【推荐下载】西门子工业信息安全运营中心获ISO-IEC 27001认证证书

1. 信息安全管理体系（ISMS）的核心目标是：A. 提高员工工作效率B. 确保信息资产的保密性、完整性和可用性C. 增加公司利润D. 扩大市场份额2. ISO/IEC 27001:2013 是关于什么的国际标准？A. 质量管理体系B. 环境管理体系C. 信息安全管理体系D. 职业健康安全管理体系3. 在ISMS中，风险评估的目的是：A. 识别和评估信息资产面临的风险B. 消除所有风险C. 增加信息资产的价值D. 提高信息资产的可见性4. 以下哪项不是ISO/IEC 27001:2013 要求的控制措施？A. 物理和环境安全B. 人力资源安全C. 市场营销策略D. 访问控制5. ISMS的PDCA循环中的“D”代表什么？A. DesignB. DoC. DocumentD. Direct6. 在信息安全管理中，以下哪项是“保密性”的定义？A. 确保信息在需要时可用B. 防止未授权的访问和泄露C. 确保信息的准确性和完整性D. 确保信息的可追溯性7. 风险处理选项不包括：A. 风险接受B. 风险转移C. 风险消除D. 风险增加8. 以下哪项是ISMS的关键组成部分？A. 财务报告B. 风险管理C. 市场分析D. 产品开发9. 在ISMS中，“可用性”是指：A. 信息在需要时可以被授权人员访问B. 信息的保密性C. 信息的完整性D. 信息的可追溯性10. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门11. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商12. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性13. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进14. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训15. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问16. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项17. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估18. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击19. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门20. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商21. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性22. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进23. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训24. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问25. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项26. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估27. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击28. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门29. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商30. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性31. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进32. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训33. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问34. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项35. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估36. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击37. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门38. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商39. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性40. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进41. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训42. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问43. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项44. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估45. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击46. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门47. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商48. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性49. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进50. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训51. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问52. ISMS的文档管理包括以下哪项？A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项53. 以下哪项是ISMS的风险评估工具？A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估54. 在ISMS中，“物理和环境安全”包括以下哪项？A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击55. ISMS的持续改进过程包括以下哪项？A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门56. 以下哪项不是ISMS的利益相关者？A. 员工B. 客户C. 竞争对手D. 供应商57. 在ISMS中，“完整性”是指：A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性58. ISMS的实施步骤不包括：A. 风险评估B. 风险处理C. 风险增加D. 持续改进59. 以下哪项是ISMS的认证过程的一部分？A. 内部审计B. 市场推广C. 产品设计D. 员工培训60. 在ISMS中，“访问控制”的主要目的是：A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问1. B2. C3. A4. C5. B6. B7. D8. B9. A10. A11. C12. B13. C14. A15. D16. D17. A18. B19. A20. C21. B22. C23. A24. D25. D26. A27. B28. A29. C30. B31. C32. A33. D34. D35. A36. B37. A38. C39. B40. C41. A42. D43. D44. A45. B46. A47. C48. B49. C51. D52. D53. A54. B55. A56. C57. B58. C59. A60. D。

2021年10月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.ISO/IEC2（江南博哥）7001描述的风险分析过程不包括()A.分析风险发生的原因B.确定风险级别C.评估识别的风险发生后，可能导致的潜在后果D.评估所识别的风险实际发生的可能性参考答案：A[单选题]4.在以下认为的恶意攻击行为中，属于主动攻击的是()A.数据窃听B.误操作C.数据流分析D.数据篡改参考答案：D[单选题]5.ISO/IEC27001所采用的过程方法是()A.PPTR方法B.SMART方法C.PDCA方法D.SWOT方法参考答案：C[单选题]6.以下哪些可由操作人员执行？()A.审批变更B.更改配置文件C.安装系统软件D.添加/删除用户参考答案：C[单选题]7.《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起()内，认可机构不再接受其注册申请。

