ISO27001:2013信息安全ISMS审核员考试全套资料
ISO27001内审员考试试题
信息安全管理体系内审员考试试题姓名:工作单位:考试日期:年月日一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章b)第5 章c)第7 章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001 属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS 文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解c)被审核活动的技术知识d)以上都不对()13.信息安全管理体系认证a)应审核ISMS 范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为ISMS 审核时间判断的依据?a)ISMS 的复杂度b)高层管理者对信息安全问题的重视程度c)ISMS 范围内执行的业务的类型d)适用于认证的标准和法规()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
2023年第一期ISMS信息安全管理体系CCAA审核员模拟试题含解析
2023年第一期ISMS信息安全管理体系CCAA审核员模拟试题一、单项选择题1、依据GB/T22080-2016/IS(VIEC27001:2013标准,以下说法正确的是()A、对于进入组织的设备和资产须验证其是否符合安全策略,对于离开组织的设备设施则不须验证B、对于离开组织的设备和资产须验证其合格证,对于进入组织的设备设施则不必验证C、对于离开组织的设备和资产须验证相关授权信息D、对于进入和离开组织的设备和资产,验证携带者身份信息,可替代对设备设施的验证2、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全方针的违反或控制措施的失效,或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障3、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的()。
A、说明B、声明C、想法D、描述4、信息分级的目的是()A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理5、设置防火墙策略是为了()A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制6、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于()对信息系统造成物理破坏而导致的信息安全事件。
A、人为因素B、自然灾难C、不可抗力D、网络故障7、最高管理层应(),以确保信息安全管理体系符合本标准要求。
A、分配职责与权限B、分配岗位与权限C、分配责任与权限D、分配角色和权限8、不属于公司信息资产的是()A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对9、根据GB/T22080-2016标准的要求,组织()实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔10、根据ISO/IEC27001中规定,在决定讲行第二阶段审核之间,认证机构应审查第一阶段的审核报告,以便为第二阶段选择具有()A、所需审核组能力的要求B、客户组织的准备程度C、所需能力的审核组成员D、客户组织的场所分布11、过程是指()A、有输入和输出的任意活动B、通过使用资源和管理,将输入转化为输出的活动C、所有业务活动的集合D、以上都不对12、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
信息安全管理体系(ISMS)考试 选择题 50题
1. 信息安全管理体系(ISMS)的核心目的是什么?A. 提高员工工作效率B. 确保信息的机密性、完整性和可用性C. 增加公司收入D. 降低运营成本2. ISO/IEC 27001是哪个领域的国际标准?A. 质量管理B. 环境管理C. 信息安全管理D. 职业健康安全管理3. 在ISMS中,风险评估的目的是什么?A. 确定所有可能的风险B. 评估风险的可能性和影响C. 消除所有风险D. 增加风险管理成本4. 以下哪项不是ISMS的关键组成部分?A. 风险评估B. 风险处理C. 内部审计D. 市场营销策略5. ISMS中的PDCA循环指的是什么?A. Plan, Do, Check, ActB. Prepare, Design, Construct, ApplyC. Predict, Develop, Control, AdjustD. Program, Deploy, Check, Amend6. 在ISMS中,风险处理包括以下哪些选项?A. 风险避免B. 风险转移C. 风险降低D. 所有上述选项7. 信息安全政策应该由谁来制定?A. 信息安全经理B. 最高管理层C. 所有员工D. 外部顾问8. ISMS的内部审计目的是什么?A. 确保ISMS的有效性B. 增加公司利润C. 提高员工满意度D. 降低客户投诉9. 在ISMS中,风险评估和处理应该多久进行一次?A. 每年B. 每两年C. 根据需要D. 每五年10. 以下哪项不是ISMS认证的好处?A. 提高客户信任B. 增强市场竞争力C. 降低运营成本D. 增加法律风险11. ISMS中的“信息资产”包括哪些?A. 硬件和软件B. 数据和文档C. 人员和流程D. 所有上述选项12. 在ISMS中,风险评估的第一步是什么?A. 识别信息资产B. 评估风险C. 处理风险D. 监控风险13. 信息安全事件管理包括以下哪些步骤?A. 