当前位置：文档库 › 2018年9月信息安全管理体系(ISMS)基础知识_试卷

2018年9月信息安全管理体系(ISMS)基础知识_试卷

中国认证认可协会（CCAA）全国统一考试

信息安全管理体系（ISMS）基础知识试卷

2018 年9 月注意事项：

1、本试卷满分为100 分，考试时间120 分钟，考试形式为：笔试闭卷；

2、考生务必将自己的姓名、身份证号、准考证号填写在试卷密封线内，答案写在试卷指定位置；

3、考试完毕，试卷上交，不得带出考场。

一、单项选择题（从下面各题选项中选出一个恰当的答案，并将相

应字母填在下表相应位置中。每题1 分，共50 分，不在指定位置答题不得分）

1、信息分级的目的是（）。

(A)确保信息按照其对组织的重要程度受到适当级别的保护

(B)确保信息按照其级别得到适当的保护

(C)确保信息得到保护

(D)确保信息按照其级别得到处理

2、（）属于管理脆弱性的识别对象。

(A) 物理环境

(B) 网络结构

(D) 技术管理

3、关于备份，以下说法正确的是（）。

(A)备份介质中的数据应定期进行恢复测试

(B)如果组织删减了“信息安全连续性”要求，同机备份或各份本地备份是可接受的

(C)发现备份介质退化后应考虑数据迁移

(D)备份信息不是管理体系运行记录，不需规定保存期

4、（）是建立有效的计算机病毒防御体系所需要的技术措施。

(A) 防火墙?网络入侵检测和防火墙

(B) 漏洞扫描?网络入侵检测和防火墙

(D) 网络入侵检测?防病毒系统和防火墙

5、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么？（）。

(A)要保护什么样的信息

(B)有多少信息要保护

(C)为保护这些重要信息需要准备多大的投入

(D)不保护这些重要信息，将付出多大的代价

6.《计算机信息系统安全保护条例》中所称计算机信息系统，是指:（）

(A) 对信息进行采集、加工、存储、传输、检索等处理的人机系统。

(B) 计算机及其相关的设备、设施，不包括软件。

(D) 一个组织所有计算机的总和，包括未联网的微型计算机。

7. 《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。

(A) 半年(B) 1 年(C) 1.5 年(D) 2 年

8、某公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）。

(A)风险接受(B)风险规避(C)风险转移(D)风险减缓

9、管理员通过桌面系统下发IP/MAC 绑定策略后，终端用户修改了IP 地址，对其的处理方式不包括（）。

(A)自动恢复其IP 智源绑定状态

(B)断开网络并持续阻断

(C)弹出提示窗口，对其发出警告

(D)锁定键盘鼠标

10、ISO/IEC 27001:2013 从（）的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。

(A) 组织整体业务风险

(B) 客户安全要求

(D) 职能部门监管

11、对于较大范围的网络，网络隔离是：（）

(A) 可以降低成本。

(B) 可以降低不同用户组之间非授权访问的风险。

(D) 以上都对

12、公司在内审时发现部分员工计算机开机密码少于六位，公司文件规定员工计算机密码必须六位及以上，那么下列选项中哪一项不是针对该问题的纠正措施？

(A)要求员工立即改正

(B)对员工进行优质口令设置方法的培训

(C)通过域控进行强制管理

(D)对所有员工进行意识教育

13、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

(A)主要结构(B)容错能力(C)网络拓扑(D)局域网协议

14、关于涉密信息系统的管理，以下说法不正确的是：（）

(A) 涉密计算机、存储设备不得接入互联网及其他公共信息网络。

(B) 涉密计算机只有采取了适当防护措施才可接入互联网。

(D) 涉密计算机未经安全技术处理不得改作其他用途。

15、关于信息安全风险评估，以下说法正确的是：（）

(A) 如果集团企业的各地分/子公司业务性质相同，则针对一个分/子公司识别，评价风险即可，其风险评估过程和结果文件其他分/子公司可直接采用，以节省重复识别和计算的工作量。