A.2年B.3年C.4年D.5年参考答案：D[单选题]8.《信息技术安全技术信息安全治理》对应的国际标准号为()A.ISO/IEC27011B.ISO/IEC27012C.ISO/IEC27013D.ISO/IEC27014参考答案：D[单选题]9.文件化信息指()A.组织创建的文件B.组织拥有的文件C.组织要求控制和维护的信息及包含该信息的介质D.对组织有价值的文件参考答案：C[单选题]10.由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是()A.认证B.认可C.审核D.评审参考答案：B[单选题]11.根据《中华人民共和国国家秘密法》，国家秘密的最高密级为()A.特密B.绝密C.机密D.秘密参考答案：B[单选题]12.被黑客控制的计算机常被称为()A.蠕虫B.肉鸡C.灰鸽子D.木马参考答案：B[单选题]13.防火墙提供的接入模式不包括()A.透明模式B.混合模式C.网关模式D.旁路接入模式参考答案：D[单选题]14.设置防火墙策略是为了()A.进行访问控制B.进行病毒防范C.进行邮件内容过滤D.进行流量控制参考答案：A[单选题]15.组织在确定与ISMS相关的内部和外部沟通需求时可以不包括()A.沟通周期B.沟通内容C.沟通时间D.沟通对象参考答案：A[单选题]16.审核抽样时，可以不考虑的因素是()A.场所差异B.管理评审的结果C.最高管理者D.内审的结果参考答案：C[单选题]17.PKI的主要组成不包括()A.SSLB.CRC.CAD.RA参考答案：A[单选题]18.ISO/IEC27701是()A.是一份基于27002的指南性标准B.是27001和27002的隐私保护方面的扩展C.是ISMS族以外的标准D.在隐私保护方面扩展了270001的要求参考答案：B[单选题]19.根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A.警告B.罚款C.没收违法所得D.吊销许可证参考答案：A[单选题]20.关于内部审核下面说法不正确的是()。

2024年第二期CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性B、完整性C、机密性D、可用性2、描述组织采取适当的控制措施的文档是（）A、管理手册B、适用性声明C、风险处置计划D、风险评估程序3、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。

A、4-10B、1-10C、4-7和9-10D、4-10和附录A4、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机5、创建和更新文件化信息时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准6、在信息安全管理体系审核时，应遵循（）原则。

A、保密性和基于准则的B、保密性和基于风险的C、最小特权原则最小特权原则是信息系统安全的最基本原则D、建立阻塞点原则阻塞点就是在网络系统对外连接通道内，可以被系统管理人员进行监控的连接控制点。

7、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员8、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人9、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞10、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。

文件制修订记录1、适用适用于本公司的各种应用系统涉及到的逻辑访问的控制。

2、目的为对本公司各种应用系统的用户访问权限（包括特权用户及第三方用户）实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。

3、职责3.1各系统的访问授权管理由管理运营部设置安全框架，由各部门主管视权限和业务情况进行分配、审批。

3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。

3.3管理运营部负责向各部门通知人事变动情况。

4、程序4.1访问控制策略4.1.1公司内部可公开的信息不作特别限定，允许所有用户访问。

4.1.2公司内部部分不公开信息，经访问授权管理运营部认可，访问授权实施部门实施后用户方可访问。

4.1.3本公司限制使用无线网络，对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性（根据敏感程度，可查表获得权限，如IP列表）4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

4.1.5相关部门主管填写《用户权限登记表》，确定访问规则后，由网络管理员开设访问帐号和设置访问权限。

4.1.6为确保含有敏感信息的系统不发生泄密事故，采取措施对敏感系统予以隔离。

采用最小权限、最少用户原则。

4.2用户访问管理4.2.1权限申请4.2.1.1授权流程部门申请——授权管理运营部审批——访问授权部门实施所有用户，包括第三方人员均需要履行访问授权手续。

申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向访问授权管理运营部提交《用户权限申请表》，经访问授权管理运营部审核批准后，将《用户权限申请表》交访问授权实施部门实施。

第三方人员的访问申请由负责接待的部门按照上述要求予以办理。

第三方人员一般不允许成为特权用户。

必要时，第三方人员需与访问接待部门签订《第三方保密协议》。

4.2.1.2《用户权限申请表》应对以下内容予以明确：A)权限申请人员；B)访问权限的级别和范围；C)申请理由；D)有效期。

ISO27001信息安全管理体系及ISO 20000 IT服务管理体系ISO27001介绍ISO27001是有关信息安全管理的国际标准。

最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。

该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。

对现代企业来说，将以往被认为是成本中心的IT部门转变成积极的增值服务提供者，是一种挑战，也是机遇，而推动这一机遇成为现实的.ISO20000介绍ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。