准备B. 检测和响应C. 恢复D. 所有上述选项14. ISMS中的“风险避免”策略是指什么?A. 采取措施完全消除风险B. 转移风险给第三方C. 降低风险的影响D. 忽略风险15. 在ISMS中,风险转移通常通过什么方式实现?A. 保险B. 外包C. 合同D. 所有上述选项16. 信息安全培训的目的是什么?A. 提高员工的安全意识B. 增加公司收入C. 降低运营成本D. 提高员工工作效率17. ISMS中的“风险降低”策略是指什么?A. 采取措施减少风险的影响B. 完全消除风险C. 转移风险给第三方D. 忽略风险18. 在ISMS中,风险监控的目的是什么?A. 确保风险处理措施的有效性B. 增加公司利润C. 提高员工满意度D. 降低客户投诉19. ISMS中的“风险接受”策略是指什么?A. 接受并管理风险B. 完全消除风险C. 转移风险给第三方D. 忽略风险20. 在ISMS中,风险评估和处理的结果应该如何记录?A. 风险评估报告B. 风险处理计划C. 风险登记册D. 所有上述选项21. ISMS中的“信息安全政策”应该包括哪些内容?A. 信息安全目标B. 信息安全责任C. 信息安全管理措施D. 所有上述选项22. 在ISMS中,风险评估和处理的流程应该如何管理?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项23. ISMS中的“信息安全事件”是指什么?A. 任何可能导致信息安全损害的事件B. 任何增加公司收入的事件C. 任何降低运营成本的事件D. 任何提高员工满意度的事件24. 在ISMS中,风险评估和处理的结果应该如何使用?A. 用于制定信息安全政策B. 用于提高员工工作效率C. 用于增加公司收入D. 用于降低运营成本25. ISMS中的“信息安全目标”应该如何制定?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉26. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度27. ISMS中的“信息安全责任”应该如何分配?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉28. 在ISMS中,风险评估和处理的流程应该如何监控?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项29. ISMS中的“信息安全管理措施”应该如何制定?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉30. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项31. ISMS中的“信息安全培训”应该如何进行?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉32. 在ISMS中,风险评估和处理的流程应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项33. ISMS中的“信息安全事件管理”应该如何进行?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉34. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度35. ISMS中的“信息安全政策”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项36. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项37. ISMS中的“信息安全目标”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项38. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度39. ISMS中的“信息安全责任”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项40. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项41. ISMS中的“信息安全管理措施”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项42. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度43. ISMS中的“信息安全培训”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项44. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项45. ISMS中的“信息安全事件管理”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项46. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度47. ISMS中的“信息安全政策”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项48. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项49. ISMS中的“信息安全目标”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项50. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度答案:1. B2. C3. B4. D5. A6. D7. B8. A9. C10. D11. D12. A13. D14. A15. D16. A17. A18. A19. A20. D21. D22. D23. A24. A25. A26. A27. A28. D29. A30. D31. A32. D33. A34. A35. D36. D37. D38. A39. D40. D41. D42. A43. D44. D45. D46. A47. D48. D49. D50. A。
