信息安全管理体系ISMS2016年6月考题

IOS/IEC 27001 ISMS审核员考试基础知识201606一、单项选择1、Cp是理想过程能力指数，Cpk是实际过程能力指数，以下（）是正确的。

A、Cp＞CpkB、Cp＜CpkC、Cp≤CpkD、Cp≥Cpk2、信息安全是保证信息的保密性、完整性、（）。

A、充分性B、适宜性C、可用性D、有效性3、应为远程工作活动开发和实施策略、（）和规程。

A、制定目标B、，明确职责C、编制作业指导书D、操作计划4、一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性。

A、已经发生B、可能发生C、意外D、A+B+C5、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。

A、国家经营B、地方经营C、许可制度D、备案制度6、以下说法不正确的是（）A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、组织在建立和评审信息安全管理体系时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其他要求D、A+C8、管理体系是指（）。

A、建立方针和目标并实现这些目标的体系B、相互关联的相互作用的一组要素C、指挥和控制组织的协调活动D、以上都对9、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、以下属于计算机病毒感染事件的纠正措施的是（）A、对计算机病毒事件进行相应和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对11、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、国家秘密的密级分为（）A、绝密B、机密C、秘密D、以上都对13、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

1. 信息安全管理体系(ISMS)的核心目的是什么？A. 提高员工工作效率B. 确保信息的机密性、完整性和可用性C. 增加公司收入D. 降低运营成本2. ISO/IEC 27001是哪个领域的国际标准？A. 质量管理B. 环境管理C. 信息安全管理D. 职业健康安全管理3. 在ISMS中，风险评估的目的是什么？A. 确定所有可能的风险B. 评估风险的可能性和影响C. 消除所有风险D. 增加风险管理成本4. 以下哪项不是ISMS的关键组成部分？A. 风险评估B. 风险处理C. 内部审计D. 市场营销策略5. ISMS中的PDCA循环指的是什么？A. Plan, Do, Check, ActB. Prepare, Design, Construct, ApplyC. Predict, Develop, Control, AdjustD. Program, Deploy, Check, Amend6. 在ISMS中，风险处理包括以下哪些选项？A. 风险避免B. 风险转移C. 风险降低D. 所有上述选项7. 信息安全政策应该由谁来制定？A. 信息安全经理B. 最高管理层C. 所有员工D. 外部顾问8. ISMS的内部审计目的是什么？A. 确保ISMS的有效性B. 增加公司利润C. 提高员工满意度D. 降低客户投诉9. 在ISMS中，风险评估和处理应该多久进行一次？A. 每年B. 每两年C. 根据需要D. 每五年10. 以下哪项不是ISMS认证的好处？A. 提高客户信任B. 增强市场竞争力C. 降低运营成本D. 增加法律风险11. ISMS中的“信息资产”包括哪些？A. 硬件和软件B. 数据和文档C. 人员和流程D. 所有上述选项12. 在ISMS中，风险评估的第一步是什么？A. 识别信息资产B. 评估风险C. 处理风险D. 监控风险13. 信息安全事件管理包括以下哪些步骤？A. 准备B. 检测和响应C. 恢复D. 所有上述选项14. ISMS中的“风险避免”策略是指什么？A. 采取措施完全消除风险B. 转移风险给第三方C. 降低风险的影响D. 忽略风险15. 在ISMS中，风险转移通常通过什么方式实现？A. 保险B. 外包C. 合同D. 所有上述选项16. 信息安全培训的目的是什么？A. 提高员工的安全意识B. 增加公司收入C. 降低运营成本D. 提高员工工作效率17. ISMS中的“风险降低”策略是指什么？A. 采取措施减少风险的影响B. 完全消除风险C. 转移风险给第三方D. 忽略风险18. 在ISMS中，风险监控的目的是什么？A. 确保风险处理措施的有效性B. 增加公司利润C. 提高员工满意度D. 降低客户投诉19. ISMS中的“风险接受”策略是指什么？A. 接受并管理风险B. 完全消除风险C. 转移风险给第三方D. 忽略风险20. 在ISMS中，风险评估和处理的结果应该如何记录？A. 风险评估报告B. 风险处理计划C. 风险登记册D. 所有上述选项21. ISMS中的“信息安全政策”应该包括哪些内容？A. 信息安全目标B. 信息安全责任C. 信息安全管理措施D. 所有上述选项22. 在ISMS中，风险评估和处理的流程应该如何管理？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项23. ISMS中的“信息安全事件”是指什么？A. 任何可能导致信息安全损害的事件B. 任何增加公司收入的事件C. 任何降低运营成本的事件D. 任何提高员工满意度的事件24. 在ISMS中，风险评估和处理的结果应该如何使用？A. 用于制定信息安全政策B. 用于提高员工工作效率C. 用于增加公司收入D. 用于降低运营成本25. ISMS中的“信息安全目标”应该如何制定？A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉26. 在ISMS中，风险评估和处理的流程应该如何改进？A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度27. ISMS中的“信息安全责任”应该如何分配？A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉28. 在ISMS中，风险评估和处理的流程应该如何监控？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项29. ISMS中的“信息安全管理措施”应该如何制定？A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉30. 在ISMS中，风险评估和处理的流程应该如何记录？A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项31. ISMS中的“信息安全培训”应该如何进行？A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉32. 在ISMS中，风险评估和处理的流程应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项33. ISMS中的“信息安全事件管理”应该如何进行？A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉34. 在ISMS中，风险评估和处理的流程应该如何改进？A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度35. ISMS中的“信息安全政策”应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项36. 在ISMS中，风险评估和处理的流程应该如何记录？A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项37. ISMS中的“信息安全目标”应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项38. 在ISMS中，风险评估和处理的流程应该如何改进？A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度39. ISMS中的“信息安全责任”应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项40. 在ISMS中，风险评估和处理的流程应该如何记录？A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项41. ISMS中的“信息安全管理措施”应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项42. 在ISMS中，风险评估和处理的流程应该如何改进？A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度43. ISMS中的“信息安全培训”应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项44. 在ISMS中，风险评估和处理的流程应该如何记录？A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项45. ISMS中的“信息安全事件管理”应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项46. 在ISMS中，风险评估和处理的流程应该如何改进？A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度47. ISMS中的“信息安全政策”应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项48. 在ISMS中，风险评估和处理的流程应该如何记录？A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项49. ISMS中的“信息安全目标”应该如何审查？A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项50. 在ISMS中，风险评估和处理的流程应该如何改进？A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度答案：1. B2. C3. B4. D5. A6. D7. B8. A9. C10. D11. D12. A13. D14. A15. D16. A17. A18. A19. A20. D21. D22. D23. A24. A25. A26. A27. A28. D29. A30. D31. A32. D33. A34. A35. D36. D37. D38. A39. D40. D41. D42. A43. D44. D45. D46. A47. D48. D49. D50. A。

