信息安全管理体系培训习题汇编k2016

信息安全管理体系培训

习

题

汇

编

目 录

练习题一单项选择题 ………………………………………….1 练习题二多项选择题 …………………………………………19 练习题三判断题 …………………………………………….27 练习题四案例分析题.......................................................29 ISMS 测验一 ...............................................................35 ISMS 测验二 ...............................................................49 ISMS测验三 ...............................................................52 练习题一参考答案 ......................................................60 练习题二参考答案 ......................................................61 练习题三参考答案 ......................................................61 练习题四参考答案 ......................................................62 ISMS测验一参考答案 .................................................63 ISMS测验二参考答案 .................................................64 ISMS测验三参考答案 .................................................64

练习题一单项选择题

从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。 1、ISMS文件的多少和详细程度取于

(A)组织的规模和活动的类型 (B)过程及其相互作用的复杂程度 (C)人员的能力 (D) A+B+C

2、对于所釘拟定的纠正和预防措施，在实施前应通过（ ）过程进行评审。 (A)薄弱环节识别 （B)风险分析

(C)管理方案 （D） A+C (E) A+B 3、组织机构在建立和评审ISMS时，应考虑（ ） (A)风险评估的结果 （B）管理方案

(C)法律、法规和其它要求 （D） A+B (E) A+C 4、ISMS管理评审的输出应包括( ) (A)可能影响ISMS的任何变更

(B)以往风险评估没有充分强调的脆弱点或威胁 C)风险评估和风险处理计划的更新 (D)改进的建议

5、在信息安全管理中进行（ ），可以有效解决人员安全意识薄弱问题。 (A)内容监控 (B)安全教育和培训 (C)责任追查和惩处 (D)访问控制6、经过风险处理后遗留的风险是( )

（A）重大风险 (B)有条件的接受风险 （C）不可接受

1

的风险

（D）残余风险

7、( )是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。 （A)信息安全事态 （B)信息安全事件 （C)信息安全事故 （D)信息安全故障

8、系统备份与普通数据备份的不同在于，它不仅备份系统屮的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（ ）。 （A）恢复全部程序 （B)恢复网络设置 （C）恢复所有数据 (D)恢复整个系统 9、不属于计算机病毒防治的策略的是（ ） （A）确认您手头常备一张真正“干净”的引导盘 （B）及时、可靠升级反病毒产品

（C）新购置的计算机软件也要进行病毒检测 （D）整理磁盘

10、抵御电子邮箱入侵措施中，不正确的是( )

（A）不用生日做密码 （B）不要使用少于5位的密码 （C）不要使用纯数字 （D）自己做服务器 11、不属于常见的危险密码是（）

（A）跟用户名相同的密码 （B）使用生日作为密码 （C）只有4位数的密码 （D）10位的综合型密码 12、在每天下午5点使计算机结束时断开终端的连接属于（ ）

（A）外部

2

终端的物理安

全 （B）通信线的物理安全

（C）窃听数据 （D）网络地址欺骗 13、不属于WEB服务器的安全措施的是 （ ）

(A)保证注册帐户的时效性 (B)删除死帐户

(C )强制用户使用不易被破解的密码 (D)所有用户使用一次性密码

14、1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859-1999，提出将信息系统的安全等级划分为（ ）个等级，并提出每个级别的安全功能要求。

（A) 7

(B) 8

(C) 6 (D) 5

15、文件初审是评价受审方ISMS文件的描述与审核准则的（ ）

（A)充分性和适宜性 （B)有效性和符合性 （C)适宜性、充分性和有效性 （D)以上都不对 16、在认证审核时，一阶段帝核是（ ）

(A)是了解受审方ISMS是否正常运行的过程 (B)是必须进行的 (C)不是必须的过程 (D)以上都不准确 17、末次会议包括（ ）

（A）请受审核方确认不符合报告、并签字 （B）向审核方递交审核报告 （C）双方就审核发现的不同意见进行讨论 （D）以上都不准确 18、审核组长在末次会议上宣布的审核结论是依据（）得出的。 ( A)审核目的 ( B)不符合项的严重程度