(B) 风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性。

(D) 以上都对。

16、GB/T22080/IEC 27001:2013 标准附录A 中有（）个安全域。

(A)18 (B)16 (C)15 (D)14

17、下列管理评审的方式，哪个不满足标准的要求？（）。

(A)组织外部评审团队通过会议的方式对管理体系的适宜性，有效性和充分性进行评审。

(B)通过网络会议的方式组织最高管理层进行管理体系适宜性，有效性和充分性的评审。

(C)通过逐级汇报的方式，由最高管理层对管理体系的有效性和充分性进行评审。

(D)通过材料评审的方式，由最高管理层进行管理体系适宜性，有效性和充分性的评审。

18、下列哪一种情况下，网络数据管理协议（NDMP）可用于备份?

(A) 需要使用网络附加存储设备（NAS）时

(B) 不能使用TCP/IP 的环境中

(D) 要保证跨多个数据卷的备份连续、一致时

19、依据GB/T22080/IEC 27001，不属于第三方服务监视和评审范畴的是：（）

(A) 监视和评审服务级别协议的符合性。

(B) 监视和评审服务方人员聘用和考核的流程。

(D) 监视和评审服务方跟踪处理信息安全事件的能力。

20、依据GB/T22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是（）?

(A) 业务战略(B) 法律法规要求(C) 合同要求(D) 以上全部

21、在信息安全管理体系审核时，应遵循（）原则。

(A)保密性和基于准则的

(B)保密性和基于风险的

(C)系统性和基于风险的

(D)系统性和基于准则的

22、开发、测试和（）设施应分离，以减少未授权访问或改变运行系统的风险。

(A)配置 (B)系统(C)终端(D)运行

23、跨国公司的IS 经理打算把现有的虚拟专用网（VPN）升级，采用通道技术使用其支持语音IP 电话（VOIP）服务，那么，需要首要关注的是（）

(A) 服务的可靠性和质量(Qos, quality of service)

