ISMS考试真题

一、 单项选择

1、 Cp是理想过程能力指数，Cpk是实际过程能力指数，以下〔〕是正确的。 A、 Cp＞Cpk B、Cp＜Cpk C、Cp≤Cpk D、Cp≥Cpk

2、 信息平安是保证信息的保密性、完整性、〔〕。

A、充分性 B、适宜性 C、可用性 D、有效性

3、应为远程工作活动开发和实施策略、〔〕和规程。 A、制定目标 B、，明确职责 C、编制作业指导书 D、操作方案

4、一个信息平安事件由单个的或一系列的有害或一系列〔〕信息平安事态组成，它们具有损害业务运行和威胁信息平安的极大可能性。 A、已经发生 B、可能发生 C、意外 D、A+B+C

5、根据?互联网信息效劳管理方法?规定，国家对经营性互联网信息效劳实行〔〕。 A、国家经营 B、地方经营 C、许可制度 D、备案制度

6、以下说法不正确的选项是〔〕

A、应考虑组织架构及业务目标的变化对风险评估结果进展再评审 B、应考虑以往未充分识别的威胁对风险评估结果进展再评估 C、制造部增加的生产场所对信息平安风险无影响 D、平安方案应适时更新

7、组织在建立和评审信息平安管理体系时，应考虑〔〕

A、风险评估的结果 B、管理方案 C、法律、法规和其他要求 D、A+C

8、管理体系是指〔〕。

A、建立方针和目标并实现这些目标的体系 B、相互关联的相互作用的一组要素 C、指挥和控制组织的协调活动 D、以上都对

9、风险评价是指〔〕

A、系统地使用信息来识别风险来源和评估风险

B、将估算的风险及给定的风险准那么加以比拟以确定风险严重性的过程 C、指导和控制一个组织相关风险的协调活动 D、以上都对

10、以下属于计算机病毒感染事件的纠正措施的是〔〕 A、对计算机病毒事件进展相应和处理 B、将感染病毒的计算机从网络隔离 C、对相关责任人进展处分 D、以上都不对

11、监视、检查、指导计算机信息系统平安保护工作是〔〕对计算机信息系统平安保护履行法定职责之一

A、电信管理机构 B、公安机关 C、国家平安机关 D、国家保密局

12、国家秘密的密级分为〔〕

A、绝密 B、机密 C、秘密 D、以上都对

13、?信息平安等级保护管理方法?规定，应加强涉密信息系统运行中的保密监视检查。对秘密级、机密级信息系统每〔〕至少进展一次保密检查或系统测评。 A、半年 B、1年 C、年 D、2年