(C)所有的审核发现 (D) A+B (E) A+B+C

19、将收集到的审核证据对照（ ）进行评价的结果是审核发现。 (A)GB/T

3

22080标准

件包，以下说法正确的是：（ ）

(A)组织应具有有能力的人员，以便随吋对软件包进行适出性修改。 (B)应尽量劝阻对软件包实施变更，以规避变更的风险。 (C)软件包不必作为配置项进行管理。 (D)软件包的安装必须由其开发商实施安装。 46、以下不属于信息安全事态或事件的是：（

）

(A)服务、设备或设施的丢失 (B)系统故障或超负载 (C)物理安全要求的违规 (D)安全策略变更的临时通知 47、以下可认定为审核范围变更的事项是：（

）

(A)受审核组织增加一个制造场所。 (B)受审核组织职能单元和人员规模增加。 (C)受审核组织业务过程增加。 (D) 以上全部。

48、在认证审核时，审核组在现场有权限自行决定变更的事项包括：（）

(A)帘核准则 (B)审核人日数

(C)审核路线 (D)应受审核的业务过程 49、审核员的检查表应：（

）

(A)事先提交受审核方评审确认。 (B)基于审核准则事先编制。

(C)针对不同的受审核组织应统一格式和内容。 (D)由审核组长负责编制审核组使用的检查表。 50、以下属于信息安全管理体系审核发现的是(

(A)审核员看到的物理入口控制方式 （B）审核

9

)

员看到的信息

系统资源阈值

(C)审核员看到的移动介质的使用与安全策略的符合性 (D)审核员看到的项目质量保证活动与CMMI规程的符合性 51、审核组中的技术专家是：（

）

(A)为审核组提供文化、法律、技术等方面知识咨询的人员。 (B)特別负责对受审核方的专业技术过程进行审核的人员。 (C)审核期间为受审核方提供技术咨询的人员。

（D）从专业的角度对审核员的审核进行观察评价的人员。 52、审核人日数的计算方式是审核天数乘以：（ ）

(A)审核组中审核员+实习审核员+技术专家+观察员的总人数 (B)审核组中审核员+实习审核员的总人数 (C)审核组中审核员的总人数

(D)审核组屮审核员+实审核员+技术专家的总人数 53、信息安全管理体系初次认证审核时，第一阶段审核应：(

)

(A)对受审核方信息安企管理体系的策划进行审核和评价，对应GB/T22080-2008的 4.2.1条要求。

(B)对受审核方信息安全管理体系的内部审核及管理评审的有效性进行审核和评价。 (C)对受审核方信息安全管理体系文件的符合性、适宜性和有效性进行审核和评价。 (D)对受审核方信息安全管理体系文件进行审核和符合性评价。 54、按照“PDCA”思路进行审核，是指：( )

(A)按照受审核区域的信息安全管理活动的\过程进行审核。 (B)按照认

10

证机构的

“PDCA”流程进行审核。

(C)按照认可规范中规定的“PDCA”流程进行审核。 (D)以上都对。

55、关于审核结论，以下说法正确的是：（ ）

(A)审核组综合了所有审核证据进行合理推断的结果。 (B)审核组综合了所有审核证据与受审核方充分协商的结果。

(C)审核组权衡了不符合的审核发现的数量及严重程度后得出的结果。 (D)审核组考虑了审核目的和所有审核发现后得出的审核结果。 56、第三方认证审核时确定审核范围的程序是：( )

(A)组织提出、与审核组协商、认证机构确认、认证合同规定 (B)组织申请、认证机构评审、认证合同规定、审核组确认 (C)组织提出、与咨询机构协商、认证机构确认

(D)认证机构提出、与组织协商、审核组确认、认证合同规定 57、审核报告是：（ ）

(A)受审核方的资产。 (B)审核委托方和受审核方的共同资产。 (C)审核委托方的资产。 (D)审核组和审核委托方的资产。

58、认证审核前，审核组长须与受审核方确认审核的可行性，特别应考虑：（

(A)核实组织申请认证范围内需接受审核的组织结构、场所分布等基本信息。 (B)注总审核的程序性安排事先应对受审核组织保密。

(C)注意审核拟访问的文件、记录、场所等事先应对受审核组织保密。 (D)要求受审核组织做好准备向审核组开放所有信息的访问权。 59、信息安全

11

）

管理体系认证

审核时，为了获取审核证据，应考虑的信息源为：（ )

