2022年9月ISMS审核员模拟试题—信息安全管理体系含解析.doc

2022年9月ISMS审核员模拟试题—信息安全管理体系

一、单项选择题

1、防火墙提供的接入模式不包括(）

A、透明模式

B、混合模式

C、网关模式

D、旁路接入模式

2、创建和更新文件化信息时，组织应确保适当的（）

A、对适宜性和有效性的评审和批准

B、对充分性和有效性的测量和批准

C、对适宜性和充分性的测量和批准

D、对适宜性和充分性的评审和批准

3、风险评价是指（）

A、系统地使用信息来识别风险来源和评估风险

B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程

C、指导和控制一个组织相关风险的协调活动

D、以上都对

4、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告

A、8小时内

B、12小时内

C、24小时内

D、48小时内

5、以下不属于信息安全事态或事件的是：

A、服务、设备或设施的丢失

B、系统故障或超负载

C、物理安全要求的违规

D、安全策略变更的临时通知

6、组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定

B、制定

C、落实

D、确保

7、容灾的目的和实质是（）

A、数据备份

B、系统的

C、业务连续性管理

D、防止数据被破坏

8、下列哪个选项不属于审核组长的职责?

A、确定审核的需要和目的

B、组织编制现场审核有关的工作文件

C、主持首末次会议和市核组会议

D、代表审核方与受中核方领导进行沟通

9、以下哪个选项不是ISMS第一阶段审核的目的（）

A、获取对组织信息安全管理体系的了解和认识

B、了解客户组织的审核准备状态

C、为计划2阶段审核提供重点

D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求

10、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）

A、ISO/IECJTC1SC27

B、ISO/IECJTC13C40

C、ISO/IECTC27

D、ISO/IECTC40

11、计算机信息系统安全专用产品是指：（）

A、用于保护计算机信息系统安全的专用硬件和软件产品

B、按安全加固要求设计的专用计算机

C、安装了专用安全协议的专用计算机

D、特定用途（如高必威体育官网网址）专用的计算机软件和硬件产品

12、关于入侵检测，以下不正确的是：（）

A、入侵检测是一个采集知识的过程

B、入侵检测指信息安全事件响应过程

C、分析反常的使用模式是入侵检测模式之一

D、入侵检测包括收集被利用脆弱性发生的时间信息

13、风险责任人是指（）

A、具有责任和权限管理一项风险的个人或实体

B、实施风险评估的组织的法人

C、实施风险评估的项目负责人或项目任务责任人

D、信息及信息处理设施的使用者

14、关于内部审核下面说法不正确的是(）。

A、组织应定义每次审核的审核准则和范围

B、通过内部审核确定ISMS得到有效实施和维护

C、组织应建立、实施和维护一个审核方案

D、组织应确保审核结果报告至管理层

15、为信息系统用户注册时，以下正确的是:（）

A、按用户的职能或业务角色设定访问权

B、组共享用户ID按组任务的最大权限注册

C、预设固定用户ID并留有冗余，以保障可用性

D、避免频繁变更用户访问权

16、组织应定义所有事件的记录和分类、分级、需要时升级、解决和（）

A、报告

B、沟通

C、回复顾客

D、正式关闭

17、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()

A、2019

B、2017

C、2016

D、2021

18、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？

A、硬件和软件

B、技术和制度

C、管理员和用户

D、物理安全和软件缺陷

19、以下关于认证机构的监督要求表述错误的是（）

A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性

B、认证机构的监督方案应由认证机构和客户共同来制定

C、监督审核可以与其他管理体系的审核相结合

D、认证机构应对认证证书的使用进行监督

20、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行

A、在客户组织的场所

B、在认证机构以网络访向的形式

C、以远程视频的形式

D、以上都対

21、审核发现是指（）

A、审核中观察到的事实

B、审核的不符合项

C、审核中收集到的审核证据对照审核准则评价的结果

D、审核中的观察项

22、下面哪个不是《中华人民共和国密码法》中密码的分类？（）

A、核心密码

B、普通密码

C、国家密码

D、商用密码

23、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果

B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果

C、对不符合做出处理，及