1. 信息安全管理体系（ISMS）的核心目的是什么？A. 提高员工工作效率B. 确保信息安全C. 降低运营成本D. 增加市场份额2. ISO/IEC 27001标准是关于什么的？A. 质量管理B. 环境管理C. 信息安全管理D. 职业健康安全管理3. 在ISMS中，风险评估的目的是什么？A. 识别和评估信息安全风险B. 消除所有风险C. 增加投资回报率D. 提高客户满意度4. 以下哪个是ISMS的关键组成部分？A. 风险管理B. 财务审计C. 市场分析D. 人力资源规划5. 信息安全政策应该由谁制定？A. 安全团队B. 最高管理层C. 人力资源部门D. 技术支持团队6. 在ISMS中，风险处理的方法不包括以下哪一项？A. 避免风险B. 转移风险C. 接受风险D. 增加风险7. 信息安全事件响应计划的主要目的是什么？A. 预防信息安全事件B. 快速响应和恢复C. 增加收入D. 提高品牌形象8. 以下哪个不是ISMS认证的好处？A. 提高客户信任B. 增强市场竞争力C. 降低运营成本D. 增加法律责任9. 在ISMS中，持续改进的周期包括哪些步骤？A. 计划、执行、检查、行动B. 设计、开发、测试、部署C. 采购、销售、服务、支持D. 培训、评估、奖励、晋升10. 信息安全管理体系的范围应该如何确定？A. 根据公司的业务需求B. 根据竞争对手的范围C. 根据法律法规的要求D. 根据员工的建议11. 在ISMS中，以下哪个不是有效的风险评估工具？A. 风险矩阵B. 风险登记表C. 风险图谱D. 风险报告12. 信息安全管理体系的审核应该由谁进行？A. 内部审计员B. 外部审计员C. 安全团队D. 管理层13. 在ISMS中，以下哪个不是信息安全控制的类型？A. 管理控制B. 技术控制C. 物理控制D. 财务控制14. 信息安全管理体系的文件应该包括哪些内容？A. 政策、程序、指南B. 财务报表、市场分析C. 员工手册、培训资料D. 产品目录、销售数据15. 在ISMS中，以下哪个不是信息安全培训的目标？A. 提高员工的安全意识B. 确保员工遵守安全政策C. 增加员工的工作效率D. 减少安全事件的发生16. 信息安全管理体系的维护包括哪些活动？A. 定期审核、风险评估、持续改进B. 市场推广、产品开发、客户服务C. 财务管理、人力资源规划D. 技术支持、网络维护17. 在ISMS中，以下哪个不是信息安全事件的类型？A. 数据泄露B. 系统故障C. 市场波动D. 恶意软件攻击18. 信息安全管理体系的认证过程包括哪些步骤？A. 准备、审核、认证、监督B. 设计、开发、测试、部署C. 采购、销售、服务、支持D. 培训、评估、奖励、晋升19. 在ISMS中，以下哪个不是信息安全政策的目标？A. 定义信息安全的要求B. 确保信息的保密性、完整性和可用性C. 提高公司的市场份额D. 确保合规性20. 信息安全管理体系的实施应该从哪里开始？A. 制定信息安全政策B. 进行市场调研C. 开展员工培训D. 购买安全设备21. 在ISMS中，以下哪个不是信息安全控制的实施方法？A. 技术控制B. 管理控制C. 物理控制D. 法律控制22. 信息安全管理体系的审核频率应该是多久一次？A. 每年B. 每季度C. 每月D. 每周23. 在ISMS中，以下哪个不是信息安全培训的内容？A. 安全政策B. 安全程序C. 安全技术D. 市场营销24. 信息安全管理体系的持续改进应该基于什么？A. 审核结果B. 市场反馈C. 员工建议D. 竞争对手的策略25. 在ISMS中，以下哪个不是信息安全事件响应的步骤？A. 识别事件B. 评估影响C. 制定营销策略D. 恢复系统26. 信息安全管理体系的文件应该如何管理？A. 定期更新和审查B. 存档备份C. 保密处理D. 以上都是27. 在ISMS中，以下哪个不是信息安全风险评估的步骤？A. 识别风险B. 评估风险C. 处理风险D. 增加风险28. 信息安全管理体系的认证机构应该是哪个？A. 国家认可的认证机构B. 公司内部部门C. 竞争对手D. 行业协会29. 在ISMS中，以下哪个不是信息安全政策的内容？A. 安全目标B. 安全责任C. 安全措施D. 市场策略30. 信息安全管理体系的实施应该包括哪些方面？A. 政策、组织、程序B. 市场、销售、服务C. 财务、人力资源、技术D. 产品、客户、供应商31. 在ISMS中，以下哪个不是信息安全控制的评估方法？A. 自我评估B. 第三方评估C. 内部审计D. 市场调研32. 信息安全管理体系的文件应该如何保护？A. 加密存储B. 物理隔离C. 访问控制D. 以上都是33. 在ISMS中，以下哪个不是信息安全培训的方法？A. 在线培训B. 面对面培训C. 市场推广D. 模拟演练34. 信息安全管理体系的持续改进应该基于什么？A. 审核结果B. 市场反馈C. 员工建议D. 竞争对手的策略35. 在ISMS中，以下哪个不是信息安全事件响应的步骤？A. 识别事件B. 评估影响C. 制定营销策略D. 恢复系统36. 信息安全管理体系的文件应该如何管理？A. 定期更新和审查B. 存档备份C. 保密处理D. 以上都是37. 在ISMS中，以下哪个不是信息安全风险评估的步骤？A. 识别风险B. 评估风险C. 处理风险D. 增加风险38. 信息安全管理体系的认证机构应该是哪个？A. 国家认可的认证机构B. 公司内部部门C. 竞争对手D. 行业协会39. 在ISMS中，以下哪个不是信息安全政策的内容？A. 安全目标B. 安全责任C. 安全措施D. 市场策略40. 信息安全管理体系的实施应该包括哪些方面？A. 政策、组织、程序B. 市场、销售、服务C. 财务、人力资源、技术D. 产品、客户、供应商41. 在ISMS中，以下哪个不是信息安全控制的评估方法？A. 自我评估B. 第三方评估C. 内部审计D. 市场调研42. 信息安全管理体系的文件应该如何保护？A. 加密存储B. 物理隔离C. 访问控制D. 以上都是43. 在ISMS中，以下哪个不是信息安全培训的方法？A. 在线培训B. 面对面培训C. 市场推广D. 模拟演练44. 信息安全管理体系的持续改进应该基于什么？A. 审核结果B. 市场反馈C. 员工建议D. 竞争对手的策略45. 在ISMS中，以下哪个不是信息安全事件响应的步骤？A. 识别事件B. 评估影响C. 制定营销策略D. 恢复系统46. 信息安全管理体系的文件应该如何管理？A. 定期更新和审查B. 存档备份C. 保密处理D. 以上都是答案：1. B2. C3. A4. A5. B6. D7. B8. D9. A10. A11. D12. B13. D14. A15. C16. A17. C18. A19. C20. A21. D22. A23. D24. A25. C26. D27. D28. A29. D30. A31. D32. D33. C34. A35. C36. D37. D38. A39. D40. A41. D42. D43. C44. A45. C46. D。