最新ISO27001-2013信息安全管理体系管理手册、程序文件全套资料
最新ISO27001-2013信息安全管理体系管理手册、程序文件ISO27001-2013信息安全管理体系管理手册ISMS-M-yyyy 版本号:A/0受控状态: ■ 受 控 □ 非受控日期: 2019年1月8日 实施日期: 2019年1月8日修改履历00 目录00 目录 (2)01 颁布令 (1)02 管理者代表授权书 (1)03 企业概况 (1)04 信息安全管理方针目标 (1)05 手册的管理 (1)06 信息安全管理手册 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 本公司 (1)3.2 信息系统 (1)3.3 计算机病毒 (2)3.4 信息安全事件 (2)3.5 相关方 (2)4 组织环境 (2)4.1 组织及其环境 (2)4.2 相关方的需求和期望 (2)4.3 确定信息安全管理体系的范围 (2)4.4 信息安全管理体系 (3)5 领导力 (3)5.1 领导和承诺 (3)5.2 方针 (4)5.3 组织角色、职责和权限 (4)6 规划 (4)6.1 应对风险和机会的措施 (4)6.2 信息安全目标和规划实现 (6)7 支持 (7)7.1 资源 (7)7.2 能力 (7)7.3 意识 (8)7.4 沟通 (8)7.5 文件化信息 (8)8 运行 (9)8.1 运行的规划和控制 (9)8.2 信息安全风险评估 (9)8.3 信息安全风险处置 (10)9 绩效评价 (10)9.1 监视、测量、分析和评价 (10)9.2 内部审核 (11)9.3 管理评审 (12)10 改进 (12)10.1 不符合和纠正措施 (12)10.2 持续改进 (13)附录A 信息安全管理组织结构图 (1)附录B 信息安全管理职责明细表 (1)附录C 信息安全管理程序文件清单 (1)01 颁布令为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司** 《信息安全管理手册》。
ISMS信息安全管理体系审核考前点题卷二(题库)
ISMS信息安全管理体系审核考前点题卷二(题库)[单选题]1.信息安全管理体系审核范围的确定需考(江南博哥)虑()A.业务范围和边界B.组织和物理范围边界C.资产和技术范围和边界D.以上全部参考答案:D[单选题]2.确定资产的可用性要求须依据:A.授权实体的需求B.信息系统的实际性能水平C.组织可支付的经济成本D.最高管理者的决定参考答案:A[单选题]3.下列不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标的是()A.资产归还B.资产分发C.资产的处理D.资产清单参考答案:B[单选题]4.关于认证机构的每次监督审核应至少审查的内容,以下说法错误的是()A.ISMS在实现客户信息安全方针的目标的有效性B.所确定的控制措施的变更,但不包括SOA的变更C.合规性的定期评价与评审情况D.控制措施的实施和有效性参考答案:B[单选题]5.信息安全管理体系认证是:()。
A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信息安全管理体系认证不是合格评定活动D.是信息系统风险管理的实施活动参考答案:A[单选题]6.下列哪项不属于信息安全风险评估过程。
()A.识别信息安全风险B.处置信息安全风险C.分析信息安全风险D.评价信息安全风险参考答案:B[单选题]7.信息安全管理体系审核时,为了获取审核证据,应考虑的信息源为()A.受审核方的业务系统相关的活动和数据B.受审核方场所中己确定为信息安全管理体系范围内的相关过程和活动C.受审核方申请信息安全管理体系认证范围内的业务过程和活动D.以上全部参考答案:C[单选题]8.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()A.恢复全部程序B.恢复网络设置C.恢复所有数据D.恢复整个系统参考答案:D[单选题]9.GB/T22080-2016标准中要求保护“测试数据”,以下符合这一要求的情况是()A.确保使用生产环境数据用于测试时真实、准确B.确保对信息系统测试所获得的数据的访问控制C.对用于信息系统测试的数据进行匿名化处理D.以上全部参考答案:B[单选题]10.包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件己被删除或安全地覆盖A.系统软件B.游戏软件C.杀毒软件D.任何敏感信息参考答案:D[单选题]11.表示客体安全级别并描述客体敏感性的一组信息,是()A.敏感性标记,是可信计算机基中强制访问控制决策的依据B.关键性标记,是可信计算机基中强制访问控制决策的依据C.关键性等级标记,是信息资产分类分级的依据D.敏感性标记,是表明访问者安全权限级别参考答案:A[单选题]12.不属于WEB服务器的安全措施的是()A.保证注册帐户的时效性B.删除死帐户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码参考答案:D[单选题]13.末次会议包括()A.请受审核方确认不符合报告、并签字B.向受审核方递交审核报告C.双方就审核发现的不同意见进行讨论D.以上都不准确参考答案:C[单选题]14.