(B) 身份的验证方式

(D) 数据传输的保密

24、密码技术可以保护信息的（）。

(A)保密性(B)完整性(C)可用性(D) A+B

25、下列控制措施中，哪个不是用来确保信息处理设施可用性的？（）。

(A)建立同城备份

(B)对设备中数据进行定期备份

(C)建立异地备份

(D)采用双机热备

26、审核原则要求（）是审核的公正性和审核结论客观性的基础。

(A)系统性(B)严格性(C)独立性(D)可追踪性

27、文件化信息是指（）。

(A) 组织创建的文件。

(B) 组织拥有的文件。

(D) 对组织有价值的文件。

28、加强网络安全性的最重要的基础措施是（）。

(A) 设计有效的网络安全策略

(B) 选择更安全的操作系统

(D) 加强安全教育

29、在形成信息安全管理体系审核发现时，应（）。

(A)考虑适用性声明的完备性和可用性

(B)考虑适用性声明的完备性和合理性

(C)考虑适用性声明的充分性和可用性

(D)考虑适用性声明的充分性和合理性

30、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）

(A)认证(B)认可(C)审核(D)评审

31、在实施技术符合性评审时，以下说法正确的是（）

(A) 技术符合性评审即渗透测试

(B) 技术符合性评审即漏洞扫描与渗透测试的结合

(D) 渗透测试与漏洞描述不可替代风险评估

32、关于信息安全管理体系认证，以下说法正确的是：（）

(A) 负责作出认证决定的人员中应至少有一人参与了审核。

(B) 负责作出认证决定的人员必须是审核组组长。

(D) 负责作出认证决定的人员应包含参与了预审核的人员。

33、依据GB/T 22080-2016/IEC 27001：2013 标准，组织应（）。

(A)识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力

(B)确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力

(C)确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

(D)鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力

34、审核计划中不包括（）

(A)本次及其后续审核的时间安排

(B)审核准则

(C)审核组成员及分工

(D)审核的日程

35、在现场审核时，审核组有权自行决定变更的事项是：（）

(A) 审核人日

(B)审核的业务范围

(D)审核组任务调整

36、关于信息安全管理中的“完整性”，以下说法正确的是：（）

(A) 数据未被非授权变更或销毁，意味着保持了完整性。

(B) 系统增加了较以前更强的功能但未得到授权，不属于完整性受损。

(D) 以上都对。

37、在运行阶段，组织应（）。

(A)策划信息安全风险处置计划，保留文件化信息

(B)实现信息安全风险处置计划，保留文件化信息

(C)测量信息安全风险处置计划，保留文件化信息

(D)改进信息安全风险处置计划，保留文件化信息

38、对于可能超越系统和应用控制的实用程序，以下说法正确的是：（）

(A) 实用程序的使用不在审计范围内。

(B) 建立禁止使用的实用程序清单。

(D) 建立鉴别，授权机制和许可使用的实用程序清单。

39、对于信息安全方针，（）不是GB/T 22080-2016 标准要求的。

(A) 信息安全方针应形成文件。

(B) 信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方

(D) 信息安全方针应定期实施评审

40、管理评审是为了确保信息安全管理体系的（）。

(A)适宜性(B)充分性(C)有效性(D)以上都是

41、下列哪个选项不属于审核组长的职责?