1. 信息安全管理体系（ISMS）的核心目标是：A. 提高员工工作效率B. 确保信息资产的保密性、完整性和可用性C. 增加公司利润D. 扩大市场份额2. ISO/IEC 27001:2013 是关于什么的国际标准？A. 质量管理体系B. 环境管理体系C. 信息安全管理体系D. 职业健康安全管理体系3. 在ISMS中，风险评估的目的是：A. 识别和评估信息资产面临的风险B. 消除所有风险C. 增加信息资产的价值D. 提高信息资产的可见性4. 以下哪项不是ISO/IEC 27001:2013 要求的控制措施？A. 物理和环境安全B. 人力资源安全C. 市场营销策略D. 访问控制5. ISMS的PDCA循环中的“D”代表什么？A. DesignB. DoC. DocumentD. Direct6. 在信息安全管理中，以下哪项是“保密性”的定义？A. 确保信息在需要时可用B. 防止未授权的访问和泄露C. 确保信息的准确性和完整性D. 确保信息的可追溯性7. 风险处理选项不包括：A. 风险接受B. 风险转移C. 风险消除D. 风险增加8. 以下哪项是ISMS的关键组成部分？A. 财务报告B. 风险管理C. 市场分析D. 产品开发9. 在ISMS中，“可用性”是指：A. 信息在需要时可以被授权人员访问B. 信息的保密性C. 信息的完整性D. 信息的可追溯性10. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门11. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商12. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性13. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进14. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训15. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问16. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项17. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估18. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击19. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门20. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商21. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性22. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进23. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训24. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问25. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项26. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估27. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击28. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门29. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商30. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性31. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进32. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训33. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问34. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项35. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估36. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击37. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门38. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商39. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性40. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进41. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训42. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问43. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项44. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估45. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击46. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门47. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商48. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性49. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进50. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训51. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问52. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项53. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估54. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击55. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门56. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商57. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性58. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进59. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训60. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问1. B2. C3. A4. C5. B6. B7. D8. B9. A10. A11. C12. B13. C14. A15. D16. D17. A18. B19. A20. C21. B22. C23. A24. D25. D26. A27. B28. A29. C30. B31. C32. A33. D34. D35. A36. B37. A38. C39. B40. C41. A42. D43. D44. A45. B46. A47. C48. B49. C51. D52. D53. A54. B55. A56. C57. B58. C59. A60. D。

