2019年11月ISMS信息安全管理體系審核員考試試題（網友回憶版）[單選題]1.容量管理的對象包（江南博哥）括（）A.服務器內存B.網絡通信帶寬C.人力資源D.以上全部參考答案：D[單選題]2.對于“監控系統”的存取與使用，下列正確的是（）A.監控系統所產生的記錄可由用戶任意存取B.計算機系統時鐘應予同步C.只有當系統發生異常事件及其他安全相關事件時才需進行監控D.監控系統投資額龐大，并會影響系統效能，因此可以予以暫時省略參考答案：B[單選題]3.（）可用來保護信息的真實性、完整性。A.數字簽名B.惡意代碼C.風險評估D.容災和數據備份參考答案：A[單選題]4.某信用卡制造工廠，對生產線上產生的不合格品卡，進行逐一登記、密封、送粉碎室拆封、再登記后予以粉碎處理，這符合GB/T22080_2016ASO/IEC27001:2013標準哪些條款的要求？（）A.A.8.3.2和A.8.3.3B.A.8.1.1和A.8.2.1C.A.11.2.5和A.11.2.7D.10.1和10.2參考答案：C[單選題]5.保密協議或不泄露協議至少應包括：（）A.組織和員工雙方的信息安全職責和責任B.員工的信息安全職責和責任C.組織的信息安全職責和責任D.紀律處罰規定參考答案：A[單選題]6.關于認證機構的每次監督審核應至少審査的內容，以下說法錯誤的是（）A.ISMS在實現客戶信息安全方針的目標的有效性B.所確定的控制措施的變更，但不包括S0A的變更C.合規性的定期評價與評審情況D.控制措施的實施和有效性參考答案：B[單選題]7.信息安全管理體系中提到的“資產責任人”是指（）A.對資產擁有財產權的人B.使用資產的人C.有權限變更資產安全屬性的人D.資產所在部門負責人參考答案：C[單選題]8.關于時鐘同步的控制要求，描述正確的是（）A.—個組織或安全區域內的所有相關信息處理設施的時鐘，應與多個基準物相同B.—個組織或安全區域內的核心相關信息處理設施的時鐘，應與多個基準物相同C.一個組織或安全區域內的所有相關信息處理設施的時鐘，應與單一一時鐘源同步D.—個組織或安全區域內的核心相關信息處理設施的時鐘，應與單一一時鐘源同步參考答案：C[單選題]9.—家投資顧問商定期向客戶發送有關財經新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A.電子郵件發送前，用投資顧問商的私鑰加密郵件的HASH值B.電子郵件發送前，用投資顧問商的公鑰加密郵件的HASH值C.電子郵件發送前，用投資顧問商的私鑰數字簽名郵件D.電子郵件發送前，用投資顧問商的私鑰加密郵件參考答案：C[單選題]10.《信息技術安全技術信息安全治理》對應的國際標準號為（）A.IS0/IEC27011B.IS0/IEC27012C.IS0/IEC27013D.IS0/IEC27014參考答案：D[單選題]11.（）是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關的一個先前未知的狀態。A.信息安全事態B.信息安全事件C.信息安全事故D.信息安全故障參考答案：A[單選題]12.《信息技術安全技術信息安全控制實踐指南》屬于（）標準。A.詞匯類標準B.指南類標準C.要求類標準D.強制標準參考答案：B[單選題]13.依據GB/T22080/IS0/IEC27001，關于網絡服務的訪問控制策，以下正確的是（）A.沒有陳述為禁止訪問的網絡服務，視為允許訪問的網絡服務B.對于允許訪問的網絡服務，默認可通過無線、VPN等多種手段鏈接C.對于允許訪問的網絡服務，按照規定的授權機制進行授權D.以上都對參考答案：C[單選題]14.GB/T22080-2016/ISO/IEC27001:2013《信息技術安全技術信息安全要求》附錄A包括（）A.11個方面39個控制目標114條控制措施B.14個方面35個控制目標114條控制措施C.11個方面39個控制目標133條控制措施D.14個方面35個控制目標133條控制措施參考答案：B[單選題]15.