2023年10月信息安全管理体系根本考试难度应属于正常难度,经统计,单选题有20题重复真题,多选题有4道重复真题,判断题有7道重复真题,所占分值为45分。信息安全管理体系根本这科,相对其它科目依然比较难。
[单选题]
1.在ISO组织框架中,卖力ISO/IEC27000系列标准体例事情的技能委员会是( )。
A.ISO/IECJTC1SC27
B.ISO/IECJTC1SC40
C.ISO/IECTC27
D.ISO/IECTC40
答案:A
解析:GB/T 29246-2017/ISO/IEC 27000:2016 弁言0.2信息安全管理体系标准族 注:通用标题《信息技能安全技能》是指这些标准是由ISO/IEC的信息技能委员会(JTC1)下属的安全技能分委员会(SC27)的。【2021年05月信息安全管理体系真题】
2.下面哪个不是《中华公民共和国密码法》中密码的分类?( )
A.核心密码
B.普通密码
C.国家密码
D.个人密码
答案:D
解析:《中华公民共和国密码法》
第七条国家将密码分为核心密码、普通密码、商用密码,实施分类管理。【2021年05月信息安全管理体系真题】
3. 依据GB/T22080/ISO/IEC27001,信息分类方案的目的是( )。
A.划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘。
B.划分信息载体所属的职能以便于明确管理任务。
C.划分信息对付组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则
D.划分信息的数据类型,如供销数据、生产数据、开拓测试数据,以便于运用大数据技能对其剖析
答案:C
解析:GB/T 22081-2016/ISO/IEC 27002:2013 《信息技能安全技能信息安全掌握实践指南》
8.2信息分级目的:确保信息依据其对组织的主要程度受到适当水平的保护;
8.2.1信息的分级掌握:信息已按照法律哀求、代价、主要性及其对未授权透露或修正的敏感性进行分级;履行指南:分级的结果宜表示资产的代价,该代价取决于资产对组织的敏感性和主要性;
8.2.3资产的处理履行指南:宜建立信息操作、处理、存储和传输的规程,并与分级保持同等。以是选C。【2015年12月信息安全管理体系真题】
4.为了达到组织灾害规复的哀求,备份韶光间隔不能超过( )。
A.做事水平目标(SLO)
B.规复点目标(RPO)
C.规复韶光目标(RTO)
D.最长可接管终端韶光(MAO)
答案:B
解析:《灾害规复》,为了达到组织灾害规复的哀求,备份韶光间隔不能超过规复点目标,个中规复点目标是指、灾害发生后,系统和数据必须规复到的韶光点哀求。【2022年12月信息安全管理体系真题】
5.关于《中华公民共和国保密法》,以下说法精确的是:( )。
A.该法的目的是为了守旧国家秘密而定
B.该法的实行可替代以ISO/IEC27001为依据的信息安全
C.该法适用于所有组织对其敏感信息的保护
D.国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护
答案:A
解析:《中华公民共和国保密法》为守旧国家秘密,掩护国家的安全亲睦处保障改革开放和社会主义培植奇迹的顺利进行,制订本法。以是故选A。【2018年03月信息安全管理体系真题】
6.以下说禁绝确的是( )。
A.应考虑组织架构与业务目标的变革对风险评估结果进行再评审
B.应考虑以往未充分识别的威胁对风险评估结果进行再评估
C.制造部增加的生产场所对信息安全风险无影响
D.安全操持应应时更新
答案:C
解析:生产场所扩大,环境发生变革,风险也随之发生变革,须要重新对风险进行识别,剖析、评估。【2016年06月信息安全管理体系真题】
7.关于GB/T28450,以下说法禁绝确的是( )。
A.增加了ISMS的审核辅导
B.等同采取了ISO 19011
C.与ISO/IEC27006—致
D.与ISO19011—致
答案:B
解析:GB/T 28450—2012/弁言 本标准旨在为信息安全管理体系(简称ISMS)审核员(包括内部审核员和外部审核员)实行ISMS审核供应辅导,以确保审核既符合GB/T 22080-2008的哀求,又与GB/T19011—2003 《质量和(或)环境管理体系审核指南》 (ISO 19011;2002, IDT)和ISO/IEC 27006;2007 《信息技能安全技能信息安全管理体系审核认证机构哀求》标准保持同等;成为帮助受审核的组织持续改进的一项有效活动。【2021年10月信息安全管理体系真题】
8.在以下人为的恶意攻击行为中,属于主动攻击的是( )?