信息安全管理体系ISMS2016年6月考题2016信息安全管理体系（ISMS）审核知识试卷 2016年6月1、单选题1、密码就是一种用于保护数据保密性的密码学技术、由（）方法及相应运行过程。

A、加密算法和密钥生成B、加密算法、解密算法、密钥生成C、解密算法、密钥生成D、加密算法、解密算法2、计算机安全保护等级的第三级是（）保护等级A、用户自主B、安全标记C、系统审计D、结构化3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的通信信道A、补强B、有益C、保护D、危害4、5、6、ISMS关键成功因素之一是用于评价信息安全A、测量B、报告C、传递D、评价7、防止恶语和移动代码是保护软件和信息的（）A、完整性B、保密性C、可用性D、以上全部8、以下强健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、开发、测试和（）设施应分离、以减少未授权访问或改变运行系统的风险A、系统B、终端C、配置D、运行10、设备、（）或软件在授权之前不应带出组织场所A、手机B、文件C、信息D、以上全部11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖A、系统软件B、游戏软件C、杀毒软件D、任何敏感信息12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件A、第一方人员B、第二方人员C、第三方人员D、IT经理13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在（）合同中。

A、雇员B、承包方人员C、第三方人员D、A+B+C14、ISMS文件的多少和详细程度取决于（）A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织A、使用B、授权C、检查合格D、识别出薄弱环节16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。