14、?中华人民共和国认证认可条例?规定，认证人员自被撤销职业资格之日起〔〕内，认可机构再承受其注册申请。

A、2年 B、3年 C、4年 D、5年

15、?信息平安管理体系认证机构要求?中规定，第二阶段审核〔〕进展。 A、在客户组织的场所 B、在认证机构以网络访问的形式 C、以远程视频的形式 C、以上都对

16、以下关于认证机构的监视要求表述错误的选项是〔〕

A、认证机构宜能够针对客户组织的及信息平安有关的资产威胁、脆弱性和影响制定监视方案，并判断方案的合理性

B、认证机构的监视方案应由认证机构和客户共同来制定 C、监视审核可以及其他管理体系的审核相结合 D、认证机构应对认证证书的使用进展监视

17、渗透测试〔〕

A、可能会导致业务系统无法正常运行

B、是通过模拟恶意黑客的攻击方法，来评估计算机网络系统平安的一种评估方法 C、渗透人员在局域网中进展测试，以期发现和挖掘系统存在的漏洞，然后输出渗透测试报告

D、必须在计算机网络系统首次使用前进展，以确保系统平安

18、以下哪个算法是非对称加密算法？〔〕 A、RSA B、DES C、3DES D、AES

19、下面是关于计算机病毒的两种论断，经判断〔〕

①计算机病毒也是一种程序，它在某些条件下激活，起干扰破坏作用，并能传染到其他程序中去。 ②计算机病毒只会破坏磁盘上的数据。经判断

A、只有①正确 B．只有②正确 C．①②都正确 D．①②都不正确

20、以下关于入侵检测系统功能的表达中，〔〕是不正确的。

A、保护内部网络免受非法用户的侵入 B、评估系统关键资源和数据文件的完整性 C、识别的攻击行为 D、统计分析异常行为

21、容灾就是减少灾难事件发生的可能性以及限制灾难对〔〕所造成的影响的一整套行为。

A、销售业务流程 B、财务业务流程 C、生产业务流程 D、关键业务流程 22、〔〕属于管理脆弱性的识别对象。

A、物理环境 B、网络构造 C、应用系统 D、技术管理

23、防止计算机中信息被窃取的手段不包括〔〕

A、用户识别 B、权限控制 C、数据加密 D数据备份

24、从技术上说，网络容易受到攻击的原因主要是由于网络软件不完善和〔〕本身存在平安漏洞造成的。

A、人为使用 B、硬件设备 C、操作系统 D、网络协议

25-32 暂无

28、被黑客控制的计算机常被称为〔〕 A、蠕虫 B、肉鸡 C、灰鸽子 D、木马

30、被动扫描的优点不包括〔〕

A、无法被监测 B、只需要监听网络流量 C、 D、不需要主动

31、从技术的角度讲，数据备份的策略不包括〔〕

A、完全备份 B、增量备份 C、定期备份 D、差异备份

32、以下属于公司信息资产的有

A、资产信息 B、被放置在IDC机房的效劳器 C、 D、以上都不对

33、信息平安管理实用规那么ISO/IEC 27002属于〔〕标准

A、词汇类标准 B、指南类标准 C、要求类标准 D、技术类标准

34、依据GB/T22080/ISO/IEC 27001的要求，管理者应〔〕 A、制定ISMS目标和方案 B、实施ISMS管理评审

C、决定承受风险的准那么和风险的可承受级别 D、以上都不对

35、以下对ISO/IEC 27002的描述，正确的选项是〔〕 A、该标准属于要求类标准 B、该标准属于指南类标准

C、该标准可用于一致性评估 D、组织在建立ISMS时，必须满足该标准的所有要求

36、要确保信息受到适当等级的保护，需要〔〕

A、对不同类别的信息分别标记和处理 B、将所有信息存放于重要效劳器上，严加保管 C、应将重要信息打印，加盖机密章后锁起来 D、以上都不对

37、对于信息平安方针，〔〕是ISO/IEC 27001所要求的。

A、信息平安方针应形成文件 B、信息平安方针文件为公司内部重要信息，不得向外部泄露 C、信息平安方针文件应包括对信息平安管理的一般和特定职责的定义 D、信息平安方针是建立信息平安工作的总方向和原那么，不可变更

38、适用性声明文件应〔〕

A、描述及组织相关和适用的控制目标和控制措施 B、版本应保持稳定不变

C、应包含标准GB/T22080附录A的所有条款 D、应删除组织不拟实施的控制措施

39、信息系统的变更管理包括〔〕

A、系统更新的版本控制 B、对变更申请的审核过程 C、变更实施前的正式批准 D、以上全部

40、以下对信息平安描述不准确的是〔〕

A、保密性、完整性、可用性 B、适宜性、充分性、有效性 C、保密性、完整性、可核查性 D、真实性、可核查性、可靠性 41、ISMS文件的多少和详细程度取决于〔〕

A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、以上都对

42、ISMS管理评审的输出应考虑变更对平安规程和控制措施的影响，但不包括〔〕 A、业务要求变更 B、合同义务变更 C、平安要求的变更 D、以上都对

43、经过风险处理后遗留的风险通常称为〔〕

A、重大风险 B、有条件的承受风险 C、不可承受的风险 D、剩余风险

44、在公共可用系统中可用信息的〔〕宜受保护，以防止未授权的修改。 A、保密性 B、可用性 C、完整性 D、不可抵赖性

45、当操作系统发生变更时，应对业务的关键应用进展〔〕以确保对组织的运行和平安没有负面影响。

A、隔离和迁移 B、评审和测试 C、评审和隔离 D、验证和确认

46、应要求信息系统和效劳的〔〕记录并报告观察到的或疑心的任何系统或效劳的平安弱点

A、雇员 B、承包方 C、第三方人员 D、以上全对

47、主体访问权限的〔〕。即仅执行授权活动所必需的那些权利被称为最小特定权限。 A、最高限度 B、最低限度 C、平均限度 D、次低限度

48、远程访问就是从另一网络或者从一个〔〕到所访问网络的终端设备上访问网络资源的过程。

A、连接 B、永不连接 C、并不永久连接 D、永久连接

49、业务连续性管理主要目标是防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保他们的及时〔〕 A、可用 B、恢复 C、回退 D、维护