當發生不符合時，組織應（）。A.對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果；B.對不符合做出反應，適用時：采取糾正，以及控制措施；處理后果；C.對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果；D.對不符合做出反應，適用時：采取措施，以控制予以糾正；處理后果；參考答案：D[單選題]16.關于審核組的現場審核，以下說法錯誤的是：A.審核組在審核期間現場可根據受審核方實際情況及時變更審核范圍B.審核組在審核期間現場可調整審核路線和審核資源分配C.審核組遇到重大風險應報告委托方以決定后續措施D.審核組遇到重大風險應報告受審核方以決定后續措施參考答案：A[單選題]17.關于入侵檢測，以下不正確的是：（）A.入侵檢測是一個采集知識的過程B.入侵檢測指信息安全事件響應過程C.分析反常的使用模式是入侵檢測模式之一D.入侵檢測包括收集被利用脆弱性發生的時間信息參考答案：B[單選題]18.不適用于邊界安全的設備是（）A.防火墻B.網閘C.最外的路由器D.防病毒產品參考答案：C[單選題]19.當獲得的審核證據表明不能達到審核目的時，審核組長可以（）A.宣布停止受審核方的生產/服務活動B.向審核委托方和受審核方報告理由以確定適當的措施C.宣布取消末次會議D.以上都不可以參考答案：B[單選題]20.最高管理者應建立信息安全方針，該信息安全方針應（）A.形成文件化信息并可用B.在組織內部得到溝通C.適當時，對相關方可用D.以上全部參考答案：D[單選題]21.最高管理層應（），以確保信息安全管理體系符合本標準要求。A.分配職責與權限B.分配崗位與權限C.分配責任和權限D.分配角色和權限參考答案：C[單選題]22.審核過程中發現的不符合項的描述和分級由下列哪個角色負責？A.發現該不符合項的審核員B.審核組長C.受審核方負責人D.該不符合涉及的受審核方責任人參考答案：A[單選題]23.下列不屬于取得認證機構資質應滿足條件的是（）。A.取得法人資格B.有固定的場所C.完成足夠的客戶案例D.具有足夠數量的專職認證人員參考答案：C[單選題]24.按照PDCA思路進行審核，是指：（）A.按照受審核區域的信息安全管理活動的PDCA過程進行審核B.按照認證機構的PDCA流程進行審核C.按照認可規范中規定的rocA流程進行審核D.以上都對參考答案：A[單選題]25.GB/T22080標準中所指資產的價值取決于（）A.資產的價格B.資產對于業務的敏感度C.資產的折損率D.以上全部參考答案：B[單選題]26.對于發現的不符合項，下列活動哪個不是認證機構必須要做的？（）A.要求受審核方在規定期限內進行原因分析B.要求受審核方為消除不符合而采取的必要糾正C.要求受審核方建立糾正措施D.對不符合項的糾正和糾正措施進行現場驗證參考答案：D[單選題]27.拒絕服務攻擊損害了信息系統哪一項性能（）A.完整性B.可用性C.保密性D.可靠性參考答案：B[單選題]28.關于最長可接受中斷時間、最長可容忍中斷時間、事件實際處理時間，正確的是（）。A.最長可接受中斷時間與最長可容忍中斷時間相等B.最長可容忍中斷時間與事件實際處理時間相等C.最長可容忍中斷時間小于事件實際處理時間D.最長可容忍中斷時間大于事件實際處理時間參考答案：A[單選題]29.描述組織采取適當的控制措施的文檔是（）A.管理手冊B.適用性聲明C.風險處置計劃D.風險評估程序參考答案：B[單選題]30.包含儲存介質的設備的所有項目應進行核査，以確保在處置之前，（）和注冊軟件己被刪除或安全地寫覆蓋A.系統軟件B.游戲軟件C.殺毒軟件D.任何敏感信息參考答案：D[單選題]31.第三方認證審核時，對于審核提出的不符合項，審核組應（）A.與受審核方共同評審不符合項以確認不符合的條款B.與受審核方共同評審不符合項以確認不符合事實的準確性C.與受審核方共同評審不符合以確認不符合的性質D.以上都對參考答案：B[單選題]32.