您当前的位置：首页 > 职场资讯 > 历年真题

2023年5月信息安全管理体系基础真题

来源：审核员英才网 时间：2023-11-15 作者：审核员英才网 浏览量：

2023年5月信息安全管理体系基础真题

一、单选题(共40题，每题1.5分，共60分)

1、根据GB/T 22080-2016标准的要求，信息安全管理体系通过风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立( )的信心。

A. 信息安全得到充分管理

B. 风险得到适当管理

C. 风险得到充分管理

D.信息安全得到适当管理

2、根据GB/T 22080-2016标准的要求，下列选项不属于最高管理层用来证实对信息安全管理体系的领导和承诺的活动? ( )

A. 确保信息安全组织职责分离

B. 促进持续改进

C. 确保建立了信息安全策略和信息安全目标，并与组织战略方向一致

D. 确保将信息安全管理体系要求整合到组织过程中

3、根据GB/T22080-2016标准，在理解组织及其环境时，组织应确定()。

A. 与其意图相关的，且影响其实现信息安全管理能力的外部和内部事项

B. 与信息安全方针相关的，且影响其实现信息安全管理能力的内部和外部事项

C. 与其战略相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项

D. 与其意图相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项

4、对于信息安全方针，( )是GB/T 22080-2016标准所要求的。

A. 信息安全方针应形成文件化信息并可用

B. 信息安全方针文件为公司内部重要信息，不得向外部泄露

C. 信息安全方针文件应包括对信息安全管理的一般和特定职责的定义

D. 信息安全方针是建立信息安全工作的总方向和原则，不可变更

5、根据GB/T22080-2016标准的要求，信息安全管理体系最高管理层确保信息安全管理达到( ) 。

A. 预期效果

B. 顾客满意

C. 法规要求

D. 法律要求

6、根据GB/T 22080-2016标准的要求，相关方的要求可能包括( )。

A. 标准、法规要求和合同义务

B. 法律、标准要求和合同义务

C. 法律、法规要求和合同义务

D. 法律、法规和标准要求和合同义务

7、根据GB/T 22080-2016标准中控制措施的要求，有关安全登陆规程，不能接受的做法是( ) 。

A. 在设备上张贴警示通告，说明只有已授权用户才能访问计算机

B. 忘记个人口令，暴力破解尝试登陆

C. 输入口令时不显示系统或应用标识符，直到登陆过程已成功完成为止

D. 在安全登陆期间，不提供对未授权用户有帮助作用的信息

8、根据GB/T 22080-2016标准中控制措施的要求，有关系统软件安全开发策略，可以不考虑下列哪一项内容?( )

A. 项目里程碑的安全检查点

B. 开发项目进度

C. 软件开发生命周期中的安全指南

D. 开发环境的安全

9、根据GB/T 22080-2016标准的要求，以下说法正确的是( )。

A. 潜在事件发生的可能性与后果的和决定了风险的级别

B. 潜在事件后果的严重性决定了风险级别

C. 潜在事件发生的可能性和后果相乘决定了风险级别

D. 已发生事件的后果决定了风险级别

10、关于GB/T22080-2016，以下说法正确的是( )。

A. 相关方的需求和期望是组织制定信息安全方针的输入

B. 实施标准4.1~4.2,须编制“相关方管理程序”,形成文件

C. 组织须维护一份相关方及其需求和期望的清单

D. 组织应识别的相关方不随ISMS范围而变化

11、根据GB/T22080-2016 标准中控制措施的要求，应根据法律、法规、规章、合同和业务要求，确保对记录进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。是( )的条款的要求。

A. A.13.2.3

B. A.18.1.3

C. A.9.4.1

D. A.7.5.3

12、以下符合GB/T 22080-2016标准A.18.1.4条款要求的情况是( )