认证审核时,审核组应()A.在审核前将审核计划提交受审核方,并与受审核方进行沟通得到确认B.在审核中将审核计划提交受审核方,并与受审核方进行沟通得到认定C.在审核后将审核计划提交受审核方,并与受审核方进行沟通得到确认D.在审核后将审核计划提交受审核方,并与受审核方进行沟通得到认可参考答案:A[单选题]15.认证审核时,审核组拟抽查的样本应()A.由受审核方熟悉的人员事先选取,做好准备B.由审核组明确总体并在受控状态下独立抽样C.由审核组和受审核方人员协商抽样D.由受审核方安排的向导实施抽样参考答案:B[单选题]16.对于“监控系统”的存取与使用,下列正确的是()A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略参考答案:B[单选题]17.开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
2022年12月CCAA注册ISMS信息安全管理体系审核员知识复习题含解析
2022年12月CCAA注册ISMS信息安全管理体系审核员知识复习题一、单项选择题1、依据GB/T220802016/SO/EC.27001:2013标准,组织应()。
A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力2、下列说法不正确的是()A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次3、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起()内,认可机构不再接受其注册申请。
A、2年B、3年C、4年D、5年4、在以下认为的恶意攻击行为中,属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改5、信息安全控制目标是指:()A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B6、下列哪个文档化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必须有的?()A、信息安全方针B、信息安全目标C、风险评估过程记录D、沟通记录7、当发生不符合时,组织应()。
A、对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果B、对不符合做出反应,适用时:采取纠正,以及控制措施:处理后果C、对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果D、对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果8、风险偏好是组织寻求或保留风险的()A、行动B、计划C、意愿D、批复9、在形成信息安全管理体系审核发现时,应()。
A、考虑适用性声明的完备性和可用性B、考虑适用性声明的完备性和合理性C、考虑适用性声明的充分性和可用性D、考虑适用性声明的充分性和合理性10、以下哪项不属于脆弱性范畴?()A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯11、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作12、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足,即意味着顾客满意13、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源,在评估这样一个软件产品时最重要的标准是什么?()A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价14、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份15、从计算机安全的角度看,下面哪一种情况是社交工程的一个直接例子?()A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏16、《信息安全等级保护管理办法》规定,应加强沙密信息系统运行中的保密监督检查。
ISO27001内审员考试试题(供参考)
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.信息安全管理体系内审员考试试题一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章b)第5 章c)第7 章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001 属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS 文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.c)被审核活动的技术知识d)以上都不对()13.信息安全管理体系认证a)应审核ISMS 范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为ISMS 审核时间判断的依据?a)ISMS 的复杂度b)高层管理者对信息安全问题的重视程度c)ISMS 范围内执行的业务的类型d)适用于认证的标准和法规()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
ISO27001内审员考试试题教学内容