信息安全管理体系认证试卷（答案见尾页）一、选择题1. 信息安全管理体系认证的审核时间是多久？A. 1个月B. 3个月C. 6个月D. 1年2. 以下哪个不是信息安全管理体系认证中的关键成功因素？A. 高层管理的支持B. 员工的参与度C. 安全策略的制定D. 内部审计的频率3. 信息安全管理体系认证中，风险评估的目的是什么？A. 识别潜在的安全风险B. 评估风险的可能性和影响C. 制定风险处理计划D. 监控风险的状态4. 信息安全管理体系认证中的“持续改进”是指什么？A. 不断进行安全培训B. 持续优化安全措施C. 不断提高员工技能D. 不断更新安全政策5. 信息安全管理体系认证中，管理评审的目的是什么？A. 对认证结果进行回顾和总结B. 分析认证过程中出现的问题C. 确认信息安全管理体系的有效性D. 制定新的安全策略6. 信息安全管理体系认证中，内审员的角色是什么？A. 负责实施内部审核B. 负责编制审核计划C. 负责报告审核结果D. 负责管理评审7. 信息安全管理体系认证中，第二方审核的目的是什么？A. 认证申请方的体系是否符合标准B. 审核申请方的体系是否持续满足标准C. 提供第三方证明D. 与申请方协商服务条款8. 信息安全管理体系认证中的“符合性”是指什么？A. 申请方的体系与标准完全一致B. 申请方的体系满足标准的要求C. 申请方的体系经过第三方验证D. 申请方的体系得到监管机构的批准9. 信息安全管理体系认证中的“有效性”是指什么？A. 申请方的体系在实际运行中有效B. 申请方的体系符合标准和监管机构的要求C. 申请方的体系经过第三方审核并得到认可D. 申请方的体系在不断改进中10. 信息安全管理体系（ISMS）认证的目的是什么？A. 评估组织的信息安全管理体系是否满足标准要求B. 确保组织的信息安全管理体系持续改进C. 提供对组织信息安全水平的第三方验证D. 验证组织的信息安全管理体系符合法律法规要求11. 在信息安全管理体系中，以下哪个不是实施信息安全控制措施的目标？A. 保护组织的敏感信息B. 维护组织和客户的信任C. 提高组织的运营效率D. 遵守相关法律法规12. 信息安全管理体系认证审核的主要目的是什么？A. 确认组织的信息安全管理体系符合标准要求B. 评估组织的信息安全管理体系是否持续改进C. 要求组织定期进行信息安全培训D. 提供对组织信息安全水平的第三方验证13. 以下哪个不是信息安全管理体系认证过程中的关键要素？A. 确定信息安全需求B. 制定信息安全策略C. 进行内部审核D. 进行管理评审14. 信息安全管理体系认证审核员需要具备哪些能力？A. 信息安全专业知识B. 信息安全管理体系审核技能C. 有效的沟通和协调能力D. 法律法规知识15. 信息安全管理体系认证过程中，以下哪个不是常用的评估工具？A. 安全风险评估方法B. 漏洞扫描工具C. 访问控制审计工具D. 个人信息保护法典16. 信息安全管理体系认证审核时，以下哪个因素可能影响审核结果？A. 组织的安全文化B. 组织的财务状况C. 组织的管理体系覆盖范围D. 组织的领导力17. 信息安全管理体系认证审核员在审核过程中应遵循的原则是什么？A. 客观公正B. 建立互信C. 保密性D. 专业严谨18. 以下哪个不是信息安全管理体系认证审核中的常见发现？A. 安全控制措施不足B. 安全策略不清晰C. 安全培训不到位D. 安全控制措施执行不力19. 信息安全管理体系认证审核结束时，审核员应给出哪些建议？A. 安全控制措施的改进意见B. 安全培训的建议C. 安全管理体系的持续改进计划D. 安全控制的测试计划20. 信息安全管理体系（ISMS）的核心要素包括哪些？A. 组织安全策略B. 信息安全组织C. 资产管理D. 人员安全21. 以下哪个不是信息安全管理体系（ISMS）认证审核的依据？A. ISO/IEC 27001标准B. 国家或地区法规要求C. 行业标准D. 企业内部规范22. 在信息安全管理体系（ISMS）中，风险评估的目的是什么？A. 识别信息资产面临的威胁和漏洞B. 评估安全事件可能造成的影响C. 为制定安全控制措施提供依据D. 以上都是23. 信息安全管理体系（ISMS）的建立、实施、运行和改进过程包含哪些步骤？A. 制定安全策略B. 实施安全控制措施C. 监控和审查D. 持续改进24. 以下哪个不是信息安全管理体系（ISMS）认证申请材料通常包括的内容？A. 申请表格B. 策略和计划文档C. 安全控制实施记录D. 认证费用25. 信息安全管理体系（ISMS）的认证标志表示什么含义？A. 企业已经建立了完善的信息安全管理体系B. 企业通过了信息安全管理体系认证C. 企业的信息安全水平得到了国际认可D. 企业的信息安全管理体系符合ISO/IEC 27001标准26. 信息安全管理体系（ISMS）的认证过程通常包括几个阶段？A. 现场审核B. 申请与受理C. 现场检查D. 认证决定27. 