50、设置研发内部独立内网是采取〔〕的控制措施

A、上网流量管控 B、行为管理 C、敏感系统隔离 D、信息交换

51、当访问某资源存在不存活的联接时，会导致非法用户冒用并进展重放攻击的可能性，因此应采取〔〕控制措施

A、密码控制 B、密匙控制 C、会话超时 D、远程访问控制

52、开发、测试和〔〕设施应别离，以减少未授权访问或改变运行系统的风险。 A、配置 B、系统 C、终端 D、运行 53、〔〕是建立有效的计算机病毒防御体系所需要的技术措施

A、防火墙、网络入侵检测和防火墙 B、漏洞扫描、网络入侵检测和防火墙

C、漏洞扫描、补丁管理系统和防火墙 D、网络入侵检测、防病毒系统和防火墙

54、符合性要求包括〔〕

A、知识产权保护 B、公司信息保护 C、个人隐私的保护 D、以上都对

55、容灾的目的和实质是〔〕

A、数据备份 B、系统的 C、业务连续性管理 D、防止数据被破坏

56、以下描述正确的选项是〔〕

A、只要组织的业务不属于网络实时交易，即可不考虑应用“时钟同步〞

B、对一段时间内发生的信息平安事件类型、频次、处理本钱的统计分析不属于时间管理的范畴

C、实施信息平安管理，须考虑各利益相关方的需求以及可操作性方面的权衡 D、撤销对信息和信息处理设施的访问权是针对的组织雇员离职的情况

57、以下描述不正确的选项是〔〕

A、防范恶意和移动代码的目标是保护软件和信息的完整性

B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生 C、风险分析、风险评价、风险处理的整个过程称为风险管理

D、控制措施可以降低平安事件发生的可能性，但不能降低平安事件的潜在影响

58、系统备份及普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速〔〕 A、恢复全部程序 B、恢复网络设置 C、恢复所有数据 D、恢复整个系统

59、计算机病毒是计算机系统中一类隐藏在〔〕上蓄意破坏的捣乱程序。 A、内存 B、软盘 C、存储介质 D、网络

60、以下说法不正确的选项是〔〕

A、信息网络的物理平安要从环境平安和设备平安两个角度来考虑 B、网络边界保护主要采用防火墙系统

C、防火墙平安策略一旦设定，就不能再做任何改变

D、数据备份按数据类型划分可以分成系统数据备份和用户数据备份

61、访问控制是指确定〔 〕以及实施访问权限的过程。 A、用户权限 B、可给予哪些主体访问权利 C、可被用户访问的资源 D、系统是否遭受入侵

62、信息平安管理体系是用来确定〔〕

A、组织的管理效率 B、产品和效劳符合有关法律法规程度 C、信息平安管理体系满足审核准那么的程度 D、信息平安手册及标准的符合程度

63、平安区域通常的防护措施有〔〕

A、公司前台的电脑显示器背对来防者 B、进出公司的访客须在门卫处进展登记 C、弱点机房安装有门禁系统 D、A+B+C

64、在信息平安管理中进展〔〕，可以有效解决人员平安意识薄弱问题 A、内容监控 B、平安教育和培训 C、责任追查和惩办 D、访问控制 65、信息平安管理体系的设计应考虑〔〕

A、组织的战略 B、组织的目标和需求 C、组织的业务过程性质 D、以上全部

66、抵御电子又想入侵措施中，不正确的选项是〔〕

A、不用生日做密码C、不要使用纯数字B、不要使用少于5位的密码D、自己做效劳器

67、对于所有拟定的纠正和预防措施，在实施前应先通过〔〕过程进展评审 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B

