IP地址”是确保设备具有唯一标识的一种有效方式,因为固定IP地址一旦分配,除非人为干预,否则不会改变。C选项“将每一台计算机MAC与一个IP地址绑定”也是一种有效方式,MAC地址是每台网络设备的唯一物理地址,将其与IP地址绑定可以确保即使IP地址发生变动,也能通过MAC地址找到对应的设备。D选项“釆取有效措施禁止修改MAC”是为了防止设备被篡改标识,因为一旦MAC地址被修改,设备在网络上的标识就会发生变化,可能导致网络混乱或安全问题。因此,正确的做法包括为网络设备分配固定IP地址、将每一台计算机MAC与一个IP地址绑定以及釆取有效措施禁止修改MAC。
38、以下属于信息安全事件的是()。
A、软件自身故障
B、硬件或外围保障设施自身故障
C、人为破坏设备设施事故
D、计划的系统维护期间的业务停止
解析:【喵呜刷题小喵解析】:信息安全事件是指由于自然或者人为以及软硬件本身故障而导致的信息系统或者其服务功能异常,造成系统不可用,信息资产出现泄露、修改、破坏或业务连续性受到破坏,以及由于人为破坏导致针对国家、法人、其他组织或个人的信息资产或信息网络进行的危害或潜在危害的活动。选项A软件自身故障、选项B硬件或外围保障设施自身故障、选项C人为破坏设备设施事故,均可能导致信息安全问题,因此属于信息安全事件。选项D计划的系统维护期间的业务停止,通常是为了维护系统而进行的正常操作,不属于信息安全事件。
39、认证审核时,对于审核组提出的不符合审核准则的审核发现,以下说法不正确的是()。
A、受审核方负责采取纠正措施,纠正措施的实施是审核活动的一部分
B、审核组须验证纠正措施的有效性,纠正措施的实施不是审核活动的一部分
C、审核组须就不符合项的原因分析提出建议,确定纠正措施是否正确
D、采取纠正措施是受审核方的职责,审核组什么都不做
解析:【喵呜刷题小喵解析】:审核时,审核组发现不符合审核准则的审核发现,应告知受审核方。受审核方应分析不符合的原因,采取纠正措施。审核组有责任验证纠正措施的有效性。因此,选项A“受审核方负责采取纠正措施,纠正措施的实施是审核活动的一部分”是正确的。选项C“审核组须就不符合项的原因分析提出建议,确定纠正措施是否正确”也是正确的,因为审核组有责任对不符合项的原因进行分析,并确定纠正措施是否正确。选项D“采取纠正措施是受审核方的职责,审核组什么都不做”是不正确的,因为审核组有责任验证纠正措施的有效性。选项B“审核组须验证纠正措施的有效性,纠正措施的实施不是审核活动的一部分”是正确的,因为审核组有责任验证纠正措施的有效性,但这一验证过程本身也是审核活动的一部分。因此,不正确的选项是ACD。
40、A公司定期将新聘用员工的应聘资料邮寄总部,资料经密封处理后交予物流公司,并与物流公司签定了保密协议,以下不涉及的条款包括()。
A、A8.2.1
B、A8.2.2
C、A8.3.3
D、A15.1.2
解析:【喵呜刷题小喵解析】:此题主要考察保密协议相关条款。由于公司与物流公司签订了保密协议,该协议应该包括一些必要的条款,以确保应聘资料不被泄露。A8.2.1可能是与物流公司如何处理和运送资料相关的条款,A8.2.2则可能涉及到物流公司的保密责任,确保资料在传递过程中不被泄露。A8.3.3也可能涉及物流公司的保密义务,但与资料的传递过程相比,A8.2.2可能更具体和明确。至于A15.1.2,由于题目没有提供具体的内容,我们不能确定其是否与保密协议有关,但从题目给出的选项来看,它不太可能与保密协议直接相关,因此是一个不涉及的条款。因此,正确答案应是不包括A15.1.2,而涉及保密协议的是A8.2.1、A8.2.2和A8.3.3,但题目要求选出不包括的条款,所以答案是A8.2.2和A15.1.2。
三、填空题
41、一个组织的网络管理人员,接到人事部门通知被解职,组织应按照一般的安全策略执行哪些安全措施?
