ISO27001审核员考试题,ISO27001信息安全管理体系审核员考试练习题
发布时间: 2022-08-15 09:27 点击:
1.信息安全残余风险是( )。
A.没有处置完成的风险
B.没有评估的风险
C.处置之后仍存在的风险
D.处置之后没有报告的风险
2.关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订( )协议,明确安全和保密义务与责任。
A.安全保密
B.安全保护
C.安全保障
D.安全责任
3.文件化信息是指( )。
A.组织创建的文件
B.组织拥有的文件
C.组织要求控制和维护的信息及包含该信息的介质
D.对组织有价值的文件
4.依据GB/T 22080,网络隔离指的是( )。
A.内网与外网的隔离
B.不同用户组之间的隔离
C.不同网络运营商之间的隔离
D.信息服务、用户及信息系统
5.关于《中华人民共和国网络安全法》中的“三同步”要求,以下说法正确的是( )。
A.指关键信息基础设施建设时须保证安全技术措施同步规划,同步建设,同步使用
B.指所有信息基础设施建设时须保证安全技术措施同步规划,同步建设,同步使用
C.指涉密信息系统建设时须保证安全技术措施同步规划,同步建设,同步使用
D.指网信办指定信息系统建设时须保证安全技术措施同步规划,同步建设,同步使用
6.对全国密码工作实行统一领导的机构是( )。
A.全国人大委员会
B.中央密码工作领导机构
C.中央国家机关
D.国家密码管理部门
7.根据GB/T 22080-2016标准,审核中下列哪些章节不能删减( )。
A.1-10
B.4-10
C.4-7和9-10
D.4-10和附录A
8.《信息安全技术信息安全事件分类分级指南》中灾害性事件是由于( )对信息系统造成物理破坏而导致的信息安全事件。
A.人为因素
B.自然灾难
C.不可抗力
D.网络故障
9.ISMS文件评审需考虑( )?
A.请受审核方确认ISMS文件审核报告,并签字
B.收集信息,以准备审核活动和适当的工作文件
C.双方就ISMS文件框架交换不同意见
D.确定受审核方文件与标准符合性,并提出改进意见
10.《信息技术 安全技术 信息安全管理体系实施指南》对应的国际标准号为( )。
A.ISO/IEC 27002
B.ISO/IEC 27003
C.ISO/IEC 27004
D.ISO/IEC 27005
11.下列哪个不是《中华人民共和国密码法》中密码的分类?( )
A.核心密码
B.普通密码
C.国家密码
D.商用密码
12.依法负有网络网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的( )严格保密,不得泄露、出售或非法向他人提供。
A.个人信息
B.隐私
C.商业秘密
D.其它选项均正确
13.信息安全基本属性是( )。
A.保密性、完整性、可靠性
B.保密性、完整性、可用性
C.可用性、保密性、可能性
D.稳定性、保密性、完整性
14.确定资产的可用性要求须依据( )?
A.授权实体的需求
B.信息系统的实际性能水平
C.组织可支付的经济成本
D.最高管理者的决定
15.依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的( )。
A.说明
B.声明
C.想法
D.描述
16.依据GB/T22080-2016标准,以下关于资产清单正确的是( )。
A.做好资产分类是其基础
B.采用组织固定资产台账即可
C.无需关注资产产权归属者
D.A+B
17.最高管理者应( )。
A.确保制定ISMS方针
B.制定ISMS目标和计划
C.实施ISMS内部审核
D.主持ISMS管理评审
18.组织应( )。
A.分离关键的职责及责任范围
B.分离冲突的职责及责任范围
C.分离重要的职责及责任范围
D.分离关联的职责及责任范围
19.某公司计划升级现有的所有PC机,使其用户可以使用指纹识别登录系统,访问关键数据。实施时需要( )。
A.所有受信的PC机用户,履行登记、注册手续(或称为:初始化手续)
B.完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险)
C.在指纹识别的基础上增加口令保护
D.保护非授权用户不可能访问到关键数据
20.《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检査。对秘密级、机密级信息系统每( )至少进行一次保密检查或系统测评。
A.半年
B.1年
C.1.5年
D.2年
21.当发生不符合时,组织应( )。
A.对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果
B.对不符合做出反应,适用时:采取纠正,以及控制措施;处理后果
C.对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果
D.对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果
22.容量管理的对象包括( )?
A.信息系统内存
B.办公室空间和基础设施
C.人力资源
D.以上全部
23.数字签名可以有效对付哪一类信息安全风险?( )
A.非授权的阅读
B.盗窃
C.非授权的复制
D.篡改
24. 为了达到组织灾难恢复的要求,备份时间间隔不能超过( )。
A.服务水平目标 (SL0)
B.恢复点目标 (RP0)
C.恢复时间目标 (RT0)
D.最长可接受终端时间 (MAO)
25.安全区域通常的防护措施有?( )
A.公司前台的电脑显示器背对来访者
B.进出公司的访客须在门卫处进行登记
C.重点机房安装有门禁系统
D.以上全部
26.访问控制是为了保护信息的( )。
A.完整性和机密性
B.可用性和机密性
C.可用性和完整性
D.以上都是
27.下列控制措施中,哪个不是用来确保信息处理设施可用性的?( )
A.建立同城备份
B.对设备中数据进行定期备份
C.建立异地备份
D.采用双机热备
28.GB/T22080-2016标准附录A有( )安全域。
A.18个
B.16个
C.15个
D.14个
29.ISO/IEC 27001:2013从( )的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。
A.组织整体业务风险
B.客户安全要求
C.信息安全法律法规
D.职能部门监管
30.( )属于管理脆弱性的识别对象。
A.物理环境
B.网络结构
C.应用系统
D.技术管理
中國中鴻實業有限公司旗下:中鸿认证服务 www.cnqr.org
1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
1.诚聘专兼职审核员(全国/符合条件可免费定向培养);诚聘专职咨询老师/专职市场专员;
2.全国诚招ISO认证代理人(个人级/企业级),转发信息即佣金,免费培训;
3.本年度ISO内审员免费培训开始了,每月免费名额有限,从速预计。