信息安全管理体系内审员考试试题姓名:工作单位:考试日期:年月日一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章b)第5 章c)第7 章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001 属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS 文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解c)被审核活动的技术知识d)以上都不对()13.信息安全管理体系认证a)应审核ISMS 范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为ISMS 审核时间判断的依据?a)ISMS 的复杂度b)高层管理者对信息安全问题的重视程度c)ISMS 范围内执行的业务的类型d)适用于认证的标准和法规()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
ITSMS管理评审一整套资料(ISO27001+ISO20000)
善过程中。 8、 部门成员认证执行公司规定的网络逻辑控制措施,办公计算机的安全设置强度比以前增
强。 9、 对信息的访问控制严格遵守授权审批制度,根据不同的人员岗位制定了不同的权限。 10、 综合部积极配合技术部进行信息系统的维护工作。 11、 安全事件的汇报机制得到建立,注重日常的监督检查管理。 12、 综合部注重对 ISMS 符合性的评价。收集了相关的法律法规和行业规范技术标准。
2、 管理人员和监督人员过去 4 个月中管理与监督的状况基本达到预期要求; 3、 管理体系运行受控
a) 最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识,能履行 其承诺,管理职责明确,重视并参与对《信息安全&信息技术服务》管理体系的 建立、保持和推动持续改进活动。员工能准确答出公司《信息安全&信息技术服 务》方针和目标,体现了全员参与。但个别职能部门《信息安全&信息技术服务》 活动和人员中有责任不到位的情况。
由于体系建立的时间不长,对其符合性的评价需要持续进行,并注重对法律法规收集的 更新和评价。 13、 制定了年度的业务连续性计划,对业务连续性的测试和评审有待继续。 14、 综合部积极配合各部门进行运维服务的预算工作。 15、 制定了年度的业务连续性计划,对业务连续性的测试和评审有待继续。 16、 综合部注重对 ITSMS 符合性的评价。收集了相关的法律法规和行业规范技术标准。 由于体系建立的时间不长,对其符合性的评价需要持续进行,并注重对法律法规收集的
1. 《信息安全&信息技术服务》管理体系内部审核的结果; 2.相关方的反馈; 3.用于改进《信息安全&信息技术服务》管理体系业绩和有效性的技术、 产品或程序; 4.预防和纠正措施的状况; 5.风险评估没有充分强调的脆弱性或威胁; 6.有效性测量的结果; 7.任何可能影响信息安全管理体系的变更; 8.改进的建议; 9. 《信息安全&信息技术服务》管理方针适应性、有效性和充分性。 参加管理评审的部门应按照计划要求准备本部门在《信息安全&信息 技术服务》管理体系实施中有关材料,并在会议上汇报。
ISO27001信息安全管理体系内审全套资料
ISO 27001-2013信息安全管理体系内审全套资料(含内审计划、内审检查表、内审报告)东莞市XXXX有限公司2017年度内部审核计划编号:ISMS-4030序号:20170103-1审核目的:验证公司内部信息安全管理体系是否符合要求,为保证质量体系有效运行及不断得到完善提供依据。
审核范围:所有与信息安全管理有关的人员、部门和岗位。
审核依据:ISO27001-2013标准、管理体系文件、适用性声明、有关法律法规、应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动说明:1.审核可以按ISO27001-2013标准集中审核,也可以按部门分月份进行审核,但必须覆盖全部信息安全职责部门和岗位,必须符合ISO27001-2013标准.2.计划在某月份被审核的部门,由内审计划编制者在表内对应处作上“√”的符号,表示该部门在某月将被审核。
编制:XXX 审核:批准:日期:2017-1-4 日期:2017-1-4 日期:2017-1-4受审核部门:陪同人员:审核员:审核日期:信息安全管理体系内部审核检查表东莞XXXX有限公司2017年信息安全内审结论报告编号:ISMS-4034状态:受控编制人:日期:审批人:日期:➢审核目的检查公司信息安全管理体系是否符合ISO27001:2013的要求及有效运行。
➢审核依据ISO27001:2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。
➢审核范围ISO27001:2013手册所要求的相关活动及部门。
➢审核时间2017年12月20日~ 2017年12月22日1、现场审核情况概述本次审核按信息安全手册及《内部审核管理程序》要求,编制了内审计划及实施计划并按计划进行了实施。
审核小组由2人组成,各分别按要求编制了《内部审核检查表》;内审计划事先也送达受审核部门。
审核组在各部门配合下,按审核计划,分别到部门、现场,采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法,进行了抽样调查和认真细致的检查。
27001-2013信息安全管理体系ISMS内审员培训教材[文字可编辑]
2018年5月28日
课程内容
? 第一部分
信息安全基础知识及案例介绍 ? 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 ? 第三部分 信息安全风险评估与管理 ? 第四部分 体系文件编写 ? 第五部分 信息安全管理体系内部审核
信息为什么会有安全问题
?信息具有重要的价值
? ?
?信息及系统固有的脆弱性
? ?