参考答案:应主要考虑以下几方面的安全策略: 1)按A7.3.1要求应确定任用或变更后仍有效的信息安全责任及其职责,传达给所有员工或合同方并执行。并且在员工、合同方雇佣结束后持续一段时间仍然有效的任用条款和条件 2)按A8.1.4要求所有员工和外部用户在任用、合同或协议终止时,应归还其占用的所有组织资产。 3)按A9.2.2要求应对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或 撤销访问权。 4)按A9.2.6所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。 5)按A13.2.4要求应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。
解析:【喵呜刷题小喵解析】本题主要考察组织在员工被解职后,应如何按照一般的安全策略执行安全措施。根据题目要求,我们可以从以下几个方面进行解析:1)确定任用或变更后仍有效的信息安全责任及其职责,并传达给所有员工或合同方执行。这是为了确保在员工解职后,信息安全责任能够继续得到保障,不会因为员工的离职而受到影响。2)所有员工和外部用户在任用、合同或协议终止时,应归还其占用的所有组织资产。这是为了防止员工在离职后,继续占用组织的资产,造成资源的浪费和安全隐患。3)对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或撤销访问权。这是为了确保在员工离职后,能够及时撤销其访问权,防止未经授权的人员访问系统和服务。4)所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。这是为了确保在员工离职后,能够及时更新其访问权限,防止其继续访问敏感信息。5)识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。这是为了确保组织的信息保护需求能够得到有效的识别和满足,防止信息泄露和滥用。综上所述,组织在员工被解职后,应按照一般的安全策略执行以上安全措施,以确保信息安全和资产安全。
42、审核员在现场审核时,发现公司存有一份软件清单,当询问清单上所列的软件是否都是通过正规途径用买的软件,管理员回答有的是到正规商店,有的是通过网络购买的。如果您是审核员,您会如何审核?
参考答案:1.查公司有没有相关软件购买的采购程序和软件采购方案,要求是否满足法律法规的规定。 2.查是否对软件供方进行过合格供方评价,评价供方是否满足要求。 3.查是否有清单上购买软件的采购记录、软件服务合同(协议)等信息,收集购买授权数量、版本、安装记录、使用人员等信息,按安装设备数量进行抽样检查。 4.检查是否有经过授权安装软件的情况,公司对安装软件是否有相关规定?如果有是否按规定执行?是否有相关软件批准安装的文件信息? 5.随机间问软件使用人员是否知道公司软件安装使用规定?是否有进行过软件使用培训?
解析:【喵呜刷题小喵解析】:本题要求审核员在发现公司存有一份软件清单,并询问清单上所列的软件是否都是通过正规途径购买的情况时,如何进行审核。审核员需要从多个方面进行审查,以确保公司购买的软件符合法律法规的要求,并且公司对于软件的安装和使用有明确的规定和程序。首先,审核员需要检查公司是否有关于软件购买的采购程序和软件采购方案,这些规定应该符合法律法规的要求。如果公司没有这样的规定或者规定不符合要求,那么公司可能存在违法购买软件的风险。其次,审核员需要检查公司是否对软件供应商进行了合格供方评价,并确认供应商是否满足公司的要求。这是为了确保公司购买的软件来自可靠的供应商,并且软件的质量和安全性得到保障。然后,审核员需要审查软件采购记录、软件服务合同(协议)等信息,收集购买授权数量、版本、安装记录、使用人员等信息,并按照安装设备数量进行抽样检查。这是为了确保公司购买的软件数量、版本和安装情况与采购记录一致,并且软件的使用符合公司的规定。接着,审核员需要检查公司是否有经过授权安装软件的情况,并确认公司是否有相关规定,以及是否按照这些规定执行。同时,审核员需要检查是否有相关软件批准安装的文件信息。这是为了确保公司对于软件的安装和使用有明确的规定和程序,并且这些规定得到了执行。最后,审核员可以随机询问软件使用人员是否了解公司软件安装使用规定,并确认是否进行过软件使用培训。这是为了确保公司对于软件的安装和使用有明确的培训和宣传,并且员工能够遵守这些规定。综上所述,审核员需要从多个方面进行审查,以确保公司购买的软件符合法律法规的要求,并且公司对于软件的安装和使用有明确的规定和程序。
四、简答题
43、A公司其产品生产加工车间为无人车间,生产系统的运维由厂商MD公司工程师进行包括系统参数调整、软件升级等。生产部按公司规定在MD公司工程师进行生产区域操作时执行了“物理区域进入授权”、“操作期间全程陪同”等措施,审核员询问MD公司工程师调整系统参数、软件升级是秀需要公司授权?生产部经理回答:不需要,因为这套系统就是MD公司的产品,他们比我们更懂。
参考答案:不符合GB/T22080-2016中条款A15.2.2应管理供应商所提供服务的变更,包括维护和改进现有的信息安全策略、规程和控制,管理应考虑变更涉及到的业务信息、系统和过程联键程度及风险的再评估。 不符合事实:A公司生产系统的运维由厂商MD公司工程师进行,包括系统参数调整、软件升级等。系统参数、软件升级不需要公司授权,因为这套系统就是MD公司的产品,他们更懂。
解析:【喵呜刷题小喵解析】:在GB/T22080-2016信息安全管理体系中,条款A15.2.2明确指出应管理供应商所提供服务的变更,这包括维护和改进现有的信息安全策略、规程和控制。变更管理应该考虑到这些变更可能涉及到的业务信息、系统和过程的关联程度以及可能的风险。在这个场景中,A公司生产系统的运维由厂商MD公司工程师进行,包括系统参数调整、软件升级等。然而,MD公司工程师调整系统参数、软件升级时,A公司并没有进行公司授权,这违反了上述条款的要求。因为这套系统虽然是MD公司的产品,但A公司仍然需要对供应商提供的服务变更进行管理,确保信息安全策略、规程和控制的维护和改进,以及变更可能带来的风险得到再评估。因此,A公司的做法不符合GB/T22080-2016信息安全管理体系的要求。
