2024年3月信息安全管理体系基础考试真题
一、单项选择题(每题1.5分,共60分)
1.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,信息安全管理中的“可用性”是指()。
A.反映事物真实情况的程度
B.保护资产准确和完整的特性
C.根据授权实体的要求可访问和利用的特性
D.信息不被未授权的个人、实体或过程利用或知悉的特性
2.GB/T22080-2016标准中提到的“风险责任者”,是指()。
A.发现风险的人或实体
B.风险处置人员或实体
C.有责任和权威来管理风险的人或实体
D.对风险发生后结果进行负责的人或实体
3.组织应按照GB/T22080-2016标准的要求()信息安全管理体系。
A.建立、实施、监视和持续改进
B.策划、实现、维护和持续改进
C.建立、实现、维护和持续改进
D.策划、实现、监视和持续改进
4.关于GB/T22080-2016标准,所采用的过程方法是()。
A.PDCA法
B.PPTR方法
C.SWOT方法
D.SMART方法
5.ISO/IEC27002最新版本为()。
A.2022
B.2015
C.2005
D.2013
6.关于ISO/IEC27004,以下说法正确的是()。
A.该标准可以替代GB/T28450
B.该标准是信息安全水平的度量标准
C.该标准是ISMS管理绩效的度量指南
D.该标准可以替代ISO/IEC27001中的9.2的要求
7.在ISO/IEC27000系列标准中,为组织的信息安全风险管理提供指南的标准是()。
A.ISO/IEC 27004
B.ISO/IEC 27003
C.ISO/IEC 27002
D.IS0/IEC 27005
8.根据GB/T22080-2016标准的要求,最高管理层应(),以确保信息安全管理体系符合标准要求。
A.分配责任和权限
B.分配角色和权限
C.分配岗位与权限
D.分配职责与权限
9.根据GB/T22080-2016标准,组织应在相关()上建立信息安全目标。
A.职能和层次
B.战略和意图
C.战略和方针
D.组织环境和相关方要求
10.根据GB/T22080-2016标准的要求,组织()实施风险评估。
A.只需在重大变更发生时
B.只需按计划的时间间隔
C.应按计划的时间间隔或当重大变更提出或发生时
D.应按计划的时间间隔且当重大变更提出或发生时
11.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”,对此以下说法正确的是()。
A.附录A.8可以删减
B.附录A.17可以删减
C.附录A.12可以删减
D.附录A.14可以删减
12.根据GB/T22080-2016标准中控制措施的要求,关于技术脆弱性管理,以下说法正确的是()。
A.技术脆弱性应单独管理,与事件管理没有关联
B.及时获取在用的信息系统的技术方面的脆弱性信息
C.了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险验越小
D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径
13.根据GB/T22080-2016标准中控制措施的要求,关于资产清单,正确的是()。
A.做好资产整理是其基础
B.识别信息,以及与信息和信息处理设施相关的其他资产
C.识别和完整采用组织的固定资产台账,同时指定资产责任人
D.资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
14.根据GB/T22080-2016中控制措施的要求,为了确保布缆安全,以下正确的做法是()。
A.为了防止干扰,电源电缆宜与通信电缆分开
B.使用同一电缆管道铺设电源电缆和通信电缆
C.网络电缆采用明线架设,以便于探查故障和维修
D.配线盘应尽量放置在公共可访问区域,以便于应急管理
15.()不是保护办公室、房间和设施的安全的考虑措施。
A.电磁屏蔽
B.关键设施的安置避免公众访问的场地
C.配置设施以防保密信息被外部可视或可听
D.建筑物内侧或外侧以明确标记给出其用途的指示
16.投诉受理后收到的每件投诉都应该按照准则进行初步评估,评估的内容不包括()。
A.风险偏好
B.复杂程度
C.影响程度
D.严重程度
17.根据GB/T28450《信息安全技术信息安全管理体系审核指南》标准,ISMS的规模不包括()。
A.组织的部门数量
B.信息系统的数量
C.ISMS覆盖的场所数量
D.在组织控制下开展工作的人员总数,以及与ISMS有关的相关方和合同方
18.形成ISMS审核发现时,不需要考虑的是()。
A.所实施控制措施的有效性
B.所实施控制措施的时效性
C.适用性声明的完备性和合理性
D.所实施控制措施与适用性声明的符合性
19.根据GB/T28450标准,ISMS文件评审不包括()。
A.风险处置计划的完备性
B.风险评估报告的合理性
C.适用性声明的完备性和合理性
D.信息安全管理手册的充分性
