模拟练习题
信息安全管理体系国家注册审核员培训班考试试题
2015-06-08      来源:国家注册审核员网
【字体: 】              
 一、选择题(每题1分,共lO分)
 
(  )1.信息安全中的可用性是指_______
 
a)信息不能被未授权的个人,实体或者过程利用或知悉的特性
 
b)?;ぷ什淖既泛屯暾奶匦?/div>
 
c)根据授权实体的要求可访问和利用的特性
 
d)以上都不对
 
(  )2.审核证据是指________
 
a)与审核准则有关的,能够证实的记录、事实陈述或其他信息
 
b)在审核过程中收集到的所有记录、事实陈述或其他信息
 
c)一组方针、程序或要求
 
d)以上都不对
 
(  )3.______    属于系统威胁。
 a)不稳定的电力供应
 
 b)硬件维护失误
 
 c)软件缺乏审计记录
 
 d)口令管理机制薄弱
 
(  )4.管理体系是指______
 
a)建立方针和目标并实现这些目标的体系
 
b)相互关联和相互作用的一组要素
 
c)指挥和控制组织的协调的活动
 
d)以上都不对
 
(  )5.信息安全管理实用规则ISO/IECl7799属于_____标准?
 
a)词汇类标准
 
b)要求类标准
 
c)指南类标准
 
d)以上都不对
 
(  )6.在信息安全管理体系____阶段应测量控制措施的有效性?
 
a)建立
 
b)实施和运行
 
c)监视和评审
 
d)保持和改进
 
(  )7.风险评价是指______
 
a)系统地使用信息来识别风险来源和估计风险
 
b)将估计的风险与给定的风险准则加以比较以确定风险严重性的过程
 
c)指导和控制一个组织相关风险的协调活动
 
d)以上都不对
 
(  )8.可使用_______来?;さ缱酉⒌谋C苄院屯暾?/div>
 
a)密码技术
 
b)通信技术
 
c)控制技术
d)自动化技术
 
(  )9.现状不符合文件是指______
 
a)标准要求的没有写到
 
b)写到的没有做到
 
c)做到的没有达到目标
 
d)以上都不对
 
(  )10.以下属于计算机病毒感染事件的纠正措施的是_________
 
a)对计算机病毒事件进行响应和处理
 
b)将感染病毒的计算机从网络中隔离
 
c)对相关责任人进行处罚
 
d)以上都不是
 
二、判断题(每题1分,共10分)
 
你认为正确的在(  )中划“√”,错误的划“x”。
 
(   )1.客户资料不属于组织的信息资产。
 
(   )2.组织的安全要求全部来源于风险评估。
 
(  )3.通过使用资源和管理,将输入转化为输出的任意活动,称为过程。
 
(  )4.组织必须首先从ISO/IEC27001附录A的控制措施列表中选取控制措施。
 
(   )5.风险分析和风险评价的整个过程称为风险评估。
 
(   )6.控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响。
 
(   )7.“资产责任人”,要求与信息处理设施有关的所有资产都应由指定人员承担责任。
 
(   )8.网站信息由于属于公共可用信息,因此无须实施安全保密措施。
 
(   )9.审核范围必须与受审核方信息安全管理体系范围一致。
 
(   )10.当组织信息安全管理体系的基础发生重大变化而增加的一次审核称为监督审核。
 
 
三、填空题(每题1分,共5分)
 
  指出IS027001:2005标准中适用于下述情景的某项条款,请将条款号填在横线上。
 
  1.“信息安全管理部的员工根据风险评估的结果,正在选择适当的控制措施。”
 
    适用于这一情况的条款是——
 
  2.“某公司规定无论离职或调职,员工的原有系统访问权一律撤销。”
 
    适用于这一情况的条款是——
 
  3.“某公司在其机房内贴了一张行为准则,员工在机房内工作时必须遵守。”
 
    适用于这一情况的条款是——
 
  4.“公司重要服务器的操作记录中没有任何管理员操作的记录。”
 
    适用于这一情况的条款是——
 
  5.“某公司的信息系统中使用了密码手段来保障其信息安全,但该公司的相关工作人员对我国密码方面的法律法规一无所知。”
 
    适用于这一情况的条款是______
 
 
四、问答题(1—3题每题5分,共15分;4.5题每题15分,共30分;共45分)
 
1.什么是信息安全?组织的信息安全要求分为哪几类?并简要说明。
 
 
 
2.ISO/IEC 27001:2005附录A所列出的控制措施中,哪些条款体现了“管理者作用”,至少举出3条控制措施,并简要说明。
 
 
 
3.审核组进入审核现场后,通?;嵊心男┗嵋?各有什么作用?会议主持人一般由谁担任?
 
 
 
4.如果某软件开发公司涉及软件外包业务,请列出在软件外包的过程中所涉及的风险,并
 
从ISO/IEC 27001:2005附录A控制措施列表中选择适当的控制措施,作简要说明。
 
 
 
5.如何依据ISO/IEC 27001:2005审核A.10.7,组织应防止资产遭受未授权泄露、修改、
 
移动或销毁以及业务活动的中断
 
 
 
五、案例分析题(每题10分,共30分)
 
请根据所述情况判断:如能判断有不符合项,请写出不符合ISO/2700l:2005标准的条款号、内容和严重程度,并写出不符合事实,如提供的证据不能足以判断有不符合项时,请写出进一步审核的思路。
 
    判分标准:不符合条款2分,不符合标准的内容3分,不符合事实3分,不符合的严重程度2分。
 
1.审核员在看到某公司的意识及技能培训计划后,询问某公司工作人员对信息安全管理体系的认识,该工作人员回答,由于前段时间一直出差在外,所以还没有时问学习相关的体系文件。
 
 
 
2.审核员询问公司办公系统中某机器的操作系统升级情况时,使用人员说,我们使用的所有软件都是正版的,所以我在使用时直接设置为操作系统自动更新了,而且一直也没出现过什么问题,对业务没有任何影响。
 
 
 
3.审核员在某公司信息安全部看到几份安全事故处理报告,原因栏写的都是感染计算机病毒,工作人员说,我们已经严格规定了防病毒软件的使用及升级周期,但还是没有效果。

云南时时彩开奖 www.n69j3.cn  

手机扫一扫
加入国家注册审核员考试服务平台

微信号:ccaa315
功能介绍:国家注册审核员 考试通知、培训信息;
认证机构挂靠、人员注册、考试真题、模拟试题。