2024年信息安全管理体系审核员考试易错题及分析

2024年信息安全管理体系审核员考试易错题及分析
一、单选题（共40题）
1.关于适用性声明，下面描述错误的是 ( )
A.包含附录A中控制删减的合理性说明
B.不包含未实现的控制
C.包含附录A的控制及其选择的合理性说明
D.包含所有计划的控制
参考答案:B
题目解析:参考GB/T 22080-2016/ISO/IEC 27001 6.1.3信息安全风险处置原文 b) -d)，B选项错误，应包含所有的控制，未实现的控制应包含删减的合理性说明。

2.风险外置是 ( )
A.识别并执行措施来更改风险的过程
B.确定并执行措施来更改风险的过程
C.分析并执行措施来更改风险的过程
D.选择并执行措施来更改风险的过程
参考答案:D
题目解析：参考ISO/IEC 27000: 2009风险处置，是指选择并且执行措施来更改风险的过程。

3.信息安全的机密性是指 ( )
A.保证信息不被其他人使用
B.信息不被未授权的个人、实体或过程利用或知悉的特性
C.根据授权实体的要求可访问的特性
D.保护信息准确和完整的特性
参考答案: B
题目解析:保密性也称机密性，是不将有用信息泄漏给非授权用户的特性。

4.关于文件管理下列说法错误的是 ( )
A.文件发布前应得到批准，以确保文件是适宜的
B.必要时对文件进行评审、更新并再次批准
C.应确保文件保持清晰，易于识别
D.作废文件应及时销毁，防止错误使用
参考答案: D
题目解析:参考27001 7.5.3 文件化信息的控制原文。

D项错误，根据原文 ，作废文件因按照规定进行保留和处置，选项中“及时销毁”表述不当。

5.内联网intranet)可以建立在一个组织的内部网络上，也可以建立在互联网上 (Internet) 上，下面哪项针对内联网的控制在安全上是最弱的? ( )
A.用加密的通道传输数据
B.安装加密路由器
C.安装加密防火墙
D.对私有WWW服务器实现门令控制
参考答案:D
题目解析:27002 9.4.2 安全登录规程，在需要强认证和身份验证时，宜使用如密码手段、智能卡、令牌或生物特征识别方法等替代口令的鉴别方法，因此口令是最弱的安全控制方法。

6.灾难恢复目标包括: ( )
A.灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求
B.灾难发生后，系统和数据必须恢复到的时间点要求
C.A+B
D.A或B
参考答案: :C
题目解析:灾难恢复，指自然或人为灾害后，重新启用信息系统的数据，硬件及软件设备，恢复正常商业运作的过程。

灾难恢复规划是涵盖面更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险做出评估、防范，特别是对关键性业务数据、流程予以及时记录、备份、保护。

灾难发生后，应建立恢复点目标(RPO) 和恢复时间目标RTO)。

其中PRO是指灾难发生后，系统和数据必须恢复到时点要求:RTO是指信息系统或业务功能从停顿到必须恢复的时间要求。

因此本题选C。

7.GB/T 29246标准为组织和个人提供 ( )。

A.建立信息安全管理体系的基础信息
B.信息安全管理体系的介绍
C.ISMS标准族已发布标准的介绍
D.ISMS标准族中使用的所有术语和定义
您的回答: C
参考答案:
题目解析:参考GB/T 29246 0.3 本标准的目的 原文，D选项错误，原文为: 不包含ISMS标准族中的所有术语和定义。

本题B正确.
8.下列哪个不是典型的软件开发模型 ( )。

A.变换型
B.渐增型
C.瀑布型
D.结构型
参考答案:D
题目解析:典型的软件开发模型有瀑布型、渐增型、变换型。

“结构型”不包含其中。

9.业务连续性管理主要目标是防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保他们的及时 ( )。

A.可用
B.恢复
C.回退
D.维护
参考答案:B
题目解析:27002 17.1.1规划信息安全连续性，组织宜确定在业务连续性管理过程或灾难恢复管理过程中是否包含了信息安全连续性。

宜在
计划业务连续性和灾难恢复时确定信息安全要求。

业务连续性管理程序目的防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保关键业务活能及时恢复。

10.灾难备份中心指: ( )
A.发生灾难性事件时可以继续完成备份过程的场所
B.灾难发生后接替主系统进行数据处理和支持关键业务功能运行的场所
C.为应对灾难性事件实施备份活动的场所
D.以上都对
参考答案:B
题目解析:灾难备份中心是为了确保重要信息系统的数据安全和关键业务可以持续服务，提高抵御灾难的能力，减少灾难造成的损失而建设的数据备份系统。