A.数据窃听
B.误操作
C.数据流剖析
D.数据修改
答案:D
解析:结合题干描述,可以首先打消B和C。选项A的这种行为属于被动攻击,攻击者通过窃听网络数据包获取敏感信息或秘密;故只有选项D精确,攻击者会故意修正网络数据包的内容,以达到某种目的,比如毁坏数据的完全性、误导系统、等。【2023年05月信息安全管理体系真题】
9.根据GB/T28450标准,ISMS文件评审不包括( )。
A.信息安全管理手册的充分性
B.风险评估报告的合理性
C.适用性声明的完备性和合理性
D.风险处置操持的完备性
答案:A
解析:GB/T 28450-2020 《信息技能安全技能信息安全管理体系审核指南》6.4.3.1/ IS 6.4.3审核履行阶段的文件评审 ISMS审核员宜验证审核准则所哀求的且与审核范围干系的文件化信息是否存在,并符合审核准则哀求。ISMS审核员宜确认审核范围内所确定的掌握与风险评估和风险处置结果干系,并可追溯到信息安全方针和目标。此题可用打消法,信息安全管理手册它是一个辅导和规范组织信息安全事情的文件,一样平常是由体系卖力人根据已有的信息安全管理政策和策略制订的,没有涉及风险评估和风险处置,因此是不属于文件评审内容的。【2023年05月信息安全管理体系真题】
10.某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情形无关?( )。
A.机房设备面临被盗的风险
B.机房设备面临受毁坏的风险
C.机房设备面临灰尘的风险
D.机房设备面临职员误入的风险
答案:D
解析:abcd四项都是风险,但临街窗户不会导致职员误入,如果是临街的门是存在此风险的。ABC三项符合逻辑,故本题选D。【2022年12月信息安全管理体系真题】
11.根据GB/T22080-2016标准的哀求,在方案如何达到信息安全目标时,组织应确定( )。
A.要做什么,有什么可用资源,由谁卖力,什么时候开始,一次何丈量结果
B.要做什么,须要什么资源,由谁卖力,什么时候完成,如何丈量结果
C.要做什么,须要什么资源,由谁卖力,什么时候完成如何评价结果
D.要做什么,有什么可用资源,由谁实行,什么时候开始,如何评价结果
答案:C
解析:GB/T 22080—2016/6.2信息安全目标及实在现方案:在方案如何达到信息安全目标时,组织应确定;f) 要做什么;g)须要什么资源;h) 由谁卖力;i) 什么时候完成j)如何评价结果。【2018年03月信息安全管理体系真题】
12.某数据中央申请ISMS认证的范围为"IDC根本举动步伐做事的供应",对此以下说法精确的是( )。
A.A.8可以删减
B.A.12可以删减
C.A.14可以删减
D.以上都对
答案:C
解析:数据中央紧张事情职责是运掩护做事,不涉及A.14开拓内容,不适用条款可删减。【2022年12月信息安全管理体系真题】
13. ISO/IEC27001描述的风险剖析过程不包括( )。
A.剖析风险发生的缘故原由
B.确定风险级别
C.评估识别的风险发生后,可能导致的潜在后果
D.评估所识别的风险实际发生的可能性
答案:A
解析:GB/T 22080-2016/1SO/IEC 27001:2013/6.1.2信息安全风险评估d) 剖析信息安全风险;1)评估6.1.2c) 1)中所识别的风险发生后,可能导致的潜在后果;2)评估6.1.2c) 1)中所识别的风险实际发生的可能性;3)确定风险级别。【2021年10月信息安全管理体系真题】
14. 防火墙供应的接入模式不包括( )。
A.透明模式
B.稠浊模式
C.网关模式
D.旁路接入模式
答案:D
解析:防火墙(英语:Firewall)技能是通过有机结合各种用于安全管理与筛选的软件和硬件设备,帮助打算机网络与其内、外网之间构建一道相对隔绝的保护樊篱,以保护用户资料与信息安全性的一种技能。防火墙技能的功能紧张在于及时创造并处理打算机网络运行时可能存在的安全风险、数据传输等问题,个中处理方法包括隔离与保护,同时可对打算机网络安全当中的各项操作履行记录与检测,以确保打算机网络运行的安全性,保障用户资料与信息的完全性,为用户供应更好、更安全的打算机网络利用体验。【2021年10月信息安全管理体系真题】