信息社会对信息的高度依赖 信息的高附加值会引起盗窃、滥用等威胁
信息本身易传播、易毁坏、易伪造 信息平台的脆弱性客观存在:不可避免的因素(技术局限、人的能力局 限)、没有避免的因素(默认配臵)
?威胁客观存在
? 恶意攻击、企业间谍、内部系统的误用 /滥用、敌对势力等
案
例
二
如果使用winny 下载的文件中隐藏着“Antinny ” 等病毒,用户只要双击下载的文件图标,就会导致电 脑感染病毒。病毒在电脑中任意将个人文件压缩后放 臵到共享文件夹中,导致信息泄漏。由于电脑本身不 会出现异常,用户往往直到被别人告知自己的个人信 息泄漏了,才意识到电脑感染了病毒。更为糟糕的是, 流失的文件会被记录到许多电脑中,几乎不可能回收。
案 例
一
利用特权进入充值数据库
2006 年2月27日, 中央电视台报道了全国最大的网上 盗窃通讯资费案:UT 斯达康中国有限公司深圳分公司资
深软件研发工程师31岁的程姓工程师,在任华为工程师
时负责西藏移动等公司的设备安装工作。自2005 年2月, 从西藏移动公司系统进入北京移动公司的充值中心数据
库,获得最高系统权限,根据“已充值”的充值卡显示
是不是把相关技术及产品都部署到位了,就安全了呢? 到底如何做才能真正保障信息安全呢? 下面我们先来看几个案例
2024年3月CCAA注册ISMS信息安全管理体系审核员知识复习题含解析
2024年3月CCAA注册ISMS信息安全管理体系审核员知识复习题一、单项选择题1、创建和更新文件化信息时,组织应确保适当的()。
A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准2、口令管理系统应该是(),并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C3、()是建立有效的计算机病毒防御体系所需要的技术措施。
A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、信息安全风险的基本要素包括()A、资产、可能性、影响B、资产、脆弱性、威胁C、可能性、资产、脆弱性D、脆弱性、威胁、后果5、依据GB/T22080/ISO/1EC27001,关于网络服务的访问控制策略,以下正确的是()A、没有陈述为禁止访问的网络服务,视为允许方问的网络服务B、对于允许访问的网络服务,默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务,按照规定的授权机制进行授权D、以上都对6、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为()A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求7、相关方的要求可以包括()A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务8、经过风险处理后遗留的风险通常称为()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险9、根据GB/T22080-2016标准的要求,组织()实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔10、虚拟专用网(VPN)的数据保密性,是通过什么实现的?()A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼11、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC2700512、根据GB/T22080-2016中控制措施的要求,不属于人员招聘的安全要求的是()A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议13、物理安全周边的安全设置应考虑:()A、区域内信息和资产的敏感性分类B、重点考虑计算机机房,而不是办公区或其他功能区C、入侵探测和报警机制D、A+C14、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换15、审核发现是指()A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项16、下列哪项对于审核报告的描述是错误的?