11.ISO/IEC 17799是哪个标准的前身?
A.ISO/IEC 27001
B.ISO/IEC 27002
C.BS 7799-2
D.BS 7799-1
参考答案:B
题目解析:1999年的时候英国发布标准BS7799-1:1999和BS7799-2:1999。

而后这两人标准分别发展，BS7799-1:1999 先在2000年的时候被ISO组织采纳，形成IS017799:2000，在2005年的时候又进行
了更新，形成1S017799:2005，这个标准又在2007年的时候，更新形成了ISO 27002:2005；BS7799-2:1999 则在2004年的时候更新为 BS7799-2:2002，而后在2005年的时候被ISO组织采纳，形成了IS0 27001:2005 。

本题问“是谁的前身”，则是要看ISO/IEC 17799更新后的标准，因此应为ISO/IEC 27002.
12.文件化信息创建和更新时，下列哪个活动不是必须的?
A.组织应确保适当的标识和描述
B组织应确保适当的格式和介质
C.组织应确保适当的对适宜性和充分性进行评审和批准
D.组织应确保适当的访问控制
参考答案:D
题目解析:参考27001 7.5.2 创建和更新，创建和更新文件化信息时，组织应确保适当的:标识和描述，格式和介质，对适宜性和充分性的评审和批准。

13.监督、检查、指导计算机信息系统安全保护工作是( )对计算机信息系统安全保护履行法定职责。

A.电信管理机构
B.公安机关
C.国家安全机关
D.国家保密局
参考答案: B
题目解析: 中华人民共和国计算机信息系统安全保护条例》第十七条
14.关于可信计算机基，以下说法正确的是 ( )
A.指计算机系统中用作保护装置的硬件、固件、软件等的组合体
B.指配置有可信赖安全防护硬件、软件产品的计算机环境
C.指通过了国家有关安全机构认证的计算机信息系统
D.指通过了国家有关机构评测的计算机基础设施，含硬件、软件的配置
参考答案:A
题目解析:可信计算基是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

15.口令管理系统应该是 ( ) ，并确保优质的口令
A.唯一式
B.交互式
C.专人管理式
D.A+B+C
参考答案: B
题目解析:27001附录A.9.4.3 口令管理系统，口令管理系统应是交互式的，并应确保优质的口令。

16.以下不属于可降低信息传输中的信息安全风险的措施是: ( )。

A.规定使用通信设施限制规定
B.使用铠甲线缆以及数据加密
C.双路供电以及定期测试备份电机
D.记录物理介质运输全程的交接信息
题目解析:27001附录A13.2.1应有正式的传输策略、规程和控制，以保护通过使用各种类型通信设施进行的信息传输，防止传输信息遭受截取、复制、修改、错误寻址和破坏。

选项中“双路供电及定期测试备份电机”无法降低信息传输中的信息安全风险。

17.依据GB/T 22080/ISO/IEC 27001，以下可表明符合或不符合第三方服务管理要求的是: ( )
A.要求网络安全运维服务方在协议中明确规定安全评估的内容、范围和频次
B.要求数据中心运营服务方承诺供电可用性99.9%
C.与软件应用系统运维方签署专项不泄露协议
D.软件供应商提供方未通过CMMI评估
参考答案:C
题目解析:参考27001 A.15.1.2 在供应商协议中强调安全 原文:应与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求，并达成一致。

C选项与信息安全最为相关，当选。

18.根据GB 29246，信息外理设施不包括：（ ）
A.信息系统
B.系统和设施安置的物理场所
C.人及文档
D.服务和基础设施
题目解析:参考GB/T 29246 2.32 信息外理设施定义:任何的信息处理系统、服务或基础设施，或者其安置的物理位置。

19.信息安全风险 (R) 计算中涉及脆弱性 (V) ，以下说法正确的是 ( )。

A.脆弱性是资产性质决定的固有的弱点，其赋值不变
B.如果当前控制措施有效，资产脆弱性赋值可以降低
C.控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系
D.只要威胁存在，脆弱性就存在，二者的赋值同向增减
参考答案: B
题目解析:GB/T 20984-2007信息安全风险评估规范，脆弱性是资产本身存在的，脆弱性并非因威胁而生,如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害，而且如果系统足够强健，严重的威胁也不会导致安全事件的发生。