關于信息安全管理體系認證，以下說法正確的是（）A.認證決定人員不宜推翻審核組的正面結論B.認證決定人員不宜推翻審核組的負面結論C.認證決定人員宜與審核組長協商做出認證決定D.認證決定人員宜與受審核方協商做出認證決定參考答案：B[單選題]33.關于《中華人民共和國網絡安全法》中的“三同步”要求，以下說法正確的是（）A.建設關鍵信息基礎設施建設時須保證安全技術措施同步規劃、同步建設、同步使用B.建設三級以上信息系統須保證安全子系統同步規劃、同步建設、同步使用C.建設機密及以上信息系統須保證安全子系統同步規劃、同步建設、同步使用D.以上都不對參考答案：A[單選題]34.國家信息安全等級保護采取（）A.自主定級、自主保護的原則B.國家保密部門定級、自主保持的原則C.公安部門定級、自主保護的原則D.國家保密部門定級、公安部門監督保護的原則參考答案：A[單選題]35.關于GB/T22081-2016/ISO/IEC27002:2013，以下說法錯誤的是（）A.該標準是指南類標準B.該標準中給出了IS0/IEC27001附錄A中所有控制措施的應用指南C.該標準給出了ISMS的實施指南D.該標準的名稱是《信息技術安全技術信息安全管理實用規則》參考答案：D[單選題]36.信息安全風險評估的基本要素包括（）。A.資產、可能性、影響B.資產、脆弱性、威脅C.可能性、資產、脆弱性D.脆弱性、威脅、后果參考答案：B[單選題]37.對于較大范圍的網絡，網絡隔離是：（）A.可以降低成本B.可以降低不同用戶組之間非授權訪問的風險C.必須物理隔離和必須禁止無線網絡D.以上都對參考答案：B[單選題]38.關于商用密碼技術和產品，以下說法不正確的是（）A.任何組織不得隨意進口密碼產品，但可以出口商用密碼產品B.商用密碼技術屬于國家秘密C.商用密碼是對不涉及國家秘密的內容進行加密保護的產品D.商用密碼產品的用戶不得轉讓其使用的商用密碼產品參考答案：A[單選題]39.設備維護維修時，應考慮的安全措施包括：（）A.維護維修前，按規定程序處理或清除其中的信息B.維護維修后，檢查是否有未授權的新增功能C.敏感部件進行物理銷毀而不予送修D.以上全部參考答案：D[單選題]40.以下強健口令的是（）A.a8raom9y5fub33B.1234C.CnasD.Password參考答案：A[單選題]41.《信息安全等級保護管理辦法》規定，應加強涉密信息系統運行中的保密監督檢查對秘密級、機密級信息系統每（）至少進行一次保密檢查或系統測評A.半年B.1年C.1.5年D.2年參考答案：D[單選題]42.某數據中心申請ISMS認證的范圍為“IDC基礎設施服務的提供”，對此以下說法正確的是（）A.8可以刪減B.12可以刪減C.14可以刪減D.以上都對參考答案：D[單選題]43.風險評估過程一般應包括（）A.風險識別B.風險分析C.風險評價D.以上全部參考答案：D[單選題]44.以下不屬于密鑰管理內容的是：（）A.密鑰材料的復制、轉移、更新和確認B.密鑰材料的生產、登記、認證、注銷C.密鑰材料的撤銷、衍生、銷毀和恢復D.密鑰材料的分發、安裝、存儲和歸檔參考答案：A[單選題]45.關于顧客滿意，以下說法正確的是：（）A.顧客沒有抱怨，表示顧客滿意B.信息安全事件沒有給顧客造成實質性的損失，就意味著顧客滿意C.顧客認為其要求己得到滿足，即意味著顧客滿意D.組織認為顧客要求己得到滿足，即意味著顧客滿意參考答案：C[單選題]46.信息安全管理體系初次認證審核時，第一階段審核應（）A.對受審核方信息安全管理體系的策劃進行審核和評價B.對受審核方信息安全管理體系的內部審核及管理評審的有效性進行審核和評價C.對受審核方信息安全管理體系文件的符合性、適宜性和有效性進行審核和評價D.對受審核方信息安全管理體系文件進行審核和符合性評價參考答案：D[單選題]47.關于訪問控制，以下說法正確的是（）。A.防火墻基于源IP地址執行網絡訪問控制B.三層交換機基于MAC實施訪問控制C.路由器根據路由表確定最短路徑D.