()A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后,由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后,由委托方将报告的副本转给受审核方D、以上都不对17、下列措施中不能用于防止非授权访问的是()A、采取密码技术B、采用最小授权C、采用权限复查D、采用日志记录18、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()A、认证B、认可C、审核D、评审19、()是风险管理的重要一环。
信息安全管理体系应用管理技术考试 选择题 55题
1. 信息安全管理体系(ISMS)的核心目标是:A. 提高员工工作效率B. 确保信息安全C. 降低运营成本D. 增加市场份额2. ISO/IEC 27001:2013标准中定义的ISMS范围应:A. 仅包括公司总部B. 包括所有相关信息资产C. 仅限于IT部门D. 不包括外包服务3. 在ISMS中,风险评估的目的是:A. 确定所有可能的风险B. 评估风险的可能性和影响C. 消除所有风险D. 增加风险意识4. 以下哪项不是ISMS的控制目标?A. 防止信息泄露B. 确保信息完整性C. 提高信息可用性D. 增加信息价值5. ISMS中的风险处理不包括以下哪项?A. 风险规避B. 风险转移C. 风险增加D. 风险接受6. 在ISMS中,持续改进的主要手段是:A. 定期审计B. 员工培训C. 技术升级D. 管理评审7. 信息安全政策应由谁制定?A. 安全团队B. 最高管理层C. 人力资源部门D. 技术部门8. 以下哪项不是ISMS的组成部分?A. 安全政策B. 风险评估C. 业务流程D. 控制措施9. ISMS的实施步骤不包括:A. 规划B. 实施C. 检查D. 销毁10. 在ISMS中,风险评估和风险处理的关系是:A. 风险评估先于风险处理B. 风险处理先于风险评估C. 两者同时进行D. 没有直接关系11. 信息安全事件管理的主要目标是:A. 防止事件发生B. 快速响应和恢复C. 增加事件数量D. 减少员工培训12. 在ISMS中,信息安全培训的主要对象是:A. 高层管理人员B. 所有员工C. 安全团队D. IT技术人员13. 信息安全管理体系的审计应由谁执行?A. 内部审计师B. 外部审计师C. 安全团队D. 人力资源部门14. 在ISMS中,信息安全意识的重要性在于:A. 提高员工满意度B. 增强风险识别能力C. 降低成本D. 增加利润15. 信息安全管理体系的持续改进应基于:A. 定期审计结果B. 市场变化C. 技术发展D. 政策变动16. 在ISMS中,风险评估的频率应:A. 每年一次B. 根据需要C. 每季度一次D. 每月一次17. 信息安全管理体系的有效性评估应包括:A. 技术评估B. 管理评估C. 员工评估D. 客户评估18. 在ISMS中,信息安全政策的更新频率应:A. 每年一次B. 根据需要C. 每季度一次D. 每月一次19. 信息安全管理体系的认证过程包括:A. 初步评估B. 正式评估C. 认证审核D. 所有上述选项20. 在ISMS中,信息安全事件的报告应:A. 立即报告B. 延迟报告C. 不报告D. 根据管理层决定21. 信息安全管理体系的控制措施应:A. 仅包括技术措施B. 包括技术和管理措施C. 仅包括管理措施D. 不包括培训措施22. 在ISMS中,信息安全培训的频率应:A. 每年一次B. 根据需要C. 每季度一次D. 每月一次23. 信息安全管理体系的审计频率应:A. 每年一次B. 根据需要C. 每季度一次D. 每月一次24. 在ISMS中,信息安全政策的传达应:A. 仅限于管理层B. 包括所有员工C. 仅限于安全团队D. 不包括外部合作伙伴25. 信息安全管理体系的持续改进应:A. 仅基于审计结果B. 基于审计结果和实际操作C. 仅基于实际操作D. 不包括改进措施26. 在ISMS中,信息安全事件的响应计划应:A. 仅包括技术响应B. 包括技术和管理响应C. 仅包括管理响应D. 不包括响应计划27. 信息安全管理体系的认证机构应:A. 仅包括国内机构B. 包括国内外机构C. 仅包括国际机构D. 不包括认证机构28. 在ISMS中,信息安全政策的评估应:A. 仅包括政策内容B. 包括政策内容和实施效果C. 仅包括实施效果D. 不包括评估29. 信息安全管理体系的认证有效期通常为:A. 