2021年10月信息安全管理体系真题试卷

2021年10月信息安全管理体系真题试卷
一、单选题（共40题，每题1.5分，共60分）
1.《信息技术安全技术信息安全治理》对应的国际标准号为（D）。

A、ISO/IEC27011
B、ISO/IEC27012
C、ISO/IEC27013
D、ISO/IEC27014
2.ISO/IEC27701是（D）。

A、是ISMS族以外的标准
B、是一份基于27002的指南性标准
C、是隐私保护方面扩展了27001的要求
D、是27001和27002在隐私保护方面的扩展
3.关于GB/T28450，以下说法不正确的是（B）。

A、增加了ISMS的审核指导
B、等同采用了ISO19011
C、与ISO/IEC27006一致
D、与ISO19011一致
4.《信息安全管理体系审核指南》中规定，ISMS的规模包括（D）。

A、体系覆盖的人数
B、用户的数量
C、使用的信息系统的数量
D、其他选项都正确
5.在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段
选择具有（B）。

A、客户组织的准备程度
B、所需能力的审核组成员
C、所需审核组能力的要求
D、客户组织的场所分布
6.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程所用，是指
（C）。

A、完整性
B、可用性
C、机密性
D、抗抵赖性
7.文件化信息是指（C）。

A、组织创建的文件
B、组织拥有的文件
C、组织要求控制和维护的信息及包含该信息的介质
D、对组织有价值的文件
8.依据GB/T22080网络隔离是指（D）。

A、内网与外网的隔离
B、不同用户组之间的隔离
C、不同网络运营商之间的隔离
D、信息服务、用户及信息系统
9.关于内部审核，以下说法不正确的是（C）。

A、组织应定义每次审核的审核准则和范围
B、组织应确保审核结果报告至管理层
C、组织应建立、实施和维护一个审核方案
D、通过内部审核确定ISMS得到有效实施和维护
10.ISO/IEC27001描述的风险分析过程不包括（B）。

A、确定风险级别
B、分析风险发生的原因
C、评估所识别的风险实际发生的可能性
D、评估识别的风险发生后可能导致的潜在后果
11.文件化信息创建和更新时，下列哪个活动不是必须的？（D）
A、组织应确保适当的标识和描述
B、组织应确保适当的格式和介质
C、组织应确保适当的对适宜性和充分性进行评审和批准
D、组织应确保适当的访问控制
12.组织应在相关（D）上建立信息安全目标。

A、组织环境和相关方要求
B、战略和意见
C、战略和方针
D、智能和层次
13.关于适用性声明，下面描述错误的是（B）。

A、包含附录A中控制删减的合理性说明
B、不包含未实现的控制
C、包含附录A中控制及其选择的合理性说明
D、包含所有计划的控制
14.组织在确定与ISMS相关的内部和外部沟通需求时可以不包括（D）。

A、沟通内容
B、沟通对象
C、沟通时间
D、沟通周期
15.ISO/IEC27001所采用的过程方法是（A）。

A、PDCA方法
B、SMART方法
C、SWOT方法
D、PPTR方法
16.根据GB/T22080-2016标准，审核中下列哪些章节不能删减（B）。

A、1-10
B、4-10
C、4-7和9-10
D、4-10和附录A
17.建立ISMS体系的目的，是为了充分保护信息资产并给予（A）信心。

A、相关方
B、供应商
C、顾客
D、上级机关
18.依据GB/T22080关于职责分离，以下说法正确的是（C）。

A、职责分离的是不同用户组之间的职责分离
B、信息安全策略的培训者与审计之间的职责分离
C、职责分离的是不同管理层级之间的职责分离
D、信息安全策略的制定者与受益者之间的职责分离
19.根据GB/T22080-2016中控制措施的要求，不属于人员招聘的信息安全要求的是（C）。

A、背景调查
B、签署保密协议
C、安全技能与岗位要求匹配的评估
D、参加信息安全培训
20.以下说法不正确的是（C）。

A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审
B、应考虑以往未充分识别的威胁对风险评估结果进行再评估
C、制造部增加的生产场所对信息安全风险无影响
D、安全计划应适时更新
21.关于顾客满意，以下说法正确的是（C）。

A、顾客没有抱怨，表示顾客满意
B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意
C、顾客认为其要求已得到满足，即意味着顾客满意
D、组织认为顾客要求已得到满足，即意味着顾客满意
22.有关信息安全管理，风险评估的方法比起基线的方法，其主要的优势在于确保（C）。

A、不考虑资产的价值，基本水平的保护都会被实施
B、对所有信息资产保护都投入相同的资源
C、对信息资产实施适当水平的保护
D、信息资产过度的保护
23.以下认为的恶意攻击行为中，属于主动攻击的是（D）。

A、数据窃听
B、误操作
C、数据流分析
D、数据篡改
24.以下哪些可由操作人员执行（D）。

A、审批更改
B、更改配置文件
C、安装系统软件
D、添加/删除用户
25.《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（D）内，
认证机构不再接受其申请注册。

A、2年
B、3年
C、4年
D、5年
26.由认可机构对对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和
职业资格予以承认的合格评定活动是（B）。