以下哪个不是信息安全管理体系（ISMS）认证审核员应具备的能力？A. 信息安全知识B. 审核技巧C. 沟通能力D. 法律知识28. 信息安全管理体系（ISMS）认证的有效期是多久？A. 1年B. 2年C. 3年D. 5年29. 信息安全管理体系（ISMS）认证的目的是什么？A. 提高组织的IT安全性B. 保护客户的敏感信息C. 增强客户对组织的信任D. 遵守法律法规要求30. 在信息安全管理体系中，以下哪个不是ISMS的关键要素？A. 测量B. 风险评估C. 持续改进D. 监控31. 以下哪个不是信息安全管理体系认证过程中的步骤？A. 确定认证范围B. 进行现场审核C. 准备申请材料D. 安排现场见证32. 信息安全管理体系认证中，以下哪个不是第三方认证机构的职责？A. 对组织的ISMS进行审核B. 发放认证证书C. 对审核过程进行监督D. 提供培训和技术支持33. 以下哪个不是信息安全管理体系认证中的风险评估方法？A. 定性风险评估B. 定量风险评估C. 基于过往经验的评估D. 基于模型的评估34. 在信息安全管理体系中，以下哪个不是实施安全控制的目的？A. 保护组织的信息资产B. 维护组织和客户的声誉C. 遵守法律法规要求D. 提高工作效率35. 信息安全管理体系认证中，以下哪个不是现场审核的目的？A. 验证组织的ISMS是否符合标准B. 确认组织的ISMS的有效性C. 收集组织的信息以供审核D. 提出改进建议36. 以下哪个不是信息安全管理体系认证过程中可能遇到的风险？A. 审核过程中的信息泄露B. 申请材料的准确性问题C. 审核员的偏见或误解D. 不合格后的整改措施不力37. 信息安全管理体系认证中，以下哪个不是选择认证机构时应考虑的因素？A. 认证机构的声誉B. 认证机构的资质和经验C. 认证机构的价格和服务D. 认证机构的审核员素质38. 信息安全管理体系认证的目的是以下哪个？A. 证明组织的ISMS符合国际标准B. 提高组织的IT安全性C. 增强客户对组织的信任D. 遵守法律法规要求39. 信息安全管理体系（ISMS）认证的主要目的是什么？A. 提高组织的IT安全性B. 保护客户的数据隐私C. 遵守法律法规要求D. 提升客户满意度40. 在信息安全管理体系中，以下哪个不是ISMS的关键要素？A. 信息安全政策B. 信息安全风险评估C. 信息安全控制实施D. 信息安全监控与审计41. 以下哪个不是信息安全风险评估的方法？A. 定性分析B. 定量分析C. 风险矩阵D. 概率统计42. 信息安全管理体系认证审核的主要目的是什么？A. 确认组织的ISMS符合性B. 提供第三方认证C. 帮助组织改进ISMSD. 检查组织的安全控制措施是否有效43. 以下哪个不是信息安全控制措施？A. 访问控制B. 数据加密C. 安全培训D. 风险转移44. 信息安全管理体系认证审核的依据是什么？A. ISO/IEC 27001标准B. 国家或行业的相关法规C. 组织的内部政策D. 国际标准如ISO 2700245. 以下哪个不是信息安全管理体系（ISMS）的核心组成部分？A. ISMS方针B. ISMS目标C. ISMS程序文档D. ISMS记录46. 信息安全管理体系认证审核的两种模式是什么？A. 初次审核B. 监督审核C. 再次审核D. 例外审核47. 以下哪个不是信息安全管理体系认证审核的发现项？A. 不符合项B. 符合项C. 改进项D. 需改进项48. 信息安全管理体系认证审核的周期是多久？A. 每年B. 每两年C. 根据组织的具体情况而定D. 由认证机构决定二、问答题1. 信息安全管理体系认证的目的是什么？2. 信息安全管理体系认证的依据是什么？3. 信息安全管理体系认证的过程包括哪些步骤？4. 信息安全管理体系认证中，如何确定是否符合标准？5. 信息安全管理体系认证中，现场审核的主要目的是什么？6. 信息安全管理体系认证后，组织还需要做什么？7. 信息安全管理体系认证对组织有什么好处？8. 信息安全管理体系认证的收费情况如何？参考答案选择题：1. B2. D3. B4. B5. C6. A7. B8. B9. A 10. ABC11. C 12. A 13. C 14. ABCD 15. D 16. ABCD 17. ABCD 18. B 19. ABC 20. ABCD 21. D 22. D 23. ABCD 24. D 25. B 26. ABCD 27. D 28. C 29. ABCD 30. A31. D 32. D 33. C 34. D 35. C 36. D 37. C 38. ABCD 39. ABC 40. D41. D 42. AC 43. D 44. ABD 45. C 46. AB 47. D 48. A问答题：信息安全管理体系认证的目的是确保组织的信息安全管理体系符合国际标准，提高组织的风险管理能力，保护组织的信息资产，持续改进组织的整体安全水平。