建立IT 服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。

ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。

有效融合ISO27001、ISO20000等IT控制和最佳实践，进行必要的体系整合，从而全面提升客户整体IT治理的水平。

获取认证应具备的条件应具备相应的资质，（如营业执照、组织机构代码、相关的国家行政审批资质或行业资质），具备相关设施和资源，能正常开展经营活动。

能提供三个月以上的经营活动记录。

取得认证的程序通常把取得认证的程序分为两个阶段，认证咨询阶段：合同签订后，我公司会派出咨询老师到企业进行调研，确定企业的认证意图，帮助企业确定组织机构和职责权限划分，体系的覆盖范围，编制和完善认证所需要的体系文件，对企业人员相关进行的培训，并指导企业按体系文件的要求运行，并帮企业进行认证的申请。

认证审核阶段：由认证机构派出的审核员，到企业按照认证标准及企业体系文件规定对企业申请认证范围的活动的进行检查，重点是核实企业的情况及编制认证文件和记录，检查结束上报认证机构颁发证书。

2022.05https:///cs/cn/zh/view/109772088C o p y r i g h t © S i e m e n s A G C o p y r i g h t y e a r A l l r i g h t s r e s e r v e d目录1 概述 ...................................................................................................................... 3 2软硬件需求 ........................................................................................................... 4 2.1 G120需求 ............................................................................................. 4 2.2 G120XA/V20需求 ................................................................................ 6 2.3 S120需求 (7)3软件安装 .............................................................................................................. 8 3.1 软件安装步骤 ........................................................................................ 8 3.2 开始菜单快捷方式 ................................................................................. 9 3.3驱动配置表 (10)4 软件使用 ............................................................................................................ 11 4.1 G120调试 ........................................................................................... 11 4.2 G120XA 调试 ...................................................................................... 22 4.3 V20调试 ............................................................................................. 27 4.4 S120调试 ........................................................................................... 33 4.5S210调试 (46)5 附录 .................................................................................................................... 51 5.1 资料链接 ............................................................................................. 51 5.2 意见反馈 ............................................................................................. 51 5.3 版本信息 (52)C o p y r i g h t © S i e m e n s A G C o p y r i g h t y e a r A l l r i g h t s r e s e r v e d1 概述InverterEdge 软件为基于TIA PORTAL 和Startdrive Openness 组件的SINAMICS 系列变频器提供一键配置及调试。

2024年第二期CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年2、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C3、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B4、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低5、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知6、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确7、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审8、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC409、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审10、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。

ISO 27001常见问题(内部使用)版本1.0, 2008/3 1. 什么是ISO 27001？ISO/IEC 27001:2005 的名称是“Information technology- Security techniques-Information security management systems-requirements”，可翻译为“信息技术—安全技术—信息安全管理体系——要求”。

ISO 27001是信息安全管理体系（ISMS）的规范标准，是为组织机构提供信息安全认证执行的认证标准，其中详细说明了建立、实施和维护信息安全管理体系的要求。

它是BS7799-2：2002由国际标准化组织及国际电工委员会转换而来，并于2005年10月15日颁布。

2. ISO 27001与其他标准有什么关系？ISO/IEC 27001与ISO 9001（质量管理体系）和ISO 14001（环境管理体系）标准紧密相连。

这三个标准中众多的体系元素和原则是互通的，比如采用PDCA（计划、执行、检查、改进）的循环流程。

在ISO27001附录C中列举了三个管理体系之间的对应关系，该对应关系使得体系之间的整合与集成扩展成为可能。

3. 哪些企业适用于ISO 27001标准？ISO/IEC 27001:2005标准中明确指出，标准中规定的要求是通用的，适用于所有的组织，无论其类型、规模和业务性质怎样。

如果由于组织及其业务性质而导致标准中有不适用之处，可以考虑对要求进行删减，但是务必要保证，这种删减不影响组织为满足由风险评估和适用的法律所确定的安全需求而提供信息安全的能力和责任，否则就不能声称是符合27001:2005标准的。

27001:2005标准可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据，无论是自我评估还是独立第三方认证。

就目前国内发展来看，最先确定实施ISMS 并考虑接受ISO/IEC 27001：2005标准认证的组织，其驱动力都比较明显，这种驱动力可以是外部的，也可以是发自内部的。