A. 认证范围内员工的个人隐私数据得到保护

B. 认证范围内涉及顾客的个人隐私数据得到保护

C. 认证范围内涉及相关方的个人隐私数据得到保护

D. 其他选项均正确

13、根据ISO/IEC 27000标准，( )为组织提供了信息安全管理体系实施指南。

A. ISO/IEC 27002

B. ISO/IEC 27007

C. ISO/IEC 27013

D. ISO/IEC 27003

14、根据GB/T22080-2016/ISO/1EC 27001:2013标准，以下做法不正确的是( )。

A. 应保留含有敏感信息的介质的处置记录

B. 离职人员自主删除敏感信息的即可

C. 必要时采用多路线路供电

D. 应定期检查机房空调的有效性

15、根据GB/T 22081-2016标准的要求，附录A包含( )项控制措施。

A. 114

B. 139

C. 143

D. 133

16、根据ISO/IEC 27006标准，认证决定应基于审核报告中( )对客户ISMS是否通过认证的建议。

A. 审核组

B. 观察员

C. 认证决定人员

D. 审核员

17、根据GB/T 28450标准， ISMS文件评审不包括( ) 。

A. 信息安全管理手册的充分性

B. 风险评估报告的合理性

C. 适用性声明的完备性和合理性

D. 风险处置计划的完备性

18、ISO/IEC 27701是( ) 。

A. ISO/IEC 27001和ISO/IEC 27002在隐私保护方面的扩展

B. 是ISMS族以外的标准

C. 在隐私保护方面扩展了ISO/IEC 27001的要求

D. 是一份基于ISO/IEC 27002的指南性标准

19、某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于( )。

A. 风险接受

B. 风险规避

C. 风险转移

D. 风险减缓

20、风险偏好是组织寻求或保留风险的( )。

A. 行动

B. 计划

C. 意愿

D. 批复

21、根据GB/T 20986, 由于保障信息系统正常运行所必须的外围设施出现故障而导致的信息安全事件是( ) 。

A. 其他设备设施故障

B. 外围保障设施故障

C. 人为破坏事故

D. 软硬件自身故障

22、根据GB/T 29246,信息处理设施不包括( )。

A. 信息系统

B. 系统和设施安置的物理场所

C. 人及文档

D. 服务和基础设施

23、依据GB/T 29246, 以( )的组合来表示风险的大小。

A. 后果和其可能性

B. 资产和其可能性

C. 资产和其脆弱性

D. 后果和其脆弱性

24、关于GB 17859,以下说法正确的是( ) 。

A. 特定的法律法规引用该标准在引用的范围内视为强制性标准

B. 这是一份推荐性标准

C. 这是一份强制性标准

D. 组织选择使用该标准在选择的范围内视为强制性标准

25、根据GB/T 25058《信息安全技术网络安全等级保护实施指南》,对等级保护对象实施等级保护的基本流程包括：等级保护对象( )阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和定级对象终止阶段。

A. 备案与风险评估

B. 定级与风险管理

C. 定级与风险评估

D. 定级与备案

26、以下哪个不是威胁?( )

A. 错误使用

B. 文献缺乏

C. 电磁辐射

D. 权力滥用

27、拒绝服务攻击损害了下列哪一种信息安全特性?( )

A. 完整性

B. 可用性

C. 机密性(保密性)

D. 可靠性

28、某种网络安全威胁是通过非法手段对数据进行恶意修改，这种安全威胁属于( )。

A. 窃听数据

B. 破坏数据完整性

C. 破坏数据可用性

D. 物理安全威胁

29、当访问某资源存在不存活的链接时，会导致非法用户冒用并进行重复攻击的可能性，因此应采取( )控制措施。

A. 密码控制

B. 密钥控制

C. 会话超时

D. 远程访问控制

30、在以下人为的恶意攻击行为中，属于主动攻击的是( )。

A. 数据窃听

B. 误操作

C. 数据流分析

D. 数据篡改

31、用户访问某Web网站，用户直接采取的安全措施是( )。

A. 服务器数据备份

B. 防火墙过滤数据包

C. 用户输入登录口令

D. 核心交换机的热备

32、以下不属于描述性统计技术的是( )。

A. 正态分布

B. 散布图

C. 帕累托图

D. 直方图

33、关于密码技术，以下哪项属于非对称密码技术? ( )

