模擬練習題
信息安全管理體系國家注冊審核員培訓班考試試題
2015-06-08      來源:國家注冊審核員網
【字體: 】              
 一、選擇題(每題1分,共lO分)
 
(  )1.信息安全中的可用性是指_______
 
a)信息不能被未授權的個人,實體或者過程利用或知悉的特性
 
b)?;ぷ什淖既泛屯暾奶匭?/div>
 
c)根據授權實體的要求可訪問和利用的特性
 
d)以上都不對
 
(  )2.審核證據是指________
 
a)與審核準則有關的,能夠證實的記錄、事實陳述或其他信息
 
b)在審核過程中收集到的所有記錄、事實陳述或其他信息
 
c)一組方針、程序或要求
 
d)以上都不對
 
(  )3.______    屬于系統威脅。
 a)不穩定的電力供應
 
 b)硬件維護失誤
 
 c)軟件缺乏審計記錄
 
 d)口令管理機制薄弱
 
(  )4.管理體系是指______
 
a)建立方針和目標并實現這些目標的體系
 
b)相互關聯和相互作用的一組要素
 
c)指揮和控制組織的協調的活動
 
d)以上都不對
 
(  )5.信息安全管理實用規則ISO/IECl7799屬于_____標準?
 
a)詞匯類標準
 
b)要求類標準
 
c)指南類標準
 
d)以上都不對
 
(  )6.在信息安全管理體系____階段應測量控制措施的有效性?
 
a)建立
 
b)實施和運行
 
c)監視和評審
 
d)保持和改進
 
(  )7.風險評價是指______
 
a)系統地使用信息來識別風險來源和估計風險
 
b)將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程
 
c)指導和控制一個組織相關風險的協調活動
 
d)以上都不對
 
(  )8.可使用_______來?;さ繾酉⒌謀C芐院屯暾?/div>
 
a)密碼技術
 
b)通信技術
 
c)控制技術
d)自動化技術
 
(  )9.現狀不符合文件是指______
 
a)標準要求的沒有寫到
 
b)寫到的沒有做到
 
c)做到的沒有達到目標
 
d)以上都不對
 
(  )10.以下屬于計算機病毒感染事件的糾正措施的是_________
 
a)對計算機病毒事件進行響應和處理
 
b)將感染病毒的計算機從網絡中隔離
 
c)對相關責任人進行處罰
 
d)以上都不是
 
二、判斷題(每題1分,共10分)
 
你認為正確的在(  )中劃“√”,錯誤的劃“x”。
 
(   )1.客戶資料不屬于組織的信息資產。
 
(   )2.組織的安全要求全部來源于風險評估。
 
(  )3.通過使用資源和管理,將輸入轉化為輸出的任意活動,稱為過程。
 
(  )4.組織必須首先從ISO/IEC27001附錄A的控制措施列表中選取控制措施。
 
(   )5.風險分析和風險評價的整個過程稱為風險評估。
 
(   )6.控制措施可以降低安全事件發生的可能性,但不能降低安全事件的潛在影響。
 
(   )7.“資產責任人”,要求與信息處理設施有關的所有資產都應由指定人員承擔責任。
 
(   )8.網站信息由于屬于公共可用信息,因此無須實施安全保密措施。
 
(   )9.審核范圍必須與受審核方信息安全管理體系范圍一致。
 
(   )10.當組織信息安全管理體系的基礎發生重大變化而增加的一次審核稱為監督審核。
 
 
三、填空題(每題1分,共5分)
 
  指出IS027001:2005標準中適用于下述情景的某項條款,請將條款號填在橫線上。
 
  1.“信息安全管理部的員工根據風險評估的結果,正在選擇適當的控制措施。”
 
    適用于這一情況的條款是——
 
  2.“某公司規定無論離職或調職,員工的原有系統訪問權一律撤銷。”
 
    適用于這一情況的條款是——
 
  3.“某公司在其機房內貼了一張行為準則,員工在機房內工作時必須遵守。”
 
    適用于這一情況的條款是——
 
  4.“公司重要服務器的操作記錄中沒有任何管理員操作的記錄。”
 
    適用于這一情況的條款是——
 
  5.“某公司的信息系統中使用了密碼手段來保障其信息安全,但該公司的相關工作人員對我國密碼方面的法律法規一無所知。”
 
    適用于這一情況的條款是______
 
 
四、問答題(1—3題每題5分,共15分;4.5題每題15分,共30分;共45分)
 
1.什么是信息安全?組織的信息安全要求分為哪幾類?并簡要說明。
 
 
 
2.ISO/IEC 27001:2005附錄A所列出的控制措施中,哪些條款體現了“管理者作用”,至少舉出3條控制措施,并簡要說明。
 
 
 
3.審核組進入審核現場后,通?;嵊心男┗嵋?各有什么作用?會議主持人一般由誰擔任?
 
 
 
4.如果某軟件開發公司涉及軟件外包業務,請列出在軟件外包的過程中所涉及的風險,并
 
從ISO/IEC 27001:2005附錄A控制措施列表中選擇適當的控制措施,作簡要說明。
 
 
 
5.如何依據ISO/IEC 27001:2005審核A.10.7,組織應防止資產遭受未授權泄露、修改、
 
移動或銷毀以及業務活動的中斷
 
 
 
五、案例分析題(每題10分,共30分)
 
請根據所述情況判斷:如能判斷有不符合項,請寫出不符合ISO/2700l:2005標準的條款號、內容和嚴重程度,并寫出不符合事實,如提供的證據不能足以判斷有不符合項時,請寫出進一步審核的思路。
 
    判分標準:不符合條款2分,不符合標準的內容3分,不符合事實3分,不符合的嚴重程度2分。
 
1.審核員在看到某公司的意識及技能培訓計劃后,詢問某公司工作人員對信息安全管理體系的認識,該工作人員回答,由于前段時間一直出差在外,所以還沒有時問學習相關的體系文件。
 
 
 
2.審核員詢問公司辦公系統中某機器的操作系統升級情況時,使用人員說,我們使用的所有軟件都是正版的,所以我在使用時直接設置為操作系統自動更新了,而且一直也沒出現過什么問題,對業務沒有任何影響。
 
 
 
3.審核員在某公司信息安全部看到幾份安全事故處理報告,原因欄寫的都是感染計算機病毒,工作人員說,我們已經嚴格規定了防病毒軟件的使用及升級周期,但還是沒有效果。

 

手機掃一掃
加入國家注冊審核員考試服務平臺

微信號:ccaaxue
功能介紹:國家注冊審核員 考試通知、培訓信息;
認證機構掛靠、人員注冊、考試真題、模擬試題。