对于某人资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。

资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。

在识别脆弱性的同时，评估人员应对采取的安全措施有效性进行确认，看是否真正的降低了系统的脆弱性，抵御了威胁。

20.安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略 ( )
A.基于角色的策略
B.基于身份的策略
C.用户向导的策略
D.强制性访问控制策略
参考答案: D
题目解析:参考 计算机信息系统安全保护等级划分准则》，4.3安全保护级，计算机信息系统可信计算机对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。

为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。

21.以下哪个不是威胁?（ ）
A.错误使用
B.文献缺乏
C.电磁辐射
D.权力滥用
参考答案: B
题目解析:参考GB/T 31722-2015/ISO/IEC 27005: 2008 附录，威胁包括物理损害 (水灾、火灾、污染、重大事故、设备或介质破坏、灰尘、腐蚀、冻结)，自然灾害，基本服务丧失 (空调或供水系统故障、电力供应失去、电力设备故障)，辐射干扰(电磁辐射、热辐射、电磁脉冲)，信息损害(硬件、软件算改等)，技术失效(设备失效、故障等)，未授权行为(末授权的设备使用、数据的非法处理等)，功能损害(使用中的错误、权限滥用和伪造等)以及人为威助等。

"文件缺乏”属于脆弱性。

22.可信计算基须维护与可被外部主体直接或间接访问到的计算机信息系统资源相关的敏感标记的等级是( )
A.二级、三级、四级
B.三级、四级、五级
C.四级、五级
D.五级
参考答案:C
题目解析:参考 计算机信息系统安全保护等级划分准则》4.4.3标记和4.5.3标记原文: 计算机信息系统可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源(例如:主体、存储客体、只读存储器)相关的敏感标记。

23.根据GB/T 22080-2016标准中控制措施的要求，应根据法律、法规、规章、合同和业务要求，确保对 记录 进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。

是 ( )的条款的要求。

A.A.13.2.3
B.A.18.1.3
C.A.9.4.1
D.A.7.5.3
参考答案:B
题目解析:参考GB/T 22080-2016 A.18.1.3 记录的保护原文:应根据法律、法规、规章、合同和业务要求，对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。

24.关于用户访问权，以下做法正确的是 ( )
A.用户岗位变更时，其原访问权应终止或撤销
B.抽样进行针对信息系统用户访问权的定期评审
C.组织主动解聘员工时可不必复审员工访问权
D.使用监控系统可替代用户访问权评审
参考答案: A
题目解析:参考27001附录A.9.2.5，应定期和在任何变更之后如升职、降职或任用终止后对用户访问权进行评审。

同时该评审非抽样评宙,并且评审不可被替代。

25.GB/T 29246标准由 ( ) 提出并归门
A.SC27
B.SAC/TC261
C.SC40
D.SAC/TC260
参考答案:D
题目解析:参考标准，本标准由全国信息安全标准化技术委员会(SAC/TC260) 提出并归口。

26.信息安全控制目标是指: ( )
A.对实施信息安全控制措施拟实现的结果的描述
B.组织的信息安全策略集的描述
C.组织实施信息安全管理体系的总体宗旨和方向
D.A+B
参考答案:A
题目解析:参考27000 2.17 控制目标定义: 描述控制的实施结果所要达到目标的声明
单选
27.关于信息安全管理中的“脆弱性”，以下正确的是()。

A.脆弱性是威胁的一种，可以导致信息安全风,险
B.网终中“钓鱼”软件的存在，是网终的脆弱性
C.允许使用:“1234”这样容易记忆的口令，是口令管理的脆弱性
D.以上全部
参考答案: C
题目解析:参考27002，资产易遭受故意和意外的威胁，并目相关的过程、系统、网络、人员均有固有的脆弱性，因此A错误，脆弱性是固有的，不属于威胁。

钓鱼软件，通常是是精心设计的虚假网页引诱用户上当，不属于网络固有漏洞，因此不是脆弱性，B错。

同样D错。

本题选C。

28.国家秘密的保密期限应为: ( )
A.绝密不超过三十年，机密不超过二十年，秘密不超过十年
B.绝密不低于二十年，机密不低于二十年，秘密不低于十年
C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年
D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年
参考答案: A
题目解析:参考 保密法》，第十五条，国家秘密的保密期限，除另有
规定外，绝密级不超过三十年，机密级不超过二十年，秘密级不超过十年。

29.以下属于计算机病毒感染事件的纠正措施的是 ( )
A.对计算机病毒事件进行响应和外理
B.将感染病毒的计算机从网终隔离
C.对相关责任人进行外罚
D.以上都不对
参考答案:D
题目解析:参考27000，2.12纠正措施是消除已查明的不符合项或其他不期望情形的成因的措施。