(A) 确定审核的需要和目的

(B) 组织编制现场审核有关的工作文件

(D) 代表审核方与受审核方领导进行沟通

42、最高管理层应（），以确保信息安全管理体系符合本标准要求。

(A)分配职责与权限

(B)分配岗位与权限

(C)分配责任与权限

(D)分配角色与权限

43、防止计算机中信息被窃取的手段不包（）。

(A) 用户识别(B) 权限控制(C) 数据加密(D) 数据备份

44、访问控制是为了保护信息的（）

(A)完整性和机密性

(B)可用性和机密性

(C)可用性和完整性

(D)以上都是

45、关于互联网信息服务，以下说法正确的是：（）

(A) 互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案。

(B) 非经营性互联网信息服务未取得许可不得进行。

(D) 经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。

46、组织应（），以确信相关过程按计划得到执行。

(A)处理文件化信息达到必要的程度

(B)保持文件化信息达到必要的程度

(C)保持文件化信息达到可用的程度

(D)产生文件化信息达到必要的程度

47、测量控制措施的有效性，以验证安全要求是否被满足是（）的活动。

(A)ISMS 建立阶段

(B)ISMS 实施和运行阶段

(C)ISMS 监视和评审阶段

(D)ISMS 保持和改进阶段

48、关于ISO/IEC27002 标准，以下说法正确的是：（）

(A) 提供了选择控制措施的指南，可用作信息安全管理体系认证的依据。

(B) 提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据。

(D) 提供了信息安全风险评估的依据，是实施ISO/IEC27000 的支持性标准。

49、关于不符合，下列说法错误的是（）。

(A)确定不符合发现的原因

(B)必须确定不符合的纠正措施

(C)记录采取措施的结果

(D)评价纠正措施

50、下列措施中哪一个是用来记录事态并生产证据的？（）

(A)时钟同步(B)信息备份(C)软件安装限制(D)信息系统审计的控制

二、多项选择题（从下面各题选项中选出两个或两个以上最恰当的答案，并将答案填在

下表相应位置中。每题2 分，共40 分，少选、多选、错选均不得分，不在指定位置答题不得分）

51、信息安全方针应（）。

(A)形成文件化信息并可用

(B)与组织内外相关方全面进行沟通

(C)确保符合组织的战略方针

(D)适当时对相关方可用

52、为确保员工和合同方理解其职责、并适合其角色，在员工任用之前，必须（）。

(A)对其进行试用

(B)对员工的背景进行适当验证检查

(C)在任用条款和合同中指明安全职责

(D)以上都不对

53、以下属于信息安全管理体系审核证据的是（）。

(A)信息系统的阀值列表

(B)信息系统运行监控中心显示的实时资源占用数据

(C)数据恢复测试的日志

(D)信息系统漏洞测试分析报告

54、按覆盖的地理范围进行分类，计算机网络可分为（）

(A)局域网(B)城域网 (C)广域网(D)区域网

55、组织建立的信息安全目标，应（）。

(A)是可测量的

(B)与信息安全方针一致

(C)得到沟通

(D)适当时更新

56、含有高等级敏感信息的设备的处置可采取（）

(A)格式化处理

(B)采取使原始信息不可获取的技术破坏或删除

(C)多次的写覆盖

(D)彻底摧毁

57、关于审核方案，以下说法正确的是：（）

(A)审核方案是审核计划的一种

(B)审核方案可包括一段时期内各种类型的审核

(C)审核方案即年度内部审核计划

(D)审核方案是审核计划的输入

58、风险评估过程一般应包括（）

(A)风险识别(B)风险分析(C)风险评价(D)风险处置

59、管理评审的输出应包括（）。

(A)与持续改进机会相关的决定

(B)变更信息安全管理体系的任何要求

(C)相关方的反馈

(D)信息安全方针执行情况

60、以下属于“信息处理设施”的是（）

(A)信息处理系统

(B)与信息处理相关的服务

(C)与信息处理相关的设备

(D)安置信息处理设备的物理场所与设施

61、以下不属于信息安全的特有审核原则有（）

(A)保密性 (B)独立性 (C)基于风险(D)基于证据的方法

62、组织的信息安全管理体系初次认证应包括的审核活动是：（）

(A)审核准备

(B)第一阶段审核

(C)第二阶段审核

(D)认证决定

63、某工程公司意图采用更为灵活的方式建立信息安全管理体系，以下说法不正确的是（）。

(A)信息安全可以按过程管理，采用这种方法时不必再编制资产清单

(B)信息安全可以按项目来管理，原项目管理机制中的风险评估可替代GB/T22080/IEC 27001:2013 标准中的风险评估

(C)公司各类项目的临时场所存时间都比较短，不必纳入ISMS 范围

(D)工程项目方案因包含设计图纸等核心技术信息，其敏感性等级定义为最高

64、针对敏感应用系统安全，以下正确的做法是（）。

(A) 用户尝试登陆失败时，明确提示其用户名错误或口令错误。

(B) 登陆之后，不活动超过规定时间强制使其退出登录。

(D) 对于数据库系统审计人员开放不限时权限。

65、以下场景中符合GB/T22080-2016/ISO/IEC27001: 2013 标准要求的情况是（）。

(A) 某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡，方便其在每天上班前和下班后打扫这些房间。

(B) 某公司将物理区域敏感性划分为四个等级，分别给这些区域入口的门上贴上红、橙、黄、蓝色标志。

(D) 某公司门禁系统的时钟比公司视频监视系统的时钟慢约10 分钟。

66、在信息安全事件管理中，（）是所有员工应该完成的活动。

(A)报告安全方面的漏洞或弱点

(B)对漏洞进行修补

(C)发现并报告安全事件

(D)发现立即自理安全事件

67、“云计算服务”包括哪几个层面？

(A)PaaS (B)SaaS (C)IaaS (D)PIIS

68、对于涉密信息系统，以下说法正确的是：（）

(A)使用的信息安全保密产品原则上应当选用国产品

(B)使用的信息安全保密产品应当通过国家保密局授权的检测机构的检测

(C)使用的信息安全保密产品应从由国家保密局审核发布的目录中选取

(D)总体保护水平应不低于国家信息安全等级保护第四级水平

69、以下说法不正确的是：（）

(A)信息安全管理体系审核是信息系统审计的一种

(B)信息安全技术应用的程度决定信息安全管理体系认证审核的结论

(C)组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素

(D)如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估

70、以下属于“关键信息基础设施”的是（）

(A)输配电骨干网监控系统

(B)计算机制造企业IDC 供电系统

(C)高等院校网络接入设施

(D)高铁信号控制系统

三、判断题（判断下列各题，正确的写√，错误的写×，并将答案填写下列相应位置中。

每题1 分，共10 分，不在指定位置答题不得分）

题号71 72 73 74 75 76 77 78 79 80

答案√×× × √ √ √× √ √

71、通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机检测程序时，可以称这种新出现的计算机病毒是原来计算机病毒的变形。

72、考虑了组织所实施的活动，就马上可以确定组织信息安全管理体系的范围了。

73、组织的业务连续性策略即其信息安全连续性策略。