ISO27001信息安全管理體系內(nèi)審員考核試題

ISO27001:2022信息安全管理體系內(nèi)審員一、單選題1.根據(jù)ISO/IEC27001:2022,將附錄的安全控制項(xiàng)從114個減少至（）[單選題]*A.99B.93√C.92D.902.根據(jù)ISO/EC27001:2022,資產(chǎn)包括（）[單選題]*A.主要資產(chǎn)與輔助資產(chǎn)（所有類型的支撐性資產(chǎn)）√B.主要資產(chǎn)與次要資產(chǎn)C.物理資產(chǎn)與信息資產(chǎn)D.流程資產(chǎn)與活動資產(chǎn)3.攻擊的概念是指（）[單選題]*A.未經(jīng)授權(quán)企圖銷毀、更改、禁用、訪問資產(chǎn)的行為;√B.無意間泄露信息的行為；C．未經(jīng)批準(zhǔn)資產(chǎn)就被刪除、處理的行為；D．設(shè)備故障導(dǎo)致日志被刪除的現(xiàn)象。4.根據(jù)ISO/EC27001:2022,中斷屬于突發(fā)事件，無論是預(yù)期的還是意外的，都會導(dǎo)致根據(jù)組織的目標(biāo)與預(yù)期的產(chǎn)品和服務(wù)交付產(chǎn)生計劃外的（）[單選題]*A.風(fēng)險B.負(fù)面偏差√C.影響D.破壞5.根據(jù)ISO/EC27001:2022,關(guān)于與特定利益集團(tuán)或論壇的聯(lián)系，以下說法不正確對的是（）[單選題]*A.提高有關(guān)最佳實(shí)踐的知識并及時了解相關(guān)安全信息√B.確保對信息安全環(huán)境的理解是最新的C.接收有關(guān)攻擊和漏洞的警報、建議和補(bǔ)丁的早期警告D.提供對組織威脅環(huán)境的認(rèn)識，以便采取適當(dāng)?shù)木徑獯胧?.根據(jù)ISO/EC27001:2022,以下不屬于終端設(shè)備的是（）[單選題]*A.臺式計算機(jī)B.ICT設(shè)備C.打印機(jī)D.手表√7.根據(jù)ISO/EC27001:2022,關(guān)于云服務(wù)，以下說法不正確的是（）[單選題]*A.組織應(yīng)定義與使用云服務(wù)相關(guān)的所有信息安全要求B.對于云服務(wù)的信息安全控制，應(yīng)由做為云服務(wù)客戶的組織進(jìn)行管理√C.應(yīng)確定如何獲得云服務(wù)提供商實(shí)施的信息安全控制的保證D.應(yīng)確定如何更改或停止使用云服務(wù)，包括云服務(wù)的退出策略。8.根據(jù)ISO/IEC27001:2022,關(guān)于信息刪除，以下說法不正確的是（）[單選題]*A.在使用云服務(wù)的情況下，組織應(yīng)驗(yàn)證云服務(wù)提供商提供的刪除方法是否可接受;B.應(yīng)刪除過時的版本、副本和臨時文件，無論它們位于何處C.對于某些設(shè)備(如智能手機(jī))的安全刪除只能通過銷毀進(jìn)行√D.組織應(yīng)對信息刪除做出正式記錄.9.根據(jù)ISO/IEC27002:2022,最新版本中，新增了（）個控制項(xiàng)[單選題]*A.11√B.14C.13D.1510.根據(jù)ISO/IEC27001:2022,（）指相互沖突的職責(zé)和責(zé)任范圍應(yīng)分開.[單選題]*A.信息安全屬性B.信息安全組織C.訪問控制D.職責(zé)分離√11.根據(jù)ISO/IEC27001:2022,當(dāng)（）時，應(yīng)刪除存儲在信息系統(tǒng)、設(shè)備或任何其他存儲介質(zhì)中的信息。[單選題]*A.法律法規(guī)要求B.敏感信息暴露C.服務(wù)中止D.不再需要√12.