強制訪問控制中，用戶標記級別小于文件標記級別，即可讀該文件參考答案：C[單選題]48.管理體系審核的抽樣過程是：（）A.由受審核方負責策劃系統性的抽樣方案B.驗收性質的抽樣，決定是否可以認證通過C.通過對總體的評價來推斷樣本信息D.調査性質的抽樣，有棄真的風險和取偽的風險參考答案：D[單選題]49.對于獲準認可的認證機構，認可機構證明（）A.認證機構能夠開展認證活動B.其在特定范圍內按照標準具有從事認證活動的能力C.認證機構的每張認證證書都符合要求D.認證機構具有從事相應認證活動的能力參考答案：B[單選題]50.為確保信息資產的安全，設備、信息或軟件在（）之前不應帶出組織場所。A.使用B.授權C.檢查合格D.識別出薄弱環節參考答案：B參考解析：根據GB/T22081-2008標準9.2.7原文：設備、信息或軟件在授權之前不應帶出組織場所[單選題]51.關于信息安全策，下列說法正確的是（）A.信息安全策可以分為上層策和下層策B.信息安全方針是信息安全策的上層部分C.信息安全策必須在體系建設之初確定并發布D.信息安全策需要定期或在重大變化時進行評審參考答案：D[單選題]52.下列哪種情況不影響審核的公正性？（）A.審核收費B.審核員為受審核方前雇員C.審核員參與了受審核方的體系建立工作D.審核員為受審核方的用戶參考答案：A[單選題]53.經過風險處理后遺留的風險通常稱為（）A.重大風險B.有條件的接受風險C.不可接受的風險D.殘余風險參考答案：D[單選題]54.認證審核期間，當審核證據表明審核目的不能實現時，審核組應（）。A.一起討論，決定后續措施B.審核組長權衡，決定后續措施C.由受審核方決定后續措施D.報告審核委托方并說明理由，確定后續措施參考答案：D[單選題]55.關于技術脆弱性管理，以下說法正確的是：（）A.技術脆弱性應單獨管理，與事件管理沒有關聯B.了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C.針對技術脆弱性的補丁安裝應按變更管理進行控制D.及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑參考答案：C[單選題]56.《中華人民共和國網絡安全法》的實施時間是（）A.2016年6月1日B.2016年11月7日C.2017年6月1日D.2017年3月1日參考答案：C[單選題]57.關于文件管理下列說法錯誤的是（）A.文件發布前應得到批準，以確保文件是適宜的B.必要時對文件進行評審、更新并再次批準C.應確保文件保持清晰，易于識別D.作廢文件應及時銷毀，防止錯誤使用參考答案：D[單選題]58.以下哪項是最完整的定期備份策略（）A.每次備份完成時對備份結果進行檢查，以確保備份效果B.對系統測試記錄進行定期備份C.定期備份，定期對備份數據的完整性和可用性進行測試D.定期檢查備份存儲介質的容量參考答案：C[單選題]59.物理安全周邊的安全設置應考慮：（）A.區域內信息和資產的敏感性分類B.重點考慮計算機機房，而不是辦公區或其他功能區C.入侵探測和報警機制D.A+C參考答案：D[單選題]60.災難備份系統指：（）A.由供方、公共應急響應中心、冗余供電線路組成的用于災難恢復目的的支持系統B.由數據備份系統、備用數據處理系統和備用網絡系統組成的用于災難恢復目的的信息系統C.由數據備份系統、備用數據處理系統和備用網絡系統組成的用于為災難恢復實施備份的系統D.以上全部參考答案：B[單選題]61.在形成信息安全管理體系審核發現時，應（）。A.考慮適用性聲明的完備性和可用性B.考慮適用性聲明的完備性和合理性C.考慮適用性聲明的充分性和可用性D.考慮適用性聲明的充分性和合理性參考答案：B[單選題]62.關于信息安全連續性，以下說法正確的是（）A.信息安全連續性即FT設備運行的連續性B.信息安全連續性應是組織業務連續性的一部分C.信息處理設施的冗余即指兩個或多個服務器互備D.信息安全連續性指標由IT系統的性能決定參考答案：B[單選題]63.安全掃描可以實現（）A.