2023年10月信息安全管理体系基础考试难度应属于正常难度,经统计,单选题有20题重复真题,多选题有4道重复真题,判断题有7道重复真题,所占分值为45分。信息安全管理体系基础这科,相对其它科目依然比较难。
[单选题]
1.在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是( )。
A.ISO/IECJTC1SC27
B.ISO/IECJTC1SC40
C.ISO/IECTC27
D.ISO/IECTC40
答案:A
解析:GB/T 29246-2017/ISO/IEC 27000:2016 引言0.2信息安全管理体系标准族 注:通用标题《信息技术安全技术》是指这些标准是由ISO/IEC的信息技术委员会(JTC1)下属的安全技术分委员会(SC27)的。【2021年05月信息安全管理体系真题】
2.下面哪个不是《中华人民共和国密码法》中密码的分类?( )
A.核心密码
B.普通密码
C.国家密码
D.个人密码
答案:D
解析:《中华人民共和国密码法》
第七条国家将密码分为核心密码、普通密码、商用密码,实行分类管理。【2021年05月信息安全管理体系真题】
3. 依据GB/T22080/ISO/IEC27001,信息分类方案的目的是( )。
A.划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘。
B.划分信息载体所属的职能以便于明确管理责任。
C.划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则
D.划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析
答案:C
解析:GB/T 22081-2016/ISO/IEC 27002:2013 《信息技术安全技术信息安全控制实践指南》
8.2信息分级目的:确保信息依据其对组织的重要程度受到适当水平的保护;
8.2.1信息的分级控制:信息已按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级;实施指南:分级的结果宜体现资产的价值,该价值取决于资产对组织的敏感性和重要性;
8.2.3资产的处理实施指南:宜建立信息操作、处理、存储和传输的规程,并与分级保持一致。所以选C。【2015年12月信息安全管理体系真题】
4.为了达到组织灾难恢复的要求,备份时间间隔不能超过( )。
A.服务水平目标(SLO)
B.恢复点目标(RPO)
C.恢复时间目标(RTO)
D.最长可接受终端时间(MAO)
答案:B
解析:《灾难恢复》,为了达到组织灾难恢复的要求,备份时间间隔不能超过恢复点目标,其中恢复点目标是指、灾难发生后,系统和数据必须恢复到的时间点要求。【2022年12月信息安全管理体系真题】
5.关于《中华人民共和国保密法》,以下说法正确的是:( )。
A.该法的目的是为了保守国家秘密而定
B.该法的执行可替代以ISO/IEC27001为依据的信息安全
C.该法适用于所有组织对其敏感信息的保护
D.国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护
答案:A
解析:《中华人民共和国保密法》为保守国家秘密,维护国家的安全和利益保障改革开放和社会主义建设事业的顺利进行,制定本法。所以故选A。【2018年03月信息安全管理体系真题】
6.以下说不正确的是( )。
A.应考虑组织架构与业务目标的变化对风险评估结果进行再评审
B.应考虑以往未充分识别的威胁对风险评估结果进行再评估
C.制造部增加的生产场所对信息安全风险无影响
D.安全计划应适时更新
答案:C
解析:生产场所扩大,环境发生变化,风险也随之发生变化,需要重新对风险进行识别,分析、评估。【2016年06月信息安全管理体系真题】
7.关于GB/T28450,以下说法不正确的是( )。
A.增加了ISMS的审核指导
B.等同采用了ISO 19011
C.与ISO/IEC27006—致
D.与ISO19011—致
答案:B
解析:GB/T 28450—2012/引言 本标准旨在为信息安全管理体系(简称ISMS)审核员(包括内部审核员和外部审核员)执行ISMS审核提供指导,以确保审核既符合GB/T 22080-2008的要求,又与GB/T19011—2003 《质量和(或)环境管理体系审核指南》 (ISO 19011;2002, IDT)和ISO/IEC 27006;2007 《信息技术安全技术信息安全管理体系审核认证机构要求》标准保持一致;成为帮助受审核的组织持续改进的一项有效活动。【2021年10月信息安全管理体系真题】
8.在以下人为的恶意攻击行为中,属于主动攻击的是( )?
