2022年7月信息安全管理体系基础真题
一 、单选题(共40题,每题1.5分,共60分)
1、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为( )。
A. 三级
B. 二级
C. 四级
D. 六级
2、当访问单位服务器时,响应速度明显减慢时、最有可能受到了哪一种攻击?( )
A. 特洛伊木马
B. 地址欺骗
C. 缓冲区溢出
D. 拒绝服务
3、《中华人民共和国保密法》规定国家秘密的范围和密级,国家秘密的密级分为( )。
A. 普密、商密两个级别
B. 低级和高级两个级别
C. 绝密、机密、秘密三个级别
D. 一密、二密、三密、四密四个级别
4、风险识别过程中需要识别的方面包括:资产识别、威胁识别、识别现有控制措施、( ) 。
A. 识别可能性和影响
B. 识别脆弱性和识别后果
C. 识别脆弱性和可能性
D. 识别脆弱性和影响
5、信息管理体系审核指南规定, ISMS规模不包括( )。
A. 组织控制下开展工作的人员总数以及相关合同方
B. 组织的部门数量
C. 覆盖场所的数量
D. 信息系统的数量
6、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每( )至少进行一次保密检查或者系统测评。
A. 半年
B. 1年
C. 1.5年
D. 2年
7、信息是消除( )的东西。
A. 不确定性
B. 物理特性
C. 不稳定性
D. 干扰因素
8、数字签名要预先使用单向Hash函数进行处理的原因是( )。
A. 保证密文能准确还原成明文
B. 缩小签名的长度
C. 提高密文的计算速度
D. 多一道加密工序,使密文更难破解
9、以下不是ISMS体系中,利益相关方的对象:( )
A. 认为自己受到决策影响人和组织
B. 认为自己影响决策的人和组织
C. 可能受到决策影响的人和组织
D. 可能影响决策的人和组织
10、下列哪项不是SSE-CMM的工程过程区域( ) 。
A. 工程过程
B. 保证过程
C. 风险过程
D. 设计过程
11、管理员通过桌面系统下发IP/MAC绑定策略后,终端用户修改IP地址,对其的管理方式不包括( ) 。
A. 自动恢复其IP至原绑定状态
B. 断开网络并持续阻断
C. 弹出提示窗口对其发出警告
D. 锁定键盘鼠标
12、GB/T 29246标准为组织和个人提供( )。
A. 建立信息安全管理体系的基础信息
B. 信息安全管理体系的介绍
C. ISMS标准族已发布标准的介绍
D. ISMS标准族中使用的所有术语和定义
13、在规划如何达到信息安全目标时,组织应确定( )。
A. 要做什么,有什么可用资源,由谁负责,什么时候开始,如何测量结果
B. 要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果
C. 要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果
D. 要做什么,有什么可用资源,由谁执行,什么时候开始,如何评价结果
14、下面哪一种环境控制措施可以保护计算机不受短期停电影响( )?
A. 电力线路调节器
B. 电力浪涌保护设备
C. 备用的电力供应
D. 可中断的电力供应
15、《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于( )。
A. 1个月
B. 3个月
C. 6个月
D. 12个月
16、经过风险处理后遗留的风险通常称为( )。
A. 重大风险
B. 有条件的接受风险
C. 不可接受的风险
D. 残余风险
17、下列关于DMZ区的说法错误的是( )。
A. DMZ可以访问内部网络
B. 通常DMZ包含允许来自互联网的通信可进行的设备,如WEB服务器、FTP服务器、SMTP服务器和DNS服务器
C. 内部网络可以无限制地访问外部网络以及DMZ
D. 有两个DMZ 的防火墙环境的典型策略是主防火墙采用NAT方式工作
18、涉及运行系统验证的审计要求和活动,应( )。
A. 谨慎地加以规划并取得批准,以便最小化业务过程的中断
B. 谨慎地加以规划并取得批准,以便最大化保持业务过程的连续
C. 谨慎地加以实施并取得批准,以便最小化业务过程的中断
D. 谨慎地加以实施并取得批准,以便最大化保持业务过程的连续
19、国家信息安全等级保护采取( )。
A. 自主定级、自主保护原则
B. 国家保密部门定级、自主保护原则
C. 公安部门定级、自主保护原则
D. 国家保密部门定级、公安部门监督保护的原则
20、信息安全管理措施不包括( )。
A. 安全策略
B. 物理和环境安全
C. 访问控制
D. 安全范围
21、关于顾客满意,以下说法正确的是:( )。
A. 顾客没有抱怨,表示顾客满意
