ISO27001风险评估测试题目

信息安全管理体系内审员考试试题姓名：工作单位：考试日期：年月日一、单项选择题（每题1 分，共15 分）从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（）中。

（）1．ISO/IEC 27001 从的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。

a）客户安全要求b）组织整体业务风险c）信息安全法律法规d）以上都不对（）2．组织声称符合ISO/IEC 27001 时，的要求可删减。

a）第4 章b）第5 章c）第7 章d）附录A（）3．审核准则是指a）一组方针、程序或要求b）一组能够证实的记录、事实陈述或其他信息c）一组约束审核行为的规范d）以上都不对（）4．审核计划a）应由受审核方确认，可适当调整b）一经确定，不能改动c）受审核方可随意改动d）以上都不对（）5．以下哪一种描述不适合信息安全管理体系？a）是指国家对各重要信息系统实施信息安全管理的行政管理结构b）是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的c）建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素d）包括信息安全管理机构、体系文件及相关资源等要素（）6．信息安全管理体系要求ISO/IEC27001 属于标准？a）词汇类标准b）指南类标准c）要求类标准d）相关类标准（）7．现场跟踪验证a）只适用于一般不符合项b）只适用于严重不符合项c）只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d）以上都不对（）8．负责审核计划、协调审核活动并在审核活动中领导审核活动？a）审核小组成员b）信息安全经理c）审核小组组长d）以上都不是（）9．下面哪一个不是信息安全管理体系审核的依据？a）ISO/IEC27001b）ISMS 文件c）信息安全专家建议d）相关法律法规（）10．审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为a）第一方审核b）第二方审核c）第三方审核d）以上都不对（）11．组织通过信息安全管理体系认证则a）表明组织已不存在不符合项b）表明体系具备保护组织信息资产的能力c）表明组织已达到了其信息安全目标d）以上都不对（）12．对于ISMS 审核组而言，以下哪一种要求不是必须的？a）信息安全的理解b）从业务角度对风险评估和风险管理的理解c）被审核活动的技术知识d）以上都不对（）13．信息安全管理体系认证a）应审核ISMS 范围内的所有部门和所有人员b）指导受审核方改进的过程c）寻找不符合项的过程d）可为受审核方提供控制措施的实施建议（）14．下列哪个要素可以不作为ISMS 审核时间判断的依据？a）ISMS 的复杂度b）高层管理者对信息安全问题的重视程度c）ISMS 范围内执行的业务的类型d）适用于认证的标准和法规（）15．在认证过程中，“根据审核报告，确定纠正措施”是的职责。

信息安全管理体系内审员考试试题一、单项选择题（每题1 分，共15 分）从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入（）中。

（）1．ISO/IEC 27001 从的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。

a）客户安全要求b) 组织整体业务风险c) 信息安全法律法规d）以上都不对（）2．组织声称符合ISO/IEC 27001 时，的要求可删减.a）第4 章b）第5 章c) 第7 章d) 附录A（）3．审核准则是指a）一组方针、程序或要求b）一组能够证实的记录、事实陈述或其他信息c）一组约束审核行为的规范d）以上都不对（）4．审核计划a）应由受审核方确认,可适当调整b) 一经确定，不能改动c）受审核方可随意改动d）以上都不对（）5．以下哪一种描述不适合信息安全管理体系？a) 是指国家对各重要信息系统实施信息安全管理的行政管理结构b）是整个管理体系的一部分,它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的c) 建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素d）包括信息安全管理机构、体系文件及相关资源等要素（）6．信息安全管理体系要求ISO/IEC27001 属于标准？a) 词汇类标准b) 指南类标准c) 要求类标准d）相关类标准（）7．现场跟踪验证a) 只适用于一般不符合项b）只适用于严重不符合项c）只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d) 以上都不对( )8．负责审核计划、协调审核活动并在审核活动中领导审核活动?a) 审核小组成员b）信息安全经理c）审核小组组长d) 以上都不是（）9．下面哪一个不是信息安全管理体系审核的依据？a) ISO/IEC27001b）ISMS 文件c) 信息安全专家建议d）相关法律法规（）10．审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为a) 第一方审核b）第二方审核c) 第三方审核d）以上都不对（）11．组织通过信息安全管理体系认证则a）表明组织已不存在不符合项b）表明体系具备保护组织信息资产的能力c）表明组织已达到了其信息安全目标d）以上都不对（）12．对于ISMS 审核组而言,以下哪一种要求不是必须的？a）信息安全的理解b）从业务角度对风险评估和风险管理的理解c) 被审核活动的技术知识d）以上都不对（)13．信息安全管理体系认证a) 应审核ISMS 范围内的所有部门和所有人员b）指导受审核方改进的过程c）寻找不符合项的过程d）可为受审核方提供控制措施的实施建议( ）14．下列哪个要素可以不作为ISMS 审核时间判断的依据？a）ISMS 的复杂度b）高层管理者对信息安全问题的重视程度c）ISMS 范围内执行的业务的类型d）适用于认证的标准和法规（)15．在认证过程中，“根据审核报告,确定纠正措施”是的职责.a) 审核组长b）审核组c）受审核方d）以上都不对二、多项选择题（每题2 分，共10 分）从以下每题的答案中选择一个或多个你认为合适的,并将答案代号填入（）中. （）1．ISMS 第1 阶段审核的目的是a）获取对组织信息安全管理体系的了解和认识b）了解客户组织的审核准备状态c）为计划2 阶段审核提供重点d）确认组织的信息安全管理体系符合标准或规范性文件的所有要求（）2．按照审核的先后顺序划分，审核包括a）第一阶段审核b）第二阶段审核c) 监督审核d）再认证审核（)3．审核方案和审核计划的区别包括a）范围不同b）制定者不同c）实施者不同d）内容不同（)4．以下属于审核组长的职责。