一年B. 三年C. 五年D. 十年30. 在ISMS中,信息安全事件的记录应:A. 仅包括事件描述B. 包括事件描述和响应措施C. 仅包括响应措施D. 不包括记录31. 信息安全管理体系的控制措施评估应:A. 仅包括技术评估B. 包括技术和管理评估C. 仅包括管理评估D. 不包括评估32. 在ISMS中,信息安全政策的更新应:A. 仅基于审计结果B. 基于审计结果和实际操作C. 仅基于实际操作D. 不包括更新33. 信息安全管理体系的认证审核应:A. 仅包括初步评估B. 包括初步评估和正式评估C. 仅包括正式评估D. 不包括审核34. 在ISMS中,信息安全事件的响应时间应:A. 立即响应B. 延迟响应C. 不响应D. 根据管理层决定35. 信息安全管理体系的控制措施实施应:A. 仅包括技术实施B. 包括技术和管理实施C. 仅包括管理实施D. 不包括实施36. 在ISMS中,信息安全培训的内容应:A. 仅包括政策培训B. 包括政策和操作培训C. 仅包括操作培训D. 不包括培训37. 信息安全管理体系的审计结果应:A. 仅包括问题描述B. 包括问题描述和改进建议C. 仅包括改进建议D. 不包括结果38. 在ISMS中,信息安全政策的传达方式应:A. 仅包括书面传达B. 包括书面和口头传达C. 仅包括口头传达D. 不包括传达39. 信息安全管理体系的持续改进措施应:A. 仅基于审计结果B. 基于审计结果和实际操作C. 仅基于实际操作D. 不包括措施40. 在ISMS中,信息安全事件的响应计划评估应:A. 仅包括技术评估B. 包括技术和管理评估C. 仅包括管理评估D. 不包括评估41. 信息安全管理体系的认证机构选择应:A. 仅包括国内机构B. 包括国内外机构C. 仅包括国际机构D. 不包括选择42. 在ISMS中,信息安全政策的评估频率应:A. 每年一次B. 根据需要C. 每季度一次D. 每月一次43. 信息安全管理体系的认证审核频率应:A. 每年一次B. 根据需要C. 每季度一次D. 每月一次44. 在ISMS中,信息安全事件的记录保存应:A. 仅包括事件描述B. 包括事件描述和响应措施C. 仅包括响应措施D. 不包括保存45. 信息安全管理体系的控制措施更新应:A. 仅基于审计结果B. 基于审计结果和实际操作C. 仅基于实际操作D. 不包括更新46. 在ISMS中,信息安全培训的效果评估应:A. 仅包括培训内容B. 包括培训内容和实施效果C. 仅包括实施效果D. 不包括评估47. 信息安全管理体系的审计结果应用应:A. 仅包括问题描述B. 包括问题描述和改进建议C. 仅包括改进建议D. 不包括应用48. 在ISMS中,信息安全政策的传达效果应:A. 仅包括书面传达B. 包括书面和口头传达C. 仅包括口头传达D. 不包括效果49. 信息安全管理体系的持续改进计划应:A. 仅基于审计结果B. 基于审计结果和实际操作C. 仅基于实际操作D. 不包括计划50. 在ISMS中,信息安全事件的响应计划更新应:A. 仅包括技术更新B. 包括技术和管理更新C. 仅包括管理更新D. 不包括更新51. 信息安全管理体系的认证机构评估应:A. 仅包括国内机构B. 包括国内外机构C. 仅包括国际机构D. 不包括评估52. 在ISMS中,信息安全政策的评估结果应:A. 仅包括政策内容B. 包括政策内容和实施效果C. 仅包括实施效果D. 不包括结果53. 信息安全管理体系的认证审核结果应:A. 仅包括初步评估B. 包括初步评估和正式评估C. 仅包括正式评估D. 不包括结果54. 在ISMS中,信息安全事件的响应时间评估应:A. 立即响应B. 延迟响应C. 不响应D. 根据管理层决定55. 信息安全管理体系的控制措施实施效果应:A. 仅包括技术实施B. 包括技术和管理实施C. 仅包括管理实施D. 不包括效果答案:1. B2. B3. B4. D5. C6. D7. B8. C9. D10. A11. B12. B13. B14. B15. A16. B17. B18. B19. D20. A21. B22. B23. A24. B25. B26. B27. B28. B29. B30. B31. B32. B33. B34. A35. B36. B37. B38. B39. B40. B41. B42. B43. A44. B45. B46. B47. B48. B49. B50. B51. B52. B53. B54. A55. B。