根據(jù)ISO/IEC27001:2022,信息標(biāo)記中使用的信息標(biāo)簽不包括（）[單選題]*A.簽名√B.物理標(biāo)簽C.水印D.橡皮圖章13.根據(jù)ISO/IEC27001:2022,威脅情報的分類不包括（）[單選題]*A.戰(zhàn)術(shù)威脅情報B.戰(zhàn)略威脅情報C.技術(shù)威脅情報√D.運(yùn)營威脅情報14以下做法不正確的是：（）[單選題]*A..保留含有敏感信息的介質(zhì)的處置記錄。B..將大量含有信息的介質(zhì)匯集在一起時提高其總體敏感性等級。C..將所有的已用過一面的復(fù)印紙一律分配給各部門復(fù)用，以符合組織的節(jié)能降耗策略。√D..依據(jù)風(fēng)險評估的結(jié)果將維修更換下來的磁盤交第三方按雙方約定的程序進(jìn)行處置。15.根據(jù)ISO/EC27001:2022,信息安全角色和（）應(yīng)根據(jù)組織需要進(jìn)行定義和分配。[單選題]*A.責(zé)任√B.職責(zé)C.批準(zhǔn)D.實(shí)施16.根據(jù)ISO/EC27001:2022,關(guān)于ICT供應(yīng)鏈以下說法不正確的是（）[單選題]*A.組織應(yīng)在供應(yīng)商關(guān)系中保持商定的信息安全水平B.若供應(yīng)商將本組織的服務(wù)再分包，應(yīng)在整個供應(yīng)鏈中傳達(dá)貫徹本組織的安全要求C.組織確?？梢栽谡麄€供應(yīng)鏈中追蹤關(guān)鍵部件及其來源D.組織應(yīng)確保在整個供應(yīng)鏈中各分包單位按本組織的信息安全控制方法實(shí)施，而不是僅對其提出要求，√17.根據(jù)ISO/EC27001:2022,訪問控制旨在確保根據(jù)業(yè)務(wù)和安全要求對物理和邏輯訪問進(jìn)行（）和限制[單選題]*A.識別B.授權(quán)√C.分析D.獲取18.根據(jù)ISO/EC27001:2022,對于威脅情報，以下說法不正確的是（）[單選題]*A.應(yīng)與保護(hù)組織相關(guān)B.應(yīng)為組織提供對威脅形勢的準(zhǔn)確和詳細(xì)的了解C.應(yīng)為可操作的D.應(yīng)確定統(tǒng)一的格式與相關(guān)個人交流和分享√19.根據(jù)ISO/EC27001:2022,應(yīng)根據(jù)組織的信息安全要求建立獲取、使用、管理和（）云服務(wù)的流程。[單選題]*A.退出√B.審核C.防護(hù)D.中斷20根據(jù)ISO/EC27001:2022,信息安全策略和（）應(yīng)由管理人員定義，批準(zhǔn)，發(fā)布，傳達(dá)給相關(guān)人員和相關(guān)有關(guān)方面并由其確認(rèn)，應(yīng)定期進(jìn)行檢查，如果發(fā)生重大更改，則應(yīng)進(jìn)行評審。[單選題]*A.特定主題策略√B.信息安全目標(biāo)C.信息安全計劃D.內(nèi)部審核21隱私和個人可識別信息（PII）的保護(hù)，以下說法不正確的是（）[單選題]*A處理PII的責(zé)任宜考慮基于相關(guān)的法律法規(guī)B.應(yīng)采取適當(dāng)?shù)募夹g(shù)和組織措施來保護(hù)PIIC.單位在未經(jīng)許可情況下，有權(quán)公開員工的照片、家庭信息等個人隱私√D單位選擇隱私快遞，快遞公司應(yīng)隱藏發(fā)件人的電-話、地址等可識別信息。22.根據(jù)ISO/IEC27001:2022,關(guān)于物理監(jiān)控，組織可選擇的方式不包括（）[單選題]*A.安裝視頻監(jiān)控系統(tǒng)B.安裝電纜電磁屏蔽√C.