A、B、C项均是对计算机感染病毒后的处置，而非消除不符合项成因的措施。

因此本题选D.
30.进入重要机构时，在门卫处登记属于以下哪种措施?
A.访问控制
B.身份鉴别
C.审计
D.标记
参考答案:B
题目解析:访问控制是防止合法用户对系统资源的非法使用，而身份认证是防止非法用户进入系统，因此本题选B.
31.局域网环境下与大型计算机环境下的本地备份方式在 ()方面有主要区别。

A.主要结构
B.容错能力
C.网络拓扑
D.局城网协议
参考答案: B
题目解析：局域网是指家或者办公室，或者其他环境中的小型网络。

而大型计算机环境是指类似服务器的大型网络。

两者本地备价差别主要体现在容错能力上。

32.在认证审核时，一阶段审核时 ( )
A.是了解受审方ISMS是否正常运行的过程
B.是必须进行的
C.不是必须的过程
D.以上都不准确
参考答案:C
题目解析:CNAS-CC01 9.3.1.3评客户管理体系的实施情况，包括有效性是第二阶段的目的。

第一阶段的目的为审核客户的文件化的管理体系信息，评价客户现场的具体情况，并与客户的人员进行讨论，以确定第二阶段的准备情况，审查客户理解和实施标准要求的情况，特别是对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况，收集关于客户的管理体系范围的必要信息，包括客户场所、使用的过程和设备、所建立的控制的水平、适用的法律法规要求:审查第二阶段所票资源的配置情况，并与客户商定第二阶段的细节:结合管理体系标准或其他规范性文件充分了解客户的管理体系和现场运作，以
便为策划第二阶段提供关注点，评个客户是否策划和实施了内部审核与管理评审，以及管理体系的实施程度能否证明客户已为第二阶段做好准备。

一阶段审核不是必须进行的，不必进行的原因主要来自客户、审核组长和审核组三人方面:1、客户规模太小以至于实在是没必要进现场。

受审核方组织规模很小，可能只有几个人或十几个人，现场范围很小，可能只有一人作坊或车间，目所生产的产品质量风险很小，即使有问题，也不会导致人身安全、重大财产损失等。

2、审核组长对受审核方情况非常熟悉。

审核组长充分了解受审核方现场及其质量风险，甚至可能在认证开展前就对这人企业很熟悉，多次到现场去查看过因而在一阶段审核时即使不到现场也可以判断对方已经具备认证审核的条件。

3、审核组有充分的资源保证。

审核组有充分的人力资源或时间，足以保证在二阶段现场审核时能够满足审核准则的全部要求。

对于任何不在组织现场进行的第一阶段审核情况，认证机构宜有合理安排，以确保其以等效方式满足第一阶段审核所规定目标，并保持纪录，以证实其安排的合理性。

33.关于密码技术和密码产品，以下说法正确的是:（ ）
A.未经批准，禁止出口密码技术和密码产品，但进口不受限
B.未经许可，禁止销售商用密码产品，但自行研发供自行使用不受限
C.未经指定，禁止生产商用密码产品
D.密码技术和密码产品均是国家秘密须实行专控管理
参考答案：C
题目解析： 商用密码管理条例》第二章 第七条 商用密码产品由国家密码管理机构指定的单位生产。

未经指定，任何单位或者个人不得生产商用密码产品。

D选项密码技术很多不是国家秘密，商用密码技术属于国家秘密。

34.以下属于安全办公区域控制的措施是( )
A.敏感信息处理设施避免放置在和外部方共用的办公区
B.显著标记“敏感档案存储区，闲人免进”标识牌
C.告知全体员工敏感区域的位置信息，教育员工保护其安全
D.以上都对
参考答案：A
题目解析：不能标记和告知敏感区域，否则暴露风险。

35.以下哪一项不属于物理入口控制的措施?()
A.仅允许佩戴规定类型工牌的人员进
B.入口处使用指纹识别系统
C.仅允许穿戴规定防护服的人员进入
D.保安核实来访人员的登记信息
参考答案：C
题目解析：C不是核实身份，是职业健康的要求。

36.关于系统运行日志,以下说法正确的是:( )
A.系统管理员负责对日志信息进行编辑保存
B.日志信息文件的保存应纳入容量管理
C.日志管理即系统审计日志管理
D.组织的安全策略应决定系统管理
参考答案：B
题目解析：系统管理员负责对日志信息进行编制保存。