1. 信息安全管理体系(ISMS)的核心目标是：A. 提高信息系统的性能B. 确保信息的机密性、完整性和可用性C. 降低信息系统的成本D. 增加信息系统的用户数量2. ISO/IEC 27001:2013标准中定义的ISMS范围应包括：A. 仅包括核心业务流程B. 包括所有业务流程和相关信息资产C. 仅包括信息安全相关的业务流程D. 包括所有IT系统3. 在ISMS中，风险评估的目的是：A. 确定信息资产的价值B. 识别和评估风险C. 选择合适的安全控制措施D. 监控和审查ISMS的绩效4. 信息安全政策应由谁制定？A. 信息安全经理B. 高级管理层C. 所有员工D. 外部审计师5. 在ISMS中，风险处理的方法不包括：A. 风险规避B. 风险转移C. 风险接受D. 风险增加6. ISMS的持续改进过程包括以下哪个步骤？A. 风险评估B. 内部审计C. 管理评审D. 所有上述选项7. 在ISMS中，以下哪个不是安全控制措施的类型？A. 物理和环境安全B. 人力资源安全C. 业务连续性管理D. 风险评估8. 信息安全事件管理的关键步骤包括：A. 事件识别和报告B. 事件分析和评估C. 事件响应和恢复D. 所有上述选项9. ISMS的内部审计应由谁执行？A. 外部审计师B. 内部审计部门C. 信息安全经理D. 所有员工10. 在ISMS中，以下哪个不是管理评审的输入？A. 内部审计结果B. 风险评估报告C. 员工反馈D. 竞争对手的策略11. 信息安全培训和意识提升的主要目的是：A. 提高员工的工作效率B. 确保员工了解和遵守信息安全政策C. 降低培训成本D. 增加员工的满意度12. 在ISMS中，以下哪个不是访问控制的类型？A. 物理访问控制B. 逻辑访问控制C. 生物识别访问控制D. 风险评估访问控制13. 信息安全管理体系的认证过程包括：A. 准备、实施、审核和认证B. 风险评估、实施、审核和认证C. 准备、风险评估、审核和认证D. 准备、实施、风险评估和认证14. 在ISMS中，以下哪个不是信息安全事件的分类？A. 安全漏洞B. 安全事故C. 安全威胁D. 安全违规15. 信息安全管理体系的有效性应通过以下哪种方式进行评估？A. 内部审计B. 管理评审C. 风险评估D. 所有上述选项16. 在ISMS中，以下哪个不是信息安全政策的组成部分？A. 政策声明B. 目标和范围C. 风险评估报告D. 责任和义务17. 信息安全管理体系的实施应包括以下哪个步骤？A. 风险评估B. 安全控制措施的选择和实施C. 内部审计D. 管理评审18. 在ISMS中，以下哪个不是信息安全事件响应的阶段？A. 准备B. 识别C. 分析D. 风险评估19. 信息安全管理体系的监控和审查应包括以下哪个活动？A. 内部审计B. 管理评审C. 风险评估D. 所有上述选项20. 在ISMS中，以下哪个不是信息安全培训的内容？A. 信息安全政策B. 安全控制措施C. 风险评估方法D. 业务流程21. 信息安全管理体系的文档管理应包括以下哪个方面？A. 文档的创建和更新B. 文档的分发和访问控制C. 文档的存储和保护D. 所有上述选项22. 在ISMS中，以下哪个不是信息安全事件管理的关键原则？A. 及时性B. 准确性C. 完整性D. 风险评估23. 信息安全管理体系的认证机构应具备以下哪个条件？A. 独立性B. 专业性C. 公正性D. 所有上述选项24. 在ISMS中，以下哪个不是信息安全政策的实施要求？A. 分配责任B. 提供资源C. 进行风险评估D. 监控和审查25. 信息安全管理体系的持续改进应包括以下哪个活动？A. 内部审计B. 管理评审C. 风险评估D. 所有上述选项26. 在ISMS中，以下哪个不是信息安全事件的响应策略？A. 预防B. 检测C. 响应D. 风险评估27. 信息安全管理体系的认证过程应包括以下哪个步骤？A. 准备B. 实施C. 审核D. 所有上述选项28. 在ISMS中，以下哪个不是信息安全事件的分类标准？A. 事件的严重性B. 事件的类型C. 事件的影响范围D. 风险评估结果29. 信息安全管理体系的文档管理应包括以下哪个方面？A. 文档的创建和更新B. 文档的分发和访问控制C. 文档的存储和保护D. 所有上述选项30. 在ISMS中，以下哪个不是信息安全事件管理的关键原则？A. 及时性B. 准确性C. 完整性D. 风险评估31. 信息安全管理体系的认证机构应具备以下哪个条件？A. 独立性B. 专业性C. 公正性D. 所有上述选项32. 在ISMS中，以下哪个不是信息安全政策的实施要求？A. 分配责任B. 提供资源C. 进行风险评估D. 监控和审查33. 信息安全管理体系的持续改进应包括以下哪个活动？A. 内部审计B. 管理评审C. 风险评估D. 所有上述选项34. 在ISMS中，以下哪个不是信息安全事件的响应策略？A. 预防B. 检测C. 响应D. 风险评估35. 信息安全管理体系的认证过程应包括以下哪个步骤？A. 准备B. 实施C. 审核D. 所有上述选项36. 在ISMS中，以下哪个不是信息安全事件的分类标准？A. 事件的严重性B. 事件的类型C. 事件的影响范围D. 风险评估结果37. 信息安全管理体系的文档管理应包括以下哪个方面？A. 文档的创建和更新B. 文档的分发和访问控制C. 文档的存储和保护D. 所有上述选项38. 在ISMS中，以下哪个不是信息安全事件管理的关键原则？A. 及时性B. 准确性C. 完整性D. 风险评估39. 信息安全管理体系的认证机构应具备以下哪个条件？A. 独立性B. 专业性C. 公正性D. 所有上述选项40. 在ISMS中，以下哪个不是信息安全政策的实施要求？A. 分配责任B. 提供资源C. 进行风险评估D. 监控和审查41. 信息安全管理体系的持续改进应包括以下哪个活动？A. 内部审计B. 管理评审C. 风险评估D. 所有上述选项42. 在ISMS中，以下哪个不是信息安全事件的响应策略？A. 预防B. 检测C. 响应D. 风险评估43. 信息安全管理体系的认证过程应包括以下哪个步骤？A. 准备B. 实施C. 审核D. 所有上述选项44. 在ISMS中，以下哪个不是信息安全事件的分类标准？A. 事件的严重性B. 事件的类型C. 事件的影响范围D. 风险评估结果45. 信息安全管理体系的文档管理应包括以下哪个方面？A. 文档的创建和更新B. 文档的分发和访问控制C. 文档的存储和保护D. 所有上述选项46. 在ISMS中，以下哪个不是信息安全事件管理的关键原则？A. 及时性B. 准确性C. 完整性D. 风险评估47. 信息安全管理体系的认证机构应具备以下哪个条件？A. 独立性B. 专业性C. 公正性D. 所有上述选项48. 在ISMS中，以下哪个不是信息安全政策的实施要求？A. 分配责任B. 提供资源C. 进行风险评估D. 监控和审查49. 信息安全管理体系的持续改进应包括以下哪个活动？A. 内部审计B. 管理评审C. 风险评估D. 所有上述选项50. 在ISMS中，以下哪个不是信息安全事件的响应策略？A. 预防B. 检测C. 响应D. 风险评估答案：1. B2. B3. B4. B5. D6. D7. D8. D9. B10. D11. B12. D13. A14. C15. D16. C17. B18. D19. D20. D21. D22. D23. D24. C25. D26. D27. D28. D29. D30. D31. D32. C33. D34. D35. D36. D37. D38. D39. D40. C41. D42. D43. D44. D45. D46. D47. D48. C49. D50. D。

