ISOIEC270012022信息安全管理體系宣貫試題含答案

ISO/IEC27001:2022信息安全管理體系宣貫試題含答案第第頁ISO/IEC27001:2022信息安全管理體系宣貫試題含答案您的姓名：[填空題]*_________________________________您的部門：[單選題]*○行政人事部○市場營銷部○售前支持部○財務部○建設咨詢部○測試評估部○運維服務中心○質(zhì)量管理部一、單項選擇（共20題，每題3分，合計60分）1.根據(jù)ISO/IEC27002:2022，將列舉的安全控制項從114個減少至（）[單選題]*A.99B.93(正確答案)C.92D.902.根據(jù)ISO/IEC27001:2022，資產(chǎn)包括（）[單選題]*A.主要資產(chǎn)與輔助資產(chǎn)(正確答案)B.主要資產(chǎn)與次要資產(chǎn)C.物理資產(chǎn)與信息資產(chǎn)D.流程資產(chǎn)與活動資產(chǎn)3.根據(jù)ISO/IEC27001:2022，中斷屬于突發(fā)事件，無論是預期的還是意外的，都會導致根據(jù)組織的目標與預期的產(chǎn)品和服務交付產(chǎn)生計劃外的（）[單選題]*A.風險B.負偏差(正確答案)C.影響D.破壞4.根據(jù)ISO/IEC27001:2022，關于與特殊利益集團或論壇的聯(lián)系，以下說法不正確的是（）[單選題]*A.提高有關最佳實踐的知識并及時了解相關安全信息B.確保對信息安全環(huán)境的理解是最新的C.接收有關攻擊和漏洞的警報、建議和補丁的早期告警D.提供對組織威脅環(huán)境的認識，以便采取適當?shù)木徑獯胧?正確答案)5.有關存儲安全性，組織可參閱（）[單選題]*A.ISO/IEC27018B.ISO/IEC27017C.ISO/IEC23167D.ISO/IEC27040(正確答案)6.根據(jù)ISO/IEC27001:2022，應確保管理層了解他們在信息安全中的作用，并采取旨在確保所有人員（）其信息安全責任的行動。[單選題]*A.了解并履行(正確答案)B.滿足并實施C.定義并分工D.規(guī)劃并執(zhí)行7.有關云服務安全，組織可參閱（）[單選題]*A.ISO/IEC27018B.ISO/IEC27017(正確答案)C.ISO/IEC23167D.ISO/IEC270408.根據(jù)ISO/IEC27001:2022，以下不屬于終端設備的是（）[單選題]*A.臺式計算機B.IOT設備C.打印機D.手表(正確答案)9.《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。[單選題]*A.半年B.1年C.1.5年D.2年(正確答案)10.根據(jù)ISO/IEC27001:2022，關于云服務，以下說法不正確的是（）[單選題]*A.組織應定義與使用云服務相關的所有信息安全要求B.對于云服務的信息安全控制，應由云服務客戶的組織管理(正確答案)C.應確定如何獲得云服務提供商實施的信息安全控制的保證D.應確定如何更改或停止使用云服務，包括云服務的退出策略。11.以下哪項不是個人在個人信息處理活動中的權力（）[單選題]*A.知情權B.刪除權C.轉(zhuǎn)移權D.繼承權(正確答案)12.《計機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指:（）[單選題]*A.對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)(正確答案)B.計算機及其相關的設備、設施，不包括軟件C.計算機運算環(huán)境的總和，但不含網(wǎng)絡D.一個組織所有計算機的總和，包括未聯(lián)網(wǎng)的微型計算機13.根據(jù)ISO/IEC27001:2022，關于信息刪除，以下說法不正確的是（）[單選題]*A.在使用云服務的情況下，組織應驗證云服務提供商提供的刪除方法是否可接受B.刪除過時的版本、副本和臨時文件，無論它們位于何處C.對于某些設備（如智能手機）的安全刪除只能通過銷毀進行D.