20.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,信息安全的保密性是指()。
A.保证信息不被其他人使用
B.保护信息准确和完整的特性
C.根据授权实体的要求可访问的特性
D.信息不被未授权的个人、实体或过程利用或知悉的特性
21.根据ISO/IEC27000标准,()为组织提供了信息安全管理体系实施指南。
A.ISO/IEC 27002
B.ISO/IEC 27007
C.ISO/IEC 27003
D.ISO/IEC 27013
22.GB/Z20986《信息安全技术信息安全事件分类分级指南》规定,未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件是()。
A.信息窃取事件
B.信息泄漏事件
C.信息算改事件
D.信息假冒事件
23.下列关于DMZ区的说法错误的是()。
A.DMZ可以访问内部网络
B.内部网络可以无限制地访问外部网络以及DMZ
C.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
D.通常DMZ包含允许来自互联网的通信可进入的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等
24.关于顾客满意以下说法错误的是()。
A.顾客满意是指顾客对其期望已被满足程度的感受
B.确保规定的顾客要求符合顾客的愿望并得到满足,就能确保顾客很满意
C.投诉是一种满意程度低的最常见的表达方式,但没有投诉并不一定表明顾客很满意
D.为了实现较高的顾客满意,可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望
25.关于“监控系统”的存取与使用,下列说法正确的是()。
A.应保持时钟同步
B.监控系统所产生的记录可由用户任意存取
C.只有当系统发生异常事件及其他安全相关事件时才需进行监控
D.监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
26.若通过桌面系统对终端实行引IP、MAC绑定,该网络IP地址分配方式应为()。
A.动态
B.静态
C.静态、动态均可
D.静态达到50%以上即可
27.在以下认为的恶意攻击行为中,属于主动攻击的是()。
A.数据篡改
B.数据窃听
C.非法访问
D.数据流分析
28.关于信息安全风险评估,以下说法正确的是()。
A.风险评估包括风险管理与风险评价
B.组织应基于其整体业务活动所在的环境和风险考虑其信息安全管理体系的设计
C.风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性
D.如果集团企业的各地分子公司业务性质相同,则针对一个分子公司识别、评价风险即可,其风险评估过程和结果文件其他分子公司可直接采用,以节省重复识别和计算的工作品
29.在物联网中,M2M通常由三部分组成,下面哪项不是其组成部分?()
A.主机部分
B.网络部分
C.应用部分
D.终端部分
30.()是建立有效的计算机病毒防御体系所需要的技术措施。
A.漏洞扫描、网络入侵检测和防火墙
B.漏洞扫描、补丁管理系统和防火墙
C.网络入侵检测、防病毒系统和防火墙
D.补丁管理系统、网络入侵检测和防火墙
31.《中华人民共和国网络安全法》要求网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()。
A.6个月
B.1个月
C.3个月
D.12个月
32.根据《中华人民共和国保守国家秘密法》,国家秘密的最高密级为()。
A.秘密
B.机密
C.特密
D.绝密
33.根据《中华人民共和国保守国家秘密法》,国家秘密的保密期限应为()。
A.绝密不低于三十年,机密不低于二十年,秘密不低于十年
B.绝密不超过三十年,机密不超过二十年,秘密不超过十年
C.绝密不超过二十五年,机密不超过十五年,秘密不超过五年
D.绝密不低于二十五年,机密不低于十五年,秘密不低于五年
34.根据《中华人民共和国密码法》,国家对密码实行()管理。
A.分类
B.有效
C.统筹
D.统一
35.根据《信息安全等级保护管理办法》,信息系统安全等级分为五级,以下说法正确的是()。
A.二级系统和五级系统不进行测评
B.二级系统每年进行一次测评,三级系统每年进行二次测评
C.三级系统每年进行一次测评,四级系统每年进行二次测评
D.四级系统每年进行二次测评,五级系统每季度进行一次测评
36.《信息安全等级保护管理办法》规定()级保护时,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
A.2
B.3
C.4
D.5
37.根据GB17859《计算机信息系统安全保护等级划分准则》标准,以下说法错误的是()。
A.信道是系统内的信息传输路径
B.访问监控器是监控器主体和客体之间授权访问关系的部件
C.敏感标记表示主体安全级别并描述主体数据敏感性的一组信息
D.安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则
