2023年1月信息安全管理体系基础真题
1、根据GB 17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为( )等级。2、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的( )系统。3、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、( )。4、关于《中华人民共和国网络安全法》中的“三同步”要求,以下说法正确的是( )。 A. 指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用 B. 建设三级以上信息系统须保证子系统同步规划、同步建设、同步使用C.建设机密及以上信息系统须保证子系统同步规划、同步建设、同步使用 5、根据GB/T22080-2016,应按照既定的备份策略,对( )进行备份,并定期测试。7、有关数据中心机房中,支持性基础设施不包括( )。B. 信息不被未授权的个人、实体或过程利用或知悉的特性9、根据GB/T 22080-2016标准中控制措施的要求,有关系统获取、开发和维护过程中的安全问题,以下描述错误的是( )。A. 运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险B. 系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理C. 系统的获取、开发和维护过程中的安全问题,不仅仅是考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统D. 系统的开发设计,应该越早考虑系统的安全需求越好10、根据GB/T 22080-2016标准,审核中下列哪些章节不能删减( )。B. 适用性声明需要包含必要的控制及其选择的合理性说明12、在信息安全技术中,涉及信息系统灾难恢复,其中“恢复点目标”指( )?A. 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间C. 灾难发生后,系统和数据必须恢复到的时间点要求C. 按照受审核区域的信息安全管理活动的PDCA过程进行审核14、《信息安全等级保护管理办法》规定的5级是信息系统受到破坏后会对( )造成严重损害。15、为了达到组织灾难恢复的要求,备份时间间隔不能超过( )。16、GB/T 22080标准中所指资产的价值取决于( )。17、在决定进行第二阶段审核之前,认证机构应审查第一阶段的审核报告,以便为第二阶段选择具有( )。18、根据GB/T 22080-2016标准中控制措施的要求,应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实现进行的( )。A. 绝密不超过三十年,机密不超过二十年,秘密不超过十年B. 绝密不低于三十年,机密不低于二十年,秘密不低于十年C. 绝密不超过二十五年,机密不超过十五年,秘密不超过五年D. 绝密不低于二十五年,机密不低于十五年,秘密不低于五年20、某公司进行风险评估后发现公司的无线网络存在大的安全隐患,为了处置这个风险,公司不再提供无线网络用于办公,这种处置方式属于( )。21、ISMS不一定必须保留的文件化信息有( )。23、信息安全管理体系标准族中关于信息安全管理体系建设指南的标准是( )。24、有关信息安全管理,风险评估的方法比起基线的方法,其主要的优势在于确保( )。25、某公司财务管理数据职能提供给授权的用户,安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉,这样就可以确保数据的哪个方面的安全性得到保障。( )27、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在( )向当地县级以上人民政府公安机关报告。28、形成ISMS审核发现时,不需要考虑的是( )。29、根据GB/T 22086-2016的要求,内部审核是为了确保信息安全管理体系( )。30、某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”,对此以下说法正确的是( ) 。31、对于获准认可的认证机构,认可机构证明( )。B. 其在特定范围内按照标准具有从事认证活动的能力33、公司A 在内审时发现部分员工计算机开机密码少于六位,公司文件规定员工计算机密 码必须六位及以上,那么下列选项中哪一项不是针对该问题的纠正措施?( )35、依据GB/T 22080,信息的标记应表明:( )。36、关于信息安全连续性,以下说法正确的是( )。37、GB/T 29246标准由( )提出并归口。38、某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?( )39、根据GB/T 22086-2016标准中控制措施的要求,信息安全控制措施不包括( )。40、GB/T 22080/IEC 27001:2013标准附录A中有( )个安全域 。41、《中华人民共和国网络安全法》适用于在中华人民共和国境内( )网络,以及网络安全的监督管理。43、GB/T 22080-2016/ISO/IEC 27001:2013标准可用于( ) 。B. 为组织建立信息安全管理体系提供控制措施的实施指南44、对于组织在风险处置过程中所选的控制措施需( )。C. 在满足公司策略和方针条件下,有意识、客观地接受风险45、《互联网信息服务管理办法》中对( )类的互联网信息服务实行主管部门审核制度。47、ISO/IEC 27000系列标准主要包括哪几类标准? ( )48、设计一个信息安全风险管理工具,应包括如下模块( )。49、依据GB/T 22080,建立风险评估过程,包括( )。51、根据GB/T 22080-2016标准中控制措施的要求,有关设备安全的相关行为,适当的是( )。D. 保护传送数据或支持信息服务的电源与通讯缆线,以防止窃听或破坏52、信息安全管理体系审核范围的确定应考虑( )。53、可被视为可靠的电子签名,须同时符合以下条件( )。C. 签署后对数据电文内容和形式的任何改动能够被发现D. 电子签名制作数据用于电子签名时,属于电子签名人专有54、依据GB/Z 20986,确定为严重的系统损失的情况包括( )。B. 系统关键数据的保密性、完整性、可用性遭到破坏C. 恢复系统正常运行和消除安全事件负面影响所需代价较大D. 恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的56、完全备份就是对全部数据库数据进行备份。( )57、组织的业务连续性策略即其信息安全连续性策略。( )58、《中华人民共和国网络安全法》是2017年1月1日开始实施的。( )59、访问控制列表指由主体以及主体对客体的访问权限所组成列表。( )60、最高管理层应建立信息安全方针,该方针应包括对持续改进信息安全管理体系的承诺。( )61、如果一个ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核,认证机构不应对该ISMS实施认证。( )62、ISO/IEC 27018是信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护PII的实践指南。( )63、ISMS审核方案的内容应考虑规划ISMS时所确定的风险和机会的重要性。( )64、信息安全风险准则包括风险接受准则和风险评价准则。( )65、依据GB 17859第三级及以上信息系统,需具备强制访问控制的能力,第二级及以下不要求。( )参考答案:公众号 审核员实训基地 回复:isms202301