12.4.2日志信息的保护宜实现控制以防止日志信息的未授权更改和日志设施的运行问题，包括:a)已记录的消息类型的更改;b)日志文件被编辑或删除;c)超过日志文件存储介质的容量导致不能记录事态或过去记录事件被覆盖。

一些审计日志可能被要求存档，以作为记录保存策略的一部分或由于收集和保留证据的需要。

37.对于外部供方提供的软件包，以下说法正确的是（ ）
A.组织的人员可随时对其进行适用性调整
B.应严格限制对软件包的调整以保护软件包的保密性
C.应严格限制对软件包的调整以保护软件包的完整性和可用性
D.以上都不对
参考答案：D
题目解析：软件包的调整只牵涉到完整性。

38.以下不属于密钥管理内容的是:( )
A.密钥材料的复制、转移、更新和确认
B.密钥材料的生产、登记、认证、注销
C.密钥材料的撤销、衍生、销毁和恢复
D.密钥材料的分发、安装、存储和归档
参考答案：A
题目解析：密钥管理包括密钥生成、存储、归档、恢复、分发、废止
和销毁。

39.信息系统安全等级分为五级，以下说法正确的是: ( )
A.二级系统每年进行一次测评,三级系统每年进行二次测评
B.四级系统每年进行二次测评，五级系统每年进行一次测评
C.三级系统每年进行一次测评，四级系统每年进行二次测评
D.二级系统和五级系统不进行测评
参考答案：C
题目解析：信息系统的安全保护等级分为以下五级: 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

40.关于 中华人民共和国保密法》,以下说法正确的是:( )
A.该法的目的是为了保守国家秘密而定
B.该法的执行可替代以I.SO/IEC27001为依据的信息安全
C.该法适用于所有组织对其敏感信息的保护
D.国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护参考答案：A
题目解析：保秘法》第1条:为了保守国家秘密，维护国家安全和利益，保障改革开放和社会主义建设事业的顺利进行，制定本法。

D容易搞混，是国家信息安全等级保护坚持自主定级，自主保护，分为五级。

二、多选题（共15题）
1.移动设备策略宜考虑 ( )。

A.移动设备注册
B.恶意软件防范
C.访问控制
D.物理保护要求
参考答案: ABCD
题目解析:参考ISO/IEC 27002 6.2.1移动设备策略，移动设备策略宜考虑：
a) 移动设备的注册
b) 物理保护的要求
c) 软件安装的限制:
d) 移动设备软件版本和应用补丁的要求
e) 连接到信息服务的限制:
f) 访问控制:
g) 密码技术，
h) 恶意软件防范:
i) 远程禁用、删除或锁定
j) 备份;
k) Web服务和Web应用程序的使用。

2.以下哪种说法是正确的? ( )
A.经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动
B.非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动
C.国家对经营性互联网信息服务和非经营性互联网信息服务均实行备案制度
D.互联网信息服务分为经营性和非经营性两类
参考答案: ABD
题目解析:参考 互联网信息服务管理办法》第二、四条。

C选项错误，国家对经营性互联网信息服务实行许可制度:对非经营性互联网信息服务实行备案制度。

3.以下做法正确的是 ( )
A.使用生产系统数据测试时，应先将数据进行脱敏外理
B.为强化新员工培训效果，应尽可能使用真实的业务案例和数据
C.员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D.信息系统管理域内所有的终端启动屏幕保护时间应一致
参考答案: AC
题目解析:B选项错误，编者认为在给员工进行培训时，应按照组织的信息安全策略和相关规程建立信息安全意识方案，同时考虑组织要保护的信息以及为保护这些信息所实现的控制，选项中“尽可能使用真实数据”不符合信息安全策略。

D选项并不是标准所要求的，强制策略只要求所有信息处理设施的时钟设置同步，可以实现屏幕保护时间一致，但也可以不强制实施。

4.根据GB/T 29246，以下说法正确的是 ( ) 。

A.ISMS族包含阐述要求的标准
B.ISMS族包含特定行业概述的标准
C.ISMS族包含阐述通用概述的标准
D.ISMS族包含阐述ISMS概述和词汇的标准
参考答案:ABD
题目解析:参考GB/T 29246-2017/ISO/IEC 27000:2016 4 ISMS标准族原文。

其中B选项更为精准的描述应为“行业特定指南类”。

C选项与原文差距大，原文是“一般指南类”，强调普通情况，选项中“通用”更强调同样的意思。

5.GB/T 22080标准中，有关信息安全绩效的反馈，包括下面哪些方面趋势 ( )
A.监视和测量结果
B.审核结果。