彌補由于認證機制薄弱帶來的問題B.彌補由于協議本身而產生的問題C.彌補防火墻對內網安全威脅檢測不足的問題D.掃描檢測所有的數據包攻擊分析所有的數據流參考答案：C[單選題]64.進入重要機構時，在門衛處登記屬于以下哪種措施？（）A.訪問控制B.身份鑒別C.審計D.標記參考答案：B[單選題]65.某公司計劃升級現有的所有PC機，使其用戶可以使用指紋識別登錄系統，訪問關鍵數據實施時需要（）A.所有受信的PC機用戶履行的登記、注冊手續（或稱為：初始化手續）B.完全避免失誤接受的風險（即：把非授權者錯誤識別為授權者的風險）C.在指紋識別的基礎上增加口令保護D.保護非授權用戶不可能訪問到關鍵數據參考答案：A[單選題]66.我國網絡安全等級保護共分幾個級別？（）A.7B.4C.5D.6參考答案：C[單選題]67.完整性是指（）A.根據授權實體的要求可訪問的特性B.信息不被未授權的個人、實體或過程利用或知悉的特性C.保護資產準確和完整的特性D.以上都不對參考答案：C[單選題]68.信息安全控制目標是指：（）A.對實施信息安全控制措施擬實現的結果的描述B.組織的信息安全策集的描述C.組織實施信息安全管理體系的總體宗旨和方向D.A+B參考答案：A[單選題]69.信息系統的變更管理包括（）A.系統更新的版本控制B.對變更申請的審核過程C.變更實施前的正式批準D.以上全部參考答案：D[單選題]70.以下不屬于信息安全事態或事件的是（）A.服務、設備或設施的丟失B.系統故障或超負載C.物理安全要求的違規D.安全策變更的臨時通知參考答案：D[單選題]71.如果信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，則應具備的保護水平為：（）A.三級B.二級C.四級D.五級參考答案：A[單選題]72.下列哪項對于審核報告的描述是錯誤的？（）A.主要內容應與末次會議的內容基本一致B.在對審核記錄匯總整理和信息安全管理體系評價以后，由審核組長起草形成C.正式的審核報告由組長將報告交給認證/審核機構審核后，由委托方將報告的副本轉給受審核方D.以上都不對參考答案：A[單選題]73.組織應（）A.分離關鍵的職責及責任范圍B.分離沖突的職責及責任范圍C.分離重要的職責及責任范圍D.分離關聯的職責及責任范圍參考答案：B參考解析：根據GB/T22080-2016標準A.6.1.2原文：應分離沖突的職責及其貴任范圍，以減少未授權或無意的修改或者不當使用組織資產的機會。[單選題]74.下列措施中，（）是風險管理的內容。A.識別風險B.風險優先級評價C.風險處置D.以上都是參考答案：D[單選題]75.以下可表明知識產權方面符合GB/T22080/ISO/IEC27001要求的是：（）A.禁止安裝未列入白名單的軟件B.禁止使用通過互聯網下載的免費軟件C.禁止安裝未經驗證的軟件包D.禁止軟件安裝超出許可權規定的最大用戶數參考答案：D[單選題]76.在現場審核結束之前，下列哪項活動不是必須的？（）A.關于客戶組織ISMS與認證要求之間的符合性說明B.審核現場發現的不符合C.提供審核報告D.聽取客戶對審核發現提出的問題參考答案：C[單選題]77.最高管理者應（）。A.確保制定ISMS方針B.制定ISMS目標和計劃C.實施ISMS內部審核D.主持ISMS管理評審參考答案：D[單選題]78.依據GB/T22080_2016/ISO/IEC27001:2013，不屬于第三方服務監視和評審范疇的是（）。A.監視和評審服務級別協議的符合性B.監視和評審服務方人員聘用和考核的流程C.監視和評審服務交付遵從協議規定的安全要求的程度D.監視和評審服務方跟蹤處理信息安全事件的能力參考答案：B[單選題]79.依據《中華人民共和國網絡安全法》，以下說法不正確的是（）A.以電子或其它方式記錄的能夠單獨或與其他信息結合識別自然人的各種信息屬于個人信息B.自然人的身份證號碼、電話號碼屬于個人信息C.自然人的姓名、住址不屬于個人信息D.自然人的出生日期屬于個人信息參考答案：C[單選題]80.