A. RSA

B. DES

C. 3DES

D. AES

34、对于“监控系统”的存取与使用，下列说法正确的是( )。

A. 监控系统所产生的记录可由用户任意存取

B. 应保持时钟同步

C. 只有当系统发生异常事件及其他安全相关事件时才需进行监控

D. 监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略

35、SaaS是指( )。

A. 软件即服务

B. 平台即服务

C. 应用即服务

D. 基础设施即服务

36、建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证( )。

A. 安全技术措施同步规划、同步建设、同步使用

B. 三级以上信息系统的安全子系统同步规划、同步建设、同步使用

C. 秘密级以上信息系统的安全子系统同步规划、同步建设、同步使用

D. 机密级及以上信息系统的安全子系统同步规划、同步建设、同步使用

37、根据《中华人民共和国密码法》所称密码，以下说法不正确的是( )。

A. 国家密码管理部门负责管理全国的密码工作，市级以上地方各级密码管理部门负责管理本行政区域的密码工作

B. 密码是指采用特定变换的方法对信息进行加密保护、安全认证的技术、产品和服务

C.秘密工作坚持总体国家安全观

D.密码分为核心密码、普通密码和商用密码

38、根据《互联网信息服务管理办法》,以下哪个说法是错误的?( )

A. 互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号

B. 互联网信息服务提供者变更服务项目、网站网址等事项的，应当提前30日向原审核、发证或者备案机关办理变更手续

C. 非经营性互联网信息服务提供者可以从事有偿服务

D. 互联网信息服务提供者应当按照经许可或者备案的项目提供服务，不得超出经许可或者备案的项目提供服务

39、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为( )。

A. 三级

B. 二级

C. 四级

D. 五级

40、根据《中华人民共和国计算机信息系统安全保护条例》,计算机犯罪是指行为人通过( )所实施的危害( )安全以及其他严重危害社会的并应当处以刑罚的行为。

A. 数据库操作计算机信息系统

B. 计算机操作计算机信息系统

C. 数据库操作管理信息系统

D. 计算机操作应用信息系统

二、多选题(共15题，每题2分，共30分)

