模擬練習題
ISO27001信息安全管理體系審核員培訓測試
2015-06-08      來源:國家注冊審核員網
【字體: 】              

一、以下對于信息安全管理體系的敘述,哪個個是不正確的?

A.只規范公司高層與信息安全人員的行為;
B.針對組織內部所使用的信息,實施全面性的管理;
C.為了妥善?;ば畔⒌幕芐?、完整性和可用性;
D.降低信息安全事件的沖擊至可承受的范圍;
E.分為PDCA(計劃—執行—檢查—行動)四大部份,循環執行,不斷改進。
 
二、以下對于PDCA(計劃—執行—檢查—行動)的敘述,哪個是正確的?
A.其中的重點在于P(計劃);
B.依據PDCA的順序順利執行完一次,即可確保信息安全;
C.需依據管理層審查結果采取矯正與預防措施,以達到持續改進的目的;
D.如果整體執行過程中C(檢查)的過程過于繁復,可予以略過;
E.以上皆非。
 
三、下列那個項目不屬于ISO27001認證標準所涵蓋的十一個管理要項? 
A.信息安全政策;
B.組織安全;
C.人員安全;
D.復雜性;
E.訪問控制。
 
四、下列對于風險的敘述,哪個是正確的?   
A.風險分析:針對無法改善的風險進行分析;
B.風險管理:列出所有可能存在的風險清單;
C.風險評估:把所估計的風險與已知的風險標準作比較,以決定風險的重要性;
D.風險處理:為了將風險降為零風險所采取的行動;
E.可接受風險:可接受進行改善的風險。
 
五、以下哪項符合信息安全管理體系有關“文件記錄控制”的要求? 
A.文件都必須電子化;
B.信息安全管理體系所需的文件僅需?;?,但無須控制;
C.所有文件應依據信息安全管理體系的政策要求在需要時即可供被授權人取用;
D.文件紀錄必須全部由一人保管;
E.為提供信息安全管理體系有效運作的證據所建立之紀錄不屬于管制范圍。
 
六、對于“信息安全管理體系”,下列哪些不屬于管理層的責任?  
A.提供信息安全管理工作的必要資源;
B.決定可接受風險的等級;
C.定期舉行相關教育訓練,增進員工信息安全的認知;
D.為信息安全系統購買保險;
E.建立一份信息安全政策。
 
七、以下針對信息安全系統審計的敘述,哪個是不正確的?  
A.審計方案應予以事先規劃;
B.目的在于確保信息安全管理體系的控制目標與控制措施是否有效地實施與維持;
C.基于對業務的了解,應由各部門主管審計其所負責的業務;
D.對于審計結果應有適當的跟進措施;
E.審計人員的遴選與審計的執行,應確保審計過程的客觀性與公正性。
 
八、以下對于信息安全管理體系改進的敘述,哪個是不正確的? 
A.改進的目的在于確認信息安全管理系統的有效性;
B.為了防止不符合事項再度發生,應將該事項從信息安全管理體系中移除;
C.包含矯正措施與預防措施;
D.應在信息安全管理體系中制定相應的文件化程序;
E.應決定相關措施,以消除未來不符合信息安全管理體系要求的事項。
 
九、以下對于“安全方針”的敘述,哪個是不正確的?  
A.管理層應設定一個明確的政策方向,展現對信息安全的支持與承諾;
B.安全方針應以適當方式向所有員工公布與宣導;
C.安全方針應有專人依據規定的審核過程對其進行維護與審核;
D.安全方針一經確定即無法隨意修改;
E.方針應說明組織管理信息安全的方法。
 
十、以下對于“信息安全組織”的敘述,哪個是不正確的? 
A.其目標為在組織中管理信息安全;
B.個別資產的?;ぴ鶉渭爸蔥刑囟ò踩絳虻腦鶉斡γ魅坊?;
C.應參考信息安全專家的建議;
D.應減少與其它組織間的合作;
E.需有獨立的信息安全審計。
 
十一、針對“第三方存取”與“外包作業”的敘述,哪個是正確的? 
A.為了降低風險,應減少「第三方存取」與「外包作業」;
B.第三方存取組織信息處理設施的風險應予評估,并實施適當的安全控制措施;
C.將信息處理責任外包時,信息安全的責任也隨之轉嫁;
D.應限制外包單位不得使用組織的任何信息設備;
E.由于已簽訂外包合同,對于第三方存取組織的信息處理設施無須控制。
 
十二、以下對于“資產分類及控制”之敘述,哪個是不正確的?   
A.所有主要的信息資產應由高級管理人員負責保管;
B.應制作所有與每一信息系統相關重要資產的清冊并進行維護;
C.應制訂一套與組織采用的分類方式相符的信息標識和處理流程;
D.信息分類與相關?;た刂拼朧┯悸瞧笠倒蠶砘螄拗菩畔⒌男棖?;
E.其目標在于維護組織資產并給予適當的?;?。
 
十三、以下對于“人力資源安全”的敘述,哪個是不正確的?  
A.組織信息安全方針中規定的安全角色與職務應在工作職責中予以文件化;
B.組織內所有員工及相關第三方的用戶皆應接受適當的信息安全教育訓練;
C.目標在于確保員工的人身安全,避免發生意外; 
D.正式員工、承包商及臨時工在申請工作時即應進行背景調查;
E.員工應簽署保密協議,作為任用的首要條件和限制的一部分。
 