(A)受审核方的办公自动化系统管理与维护相关的过程和活动。 (B)受审核方场所内已确定为涉及国家秘密的相关过程和活动。 (C)受审核方的核心财务系统的管理与维护相关的过程和活动。 (D)受审核方中请认证范_内的业务过程和活动。 60、认证审核时，审核组拟抽査的样本应：（

）

(A)山受审核方熟悉的人员事先选取，做好准备。 (B)由审核组明确总体并在受控状态下独立抽样。 (C)由审核组和受审核方人员协商抽样。 (D)由受审核方安排的向导实施抽样。

61、认证审核期间，当审核证据表明审核目的不能实现时，审核组应（ ）

(A)—起讨论，决定后续措施。 (B)审核组长权衡，决定后续措施。

(C)由受审核方决定后续措施。 (D)报告审核委托方并说明理由，确定后续措施。 62、认证审核时，对于审核组提出的不符合审核准则的审核发现，以下说法正确的是（）

(A)受审核方负责采取纠正措施，纠正措施的实施是审核活动的一部分。 (B)审核组须验证纠正措施的有效性，纠正措施的实施不是审核活动的一部分。 (C)审核组须就不符合项的原因分析提出建议，确定纠正措施是否正确。 (D)采取纠正措施是受审核方的职责，审核组什么都不做。 63、信息安全管理体系认证过程包含了：（ ）

(A)现场审核首次会议开始到末次会议结束的所有活动。 (B)从审核准备到审核报告提交期间的所有活动。 (C)一次初

12

审以及至少2

次监督审核的所有活动。

(D)从受理认证到证书到期期间所有的审核以及认证服务和管理活动。 64、第三方认证时的监督审核不一定是对整个体系的审核，以下说法正确的是：（

(A)组织获得认证范围内的职能区域可以抽查，但标准条款不可以抽查。 (B)组织获得认证范围内的业务过程可以抽沓，但职能区域不可以抽杳。

(C)组织获得认证范围内的业务过程和职能区域都不可以抽查，仅标准条款可以抽杳。 (D)标准条款可以抽查，但针对内审和管理评审以及持续改进方面的审核不可缺少。 65、设立信息安全管理体系认证机构，须得到以下哪个机构的批准，方可在中国境内从事认证活动：( )

(A)中国合格评定国家认可委员会 (B)屮国国家认证认可监督管理委员会 (C)中国认证认可协会 (D)工商注册管理部门

66、国家信息安全等级保护采取（ ）

（A）自主定级、自主保护的原则。 （B）国家保密部门定级、自主保护的原则。 （C）公安部门定级、自主保护的原则。

（D）国家保密部门定级、公安部门监督保护的原则。 67、信息安全管埋体系是指：（）

(A)信息系统设施 (B)防火墙

(C)组织建立信息安全方针和目标并实现这些目标的体系 (D)网络

13

）

维护人员的工

的目的包括：（ ）

（A）避免无意识的变更 （B)以减少潜在的计算机程序的破坏 （C）以防引入非授权功能 （D)维护所有软件更新的版本控制

33、应用系统的设计与实施宜确保导致完整性损坏的处理故障的风险减至最小，要考虑的特定范围包括：（）

（A）确认系统生成的输入数据

（B）使用添加、修改和删除功能，以实现数据变更 （C）使用适当的规程恢复故障，以确保数据的正确处理 （D）防范利用缓冲区超出/益处进行的攻击

34、与信息处理或通信系统的问题有关的用户或系统程序所报告的故障进行处置，处置规则包括：（）

（A）评审纠正措施，以及所采取措施给予了充分的授权 （B）评审故障日志，以确保故障已得到令人满意的解决

（C）如果具有出错记录的系统功能，宜确保该功能处于开启状态 （D）评审纠正措施，以确保没有损害控制措施

24

练习题三判断题

判断下列各题，正确的写T,错误的写F，填在下表相应位置中。 1、国家指定用途的特种钢的样材应按照“包含有信息的介质”处置。 2、“责任分割”适用于信息系统管理员和操作员的活动。 3、审核组要求受审方在不合格报告上签字是确认该审核发现。 4、认证结论的最终正式发布由审核组长决定。