iso27001考试题及答案1. ISO/IEC 27001标准主要关注于哪个领域的管理？A. 环境管理B. 质量管理C. 信息安全D. 职业健康安全答案：C2. ISO/IEC 27001标准是由哪个组织发布的？A. ISOB. IECC. IETFD. ITU答案：A3. 信息安全管理体系（ISMS）的建立和维护需要遵循哪个标准？A. ISO 9001B. ISO 14001C. ISO/IEC 27001D. ISO 45001答案：C4. 以下哪项不是ISO/IEC 27001标准中定义的信息安全原则？A. 保密性B. 完整性C. 可用性D. 可扩展性答案：D5. ISO/IEC 27001标准要求组织进行信息安全风险评估，其目的是什么？A. 识别和评估信息安全风险B. 确保所有信息资产都受到保护C. 遵守法律法规要求D. 所有上述选项答案：D6. 信息安全管理体系（ISMS）的持续改进可以通过以下哪种方法实现？A. 定期进行内部审核B. 定期进行管理评审C. 定期进行风险评估D. 所有上述选项答案：D7. ISO/IEC 27001标准中，信息安全事件的响应和恢复过程包括哪些步骤？A. 事件识别、事件响应、事件恢复B. 事件预防、事件响应、事件恢复C. 事件识别、事件响应、事件记录D. 事件预防、事件识别、事件恢复答案：A8. 以下哪项不是ISO/IEC 27001标准中对信息资产分类的要求？A. 根据资产的价值进行分类B. 根据资产的敏感性进行分类C. 根据资产的重要性进行分类D. 根据资产的物理位置进行分类答案：D9. ISO/IEC 27001标准中，信息安全政策应该由谁批准？A. 信息安全经理B. 信息安全团队C. 最高管理层D. 任何员工答案：C10. ISO/IEC 27001标准的认证过程通常包括哪些阶段？A. 文件审核、现场审核、认证决定B. 现场审核、文件审核、认证决定C. 认证决定、文件审核、现场审核D. 文件审核、认证决定、现场审核答案：A结束语：通过以上问题及答案的复习，希望能够帮助考生更好地理解和掌握ISO/IEC 27001标准的关键概念和要求，为即将到来的考试做好充分的准备。

单选题1、下列不是适用性声明所要包括的内容是（B ）（A）附录A中选择的控制目标和控制措施，以及选择的理由（B）GB/T 22080-2008条款的要求（C）当前实施的控制目标和控制措施（D）对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明2、依据GB/T 22080/ISO/IEC 27001，制定信息安全管理体系方针，应予以考虑的输入是（D）（A）业务战略（B）法律法规要求（C）合同要求（D）以上全部3、风险评估过程一般应包括（ D）（A）风险识别（B）风险分析（C）风险评价（D）以上都是4、依据GB/T 22080/ISO/IEC 27001，以下符合责任分割原则的是：（B）（A）某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己配置了各个机房的不限时门禁权限。