15.根据GB/T22080-2016标准的哀求,建立ISMS体系的目的,是为了充分保护信息资产并给予( )信心。
A.干系方
B.供应商
C.顾客
D.上级机关
答案:A
解析:
GB/T 22080-2016弁言/0.1总则 组织信息安全管理体系的建立和实现受组织的须要和目标、安全哀求、组织所采取的过程、规模和构造的影响。所有这些影响成分可能随韶光发生变革。信息安全管理体系通过运用风险管理过程来保持信息的保密性、完全性和可用性,并为干系方树立风险得到充分管理的信心。【2021年10月信息安全管理体系真题】
16. 下列关于DMZ区的说法缺点的是( )。
A.DMZ可以访问内部网络
B.常日DMZ包含许可来自互联网的通信可进行的设备,如WEB做事器、FTP做事器、SMTP做事器和DNS做事器等C.内部网络可以无限制地访问外部网络以及DMZ
D.有两个DMZ的防火墙环境的范例策略是主防火墙采取NAT办法事情
答案:A
解析:DMZ Demilitaried Zone (非安全系统与安全系统之间的缓冲区)运用:1.内网可以访问外网;2.内网可以访问DMZ;3.外网不能访问内网;4.外网可以访问DMZ;5.DMZ访问内网有限定;6.DMZ不能访问外网【2021年05月信息安全管理体系真题】
17.根据GB/T22080-2016标准,组织应在干系( )上建立信息安全目标。A.组织环境和干系方哀求
B.计策和意思
C.计策和方针
D.职能和层次
答案:D
GB/T22080-2016/6.2信息安全目标及实在现方案 组织应在干系职能和层级上建立信息安全目标。【2021年10月信息安全管理体系真题】
18.在我国信息系统安全等级保护的基本哀求中针对每一级的基本哀求分为( )。
A.设备哀求和网络哀求
B.硬件哀求和软件哀求
C.物理哀求和运用哀求
D.技能哀求和管理哀求
答案:D
解析:GB/T 22239-2008 《信息安全技能信息系统安全等级保护基本哀求》附录B a)明确信息系统该当具有的安全保护能力,根据信息系统的安全保护等级选择基本安全哀求,包括技能哀求和管理哀求。【2021年10月信息安全管理体系真题】
19. 根据GB/T22080-2016标准,最高管理层应( ),以确保信息安全管理体系符合本标准哀求。
A.分配职责与权限
B.分配岗位与权限
C.分配任务和权限
D.分配角色和权限
答案:C
解析:GB/T22080-2016/5.3 织的角色,任务和权限 最高管理层应确保与信息安全干系角色的任务和权限得到分配和沟通。【2018年09月信息安全管理体系真题】
20.根据GB/T29246标准,保密性是指( )。
A.根据授权实体的哀求可访问的特性
B.信息不被未授权的个人、实体或过程利用或知悉的特性
C.保护信息准确和完全的特性
D.担保信息不被其他人利用
答案:B
解析:GB/T 29246-2017/2.12 保密性 信息对未授权的个人、实体或过程不可用或不透露的特性。【2022年12月信息安全管理体系真题】
[多选题]
1. 根据GB/T 22080-2016标准的哀求,下列说法精确的是( )。
A.残余风险须要得到风险任务人的批准
B.适用性声明须要包含必要的掌握及其选择的合理性解释
C.所有的信息安全活动都必须有记录
D.组织掌握下的员工应理解信息安全方针
答案:A,B,D
解析:GB/T 22080-2016 A选项精确,参考270016,1,3 f)得到风险任务人对信息安全处置操持以及对信息安全参与风险的接管的批准。B项精确, 270016,1,3d)适用性声明,包含必要的掌握及其选择的合理性解释,以及对附录A掌握删减的合理性解释。D项精确,270007,3 a)组织掌握下的员工应理解信息安全方针。C选项缺点,描述过于绝对。综上,本题选ABD。【2020年11月信息安全管理体系真题】
2. 根据ISO/IEC27005标准,风险处置的可选方法包括( )。
A.风险识别
B.风险剖析
C.风险转移
D.风险减缓
答案:C,D
解析:GB/T31722-2015在风险处置环节,可以包括风险接管、风险降落、风险转移、风险规避。风险减缓,使残余风险能够再被评估时达到可接管的级别。【2022年12月信息安全管理体系真题】