41、根据GB/T 22080-2016,( )活动是ISMS建立阶段完成的内容。

A. 确定ISMS 的范围和边界

B. 确定ISMS方针

C. 确定风险评估方法并实施风险评估

D. 实施体系文件培训

42、信息有其固有的生命周期，即从其( )。

A. 创建和产生

B. 使用、传输

C. 存储、处理

D. 销毁或消失

43、根据GB/T 22080-2016中控制措施的要求，关于用户的秘密鉴别信息管理，正确的是( )。

A. 鉴别信息宜加密保存

B. 对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息

C. 鉴别信息的保护可作为任用条件或条款的内容

D. 使用QQ传递鉴别信息

44、根据GB/T 22080-2016标准中控制措施的要求，有关信息安全管理中“符合性”的叙述，正确的是( ) 。

A. 组织重要记录应予以保护

B. 清楚识别所有的法律和合同的要求

C. 要保护个人信息的数据和隐私

D. 避免非法使用具有知识产权的专利软件产品

45、根据GB/T 22081标准，有关安全区域的叙述，正确的是( )。

A. 划设为安全区域的场所已有适当管控，可容许任何人进出

B. 其目标是避免营运场所及信息遭到未授权存取、损害与干扰

C. 应设立安全区域，以满足不同业务场景的安全需求

D. 在安全区域内工作时应采取额外的控制措施及指引，以强化该区域的安全性

46、根据GB/T 22080-2016标准中控制措施的要求，变更管理应予以控制的风险包括( )。

A. 组织架构、业务流程变更的风险

B. 信息系统新的组件、功能模块发布的风险

C. 信息系统配置、物理位置变更的风险

D. 供应商内部的体系文件修改造成流程变更的风险

47、ISMS审核目标可包括( )。

A. 评价ISMS是否充分识别

B. 确定信息安全控制对ISMS要求和规程的符合程度

C. 解决信息安全要求

D. 评价维护和有效改进ISMS的过程

48、根据GB/T 29264标准，运行维护服务采用信息技术手段及方法，依据需方提出的服务级别要求，对其信息系统的( )等提供的各种技术支持和管理服务。

A. 硬件

B. 安全

C. 基础环境

D. 软件

49、为了成功达成信息安全管理体系的持续改进，信息安全测量项目应当考虑( )。

A. 基于信息安全管理体系目标的定量安全测度

B. 业务连续性计划

C. 信息安全管理体系各过程和规程的存在

D. 管理层的承诺并有适当资源支持

50、访问控制机制包括( )。

A. 自主访问控制

B. 安全标记

C. 客体重用

D. 强制访问控制

51、关于ISO31000标准，以下哪些说法是正确的?( )

A. 该标准可用于任何公有、私有企业、协会、团体或个体。因此，该标准不针对任何行业或部门

B. 尽管该标准提供了风险管理的通用性指南，但不要求组织风险管理的统一性

C.该标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果

D. 风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践

52、以下哪些是不能用来进行问责追溯的文件? ( )

A. 系统日志

B. 用户口令

C. 用户配置文件

D. 配置文件

53、在信息安全管理中，以下属于“按需知悉(need-to-know)” 原则的是( ) 。

A. 针对所需完成的工作，赋予最小集的权限

B. 工作人员仅需知悉可支持其完成工作任务的信息

C. 工作人员可访问的信息范围是有限的，仅在必要时可扩大范围

D. 得到高层管理者批准的信息范围是可访问的信息

54、以下哪种说法是正确的?( )

A. 经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动

B. 非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动

C. 国家对经营性互联网信息服务和非经营性互联网信息服务均实行备案制度

D. 互联网信息服务分为经营性和非经营性两类

55、《中华人民共和国网络安全法》适用于在中华人民共和国境内( )网络，以及网络安全的监督管理。

A. 建设

B. 运营

C. 维护

D. 使用

三、判断题(共10题，每题1分，共10分)

56、审核方案风险一般不包括保密要求相关的风险。( )

57、审核目的应包括确定管理体系的有效性，以确保客户已根据风险评估实施了适用的控制并实现了所设立的信息安全方针。( )

58、ISO/IEC 27006是ISO/IEC 17021的相关要求的补充。( )

59、ISO/IEC 27018是信息技术安全技术可识别个人信息(PII)处理者在公有云中保护PII的实践指南。( )

60、某互联网服务公司允许员工使用手机APP完成对公司客户的服务请求处理，无论手机是公司配发的或员工私有的，均须安装公司规定的安装控制程序。这符合ISO/IEC 27001:2013标准A.6.2.1的要求。( )

61、某公司核心业务系统MTPD=4小时，非核心业务系统MTPD=36小时，公司取其平均值，规定业务系统的RTO=20小时。这符合GB/T 22080-2016标准A.17.1.1的要求。( )

62、防火墙是设置在内部网络和外部网络(如互联网)之间，实施访问控制策略的一个或一组系统。( )

63、域账号的名称在域中必须是唯一的，而且也不能和本地账号名称相同，否则会引起混乱。( )

64、计算机数据恢复在实际生活当中可以百分百恢复。( )

65、申请注册信息安全管理体系审核员应具有大学本科(含)以上学历。( )

参考答案：公众号审核员实训基地回复：isms202305

微信扫一扫分享资讯

上一篇： 2023年1月信息安全管理体系基础真

2023年5月信息安全管理体系基础真题

用微信扫一扫