A.数据窃听
B.误操作
C.数据流分析
D.数据篡改
答案:D
解析:结合题干描述,可以首先排除B和C。选项A的这种行为属于被动攻击,攻击者通过窃听网络数据包获取敏感信息或秘密;故只有选项D正确,攻击者会故意修改网络数据包的内容,以达到某种目的,比如破坏数据的完整性、误导系统、等。【2023年05月信息安全管理体系真题】
9.根据GB/T28450标准,ISMS文件评审不包括( )。
A.信息安全管理手册的充分性
B.风险评估报告的合理性
C.适用性声明的完备性和合理性
D.风险处置计划的完备性
答案:A
解析:GB/T 28450-2020 《信息技术安全技术信息安全管理体系审核指南》6.4.3.1/ IS 6.4.3审核实施阶段的文件评审 ISMS审核员宜验证审核准则所要求的且与审核范围相关的文件化信息是否存在,并符合审核准则要求。ISMS审核员宜确认审核范围内所确定的控制与风险评估和风险处置结果相关,并可追溯到信息安全方针和目标。此题可用排除法,信息安全管理手册它是一个指导和规范组织信息安全工作的文件,一般是由体系负责人根据已有的信息安全管理政策和策略制定的,没有涉及风险评估和风险处置,因此是不属于文件评审内容的。【2023年05月信息安全管理体系真题】
10.某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?( )。
A.机房设备面临被盗的风险
B.机房设备面临受破坏的风险
C.机房设备面临灰尘的风险
D.机房设备面临人员误入的风险
答案:D
解析:abcd四项都是风险,但临街窗户不会导致人员误入,如果是临街的门是存在此风险的。ABC三项符合逻辑,故本题选D。【2022年12月信息安全管理体系真题】
11.根据GB/T22080-2016标准的要求,在规划如何达到信息安全目标时,组织应确定( )。
A.要做什么,有什么可用资源,由谁负责,什么时候开始,一次何测量结果
B.要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果
C.要做什么,需要什么资源,由谁负责,什么时候完成如何评价结果
D.要做什么,有什么可用资源,由谁执行,什么时候开始,如何评价结果
答案:C
解析:GB/T 22080—2016/6.2信息安全目标及其实现规划:在规划如何达到信息安全目标时,组织应确定;f) 要做什么;g)需要什么资源;h) 由谁负责;i) 什么时候完成j)如何评价结果。【2018年03月信息安全管理体系真题】
12.某数据中心申请ISMS认证的范围为"IDC基础设施服务的提供",对此以下说法正确的是( )。
A.A.8可以删减
B.A.12可以删减
C.A.14可以删减
D.以上都对
答案:C
解析:数据中心主要工作职责是运维护服务,不涉及A.14开发内容,不适用条款可删减。【2022年12月信息安全管理体系真题】
13. ISO/IEC27001描述的风险分析过程不包括( )。
A.分析风险发生的原因
B.确定风险级别
C.评估识别的风险发生后,可能导致的潜在后果
D.评估所识别的风险实际发生的可能性
答案:A
解析:GB/T 22080-2016/1SO/IEC 27001:2013/6.1.2信息安全风险评估d) 分析信息安全风险;1)评估6.1.2c) 1)中所识别的风险发生后,可能导致的潜在后果;2)评估6.1.2c) 1)中所识别的风险实际发生的可能性;3)确定风险级别。【2021年10月信息安全管理体系真题】
14. 防火墙提供的接入模式不包括( )。
A.透明模式
B.混合模式
C.网关模式
D.旁路接入模式
答案:D
解析:防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络与其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。【2021年10月信息安全管理体系真题】
15.根据GB/T22080-2016标准的要求,建立ISMS体系的目的,是为了充分保护信息资产并给予( )信心。
A.相关方
B.供应商
C.顾客
D.上级机关
答案:A
解析:
