ISMS考试真题

..IOS/IEC27001ISMS审核员考试基础知识201606一、单项选择1、Cp是理想过程能力指数，Cpk是实际过程能力指数，以下（）是正确的。A、Cp＞CpkB、Cp＜CpkC、Cp≤CpkD、Cp≥Cpk2、信息安全是保证信息的保密性、完整性、（）。A、充分性B、适宜性C、可用性D、有效性3、应为远程工作活动开发和实施策略、（）和规程。A、制定目标B、，明确职责C、编制作业指导书D、操作计划4、一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性。A、已经发生B、可能发生C、意外D、A+B+C5、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。A、国家经营B、地方经营C、许可制度D、备案制度6、以下说法不正确的是（）A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、组织在建立和评审信息安全管理体系时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其他要求D、A+C8、管理体系是指（）。A、建立方针和目标并实现这些目标的体系B、相互关联的相互作用的一组要素C、指挥和控制组织的协调活动D、以上都对9、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、以下属于计算机病毒感染事件的纠正措施的是（）A、对计算机病毒事件进行相应和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对..11、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、国家秘密的密级分为（）A、绝密B、机密C、秘密D、以上都对13、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。A、半年B、1年C、1.5年D、2年14、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构再接受其注册申请。A、2年B、3年C、4年D、5年15、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行。A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式C、以上都对16、以下关于认证机构的监督要求表述错误的是（）A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督17、渗透测试（）A、可能会导致业务系统无法正常运行B、是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法C、渗透人员在局域网中进行测试，以期发现和挖掘系统存在的漏洞，然后输出渗透测试报告D、必须在计算机网络系统首次使用前进行，以确保系统安全18、以下哪个算法是非对称加密算法？（）A、RSAB、DESC、3DESD、AES19、下面是关于计算机病毒的两种论断，经判断（）①计算机病毒也是一种程序，它在某些条件下激活，起干扰破坏作用，并能传染到其他程序中去。②计算机病毒只会破坏磁盘上的数据。经判断A、只有①正确B．只有②正确C．①②都正确D．①②都不正确20、以下关于入侵检测系统功能的叙述中，（）是不正确的。A、保护内部网络免受非法用户的侵入B、评估系统关键资源和数据文件的完整性C、识别已知的攻击行为D、统计分析异常行为..21、容灾就是减少灾难事件发生的可能性以及限制灾难对（）所造成的影响的一整套行为。A、销售业务流程B、财务业务流程C、生产业务流程D、关键业务流程22、（）属于管理脆弱性的识别对象。A、物理环境B、网络结构C、应用系统D、技术管理23、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D数据备份24、从技术上说，网络容易受到攻击的原因主要是由于网络软件不完善和（）本身存在安全漏洞造成的。A、人为使用B、硬件设备C、操作系统D、网络协议25-32暂无28、被黑客控制的计算机常被称为（）A、蠕虫B、肉鸡C、灰鸽子D、木马30、被动扫描的优点不包括（）A、无法被监测B、只需要监听网络流量C、D、不需要主动31、从技术的角度讲，数据备份的策略不包括（）A、完全备份B、增量备份C、定期备份D、差异备份32、下列属于公司信息资产的有A、资产信息B、被放置在IDC机房的服务器C、D、以上都不对33、信息安全管理实用规则ISO/IEC27002属于（）标准A、词汇类标准B、指南类标准C、要求类标准D、技术类标准34、依据GB/T22080/ISO/IEC27001的要求，管理者应（）A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、以上都不对35、以下对ISO/IEC27002的描述，正确的是（）A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时，必须满足该标准的所有要求36、要确保信息受到适当等级的保护，需要（）A、对不同类别的信息分别标记和处理B、将所有信息存放于重要服务器上，严加保管C、应将重要信息打印，加盖机密章后锁起来D、以上都不对37、对于信息安全方针，（）是ISO/IEC27001所要求的。