（B）某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由另外5位副总到场分别输入自己的口令然后完成授权。

（C）某公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，其次为副总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限。

（D）以上均符合责任分割原则。

5、目前在用的中华人民共和国保守国家秘密法是在（ D）正式实施的（A）1951年6月1日（B）1989年5月1日（C）1993年2月22日（D）2010年10月1日6、资产是指对组织有（ A）的任何东西（A）价值（B）（B）使用价值（C）有形价值（D）无形价值7、依据GB/T 22080/ISO/IEC 27001，建立资产清单即：（A）列明信息生命周期内关联到的资产，明确其对组织业务的关键性。

（B）完整采用组织的固定资产台账，同时指定资产责任人。

（C）资产价格越高，往往意味着功能越全，因此资产重要性等级就越高。

（D）A+B8、依据GB/T 22080/ISO/IEC 27001，信息分类方案的目的是：（A）（A）划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘。

ISO27001信息安全管理体系培训测试姓名_____________________工号_____________________部门_____________________一、以下对于信息安全管理体系的叙述，哪个个是不正确的？A.只规范公司高层与信息安全人员的行为；B.针对组织内部所使用的信息，实施全面性的管理；C.为了妥善保护信息的机密性、完整性和可用性；D.降低信息安全事件的冲击至可承受的范围；E.分为PDCA（计划—执行—检查—行动）四大部份，循环执行，不断改进。

二、以下对于PDCA（计划—执行—检查—行动）的叙述，哪个是正确的？A.其中的重点在于P（计划）；B.依据PDCA的顺序顺利执行完一次，即可确保信息安全；C.需依据管理层审查结果采取矫正与预防措施，以达到持续改进的目的；D.如果整体执行过程中C（检查）的过程过于繁复，可予以略过；E.以上皆非。

三、下列那个项目不属于ISO27001认证标准所涵盖的十一个管理要项？A.信息安全政策；B.组织安全；C.人员安全；D.复杂性；E.访问控制。

四、下列对于风险的叙述，哪个是正确的？A.风险分析：针对无法改善的风险进行分析；B.风险管理：列出所有可能存在的风险清单；C.风险评估：把所估计的风险与已知的风险标准作比较，以决定风险的重要性；D.风险处理：为了将风险降为零风险所采取的行动；E.可接受风险：可接受进行改善的风险。

五、以下哪项符合信息安全管理体系有关“文件记录控制”的要求？A.文件都必须电子化；B.信息安全管理体系所需的文件仅需保护，但无须控制；C.所有文件应依据信息安全管理体系的政策要求在需要时即可供被授权人取用；D.文件纪录必须全部由一人保管；E.为提供信息安全管理体系有效运作的证据所建立之纪录不属于管制范围。

六、对于“信息安全管理体系”，下列哪些不属于管理层的责任？A.提供信息安全管理工作的必要资源；B.决定可接受风险的等级；C.定期举行相关教育训练，增进员工信息安全的认知；D.为信息安全系统购买保险；E.建立一份信息安全政策。