安裝對玻璃破碎聲音敏感的傳感器、觸點(diǎn)探測器、基于紅外技術(shù)的運(yùn)動探測器等，以及時觸發(fā)警報。D.設(shè)置警衛(wèi)巡邏23信息安全管理體系ISO/IEC27001:2022標(biāo)準(zhǔn)的轉(zhuǎn)換截止期為（）[單選題]*A.2023年12月30日；B.2025年10月30日；√C.2024年4月30日；D.2025年10月25日24.關(guān)于信息安全風(fēng)險評估和風(fēng)險處置，按照SO27001:2022標(biāo)準(zhǔn)6.1中規(guī)定，應(yīng)（）：[單選題]*A．建立并維護(hù)信息安全風(fēng)險評估實(shí)施準(zhǔn)則，包括風(fēng)險接受準(zhǔn)則；√B．殘余風(fēng)險必須全部根除；C．風(fēng)險處置的選項(xiàng)必須立足于規(guī)避所有信息安全風(fēng)險；D.建立的適用性聲明必須采取附錄A全部的控制措施25.信息安全方針和特定主題策略的差異是（）[單選題]*A．信息安全方針是全面的、具體的要求；B.信息安全方針是最高管理層制定，詳略程度一般；特定主題策略是適當(dāng)部門/層級的管理者制定，是規(guī)定具體而詳細(xì)的控制方法；√C.特定主題策略應(yīng)宏觀、全面；D．信息安全方針和特定主題策略都要具體而明確。26.數(shù)據(jù)備份的要求是（）[單選題]*A.備份存儲在安全可靠的遠(yuǎn)程地點(diǎn)，與主站點(diǎn)相隔足夠距離，以避免主站點(diǎn)發(fā)生災(zāi)難時受到損壞√B.采取異機(jī)備份，但需要定期測試；C．保存?zhèn)浞萑罩?，在備份日志超過存儲空間時及時刪除備份日志D.需要專人操作。27.根據(jù)ISO/EC27001:2022,信息系統(tǒng)和應(yīng)用程序的監(jiān)視活動涉及很多方面，以下說法不正確的是（）[單選題]*A.網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的出入流量；B.系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、監(jiān)視系統(tǒng)、關(guān)鍵應(yīng)用程序等的訪問；C.監(jiān)視包括CPU、硬盤、內(nèi)存、帶寬等資源的使用及其性能；D.系統(tǒng)網(wǎng)絡(luò)活動的相關(guān)事態(tài)日志、瓶頸和過載不在監(jiān)視活動范圍。√28.時鐘同步應(yīng)滿足的要求是（）[單選題]*A.應(yīng)使用與國家原子鐘或全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS）等廣播的無線電時間相關(guān)聯(lián)的時鐘，作為日志系統(tǒng)的參考時鐘;√B.使用多個云服務(wù)或同時使用云服務(wù)和本地服務(wù)時，時鐘同步可能會很困難。在此情況下，可以免除對時鐘同步的監(jiān)視；C.如果要提高外部時鐘的可靠性，同時使用兩個外部時間源是不可行的，即使加以管理也不推薦此種方法；D.為了更安全，在無法實(shí)現(xiàn)時鐘同步的情況下，可以放棄使用時鐘同步的策略。29.在處理公司業(yè)務(wù)時進(jìn)行的信息交換方式，以下哪種是相對安全的（）[單選題]*A.在電-話中設(shè)置了電-話錄音和來電顯示；B.含有重要信息的郵件在加密的傳輸環(huán)境下被加密發(fā)出,并限制附件的大??；√C.用短信通知客戶確定的商品價格;D以上全部30.運(yùn)行系統(tǒng)的軟件安裝以下說法正確的是（）[單選題]*A經(jīng)過培訓(xùn)的管理員在適當(dāng)管理授權(quán)下，方可執(zhí)行運(yùn)行軟件更新；√B.