44、A公司主营业务为工业设备代理销售。审核员在审核销售部时发现,公司的全部销售业务以及与顾客的关系管理数据的维护均依赖网络及信息系统完成,当问及这些系统的维护和管理时,公司管理者代表解释说,公司维护IT系统的工作全由沈某一人担任,称沈某人非常正直可靠,所有的IT系统维护和监控项目均由其1人完成,从未出过信息安全事故。审核员请来沈某询问,沈某确认其工作职责包括对各业务线小组人员的权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性审核等所有的内容。
参考答案:不符合条款:GB/T22080-2016中A6.1.2:应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。 不符合事实:查销售部销售信急系统维护,全由沈某一人完成,经沈某确认其工作职责包括对各业务线小组人员的权限设置、系统运行监视系统维护和升级、以及系统安全策略符合性审核等所有的内容。
解析:【喵呜刷题小喵解析】:该答案的提出基于审核员在审核A公司时发现的情况,即该公司的全部销售业务以及与顾客的关系管理数据的维护均依赖网络及信息系统完成,但维护这些系统的工作全由沈某一人完成。这一做法不符合GB/T22080-2016中的A6.1.2条款,该条款要求应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。沈某确认其工作职责包括对各业务线小组人员的权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性审核等所有的内容,这进一步证明了公司存在职责未分离的情况,增加了信息安全事故的风险。
45、审核员审核时,通过观察工作人员使用销售管理信息系统时发现,所有人员可以使用相同的权限,审核员进一步了解,系统管理员解释说系统仍在开发中,但公司业务需要一边用一边开发,等待完成后再考虑按角色授权访问。
参考答案:不符合条款GB/T22080-2016标准中A9.4.1:应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:查公司销售管理信息系统,所有人员可以使用相同的权限。
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016标准中A9.4.1条款的规定,组织应该按照访问控制策略限制对信息和应用系统功能的访问。这意味着不同的角色或用户应该拥有不同的权限,以确保只有经过授权的人员能够访问系统并执行相应的操作。然而,在审核过程中,观察发现公司销售管理信息系统的所有工作人员都可以使用相同的权限,这意味着系统没有按照访问控制策略进行配置,从而可能带来安全隐患。因此,这个情况不符合GB/T22080-2016标准的要求。
46、审核员在审核过程中发现组织某系统操作手册规定系统出现运行问题时可以请求开发商进行帮助,抽查相关记录时发现,企业在年中进行价格策略调整时,调整配置工作是由开发人员测试帐号完成的。
参考答案:不符合条款:GB/T22080-2016中A9.4.1信息访问限制应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:该单位年中价格策略调整配置工作是由开发人员测试帐号完成的。
解析:【喵呜刷题小喵解析】:根据题目描述,审核员在审核过程中发现组织某系统操作手册规定系统出现运行问题时可以请求开发商进行帮助,但在抽查相关记录时发现,企业在年中进行价格策略调整时,调整配置工作是由开发人员测试帐号完成的。这一事实违反了GB/T22080-2016中A9.4.1条款的规定,即信息访问限制应按照访问控制策略限制对信息和应用系统功能的访问。因此,该单位在价格策略调整配置工作中使用了开发人员测试帐号,这不符合访问控制策略的要求。
47、某软件开发和运维服务公司面向各行业客户提供应用软件产品及相应的运维支持服务,公司只为员工配备台式电脑,另准备了几台便携式电脑供大家需要时借用。笔记本电脑的借用、归还均由公司前台接待小梅兼管。审核员询问小梅:软件开发和客户现场运维部门的人员还电脑时是否要清除资料?小梅说自己有时间时会帮忙清除的,太忙的时候就下次借用的工程师自己清除。审核员访问负责安装部的运维实施部秦主管:工程师出差时借用的电脑通常会有什么资料?秦主管回答:通常有打算给客户安装的软件包、按合同交付客户的设计文档等。审核员査公司《信息资产管理规定》:客户定制软件产品及相关设计资料仅项目组可访问、获取。
参考答案:不符合GB/T22080-2016中条款A11.2.7包含储存介质的设备的所有部分应进行核査,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。 不符合事实:查公司笔记本电脑的借用、归还情况,根据《信息资产管理规定》工程师出差时借用的电脑仅项目组可访问、获取,小梅说笔记本归还后自己有时间时会帮忙清除的,太忙的时候就下次借用工程师自己清除。
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016中条款A11.2.7的要求,包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。然而,从题目描述来看,公司并没有对笔记本电脑进行这样的核查,存在管理漏洞。此外,根据《信息资产管理规定》,客户定制软件产品及相关设计资料仅项目组可访问、获取。然而,小梅的表述表明,这些资料可能被其他人员访问或获取,这违反了公司的《信息资产管理规定》。同时,小梅表示在归还笔记本电脑时,她有时间时会帮忙清除资料,太忙的时候就下次借用工程师自己清除,这也可能导致敏感信息的泄露。因此,公司的信息安全管理存在不符合规定的情况。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