組織應對信息刪除做出正式記錄(正確答案)14.根據(jù)ISO/IEC27002:2022，最新版本中，新增了（）個控制項[單選題]*A.11(正確答案)B.14C.13D.1515.根據(jù)ISO/IEC27001:2022，（）指相互沖突的職責和責任范圍應分開。[單選題]*A.信息安全屬性B.信息安全組織C.訪問控制D.職責分離(正確答案)16．信息安全中的可用性是指（）[單選題]*A.信息不能被未授權的個人，實體或者過程利用或知悉的特性B.保護資產(chǎn)的準確和完整的特性C.根據(jù)授權實體的要求可訪問和利用的特性(正確答案)D.以上都不對17.組織的信息安全要求來源包括（）[單選題]*A.法律法規(guī)與合同要求B.風險評估的結(jié)果C.組織已有的原則、目標與要求D.a+b+c(正確答案)18.完整性是指（）[單選題]*A.根據(jù)授權實體的要求可訪問的特性B.信息不被授權的個人、實體或過程利用或知悉的特性C.保護資產(chǎn)準確和完整的特性(正確答案)D.以上都不對19.編制內(nèi)部審核實施計劃時，應考慮(),才能合理的安排時間和審核員，以保證審核有計劃的順利進行。[單選題]*A.上次審核的結(jié)果B.某個部門在體系中的重要程度C.主要過程、風險因素的分布D.a+b+c(正確答案)20.關于信息系統(tǒng)登陸，以下做法不正確的是（）[單選題]*A.必要時，使用密碼技術、生物識別等替代口令B.用提示信息告知用戶輸入的口令是否正確(正確答案)C.明確告知用戶應遵從的優(yōu)質(zhì)口令策略E.適用互動式管理確保用戶使用優(yōu)質(zhì)口令二、判斷（共20題，每題2分，合計40分）1.個人信息處理者可以拒絕提供服務給個人不同意處理其個人信息或者撤銷同意的（）[單選題]*正確(正確答案)錯誤2.個人信息處理者在合理的范圍內(nèi)處理已公開的個人信息無需取得個人同意（）[單選題]*正確錯誤(正確答案)3.組織應根據(jù)業(yè)務和信息安全要求建立和實施控制對信息和其他相關資產(chǎn)的物理和邏輯訪問的規(guī)則。（）[單選題]*正確(正確答案)錯誤4.監(jiān)控系統(tǒng)的設計應該保密，因為披露可能會促進未被發(fā)現(xiàn)的闖入。（）[單選題]*正確(正確答案)錯誤5.技術漏洞管理可以被視為變更管理的子功能（）[單選題]*正確(正確答案)錯誤6.組織應確保對信息安全事件進行有效分類和優(yōu)先排序。（）[單選題]*正確(正確答案)錯誤7.中華人民共和國網(wǎng)絡安全法自2016年11月7日起施行（）[單選題]*正確錯誤(正確答案)8.應在意識、教育或培訓活動結(jié)束時評估人員的理解，以測試知識轉(zhuǎn)移和意識、教育和培訓計劃的有效性。（）[單選題]*正確錯誤(正確答案)9.包含被分類為敏感或關鍵信息的系統(tǒng)的輸出應帶有適當?shù)姆诸悩撕?。（）[單選題]*正確(正確答案)錯誤10.個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類等，無須取得個人同意。（）[單選題]*正確錯誤(正確答案)11、組織的安全要求全部來源于風險評估。（）[單選題]*正確錯誤(正確答案)12、機密性、完整性和可用性是評價信息資產(chǎn)的三個安全屬性。（）[單選題]*正確(正確答案)錯誤13、末次會議意味著一次現(xiàn)場審核的結(jié)束。（[單選題]*正確(正確答案)錯誤14、管理評審的目的是確保信息安全管理體系的適宜性、充分性、有效性。（）[單選題]*正確(正確答案)錯誤15、為了滿足風險接受準則所必須進行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證明相關風險已被負責人員接受。（）[單選題]*正確(正確答案)錯誤16、建議的殘余風險必須獲得管理者的批準。（）[單選題]*正確(正確答案)錯誤17、計算機信息系統(tǒng)是指由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等