ITSMS 2016年6月基础知识一、单项选择题1、信息技术服务管理体系的要求类标准是（）。

A．GB/T22080-2008/ISO/IEC 27001：2005B．ISO/IEC20000-1：2011C．ISO/IEC20000-2：2005D．ISO/IEC TR 20000-32、包含每个配置项所有相关的详细信息和配置项之间重要关系的详细信息的数据库是（）。

A．配置项B．基线C．配置管理数据库D．以上都是3、文件是指（）。

A．包括受影响的配置项及其如何被授权的变更所影响的详细信息的记录B．阐明所取得的结果或提供所完成活动的证据的文件C．为进行某项活动或过程所规定的途径D．信息及其承载介质4、造成一个或多个事件的根本原因是（）。

A．事件B．问题C．事态D．缺陷5、经测试且被引入实际运行环境新配置项和（或）变更的配置项的集合是（）。

A．SLAB．OLAC．CMDBD．以上都不是6、应对服务管理进行策划，形成计划（）。

A．任何针对特定过程生成的计划都应与服务管理计划保持一致B．任何针对特定过程生成的计划都应与服务管理方针保持一致C．任何针对特定过程生成的SLA都应与服务管理计划保持一致D．任何针对特定过程生成的SLA都应与服务管理方针保持一致7、服务提供方应实施服务管理计划，以管理并交付服务，包括（）。

A．服务风险的识别和管理B．支持过程的适当工具C．得到有效地实施和保持D．以上都是8、审核方案应规定（）。

A．审核的目的、范围、频次和方法B．审核的准则、目标、频次和方法C．审核的准则、范围、渠道和方法D．审核的准则、范围、频次和方法9、策划和实施新服务或变更的服务（）。

A．确保所有批准的措施都已交付执行，并达到了预期目标B．与所有相关方进行协商C．应考虑由服务交付和管理所产生的成本以及组织上、技术上和商业上的影响D．测量、报告并通报服务改进10、所提供的服务都应定义、协商并记录在（）服务级别协议（SLAs)中。