38.《互联网信息服务管理办法》现行有效的版本是哪年发布的?()
A.2011
B.2017
C.2019
D.2016
39.《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()。
A.许可制度
B.地方经营
C.国家经营
D.备案制度
40.《网络安全审查办法》的制定,是为了()。
A.保守国家秘密,维护国家安全和利益
B.保障网络安全,维护网络空间主权和国家安全
C.确保关键信息基础设施供应链安全,维护国家安全
D.规范互联网信息服务活动,促进互联网信息服务健康有序发展
二、多项选择题(每题2分,共30分,错选、多选、漏选均不得分)
41.以下()活动是ISMS建立阶段应完成的内容。
A.确定ISMS方针
B.实施体系文件培训
C.确定ISMS的范围和边界
D.确定风险评估方法和实施
42.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,风险描述的要素包括()。
A.后果
B.威胁
C.脆弱性
D.可能性
43.信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。
A.可用性
B.机密性
C.完备性
D.完整性
44.以下属于相关方的是()。
A.顾客
B.供方
C.所有者
D.组织内的人员
45.依据GB/T22080-2016,经管理层批准,定期评审的信息安全策略包括()。
A.信息备份策略
B.访问控制策略
C.信息传输策略
D.密钥管理策略
47.根据GB/T22080-2016标准的要求,下列说法正确的是()。
A.残余风险需要获得风险责任人的批准
B.组织控制下的员工应了解信息安全方针
C.保留有关信息安全风险处置过程的文件化信息
D.适用性声明需要包含必要的控制及其选择的合理性说明
48.移动设备策略宜考虑()。
A.访问控制
B.移动设备注册
C.恶意软件防范
D.物理保护要求
49.根据GB/T22080-2016标准的要求,管理评审是为了确保信息安全管理体系持续的()。
A.充分性
B.符合性
C.有效性
D.适宜性
50.针对系统和应用访问控制,以下做法不正确的是()。
A.对于数据库系统审计人员开放不限时权限
B.登录之后,不活动超过规定时间强制使其退出登录
C.对于修改系统核心业务运行数据的操作限定操作时间
D.用户尝试登录失败时,明确提示其用户名错误或口令错误
51.对于组织在风险处置过程中所选的控制措施,以下说法正确的是()。
A.规避风险
B.可以将风险转移
C.所有风险都必须被降低到可接受的级别
D.在满足公司策略和方针条件下,有意识、客观地接受风险
52.风险处置的可选措施包括()。
A.风险识别
B.风险分析
C.风险转移
D.风险减缓
52.风险处置的可选措施包括()。
A.风险识别
B.风险分析
C.风险转移
D.风险减缓
53.认证机构应有验证审核组成员背景经验,特定培训或情况的准则,以确保审核组至少具备()。
A.信息安全的知识
B.管理体系的知识
C.与受审核活动相关的技术知识
D.ISMS监视、测量、分析和评价的知识
54.可用于信息安全风险分析的方法包括()。
A.场景分析法
B.ATA(攻击路径分析)法
C.FMEA(失效模式分析)法
C.HACCP(危害分析与关键控制点)法
55.《中华人民共和国网络安全法》适用于在中华人民共和国境内()网络,以及网络安全的监督管理。
A.使用
B.建设
C.运营
D.维护
三、判断题(每题1分,共10分)
56.2008年6月19日,全国信息安全标准化技术委员会等同采用ISO/IEC27001:2005《信息安全管理体系要求》,仅有编辑性修改。
57.ISO/IEC27018标准是信息技术、安全技术作为PII处理者在公有云中保护个人身份信息(PII)的实践规范。
58.信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。
59.ISO/IEC27006是对提供信息安全管理体系审核和认证的机构的要求。
60.组织使用云平台服务(PaaS)时,GB/T22080-2016标准中的A12.5的要求可以删减。
61.某信用卡制造企业为接收银行信用卡数据的服务器配置了单独的路由和防火墙,这符合GB/T22080-2016标准附录A.13.1.3条款的要求。
62.较低的恢复时间目标会有更长的中断时间。
63.白名单方案规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。
64.信息系统中的“单点故障”指仅有一个故障点,因此属于较低风险等级的事件。
65.计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
参考答案 公众号:审核员实训基地 回复:isms202403
扫一扫
468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