GB/T 22080-2016引言/0.1总则 组织信息安全管理体系的建立和实现受组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心。【2021年10月信息安全管理体系真题】
16. 下列关于DMZ区的说法错误的是( )。
A.DMZ可以访问内部网络
B.通常DMZ包含允许来自互联网的通信可进行的设备,如WEB服务器、FTP服务器、SMTP服务器和DNS服务器等C.内部网络可以无限制地访问外部网络以及DMZ
D.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
答案:A
解析:DMZ Demilitaried Zone (非安全系统与安全系统之间的缓冲区)应用:1.内网可以访问外网;2.内网可以访问DMZ;3.外网不能访问内网;4.外网可以访问DMZ;5.DMZ访问内网有限制;6.DMZ不能访问外网【2021年05月信息安全管理体系真题】
17.根据GB/T22080-2016标准,组织应在相关( )上建立信息安全目标。A.组织环境和相关方要求
B.战略和意思
C.战略和方针
D.职能和层次
答案:D
GB/T22080-2016/6.2信息安全目标及其实现规划 组织应在相关职能和层级上建立信息安全目标。【2021年10月信息安全管理体系真题】
18.在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为( )。
A.设备要求和网络要求
B.硬件要求和软件要求
C.物理要求和应用要求
D.技术要求和管理要求
答案:D
解析:GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》附录B a)明确信息系统应该具有的安全保护能力,根据信息系统的安全保护等级选择基本安全要求,包括技术要求和管理要求。【2021年10月信息安全管理体系真题】
19. 根据GB/T22080-2016标准,最高管理层应( ),以确保信息安全管理体系符合本标准要求。
A.分配职责与权限
B.分配岗位与权限
C.分配责任和权限
D.分配角色和权限
答案:C
解析:GB/T22080-2016/5.3 织的角色,责任和权限 最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。【2018年09月信息安全管理体系真题】
20.根据GB/T29246标准,保密性是指( )。
A.根据授权实体的要求可访问的特性
B.信息不被未授权的个人、实体或过程利用或知悉的特性
C.保护信息准确和完整的特性
D.保证信息不被其他人使用
答案:B
解析:GB/T 29246-2017/2.12 保密性 信息对未授权的个人、实体或过程不可用或不泄露的特性。【2022年12月信息安全管理体系真题】
[多选题]
1. 根据GB/T 22080-2016标准的要求,下列说法正确的是( )。
A.残余风险需要获得风险责任人的批准
B.适用性声明需要包含必要的控制及其选择的合理性说明
C.所有的信息安全活动都必须有记录
D.组织控制下的员工应了解信息安全方针
答案:A,B,D
解析:GB/T 22080-2016 A选项正确,参考270016,1,3 f)获得风险责任人对信息安全处置计划以及对信息安全参与风险的接受的批准。B项正确, 270016,1,3d)适用性声明,包含必要的控制及其选择的合理性说明,以及对附录A控制删减的合理性说明。D项正确,270007,3 a)组织控制下的员工应了解信息安全方针。C选项错误,描述过于绝对。综上,本题选ABD。【2020年11月信息安全管理体系真题】
2. 根据ISO/IEC27005标准,风险处置的可选措施包括( )。
A.风险识别
B.风险分析
C.风险转移
D.风险减缓
答案:C,D
解析:GB/T31722-2015在风险处置环节,可以包括风险接受、风险降低、风险转移、风险规避。风险减缓,使残余风险能够再被评估时达到可接受的级别。【2022年12月信息安全管理体系真题】
3.根据《网络安全等级保护基本要求》要求,对风险安全等级三级及以上系统,以下说法正确的是( )。
A.采用双重身份鉴别机制
