(B)法律、法规要求
(C)审核准则 (D)信息安全管理体系文件
20、审核准则有关的并且能够证实的记录、事实陈述或其他信息称为() (A)信息安全信息 (B)审核证据 (C)检验记录 (D)信息源 21、现场审核吋间应该包括()
(A)文件评审时间 (B)首、末次会议的时间 (C)编写审核报告的时间
(D)午餐时间
22、在第三方认证审核时,( )不是审核员的职责。(A)实施审核 (B)确定不合格项 (C)对发现的不合格项采取纠正措施 (D)验证受审核方所采取纠正措施的有效性 23、审核的工作文件包括(
)。
(A)检杳表 (B)审核抽样计划 (C)信息记录表格 (D) a+b+c
24、在市核中发现了正在使用的某个文件,这是( (A)审核准则 (B)审核发现 (C)审核证据 (D)車核结论 25、下列说法不正确的是(
)。
(A)审核组可以由一名或多名审核员组成 (B)至少配备一名经认可具有专业能力的成员 (C)实习审核
4
员可在技术专
)。
家指导下承担审核任务
(D)审核组长通常由高级审核员担任 26、现场审核的结束是指(
)。
(A)末次会议结束 (B)对不符合项纠正措施进行验证后 (C)发了经批准的审核报告时 (D)监督审核结束
27、信息安全管理体系中提到的“资产责任人”是指:( ) (A)对资产拥有财产权的人。 (B)使用资产的人。 (C)有权限变更资产安全属性的人。(D)资产所在部门负责人。 28、组织应给予信息以适当级别的保护,是指:(
)
(A)应实施尽可能先进的保护措施以确保其保密性。 (B)应按信息对于组织业务的关键性给予充分和必要的保护。 (C)应确保信息对于组织内的所有员工可用。 (D)以上都对。
29、认证审核时,审核组应:(
)
(A)在审核前将审核计划提交受审核方确认。 (B)在审核结朿时将帘核计划提交受屯核方确认。 (C)随着审核的进展与受审核方共同确认审核计划。 (D)将审核计划提交审核委托方批准即可。 30、考虑设备安全是为了:( )
(A)防止设备丢失、损坏带来的财产损失。 (B)有序保障设备维修时的备件供应。 (C)及时对
5
设备进行升级
和更新换代。
(D)控制资产的丢失、损坏、失窃、危及资产安全以及组织活动中断的风险。 31、信息处理设施的变更管理不包括:(
(A)信息处理设施用途的变更。 (B)信息处理设施故障部件的更换。 (C)信息处理设施软件的升级。 (D)以上都不对。
32、定期备份和测试信息是指:( )
(A)每次备份完成吋对备份结果进行检査,以确保备份效采。 (B)对系统测试记录进行定期备份。
(C)定期备份,定期对备份数据的完整性和可用性进行测试。 (D)定期检查备份存储介质的容量。
33、一个组织或安全域内所有信息处理设施」;;已设精确时钟源同步是为了:(
(A)便于针对使用信息处理设施的人员计算工时 (B)便于探测未经授权的信息处理活动的发生 (C)确保信息处理的及时性得到控制 (D)人员异地工作时统一作息时间。
34、第三方认证审核时,对于审核提出的不符合项,审核组应:( )
(A)与受审核方共同评审不符合项以确认不符合的条款。 (B)与受审核方共同评审不符合项以确认不符合事实的准确性。 (C)与受审核方共同评审不符合以确认不符合的性质。 (D)以上
6
)
都对。
35、为防止对网络服务的未授权访问,组织应:( )
(A)制定安全策略,确保用户应仅能访问已获专门授权使用的服务。 (B)禁止内部人员访问互联网。 (C)禁止外部人员访问组织局域网。 (D)以上都对。
36、组织应进行安全需求分析,规定对安全控制的要求,由(
(A)组织需建立新的信息系统时; (B)组织的原有信息系统扩容或升级时; (C)组织向顾客交付软件系统时; (D)A+B
37、确定资产的可用性要求须依据:( )
(A)授权实体的需求。 (B)信息系统的实际性能水平。 (C)组织可支付的经济成本。 (D)最高管理者的决定。 38、残余风险是:( )
(A)低于可接受风险水平的风险。 (B)高于可接受风险水平的风险。 (C)经过风险处置后剩余的风险。 (D)未经处置的风险。 39、国家对于经背性互联网信息服务实施:(
(A)备案制度。 (B)许可制度。
(C)行政监管制度。 (D)备案与行政监管相结合的管理制度。 40、网络路由控制应遵从:( )
(A)端到端连接最短路径策略; (B)信息系
7
)
)
统应用的最佳
效率策略;
(C)确保计算机连接和信息留不违反业务应用的访问控制策略; (D)A+B+C0
41、认证审核初审时,可以不进行第一阶段现场审核的条件之一是:( )
(A)审核组考虑时间效率可用一个阶段审核完成所有的审核准则要求。 (B)审核组长己充分了解受审核方的信息安全管理过程。 (C)受审核方认为一个阶段的审核能完成全部的审核要求。 (D)不允许第一阶段不进行现场审核的情况。 42、对于第三方服务提供方,以下描述正确的是:( )
(A)为了监视和评审第三方提供的服务,第三方人员提供服务时应有人员全程陪同。 (B)应定期度量和评价第三方遵从商定的安全策略和服务水平的程度。 (C)第三方服务提供方应有符合ITIL的流程。 (D)第三方服务的变更须向组织呈报以备案。 43、为了确保布缆安全,以下正确的做法是:( )
(A)使用同一电缆管道铺设电源电缆和通信电缆。 (B)网络电缆采用明线架设,以便于探查故障和维修。 (C)配线盘应尽量放置在公共可访问区域,以便于应急管理。 (D)使用配线标记和设备标记,编制配线列表。 44、针对获证组织扩大范围的审核,以下说法正确的是:(
)
(A)可以和监督审核?起进行。 (B)是监督审核的形式之一。 (C)一种特殊审核。 (D)以上都对。 45、对于针对
8
信息系统的软