2024年第二期国家注册ISMS审核员复习题—信息安全管理体系含解析.doc

2024年第二期国家注册ISMS审核员复习题—信息安全管理体系

一、单项选择题

1、与某个特定配置项相关的项目信息被存储到配置管理数据库，这种项目称为：

A、组件

B、特色

C、属性

D、特性

2、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级

A、3

B、4

C、5

D、6

3、第三方认证审核时，对于审核提出的不符合项，审核组应：（）

A、与受审核方共同评审不符合项以确认不符合的条款

B、与受审核方共同评审不符合项以确认不符合事实的准确性

C、与受审核方共同评审不符合以确认不符合的性质

D、以上都对

4、关于互联网信息服务，以下说法正确的是

A、互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案

B、非经营性互联网信息服务未取得许可不得进行

C、从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求

D、经营性互联网服务，是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动

5、组织机构在建立和评审ISMS时，应考虑（）

A、风险评估的结果

B、管理方案

C、法律、法规和其它要求

D、A+B

E、A+C

6、对全国密码工作实行统一领导的机构是(）

A、中央密码工作领导机构

B、国家密码管理部门

C、中央国家机关

D、全国人大委员会

7、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(）

A、识别可能性和影响

B、识别脆弱性和识别后果

C、识别脆弱性和可能性

D、识别脆弱性和影响

8、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性

B、完整性

C、机密性

D、可用性

9、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）

A、基本角色的策略

B、基于身份的策略

C、用户向导的策略

D、强制性访问控制策略

10、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是

A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用

B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用

C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用

D、以上都不对

11、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响

A、隔离和迁移

B、评审和测试

C、评审和隔离

D、验证和确认

12、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性

A、已经发生

B、可能发生

C、意外

D、A+B+C

13、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。

A、ISMS建立阶段

B、ISMS实施和运行阶段

C、ISMS监视和评审阶段

D、ISMS保持和改进阶段

14、ISMS不一定必须保留的文件化信息有()

A、适用性声明

B、信息安全风险评估过程记录

C、管理评审结果

D、重要业务系统操作指南

15、（）是建立有效的计算机病毒防御体系所需要的技术措施。

A、补丁管理系统、网络入侵检测和防火墙

B、漏洞扫描、网络入侵检测和防火墙

C、漏洞扫描、补丁管理系统和防火墙

D、网络入侵检测、防病毒系统和防火墙

16、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）

A、完整性

B、可用性

C、机密性

D、抗抵赖性

17、信息安全管理中,以下哪一种描述能说明“完整性”（）。

A、资产与原配置相比不发生缺失的情况

B、资产不发生任何非授权的变更

C、软件或信息资产内容构成与原件相比不发生缺失的情况

D、设备系统的部件和配件不发生缺失的情况

18、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）

A、建立信息安全事件管理的责任

B、建立信息安全事件管理规程

C、对信息安全事件进行响应

D、在组织内通报信息安全事件

19、关于信息系统登录口令的管理，以下做法不正确的是：()

A、必要时，使用密码技术、生物识等替代口令

B、用提示信息告知用户输入的口令是否正确

C、明确告知用户应遵从的优质口令策略

D、使用互动式管理确保用户使用优质口令

20、当发现不符合项时，组织应对不符合做出反应，适用时（）。

A、采取措施，以控制并予以纠正

B、对产生的影响进行处理

C、分析产生原因

D、建立纠正措施以避免再发生

21、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略，以下正确的是（）

A、没有陈述为禁止访问的网络服务，视为允许方问的网络服务

B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接

C、对于允许访问的网络服务，按照规定的授权机制进