確保在運(yùn)行系統(tǒng)上僅可安裝經(jīng)批準(zhǔn)的開發(fā)代碼或編譯器；C安裝時需要小心謹(jǐn)慎，邊操作邊測試，安裝后沒有問題就可以更新配置庫，D在完成變更后要制定回退策略，萬一運(yùn)行中出現(xiàn)異常立即回退.三、多項(xiàng)選擇1.根據(jù)ISO/IEC.27002,對于敏感或關(guān)鍵系統(tǒng)的布纜安全，組織應(yīng)考慮：（）[多選題]*A.使用電磁屏蔽裝置保護(hù)電纜；√B.定期進(jìn)行技術(shù)掃描和物理檢查，以檢測連接到電纜上的未授權(quán)設(shè)備；√C.對配線架和電纜室的訪問進(jìn)行控制，如使用機(jī)械鑰匙或插銷;√D.使用光纜；√2.根據(jù)ISO/IEC.27002:2022,組織為硬件、軟件、服務(wù)和網(wǎng)絡(luò)的安全配置建立標(biāo)準(zhǔn)模板時，應(yīng)考慮（）[多選題]*A.禁用不必要的、未使用的或不安全的身份√B.禁用或限制不必要的功能和服務(wù)√C.啟用超時功能，在會話等預(yù)定的不活動時間后自動注銷計算設(shè)備√D.時鐘同步√3.根據(jù)ISO/EC.27002,組織為確保辦公室、房間和設(shè)施的安全，應(yīng)考慮（）[多選題]*A.關(guān)鍵設(shè)施的放置如項(xiàng)目服務(wù)器等要避免公眾可訪問，√B.適用時，確保對建筑物、辦公場所的房間給出其最少用途的指示，以降低識別其內(nèi)部信息處理活動的內(nèi)容；√C.配置設(shè)施，以防止從外部可看到和聽到保密信息或活動，還應(yīng)酌情考慮電磁屏蔽；√D.內(nèi)部電-話簿和在線可訪問地圖應(yīng)做好保護(hù)，不應(yīng)被任何未授權(quán)人輕易獲得?！?.ISO/IEC.27001:2022附錄A的控制，由原來的A5-A18，變更為以下控制（）類別，涵蓋了所有新版要求的控制項(xiàng)：[多選題]*A．技術(shù)控制和物理控制；√B.管理控制和技術(shù)控制；C.組織控制和人員控制；√D.威脅、脆弱性和風(fēng)險控制。5.根據(jù)ISO/EC.27002,組織在刪除有關(guān)系統(tǒng)、應(yīng)用程序和服務(wù)的信息時，應(yīng)考慮（）[多選題]*A.如果委托第三方存儲組織的信息，應(yīng)在與供方協(xié)議中規(guī)定信息刪除的要求，并應(yīng)獲取其信息刪除的證據(jù)?！藼.根據(jù)業(yè)務(wù)需求并考慮相關(guān)法律法規(guī)，選擇刪除方式(如電子覆蓋或加密擦除)√C.記錄刪除結(jié)果作為證據(jù)√D.制作準(zhǔn)確和完整的備份副本記錄用以恢復(fù)信息6.根據(jù)ISO/EC.27002視圖屬性，信息安全屬性包含（）[多選題]*A.保密性√B.完整性√C.不可否認(rèn)性D.可用性√7.根據(jù)ISO/IEC.27002,組織針對技術(shù)脆弱性的解決，應(yīng)考慮（）[多選題]*A.依據(jù)需要解決技術(shù)脆弱性的緊迫程度，根據(jù)變更管理相關(guān)的控制或通過遵循信息安全事件響應(yīng)程序采取行動；√B.在安裝更新之前對其進(jìn)行測試和評估，以確保其有效且不會產(chǎn)生系統(tǒng)故障；√C.采取開發(fā)補(bǔ)丁程序等補(bǔ)救措施；√D.僅使用合法來源的軟件安裝和更新系統(tǒng)?！?.根據(jù)ISO/IEC.27002視圖屬性，控制類型屬性包含（）[多選題]*A.預(yù)防√B.檢查√C.糾正√D.