依據GB/T22080-2016/IS0/IEC27001:2013，以下關于資產清單正確的是（）。A.做好資產分類是其基礎B.采用組織固定資產臺賬即可C.無需關注資產產權歸屬者D.A+B參考答案：A[多選題]1.審核計劃中應包括（）A.后續審核的時間安排B.審核準則C.審核組成員及分工D.審核的結論參考答案：BC[多選題]2.當規劃信息安全管理體系時，組織應考慮相關要求，確定需要應對的風險和機會，以（）A.確保信息安全管理體系可達到預期結果B.預防或減少不良影響C.實施有效控制D.達到持續改進參考答案：ABD[多選題]3.某公司對其核心業務系統中的數據采用每天磁盤備份、每月光盤備份，并在兩個城市部署了數據中心，這兩個數據中心可以做到實時數據備份。這符合標準GB/T22080-2016/IS0/IEC27001:2013標準哪些條款的要求？（）A.8.3.1B.12.3.1C.14.3.1D.17.2.1參考答案：BD[多選題]4.認證審核時，可以考慮采用多場所抽樣審核的條件是（）A.所有的場所活動相同，僅有規模上的差異B.所有場所在同一ISMS下運行，并接受統一的管理、內部審核和管理評審C.所有場所包括在客戶組織的內部信息安全管理體系審核方案中D.所有場所包括在客戶組織的信息安全管理體系管理評審方案中參考答案：ABCD[多選題]5.監督審核的目的是（）A.驗證認證通過的ISMS是否得以持續實現B.驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C.確認是否持續符合認證要求D.做出是否換發證書的決定參考答案：ABC[多選題]6.信息安全是保證信息的（），另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A.可用性B.機密性C.完備性D.完整性參考答案：ABD[多選題]7.信息安全管理體系審核組的能力包括：（）A.信息安全事件處理方法和業務連續性的知識B.有關有形和無形資產及其影響分析的知識C.風險管理過程和方法的知識D.信息安全管理體系的控制措施及其實施的知識參考答案：ABCD[多選題]8.能夠表明審核方案得到執行的證據包括（）A.審核計劃B.審核報告C.審核員能力評價記錄D.認證證書參考答案：ABC[多選題]9.嚴格的口令策略應當包括哪些要素？（）A.同時包含數字、字母和特殊字符B.系統強制要素定期更改口令C.滿足一定的長度D.用戶可以隨意設備口令參考答案：ABC[多選題]10.應與每個可能（）的組織信息或為組織信息提供IT基礎設施組建的供應商建立所有相關的信息安全要素，并達成一致。A.訪問B.處理C.存儲D.傳遞參考答案：ABCD[多選題]11.管理評審的輸入應包括（）。A.相關方的反饋B.不符合和糾正措施C.信息安全目標完成情況D.業務連續性演練結果參考答案：ABC[多選題]12.某組織在酒店組織召開內容敏感的會議，根據GB/T22080-2016/ISO/IEC27001:2013標準，以下說法正確的是（）》A.會議開始前及持續期間開啟干擾機，這符合A.11.2的要求B.進入會議室人員被要求手機不得帶入，這符合A.11.1的要求C.對于可進入會議室提供茶水服務的酒店服務生進行篩選，這符合A.11.1的要求D.要求參會人員在散會時將紙質會議資料留下由服務生統一回收，這符合A.8.3的要求參考答案：CD[多選題]13.以下（）活動是ISMS監視預評審階段需完成的內容A.實施培訓和意識教育計劃B.實施ISMS內部審核C.實施ISMS管理評審D.采取糾正措施參考答案：BC[多選題]14.不同組織的ISMS文件的詳程度取決于（）A.文件編寫人員的態度和能力B.組織的規模和活動的類型C.人員的能力D.管理系統的復雜程度參考答案：BCD[多選題]15.第二階段審核中，應重點審核被審核單位的（）。A.最高管理者的領導力B.與信息安全有關的風險C.