5、审核员必须到现场跟踪验证受审核方纠正措施的有效性。 6、组织使用的开源软件不须考虑其技术脆弱性。

7、对于安全违规人员的正式纪律处理过程包括违规对业务造成的影响的评价。 8、只有在员工离职时，才需要撤销其访问权。

9、审核组在现场审核期间可保持灵活、变通，根据受审核方实际情况及时变更审核范围。 10、应用系统应在设计时考虑对输入数据、内部处理和输出数据进行确认的措施。 11、审核组的每一次审核，均应向委托方提交审核报告。 12、审核须采用基于证据的方法。

13、审核发现即审核组提出的不符合项报告。

14、监视和评审ISMS是为了统计和评估已造成不良后果的安全违规和事件。 15、受审核组织对于不符合项原因分析的准确性是影响纠正措施有效性的因素之一。 16、信息安全管理即信息系统设施的维护。

17、信息安全管理的持续改进就是信息系统技术的不断升级。 18、信息安全管理体系内部审核就是信息系统审计。

19、风险处置计划应包含计划的目标、职责分配、财务预算及时间表。 20、内审、管

25

理评审是信息

安全管理体系监视和测量的方法。

21、记录作为信息安全管理体系运行的证据，应具有可追溯性。 22、\适用性声明”应描述选择的控制措施，以及选择的理由。

23、文件控制指的是文件编制、评审、批准、发放、修订、作废等过程的控制。 24、ISMS范围内的资产负责人只能是网络管理员。

25、内审的目的是确定ISMS体系是否符合策划的安排并得到有效实施与保持。 26、数字签名可以有效对付的电子信总安全的风险是盗窃。 27、数据加密不能防止数据泄露。

28、TCP/IP协议族包含的面向连接的协议处于传输层。

29、建设网络中的一个设备发生故障，星型局域网更容易面临前全面的瘫痪 30、加密技术可以提高可用性。

26

练习题四案例分析题

请对以下场景进行分析，写出不符合标准条款的编号及内容，并写出不符合事实。 1、审査某知名网站的总部时，审核员来到公司陈列室发现任何客户可以随意进入，并且该陈列室中有5 台演示用的台式电脑可以连接外网和内网，现场有参观人员正在上网查询该公司网站的资料。

2、市核员在审核公司设备和网络操作机房时发现，作为公司资料和数据的中心，中心有程序文件（GX28) 规定必须对进出机房人员进行控制，除授权工作人员可凭磁卡进出外，其余人员进出均须办理准入和登记手续。现场发现未经授权的人员张XX进出机器和网络操作机房，却没有任何登记记录，工作人员解释说是供应商正在调试网络设备。

3、审核员扫描XX公司的网络，发现在用软件只有很少的计算机打了补丁程序，并且运行的操作系统上的多数软件是网络下载，多数是免费版本，现场管理人员认为下载的软件都是从知名网站上下载的,不会有问题。

4、xx银行在2008年一季度发生了10起开通网上转帐客户的资金损失事故，最后银行承认密码系统设计太简单，并赔偿客户损失。但在2008年4~5月又发生7起类似事故,系统管理说：“我

27

们目前也没有

办法， 只能赔款了”。

5、审核员在现场审核吋发现公司存有一份软件淸单，当询问淸单上所列的软件足否都是通过正规途径购买的软件，管理员回答有的是到正规商店，有的是通过网络购买的。

6、审核员来到某软件开发公司进行审核时，来到计算机机房时发现，公司的服务器、数据库均在内，中心内部设置有前、后两个门，前门有门禁系统，只有授权人员凭门卡能进入，而后门则锁住了，当询问谁有钥匙，机房主管回答：前门口保安有。当来到前门门岗时，发现钥匙挂在保安办公室的钥匙箱内，而该钥匙箱没有锁，保安主管说：有需要的时候任何人可以打开取钥匙且不用办理登记手续。

7、审核员在公司的资产登记表中发现，公司于年初将一批2003年购置的电脑特价处理给员工，这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理，该系统管理员说：“由于当时新进了许多新的电脑设备，需要安装调试，没空处理老的电脑，再说这些都是卖给自己员工的，他们本身就接触到这些信息。”

28

本文来源：https://www.bwwdw.com/article/t4rp.html