改進(jìn)9.ISO27002:2022中創(chuàng)建的屬性表的主要功能和要求是（）：[多選題]*A.可用于不同使用者在不同視圖中進(jìn)行控制的篩選、分類或展示;√B.是使用者必須進(jìn)行控制的屬性；組織不應(yīng)再創(chuàng)建自有屬性；C.僅僅是提供了屬性視圖的示例，并不是該項(xiàng)主題僅有這些屬性而不會涉及其他；√D.文件給出的屬性是基于標(biāo)準(zhǔn)在各類組織中應(yīng)用的通用性考量而給出的選擇√10.哪一項(xiàng)不屬于信息安全控制中物理和環(huán)境安全的控制（）[多選題]*A.記錄訪問者進(jìn)入和離開的日期和時間；√B.使用門禁卡、隔離墻或前臺接待等安全屏障；√C.儲存敏感信息的服務(wù)器等設(shè)備和內(nèi)部電-話簿不能放在公眾可視的范圍內(nèi)；√D.檢查下載的郵件附件是否存在病毒11.你認(rèn)為如下哪種口令是不安全的（）[多選題]*A.6個0;√B.出生日期√C.用戶名與密碼一致√D.辦公室電-話號碼√12.在信息安全標(biāo)準(zhǔn)中，要求記錄日志信息的設(shè)施和日志要加以保護(hù)，下列哪些是日志信息的不安全狀況（）？[多選題]*A.日志文件未經(jīng)批準(zhǔn)被編輯或刪除；√B.超越了日志文件的存儲容量，導(dǎo)致不能記錄事態(tài)或過去記錄事態(tài)被寫覆蓋；√C.出錯和故障日志的性能未被激活；√D.系統(tǒng)管理員和操作員的日志進(jìn)行了定期分析和評審。13.項(xiàng)目管理中的信息安全控制應(yīng)做到但不限于（）[多選題]*A.從項(xiàng)目生命周期的早期階段就提出信息安全要求，確定需要采取的信息安全策略；√B．采用具有知識產(chǎn)權(quán)的工具、軟件進(jìn)行項(xiàng)目設(shè)計、開發(fā)活動√C.采用身份鑒別的控制要求；C√D.執(zhí)行訪問控制、物理環(huán)境安全等控制策略?！?4.防止信息泄露要注意哪些事項(xiàng)（）[多選題]*A．不在公共場所或網(wǎng)絡(luò)論壇談?wù)摴緝?nèi)部重要的工作；√B.不隨意扔掉未經(jīng)粉碎處理的介質(zhì)；√C.通過微信、QQ等可正常交談公司重要會議的內(nèi)容和意見；D.未經(jīng)授權(quán)人批準(zhǔn)，外人不得進(jìn)入計算機(jī)房。√15.技術(shù)脆弱性管理的主要措施包括（）[多選題]*A.具有完整的信息資產(chǎn)清單；√B.具有在什么系統(tǒng)安裝了什么軟件及其版本、軟件供應(yīng)商等信息的記錄；√C.從內(nèi)部和外部來源接收脆弱性報告，并進(jìn)行脆弱性培訓(xùn)，做到知己知彼?！藾.使用適用的掃描工具來識別脆弱性?！倘?、判斷題1.（）信息安全是指：信息的保密性、完整性和可用性，即防止未經(jīng)授權(quán)使用信息，防止對信息的不當(dāng)修改或破壞，確保及時可靠地使用信息。[判斷題]*對√錯2.（）ISO27001:2022附錄A中的控制是指：保持和/或改變風(fēng)險的措施。[單選題]*對√錯3.（）安置服務(wù)器、防火墻等信息資產(chǎn)、服務(wù)等基礎(chǔ)設(shè)施的物理場所不屬于信息處理設(shè)施[判斷題]*對錯√4（）只有惡意破壞、篡改、泄露或非法訪問才屬于安全違規(guī)行為。[判斷題]*對錯√5.（）為本公司提供服務(wù)的供方，本公司只在事先與其簽署保密協(xié)議就能保證公司的信息安全。[判斷題]*對錯√6.（）計算機(jī)只要不聯(lián)網(wǎng)，就不會有病毒。[判斷題]*對錯√7.（）計算機(jī)病毒可能在用戶打開“doc”文件時被啟用。[判斷題]*對√錯8.（）在計算機(jī)上安裝防病毒軟件后，