一、单项选择题（每题1 分，共15 分）从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（）中。

（）1．ISO/IEC 27001 从的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。

a）客户安全要求b）组织整体业务风险c）信息安全法律法规d）以上都不对（）2．组织声称符合ISO/IEC 27001 时，的要求可删减。

a）第4 章b）第5 章c）第7 章d）附录A（）3．审核准则是指a）一组方针、程序或要求b）一组能够证实的记录、事实陈述或其他信息c）一组约束审核行为的规范d）以上都不对（）4．审核计划a）应由受审核方确认，可适当调整b）一经确定，不能改动c）受审核方可随意改动d）以上都不对（）5．以下哪一种描述不适合信息安全管理体系？a）是指国家对各重要信息系统实施信息安全管理的行政管理结构b）是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的c）建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素d）包括信息安全管理机构、体系文件及相关资源等要素（）6．信息安全管理体系要求ISO/IEC27001 属于标准？a）词汇类标准b）指南类标准c）要求类标准d）相关类标准（）7．现场跟踪验证a）只适用于一般不符合项b）只适用于严重不符合项c）只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d）以上都不对（）8．负责审核计划、协调审核活动并在审核活动中领导审核活动？a）审核小组成员b）信息安全经理c）审核小组组长d）以上都不是（）9．下面哪一个不是信息安全管理体系审核的依据？a）ISO/IEC27001b）ISMS 文件c）信息安全专家建议d）相关法律法规（）10．审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为a）第一方审核b）第二方审核c）第三方审核d）以上都不对（）11．组织通过信息安全管理体系认证则a）表明组织已不存在不符合项b）表明体系具备保护组织信息资产的能力c）表明组织已达到了其信息安全目标d）以上都不对（）12．对于ISMS 审核组而言，以下哪一种要求不是必须的？a）信息安全的理解b）从业务角度对风险评估和风险管理的理解c）被审核活动的技术知识d）以上都不对（）13．信息安全管理体系认证a）应审核ISMS 范围内的所有部门和所有人员b）指导受审核方改进的过程c）寻找不符合项的过程d）可为受审核方提供控制措施的实施建议（）14．下列哪个要素可以不作为ISMS 审核时间判断的依据？a）ISMS 的复杂度b）高层管理者对信息安全问题的重视程度c）ISMS 范围内执行的业务的类型d）适用于认证的标准和法规（）15．在认证过程中，“根据审核报告，确定纠正措施”是的职责。

ISO-IEC27001信息安全体系考试试题100道一、单项选择1、Cp是理想过程能力指数，Cpk是实际过程能力指数，以下（）是正确的。

A、Cp＞CpkB、Cp＜CpkC、Cp≤CpkD、Cp≥Cpk2、信息安全是保证信息的保密性、完整性、（）。

A、充分性B、适宜性C、可用性D、有效性3、应为远程工作活动制定：开发和实施策略、（）和规程。

A、制定目标B、，明确职责C、编制作业指导书D、操作计划4、一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性。

A、已经发生B、可能发生C、意外D、A+B+C5、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。

A、国家经营B、地方经营C、许可制度D、备案制度6、以下说法不正确的是（）A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、组织在建立和评审信息安全管理体系时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其他要求D、A+C8、管理体系是指（）。

A、建立方针和目标并实现这些目标的体系B、相互关联的相互作用的一组要素C、指挥和控制组织的协调活动D、以上都对9、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、以下属于计算机病毒感染事件的纠正预防措施的是（）A、对计算机病毒事件进行相应调查和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对11、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、国家秘密的密级分为（）A、绝密B、机密C、秘密D、以上都对13、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

2023年ISO27001认证考试真题2023年ISO 27001认证考试真题ISO 27001是信息安全管理体系国际标准，旨在帮助组织建立、实施、监控和改进信息安全管理体系。

通过参加ISO 27001认证考试，考生可以验证自己对信息安全管理体系的理解和能力。

下面是2023年ISO 27001认证考试的真题：第一部分：单选题1. ISO 27001标准适用于以下哪个领域？A. 环境管理B. 信息安全管理C. 质量管理D. 项目管理2. 在ISO 27001标准中，风险评估的目的是什么？A. 确定信息安全的浪费B. 识别潜在的信息安全风险C. 建立信息安全目标和计划D. 规范信息安全操作控制3. ISO 27001标准要求组织制定和实施一套信息安全管理体系文件。

以下哪个文件是其中的一部分？A. 信息安全政策B. 人员手册C. 会议记录D. 操作规程4. 在信息安全管理体系中，责任最重的是谁？A. 信息技术部门负责人B. 信息安全管理团队成员C. 高级管理人员D. 所有员工5. 以下哪个是信息安全管理体系的核心原则？A. 个人隐私保护B. 经济效益C. 系统可用性D. 领导承诺第二部分：多选题1. 以下哪些是信息资产？（选择所有正确答案）A. 服务器B. 客户数据库C. 保密文件D. 公司办公电脑2. 在ISO 27001认证过程中，以下哪些是审计员的主要职责？（选择所有正确答案）A. 评估组织的信息安全风险B. 检查信息安全政策的有效性C. 确保组织符合ISO 27001标准要求D. 提供信息安全培训3. 在信息安全管理体系中，以下哪些是预防措施？（选择所有正确答案）A. 加密敏感数据B. 定期备份数据C. 培训员工的安全意识D. 定期评估信息安全风险第三部分：问答题1. 请简要解释信息安全管理体系的PDCA循环。

PDCA循环是指计划（Plan）、执行（Do）、检查（Check）和改进（Act）四个阶段组成的连续改进循环。