A、认证
B、认可
C、审核
D、评审
27.根据《中华人民共和国秘密法》，国家秘密的最高密级为（B）。

A、特密
B、绝密
C、机密
D、秘密
28.被黑客控制的计算机常被称为（B）。

A、蠕虫
B、肉鸡
C、灰鸽子
D、木马
29.防火墙提供的接入模式不包括（D）。

A、透明模式
B、混合模式
C、网关模式
D、旁路接入模式
30.设置防火墙策略是为了（A）。

A、进行访问控制
B、进行病毒防范
C、进行邮件内容过滤
D、进行流量控制
31.审核抽样时，可以不考虑的因素是（C）。

A、场所差异
B、管理评审的结果
C、最高管理者
D、内审的结果
32.PKI的主要组成不包括（A）。

A、SSL
B、CR
C、CA
D、RA
33.根据《信息安全等级保护管理办法》，对于违反信息安全法律、法规行为的行政处罚中，
（A）是较轻的处罚方式。

A、警告
B、罚款
C、没收违法所得
D、吊销许可证
34.对全国密码工作实行统一领导的机构是（A）。

A、中央密码工作领导机构
B、国家密码管理部门
C、中央国家机关
D、全国人大委员会
35.风险识别过程中需要识别的方面包括：资产识别、识别危险、识别现有控制措施、（B）。

A、识别可能性和影响
B、识别脆弱性和识别后果
C、识别脆弱性和可能性
D、识别脆弱性和影响
36.《中华人民共和国网络安全法》中的“三同步制度”要求，以下说法正确的是（A）。

A、指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用
B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用
C、指泄密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用
D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用
37.根据GB17859《计算机信息系统安全保护等级划分准则》，计算机信息系统安全保护能
力分为（A）等级。

A、5
B、6
C、3
D、4
38.SaaS是指（A）。

A、软件即服务
B、平台即服务
C、服务应用即服务
D、基础设施即服务
39.信息是消除（A）的东西。

A、不确定性
B、物理特性
C、不稳定性
D、干扰因素
40.在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（D）。

A、设备要求和网络要求
B、硬件要求和软件要求
C、物理要求和应用要求
D、技术要求和管理要求
二、多选题（共15题，每题2分，共30分）
41.根据《中华人民共和国密码法》，密码工作坚持总体国家安全观，遵循统一领导、（ACD），
依法管理、保障安全的原则。

A、创新发展
B、分级应用
C、服务大局
D、分级负责
42.最高管理层应建立信息安全方针，方针应（BCD）。

A、对相关方可用
B、包括对持续改进ISMS的承诺
C、包括信息安全目标
D、与组织意图相适宜
43.下列哪些属于网络攻击事件（ABCD）。

A、钓鱼攻击
B、后门攻击事件
C、社会工程攻击
D、DOS攻击
44.依据GB/T22080，经管理层批准，定期评审的信息安全策略包括（ABCD）。

A、信息备份策略
B、访问控制策略
C、信息传输策略
D、密钥管理策略
45.风险处置包括（AD）。

A、风险降低
B、风险计划
C、风险控制
D、风险转移
46.认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具
备（ABCD）。

A、管理体系的知识
B、ISMS监视、测量、分析和评价的知识
C、与受审核活动相关的技术知识
D、信息安全的知识
47.根据《互联网信息服务管理办法》，从事非经营性质互联网信息服务，应当向（ABC）电
信管理机构或者国务院信息产业主管部门办理备案手续。

A、省
B、自治区
C、直辖市
D、特别行政区
48.按覆盖的地理范围进行分类，计算机网络可以分为（ABC）。

A、局域网
B、城域网
C、广域网
D、区域网
49.操作系统的基本功能有（ABCD）。

A、存储管理
B、文件管理
C、设备管理
D、处理器管理
50.移动设备策略宜考虑（ABCD）。

A、移动设备注册
B、恶意软件防范
C、访问控制
D、物理保护要求
51.管理评审的输出包括（BD）。

A、管理评审报告
B、持续改进机会相关决定
C、管理评审会议纪要
D、变更信息安全管理体系的任何要求
52.ISO/IEC27000，以下说法正确的是（ACD）。

A、ISMS族包括阐述要求的标准
B、ISMS族包括阐述通用概论的标准
C、ISMS族包括特定行业概述的标准
D、ISMS族包括阐述ISMS概述和词汇的标准
53.信息安全管理中，以下属于“按需知悉”原则的是（AB）。

A、根据工作需要仅获得最小的知悉权限
B、工作人员仅需要满足工作服务所需要的信息
C、工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围
D、其范围是可访问的信息
54.ISO/IEC27001标准要求以下哪些过程形成文件化信息？（ABD）
A、信息安全方针
B、信息安全风险处置过程
C、沟通记录
D、信息安全目标
55.关于目标，下列说法正确的是（ACD）。

A、要实现的结果
B、沟通记录
C、目标可以采用不同方式进行表示，例如：操作准则
D、目标可以是不同层次的，例如组织、项目和产品
三、判断题（共10题，每题1分，共10分）
56.《中华人民共和国网络安全法》是2017年1月1日开始实施的。

（×）
57.检测性控制是为了防治未经授权的入侵者从内部或外部访问系统，并降低进入该系统的
无意错误操作导致的影响。

（√）
58.信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。

（×）
59.容量管理策略可以考虑增加或降低容量要求。

（√）
60.组织ISMS的相关方的需求和期望又组织的战略决策层决定。

（×）
61.GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准。

（√）
62.计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照
一定的应用目标和规则对信息进行采集、加工、储存、传输、检索等处理的人机系统。

（√）
63.在来自可信站点电子邮件中输入个人或财务信息是安全的。

（×）
64.客户所有场所业务范围相同，且在同一ISMS下运行，并接受统一管理、内部审核和管
理评审时，认证机构可以考虑使用基于抽样的认证审核。

（√）
65.ISO/IEC27018是对云安全服务中隐私保护认证的依据。

（√）。