A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息，不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则，不可变更..38、适用性声明文件应（）A、描述与组织相关和适用的控制目标和控制措施B、版本应保持稳定不变C、应包含标准GB/T22080附录A的所有条款D、应删除组织不拟实施的控制措施39、信息系统的变更管理包括（）A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部40、以下对信息安全描述不准确的是（）A、保密性、完整性、可用性B、适宜性、充分性、有效性C、保密性、完整性、可核查性D、真实性、可核查性、可靠性41、ISMS文件的多少和详细程度取决于（）A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、以上都对42、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响，但不包括（）A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都对43、经过风险处理后遗留的风险通常称为（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险44、在公共可用系统中可用信息的（）宜受保护，以防止未授权的修改。A、保密性B、可用性C、完整性D、不可抵赖性45、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响。A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认46、应要求信息系统和服务的（）记录并报告观察到的或怀疑的任何系统或服务的安全弱点A、雇员B、承包方C、第三方人员D、以上全对47、主体访问权限的（）。即仅执行授权活动所必需的那些权利被称为最小特定权限。A、最高限度B、最低限度C、平均限度D、次低限度48、远程访问就是从另一网络或者从一个（）到所访问网络的终端设备上访问网络资源的过程。A、连接B、永不连接C、并不永久连接D、永久连接49、业务连续性管理主要目标是防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保他们的及时（）A、可用B、恢复C、回退D、维护50、设置研发内部独立内网是采取（）的控制措施A、上网流量管控B、行为管理C、敏感系统隔离D、信息交换..51、当访问某资源存在不存活的联接时，会导致非法用户冒用并进行重放攻击的可能性，因此应采取（）控制措施A、密码控制B、密匙控制C、会话超时D、远程访问控制52、开发、测试和（）设施应分离，以减少未授权访问或改变运行系统的风险。A、配置B、系统C、终端D、运行53、（）是建立有效的计算机病毒防御体系所需要的技术措施A、防火墙、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙54、符合性要求包括（）A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对55、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏56、以下描述正确的是（）A、只要组织的业务不属于网络实时交易，即可不考虑应用“时钟同步”B、对一段时间内发生的信息安全事件类型、频次、处理成本的统计分析不属于时间管理的范畴C、实施信息安全管理，须考虑各利益相关方的需求以及可操作性方面的权衡D、撤销对信息和信息处理设施的访问权是针对的组织雇员离职的情况57、以下描述不正确的是（）A、防范恶意和移动代码的目标是保护软件和信息的完整性B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C、风险分析、风险评价、风险处理的整个过程称为风险管理D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响58、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统59、计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序。A、内存B、软盘C、存储介质D、网络60、以下说法不正确的是（）A、信息网络的物理安全要从环境安全和设备安全两个角度来考虑B、网络边界保护主要采用防火墙系统C、防火墙安全策略一旦设定，就不能再做任何改变D、数据备份按数据类型划分可以分成系统数据备份和用户数据备份61、访问控制是指确定（）以及实施访问权限的过程。A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵..62、信息安全管理体系是用来确定（）A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度63、安全区域通常的防护措施有（）A、公司前台的电脑显示器背对来防者B、进出公司的访客须在门卫处进行登记C、弱点机房安装有门禁系统D、A+B+C64、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制65、信息安全管理体系的设计应考虑（）A、组织的战略B、组织的目标和需求C、组织的业务过程性质D、以上全部66、抵御电子又想入侵措施中，不正确的是（）A、不用生日做密码C、不要使用纯数字B、不要使用少于5位的密码D、自己做服务器67、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审A、薄弱环节识别B、风险分析C、管理方案D、A+B68、建立ISMS体系的目的，是为了充分保护信息资产并给予（）信心A、相关方B、供应商C、顾客D、上级机关69、口令管理系统应该是（），并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C70、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部71、加强网络安全性的最重要的基础措施是（）A、设计有效的网络安全策略B、选择更安全的操作系统C、安装杀毒软件D、加强安全教育72、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？（）A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷73、以下（）不是访问控制策略中所允许的A、口令使用B、无人值守的用户设备的适当保护C、清空桌面D、屏幕上留存经常工作用文档74、某种网络安全威胁