3.根据《网络安全等级保护基本哀求》哀求,对风险安全等级三级及以上系统,以下说法精确的是( )。
A.采取双重身份鉴别机制
B.对用户和数据采取安全标记
C.系统管理员可任意访问日志记录
D.三年开展一次网络安全等级测评事情
答案:A,B
解析:【2019年11月信息安全管理体系真题】
4. 含有敏感信息的设备的处置可采纳( )。
A.格式化处理
B.采纳使原始信息不可获取的技能毁坏或删除
C.多次地写覆盖
D.彻底摧毁
答案:B,C,D
解析:GBT22081-2016/11.2.7设备的安全处置或再利用 包含存储介质的设备的所有项目应进行检讨,以确保在处置之前,任何敏感信息和注册软件已被删除或安全的写覆盖。【2022年12月信息安全管理体系真题】
[判断题]
1.ISO/IEC27018是信息技能安全技能可识个人信息(PII)处理者在公有云中保护PII实践指南。( )
答案:对
解析:
GB/T 29246-2017/ISO/IEC 27000:2016/4.5.5 ISO/IEC 27018
信息技能安全技能可识别个人信息(PII)处理者在公有云中保护PII的实践指南。【2023年05月信息安全管理体系真题】
2.根据GB/Z20986标准,信息安全事宜分级考虑的要素紧张包括信息系统的主要程度和社会影响,系统丢失。( )
答案:对
解析:GB/Z 20986-2007
5信息安全事宜分级
5.1分级考虑要素
5.1.1 概述
对信息安全事宜的分级紧张考虑三个要素:信息系统的主要程度、系统丢失和社会影响。
3.利用生物信息进行身份鉴别,包括生物行为特色鉴别及生物特色鉴别。( )
答案:对
解析:生物信息鉴别身份紧张是通过剖析和比较个体的生理和行为特色来达到确认身份的目的。生物行为特色鉴别紧张是通过不雅观察和剖析个体的行为习气,如步态、署名、声音等,来鉴别身份。由于这些行为习气在很大程度上是具有独特性和稳定性的,以是可以用来作为身份确认的依据。而生物特色鉴别则是利用个体独特的生理特色,如指纹、面部特色、虹膜等来进行身份验证。这些生理特色具有高度的唯一性,因此可以作为准确的身份鉴别手段。以是应选A。【2018年09月信息安全管理体系真题】
4.信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能担保安全。( )
答案:错
解析:本题缺点。题干中的“所有”过于绝对,拜会270014组织环境,组织应根据信息安全管理体系的边界及适用性来建立其范围。【2021年10月信息安全管理体系真题】
5. 对不同类型的风险可以采取不同的风险接管准则,例如,导致对法律法规不符合的风险可能是不可接管的,但可能许可接管导致违背条约哀求的高风险。( )
答案:对
解析:风险接管准则应根据组织的目标、代价不雅观和特定情境来制订。对付导致不符合法律法规的风险,由于可能涉及到法律任务和荣誉危害,这样的风险常日是不可接管的。而对付违背条约哀求的风险,虽然也是高风险,但组织可能会权衡其与条约方的关系、经济本钱等成分,并决定接管这种风险。因此,答案是A.精确。【2021年05月信息安全管理体系真题】
6.信息系统中的"单点故障"指仅有一个故障点,因此属于较低风险等级的事宜。( )
答案:错
解析:"单点故障"指的是系统中的一个故障点,一旦发生故障将导致全体系统瘫痪。这是一种极高的风险等级事宜。【2019年11月信息安全管理体系真题】
7. GB/T28450-2020是等同采取国际标准ISO/IEC27007的国家标准。( )
答案:对
解析:GB/T28450-2020序言 本标准利用翻译法等同采取ISO/IEC 27007:2017 《信息技能安全技能信息安全管理体系审核指南》【2021年10月信息安全管理体系真题】
以上仅发布了本次考试多涉及的以往真题,我们的信息安全题库目前已更新完成。干系题库持续更新中,尽请关注。
本人通过多年的学习、考试履历,得出了一些学习考试心得,会陆续分享一些文章或进行网络直播,您可以关注我的"大众年夜众号,并分享给您身边须要的人!大家如果在考试过程中有疑问,可以添加我的个人微信向我咨询,也可以加入微信群来一起学习、互换。
(交情提醒:我们将重磅推出信息安全管理考试直播课,由事情履历丰富,审核能力踏实的老师授课,尽请期待!
!
!
)