基于風險評估和風險處置過程D.ISMS有效性參考答案：ABCD[多選題]16.GB/T22080-2016/ISO/IEC27001:2013標準可用于（）A.指導組織建立信息安全管理體系B.為組織建立信息安全管理體系提供控制措施的實施指南C.審核員實施審核的依據D.以上都不對參考答案：AC[多選題]17.公司M將信息系統運維外包給公司N，以下符合GB/T22080-2016標準要求的做法是（）A.與N簽署協議規定服務級別及安全要求B.在對N公司人員服務時，接入M公司的移動電腦事前進行安全掃描C.將多張核心機房門禁卡統一登記在N公司項目組組長名下，由其按需發給進入機房的N公司人員使用D.對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內參考答案：AB[多選題]18.計算機信息系統的安全保護，應保障（）A.計算機及相關配套設施的安全B.網絡安全C.運行環境安全D.計算機功能和正常發揮參考答案：ABCD[多選題]19.對風險安全等級三級及以上系統，以下說法正確的是（）。A.采用雙重身份鑒別機制B.對用戶和數據采用安全標記C.系統管理員可任意訪問日志記錄D.三年開展一次網絡安全等級測評工作參考答案：AB[多選題]20.《中華人民共和國網絡安全法》的宗旨是（）A.維護網絡空間主權B.維護國家安全C.維護社會公共利益D.保護公民、法人和其他組織的合法權益參考答案：ABCD[多選題]21.風險處置的可選措施包括（）。A.風險識別B.風險分析C.風險轉移D.風險減緩參考答案：CD[多選題]22.以下說法正確的是（）A.顧客不投訴表示顧客滿意了B.監視和測量顧客滿意的方法之一是發調查問卷，并對結果進行分析和評價C.顧客滿意測評只能通過第三方機構來實施D.顧客不投訴并不意味著顧客滿意了參考答案：BD[多選題]23.關于涉密信息系統的管理，以下說法正確的是：（）A.涉密計算機、存儲設備不得接入互聯網及其他公共信息網絡B.涉密計算機只有采取了適當防護措施才可接入互聯網C.涉密信息系統中的安全技術程序和管理程序不得擅自卸載D.涉密計算機未經安全技術處理不得改作其他用途參考答案：ACD[多選題]24.關于云計算服務中的的安全，以下說法不正確的是（）。A.服務提供方提供身份鑒別能力，云服務客戶自己定義并實施身份鑒別準則B.服務提供方提供身份鑒別能力，并定義和實施身份鑒別準則C.云服務客戶提供身份鑒別能力，服務提供方定義和實施身份鑒別準則D.云服務客戶提供身份鑒別能力，并定義和實施身份鑒別準則參考答案：ABD[多選題]25.關于審核委托方，以下說法正確的是：（）A.認證審核的委托方即受審核方B.受審核方是第一方審核的委托方C.受審核方的行政上級作為委托方時是第三方審核D.組織對其外包服務提供方的審核是第二方審核參考答案：BCD[多選題]26.組織建立的信息安全目標，應（）。A.是可測量的B.與信息安全方針一致C.得到溝通D.適當時更新參考答案：ABCD[多選題]27.下面哪一條措施可以防止數據泄漏（）A.數據冗余B.數據加密C.訪問控制D.密碼系統參考答案：BCD[多選題]28.關于審核發現，以下說法正確的是：（）A.審核發現是收集的審核證據對照審核準則進行評價的結果B.審核發現包括正面的和負面的發現C.審核發現是審核結論的輸入D.審核發現是制定審核準則的依據參考答案：ABC[多選題]29.“云計算機服務”包括哪幾個層面？（）A.PaasB.SaaSC.IaaSD.PIIS參考答案：ABC[多選題]30.以下屬于訪問控制的是（）。A.開發人員登錄SVN系統，授予其與職責相匹配的訪問權限B.防火墻基于IP過濾數據包C.核心交換機根據IP控制對不同VLAN間的訪問D.病毒產品査殺病毒三、判斷題參考答案：AC[判斷題]1.糾正是指為消除己發現的不符合或其他不期望情況的原因所采取的措施。（）A.正確B.錯誤參考答案：B[判斷題]2.某組織租用第三方數據中心機房托管其IT系統設備，因此認證審核時不必審核計算機機房物理安全的相關內容^（）A.正確B.錯誤參考答案：B[判斷題]3.