B.对用户和数据采用安全标记
C.系统管理员可任意访问日志记录
D.三年开展一次网络安全等级测评工作
答案:A,B
解析:【2019年11月信息安全管理体系真题】
4. 含有敏感信息的设备的处置可采取( )。
A.格式化处理
B.采取使原始信息不可获取的技术破坏或删除
C.多次地写覆盖
D.彻底摧毁
答案:B,C,D
解析:GBT22081-2016/11.2.7设备的安全处置或再利用 包含存储介质的设备的所有项目应进行检查,以确保在处置之前,任何敏感信息和注册软件已被删除或安全的写覆盖。【2022年12月信息安全管理体系真题】
[判断题]
1.ISO/IEC27018是信息技术安全技术可识个人信息(PII)处理者在公有云中保护PII实践指南。( )
答案:对
解析:
GB/T 29246-2017/ISO/IEC 27000:2016/4.5.5 ISO/IEC 27018
信息技术安全技术可识别个人信息(PII)处理者在公有云中保护PII的实践指南。【2023年05月信息安全管理体系真题】
2.根据GB/Z20986标准,信息安全事件分级考虑的要素主要包括信息系统的重要程度和社会影响,系统损失。( )
答案:对
解析:GB/Z 20986-2007
5信息安全事件分级
5.1分级考虑要素
5.1.1 概述
对信息安全事件的分级主要考虑三个要素:信息系统的重要程度、系统损失和社会影响。
3.利用生物信息进行身份鉴别,包括生物行为特征鉴别及生物特征鉴别。( )
答案:对
解析:生物信息鉴别身份主要是通过分析和比较个体的生理和行为特征来达到确认身份的目的。生物行为特征鉴别主要是通过观察和分析个体的行为习惯,如步态、签名、声音等,来鉴别身份。因为这些行为习惯在很大程度上是具有独特性和稳定性的,所以可以用来作为身份确认的依据。而生物特征鉴别则是利用个体独特的生理特征,如指纹、面部特征、虹膜等来进行身份验证。这些生理特征具有高度的唯一性,因此可以作为准确的身份鉴别手段。所以应选A。【2018年09月信息安全管理体系真题】
4.信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。( )
答案:错
解析:本题错误。题干中的“所有”过于绝对,参见270014组织环境,组织应根据信息安全管理体系的边界及适用性来建立其范围。【2021年10月信息安全管理体系真题】
5. 对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险。( )
答案:对
解析:风险接受准则应根据组织的目标、价值观和特定情境来制定。对于导致不符合法律法规的风险,由于可能涉及到法律责任和声誉损害,这样的风险通常是不可接受的。而对于违背合同要求的风险,虽然也是高风险,但组织可能会权衡其与合同方的关系、经济成本等因素,并决定接受这种风险。因此,答案是A.正确。【2021年05月信息安全管理体系真题】
6.信息系统中的"单点故障"指仅有一个故障点,因此属于较低风险等级的事件。( )
答案:错
解析:"单点故障"指的是系统中的一个故障点,一旦发生故障将导致整个系统瘫痪。这是一种极高的风险等级事件。【2019年11月信息安全管理体系真题】
7. GB/T28450-2020是等同采用国际标准ISO/IEC27007的国家标准。( )
答案:对
解析:GB/T28450-2020前言 本标准使用翻译法等同采用ISO/IEC 27007:2017 《信息技术安全技术信息安全管理体系审核指南》【2021年10月信息安全管理体系真题】
以上仅发布了本次考试多涉及的以往真题,我们的信息安全题库目前已更新完成。相关题库持续更新中,尽请关注。
本人通过多年的学习、考试经验,得出了一些学习考试心得,会陆续分享一些文章或进行网络直播,您可以关注我的公众号,并分享给您身边需要的人!大家如果在考试过程中有疑问,可以添加我的个人微信向我咨询,也可以加入微信群来一起学习、交流。
(友情提醒:我们将重磅推出信息安全管理考试直播课,由工作经验丰富,审核能力扎实的老师授课,尽请期待!!!)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