68、建立ISMS体系的目的，是为了充分保护信息资产并给予〔〕信心 A、相关方 B、供给商 C、顾客 D、上级机关

69、口令管理系统应该是〔〕，并确保优质的口令 A、唯一式 B、交互式 C、专人管理式 D、A+B+C

70、GB/T22080标准中所指资产的价值取决于〔〕

A、资产的价格 B、资产对于业务的敏感度 C、资产的折损率 D、以上全部

71、加强网络平安性的最重要的根底措施是〔〕

A、设计有效的网络平安策略 B、选择更平安的操作系统 C、安装杀毒软件 D、加强平安教育

72、在考虑网络平安策略时，应该在网络平安分析的根底上从以下哪两个方面提出相应的对策？〔〕

A、硬件和软件 B、技术和制度 C、管理员和用户 D、物理平安和软件缺陷

73、以下〔〕不是访问控制策略中所允许的

A、口令使用 B、无人值守的用户设备的适当保护 C、清空桌面 D、屏幕上留存经常工作用文档

74、某种网络平安威胁是通过非法手段对数据进展恶意修改，这种平安威胁属于〔〕 A、窃听数据 B、破坏数据完整性 C、破坏数据可用性 D、物理平安威胁

75、以下〔〕不是信息平安管理体系中所指的资产

A、硬件、软件、文档资料 B、关键人员 C、信息效劳 D、桌子、椅子

76、信息平安方针可以不包括的要求是〔〕

A、考虑业务和法律法规的要求，是合同中的平安义务

B、建立风险评估的准那么 C、可测量 D、获得管理者批准

77、构成风险的关键因素有〔〕

A、人、财、物 B、技术、管理和操作

C、资产、威胁和弱点 D、资产、可能性和严重性

78、一般来说单位工作中〔〕平安风险最大

A、临时员工 B、外部咨询人员 C、对公司不满的员工 D、离职员工 79、〔〕是指系统、效劳或网络的一种可识别的状态的发生它可能是对信息平安方针的违反或控制措施的实效。或是和平安相关的一个先前位置的状态

A、信息平安事态 B、信息平安事件 C、信息平安事故 D、信息平安故障

80、数字签名是指附加在数据单元上，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的〔〕，并保护数据防止被人(例如接收者)进展伪造。

A、来源和有效性 B、格式和完整性 C、来源和符合性 D、来源和完整性

二、多项选择题

81、?互联网信息效劳管理方法?中对〔〕类的互联网信息效劳实行主管部门审核制度 A、新闻、出版 B、医疗、保健 C、知识类 D、教育类

82、无

83、以下说法不正确的选项是〔〕 A、顾客不投诉表示顾客满意了

B、监视和测量顾客满意的方法之一是发调查问卷，并对结果进展分析和评价

C、顾客满意测评只能通过第三方机构来实施 D、顾客不投诉并不意味着顾客满意了

84、信息平安的特有审核原那么有〔〕

A、保密性 B、独立性 C、基于风险 D、基于证据的方法

85、ISMS范围和边界确实定依据包括〔〕 A、业务 B、组织 C、物理 D、资产和技术

86、依照?信息平安等级保护管理方法?的规定，信息系统地平安保护等级可以分为

〔五〕级，其中第〔四〕级发生时，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家平安造成严重损害。 A、三 B、四 C、五 D、六

87、风险评估过程中威胁的分类一般应包括〔〕

A、软硬件故障、物理环境影响 B、无作为或操作失误、管理不到位、越权或滥用 C、网络攻击、物理攻击 D、泄密、篡改、抵赖

88、按覆盖的地理范围进展分类，计算机网络可分为〔〕

A、局域网 B、城域网 C、广域网 D、区域网

89、无

90、网络攻击的方式包括〔〕

A、信息收集 B、信息窃取 C、系统控制 D、资源耗尽攻击

91、以下〔〕活动是ISMS监视预评审阶段需完成的内容 A、实施培训和意思教育方案 B、实施ISMS内容审核 C、实施ISMS管理评审 D、采取纠正措施

92、组织在风险处置过程中所选的控制措施需〔〕

A、将所有风险都必须被降低到可承受的级别 B、可以将风险转移

C、在满足公司策略和方针条件下，有意识、客观地承受风险 D、防止风险

93、信息平安体系文件应包含〔〕

A、风险评估报告 B、风险处置方案 C、效劳目录 D、适用性声明

94、撤销对信息和信息处理设施的访问权针对的是〔〕 A、组织雇员离职的情况 B、组织雇员转岗的情况 C、临时任务完毕的情况 D、员工出差

95、在应用系统中对输入输出数据进展验证，并对内部处理进展控制，可以实现〔〕 A、防止对网络效劳的未授权访问 B、防止应用系统中信息的错误和遗失 C、防止应用系统中信息的未授权的修改及误用

D、确保采用一致和有效的方法对信息平安事件进展管理

96、防范内部人员破坏的做法有〔〕

A、严格访问控制管理 B、完善的管理措施 C、内部审计制度 D、适度的平安防范措施

97、信息平安面临哪些威胁〔〕

A、信息间谍 B、网络访问 C、计算机病毒 D、脆弱的信息系统

98、含有敏感信息的设备的处置可采取〔〕

A、格式化处理 B、采取使原始信息不可获取的技术破坏或删除 C、屡次的写覆盖 D、彻底摧毁

99、信息平安管理的标准族在“信息技术-平安技术〞的总标题下包括的国标标准有〔〕 A、ISO/IEC 27000 B、ISO/IEC 27001 C、ISO 19011 D、ISO/IEC 27005

100、ISO/IEC 27001〔A〕要求〔〕

A、设定备份策略 B、定期测试备份介质 C、定期备份 D、定期测试信息和软件