十四、員工察覺“安全及失效事件”發生時,應立即采取何種行動? 
A.分析事件發生的原因;
B.盡快將事件掩蓋過去;
C.修正信息安全目標;
D.查閱信息安全相關文件;
E.遵循適當的管理途徑盡快通報。
 
十五、以下對于“安全區域”的說明,哪個是不正確的?
A.其目標是避免營運場所及信息遭未經授權存取、損害與干擾;
B.劃設為安全區域的場所已有適當控管,可容許任何人進出;
C.應設立安全區域,以提供特殊安全需求;
D.在安全區域內工作時應采取額外的控制措施及指引,以強化該區域的安全性;
E.裝卸區應予管制,若可能,應與信息處理設施隔離,避免遭未授權進入。
 
十六、以下對于“設備安全”的相關行為,哪個是不適當的? 
A.應?;ど璞附檔屠醋曰肪車耐布霸趾?;
B.?;ど璞覆皇艿緦收霞捌淥緦σ斐S跋?;
C.?;ご褪莼蛑С中畔⒎竦牡繚從臚ㄑ獨孿?,以防止竊聽或破壞;
D.設備在報廢或再使用前將信息清除;
E.設備一律禁止攜出組織外使用。
 
十七、以下何種行為不符合“通信和操作安全”的要求?  
A.信息處理設施與系統的變更應予控制;
B.職務與責任范圍應予區分,以降低信息或服務遭未授權修改或誤用的機會;
C.安全政策所規定的作業程序應制作文件紀錄并進行維護;
D.開發與測試工作可在正式生產設備上進行,以降低營運成本;
E.使用外部設施管理服務前,應識別風險并制訂適當的控制措施。
 
十八、下列對于“信息的交換”的敘述,哪個是不正確的?   
A.組織間交換信息與軟件的行為應有協議或合約規范;
B.應制定電子郵件使用政策,嚴格執行控管;
C.使用網絡及時通訊軟件(如MSN)進行文件傳送以便于實現傳送的方便性及隱密性;
D.重要信息對外公開前應有正式授權程序,且該信息的完整性應予?;?;
E.運送的儲存媒體應予?;?,防止未經授權遭存取。
 
十九、下列對于“用戶訪問控制”的敘述,哪個是不正確的?   
A.應制定正式用戶注冊及注銷流程;
B.特殊權限的分配與使用應受限制與控管;
C.要確保信息系統的訪問權限被恰當地授權、配置及維護;
D.為減少賬號個數,降低日常作業成本,可采多人共享一組賬號密碼的方式;
E.管理層應定期執行正式程序復核用戶訪問權限。
 
二十、下列行為哪個不符合“網絡訪問控制”的安全需求?   
A.網絡應有控制措施,將信息服務、用戶及信息系統群組分離;
B.用戶網絡聯機能力應僅限于共享網絡;
C.組織應對其使用的所有網絡服務的安全特性提供一份清楚說明的文件;
D.遠程使用者的存取應有身份鑒別;
E.為便利用戶,應設置開放的網絡環境,以確保用戶可直接存取任何他所想使用的服務。
 
二一、對于“監控系統”的存取與使用,下列哪個是正確的?  
A.監控系統所產生的記錄可由用戶任意存??;
B.計算機系統時鐘應予同步;
C.只有當系統發生異常事件及其他安全相關事件時才需進行監控;
D.監控系統投資額龐大,并會影響系統效能,因此可以予以暫時省略;
E.以上皆非。
 
二二、以下各項行為,哪個不能確保“應用系統的安全”? 
A.輸入、輸出數據應進行確認;
B.對于有?;は⒛諶萃暾緣陌踩蟮撓τ貿絳?,應采用消息鑒別機制;
C.要有適當的審計記錄或活動日志;
D.系統內應有確認檢查機制,以檢測所處理數據的完整性;
E.為加快數據傳輸時的速度,降低系統反應時間,任何數據皆可使用明碼傳輸。
 
二三、下列哪項不是維護“開發和支持過程中的安全”的方法? 
A.應阻止用戶修改軟件包,必要的修改應嚴格管制;
B.應用系統若有變更,應進行適當審核與測試;
C.應采取正式變更管理程序以嚴格控制變更作業的實施;
D.軟件應盡量采用自行開發避免外包或采購;
E.軟件的采購應注意其是否內藏隱密通道及特洛依木馬程序。
 
二四、為確保“業務連續性管理”,以下哪些行為應該加以避免?   
A.應分析各種災難、安全缺失和損失服務對業務所可能產生的后果;
B.全組織連續營運措施的制訂與維護,有明確管理的過程;
C.應等待企業營運過程發生中斷或失效時,再來制訂相關的策略計劃;
D.應維持單一營運持續計劃的框架,以確保所有計劃皆一致;
E.營運持續計劃應定時測試,并通過定期審查加以維護。
 
二五、以下對于信息安全管理體系中“符合性”的敘述,哪個是不正確的?  
A.清楚識別所有與信息系統有關的法規;
B.組織重要記錄應予文件化后進行?;?;
C.避免使用具有知識產權的專利軟件產品;
D.要?;じ鋈誦畔⒌氖縈胍?;
E.信息系統的管理要依據行政命令、法律規章或合同的安全要求。
手機掃一掃
加入國家注冊審核員考試服務平臺

微信號:ccaaxue
功能介紹:國家注冊審核員 考試通知、培訓信息;
認證機構掛靠、人員注冊、考試真題、模擬試題。