B. 信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意
C. 顾客认为其要求已得到满足,即意味着顾客满意
D. 组织认为顾客要求已得到满足,即意味着顾客满意
22、某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?( )
A. 机房设备面临被盗的风险
B. 机房设备面临受破坏的风险
C. 机房设备面临灰尘的风险
D. 机房设备面临人员误入的风险
23、加强网络安全性的最重要的基础措施是( )。
A. 设计有效的网络安全策略
B. 选择更安全的操作系统
C. 安装杀毒软件
D. 加强安全教育
24、关于涉密信息系统的管理,以下说法不正确的是:( )。
A. 涉密计算机,存储设备不得接入互联网及其他公共信息网络
B. 涉密计算机只有采取了适当防护措施才可接入互联网
C. 涉密信息系统中的安全技术程序和管理程序不得擅自卸载
D. 涉密计算机未经安全技术处理不得改作其他用途
25、对于“监控系统”的存取与使用,下列正确的是( )。
A. 监控系统所产生的记录可由用户任意存取
B. 应保持时钟同步
C. 只有当系统发生异常事件及其他安全相关事件时才需进行监控
D. 监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
26、在以下人为的恶意攻击行为中,属于主动攻击的是( )。
A. 数据窃听
B. 误操作
C. 数据流分析
D. 数据篡改
27、组织( )实施风险评估。
A. 应按计划的时间间隔或当重大变更提出或发生时
B. 应按计划的时间间隔且当重大变更提出或发生时
C. 只需在重大变更发生时
D. 只需按计划的时间间隔
28、依据GB/T 22080-2016标准,以下说法正确的是( )。
A. 潜在事件发生的可能性和后果的和,决定了风险级别
B. 潜在事件发生的可能性和后果相乘决定了风险级别
C. 潜在事件后果的严重性决定了风险级别
D. 已发生事故的后果决定了风险级别
29、ISMS文件的多少和详细程度取决于( )。
A. 组织的规模和活动的类型
B. 过程及其相互作用的复杂程度
C. 人员的能力
D. 以上都对
30、依据GB/T 22080-2016说法错误的是( )。
A. 标准可用于内部外部人员评估组织是否满足信息安全体系要求
B. 标准规定的要求是通用的,适用于各种类型规模的组织
C. 标准中所表述的要求顺序反应了这些要求需要实现的顺序
D. 信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中
31、不属于计算机病毒防治的策略是( )。
A. 确认你手头常备一张真正“干净”的引导盘
B. 及时、可靠升级反病毒产品
C. 新购置的计算机软件也要进行病毒检测
D. 整理磁盘
32、以下哪些可由操作人员执行? ( )
A. 审批变更
B. 更改配置文件
C. 安装系统软件
D. 添加/删除用户
33、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为( )。
A. ISO/IEC 27002
B. ISO/IEC 27003
C. ISO/IEC 27004
D. ISO/IEC 27005
34、信息安全管理体系审核将各行业领域分为几大领域?( )
A. 6
B. 4
C. 5
D. 3
35、下列说法不正确的是( )。
A. 残余风险需要获得风险责任人的批准
B. 适用性声明需要包含必要的控制及其选择的合理性说明
C. 所有的信息安全活动都必须有记录
D. 组织控制下的员工应了解信息安全方针
36、( )是风险管理的重要一环。
A. 管理手册
B. 适用性声明
C. 风险处置计划
D. 风险管理程序
37、某公司财务管理数据职能提供给授权的用户,安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉,这样就可以确保数据的哪个方面的安全性得到保障。( )
A. 保密性
B. 完整性
C. 可用性
D. 稳定性
38、以下不属于描述性统计技术的是( )。
A. 正态分布
B. 散布图
C. 帕累托图
D. 直方图
39、文件化信息创建和更新时,组织应确保适当的( )。
A. 对适宜性和有效性的评审和批准
B. 对充分性和有效性的测量和批准
C. 对适宜性和充分性的测量和批准
D. 对适宜性和充分性的评审和批准
40、关于GB 17859, 以下说法正确的是( )。
A. 特定的法律法规引用该标准在引用的范围内视为强制性标准
B. 这是一份推荐性标准
C. 这是一份强制性标准
D. 组织选择使用该标准在选择的范围内视为强制性标准