“資產清單”包含與信息生命周期有關的資產，與信息的創建、處理、存儲、傳輸、刪除和銷毀無關聯的資產不在“資產清單”的范圍內。（）A.正確B.錯誤參考答案：B[判斷題]4.記錄可提供符合信息安全管理體系要求和有效運行的證據。（）A.正確B.錯誤參考答案：A[判斷題]5.信息系統中的“單點故障”指僅有一個故障點，因此屬于較低風險等級的事件。（）A.正確B.錯誤參考答案：B[判斷題]6.某互聯網服務公司允許員工使用手機APP完成對公司客戶的服務請求處理，但手機須安裝公司規定的安全控制程序，無論手機是公司配發的或員工私有的。這符合IS0/IEC27001:2013標準A621的要求。（）A.正確B.錯誤參考答案：A[判斷題]7.不同組織有關信息安全管理體系文件化信息的詳程度應基本相同。（）A.正確B.錯誤參考答案：B[判斷題]8.審核員由實習審核員轉審核員之前，至少必須通過4次完整體系20天的審核。（）A.正確B.錯誤參考答案：A[判斷題]9.最高管理層應通過“確保持續改進”活動，證實對信息安全管理體系的領導和承諾。（）A.正確B.錯誤參考答案：B[判斷題]10.信息安全風險準則包括風險接受準則和風險評價準則。（）A.正確B.錯誤參考答案：A[問答題]1.你認為最髙管理層應通過什么活動，促進組織的信息安全管理體系建設和運行。參考答案：最高管理者應通過以下活動，促進組織ISMS的建設和運行：1.建立ISMS方針一一應建立信息安全方針，這是最高管理者在ISMS的首要職責，并且應該ISMS方針與組織的戰意圖保持一致。方針的制定應該為制定信息安全目標提供框架性的指導，制定方針時還應考慮法律法規和其他規則的要求以及對PDCA持續改進的承諾。方針應該形成文件，并可以通過會議、宣傳欄等手段在組織內部得到溝通，并且保證與組織有關的相關方是可以獲取到的。2.確保目標的制定——最高管理層還應該確保ISMS策和目標得到制定，在制定過程中應該緊緊圍繞ISMS方針進行，不應偏離方針的總要求。3.ISMS整合過程——最高管理層應通過組織各層級的職責，應用ISMS標準的要求與實際組織業務過程相結合，將管理體系整體融合進組織的業務過程中，這包括了例如風險與機遇的措施制定、風險評估過程、能力意識的培訓、組織業務過程中的溝通確保、文件化信息的管控、體系的運行規劃與控制、內審、管評、持續改進措施制定與完善等等方面。4.資源的確?！罡吖芾韺討獙崟r關注組織在體系運行過程中對于資源的需求，應該時刻關注資源的使用，這包括人力資源、財力資源、技術資源、生產資源等等。5.確保內審的完成一一應關注組織按照計劃的時間間隔完成的內部審核工作，確保ISMS能夠達到預期的結果。6.責任和權限分配溝通——最高管理層應對組織各層級的管理職責和權限進行分配，做到保證組織的ISMS能夠符合標準的要求，且最高管理層應通過適宜的渠道能夠獲取到ISMS的績效水平。7.策劃實施管理評審——最高管理者應策劃組織的管理評審會議工作，通過管理評審工作來強調符合ISMS要求的重要性，確保ISMS達到預期結果，通過管理評審促進組織持續改進，在管理評審前應該收集相關的輸入信息，以確保管理評審會議充分、有效。[問答題]2.審核員在某公司審核時，發現該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負責人解釋說，因保安負責公司的物理區域安全，他們夜里以及節假日要值班和巡査所有區域，所以只能給保安全權限門卡。審核員對此解釋表示認同。如果你是審核員，你將如何做？參考答案：應根據標準條款A.11.1.2物理入口控制條款審核以下內容：（1）是否有形成文件的物理入口進出控制策，并且包含針對公司每一部分物理區域的訪問控制策的內容？（2）訪問控制策是否基于業務和訪問的安全要素進行過評審？（3）核實保安角色是否在訪問控制策中有明確規定？（4）保安的進出是否都在進入和離開時進行了日期記錄。（5）對進出登記是否有保護機制，確保未發生過丟失、損毀情況。（6）應現場詢問保安員，對外來人員或相關人員關注事項，是否有配帶適