二、 多选题(共15题,每题2分,共30分)
41、信息安全是保证信息的( ),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。
A. 可用性
B. 保密性
C. 方便性
D. 完整性
42、常规控制图主要用于区分( )。
A. 过程处于稳态还是非稳态
B. 过程能力的大小
C. 过程加工的不合格品率
D. 过程中存在的偶然波动还是异常波动
43、对于风险安全等级三级及以上系统,以下说法正确的是( )。
A. 采用双重身份鉴别机制
B. 对用户和数据采用安全标记
C. 系统管理员可任意访问日志记录
D. 三年开展一次网络安全等级测评工作
44、编写业务恢复策略时,下列哪些因素应该考虑( )。
A. 应急响应小组成员角色职责
B. 重要业务的恢复优先顺序
C. 灾备中心的距离
D. 为生产中心的设备购买保险
45、根据《信息安全保护条例》,哪些行为受到公安机关处以警告,停业整顿的处罚( )。
A. 不按照规定时间报告发生的案件
B. 违反计算机信息安全保护制度,危害计算机系统安全
C. 违反信息系统国际联网备案制度
D. 接到公安机关要求改进安全状况要求后,限期内不整改
46、GB/T 22080-2016标准中,有关信息安全绩效的反馈,包括下面哪些方面趋势( )。
A. 监视和测量结果
B. 审核结果
C. 信息安全过程控制
D. 不符合和纠正措施
47、访问控制包括( ) 。
A. 网络和网络服务的访问控制
B. 逻辑访问控制
C. 用户访问控制
D. 物理访问控制
48、审核方案应考虑的内容包括( )。
A. 体系覆盖人数
B. 体系覆盖场所
C. IT平台的数量
D. 特权用户数量
49、编制ISMS审核计划,充分理解审核方案,计划还需考虑( )。
A. 组织资源保障程度
B. 前期抽样情况和本期抽样原则
C. 需要的技术和工具准备
D. 人员派遣要求
50、网络攻击的方式包括( )。
A. 信息搜集
B. 信息窃取
C. 系统利用
D. 资源损耗
51、对公有云服务商,属于其安全职责的是( )。
A. 有责任为租户提供日志和监控数据
B. 需无偿为租户提供漏洞扫描报告
C. 对租户高等数据,不应使用外籍人员充当系统管理员
D. 当租户退出云服务时,有责任清除租户数据
52、根据GB/T22080-2016中控制措施要求,应( )反映组织信息保护需要的保密性或不泄露协议的要求。
A. 文件化
B. 定期评审
C. 识别
D. 签订
53、根据GB/T 29246, 以下说法正确的是( )。
A. ISMS族包含阐述要求的标准
B. ISMS族包含特定行业概述的标准
C. ISMS族包含闸述通用概述的标准
D. ISMS族包含阐述ISMS概述和词汇的标准
54、根据GB/T 22080-2016标准中控制措施的要求,有关资产管理的叙述,正确的是( )。
A. 应制定资产清单并进行维护
B. 信息分类与相关保护控制措施应考虑企业共享或限制信息的需求
C. 所有主要的信息资产应由高级管理人员负责保管
D. 应制订一套与组织采用的分类方式相同的信息标识和处理流程
55、根据GB/Z 20986, 信息安全事件分为有害程序事件、网络攻击事件、( )和其他信息安全事件等。
A. 计算机病毒事件
B. 信息破坏事件
C. 设备设施故障
D. 信息泄露事件
三 、判断题(共10题,每题1分,共10分)
56、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。( )
57、27001标准中关于“网络隔离”的要求,就是“职责分离”的要求在网络安全管理中的具体表现.( )
58、依据GB 17859第三级及以上信息系统,需具备强制访问控制的能力,第二级及以下不要求。( )
59、依据《中华人民共和国网络安全法》可按照规定,留存相关网络日志不少于3个月。( )
60、windows 防火墙能阻止计算机病毒和蠕虫的侵入,但防火墙不能检测和清除已经感染的计算机病毒。( )
61、记录可提供符合信息安全管理体系要求和有效运行的证据。( )
62、客户所有场所业务的范围相同,且在同一ISMS下运行,并接受统一的管理、内部审核和管理评审时,认证机构可以考虑使用基于抽样的认证审核。( )
63、信息系统中的“单点故障”指仅由一个故障点,因此属于较低风险等级的事件。( )
64、ISO/IEC 27018是信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护PII的实践指南。( )
65、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统,并降低进入该系统的无意错误操作导致的影响。( )
