国际信息安全管理体系标准，2023年10月信息安全管理体系基础（部分）真题、解析及试卷分析

D.风险处置计划的完备性

答案：A

解析：GB/T -2020 《信息技术安全技术信息安全管理体系审核指南》6.4.3.1/ IS 6.4.3审核实施阶段的文件评审 ISMS审核员宜验证审核准则所要求的且与审核范围相关的文件化信息是否存在考证含金量排行榜，并符合审核准则要求。ISMS审核员宜确认审核范围内所确定的控制与风险评估和风险处置结果相关，并可追溯到信息安全方针和目标。此题可用排除法，信息安全管理手册它是一个指导和规范组织信息安全工作的文件，一般是由体系负责人根据已有的信息安全管理政策和策略制定的，没有涉及风险评估和风险处置，因此是不属于文件评审内容的。【2023年05月信息安全管理体系真题】

10.某公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关？（ ）。

A.机房设备面临被盗的风险

B.机房设备面临受破坏的风险

C.机房设备面临灰尘的风险

D.机房设备面临人员误入的风险

答案：D

解析：abcd四项都是风险国际信息安全管理体系标准，但临街窗户不会导致人员误入，如果是临街的门是存在此风险的。ABC三项符合逻辑，故本题选D。【2022年12月信息安全管理体系真题】

11.根据GB/-2016标准的要求，在规划如何达到信息安全目标时国际信息安全管理体系标准，2023年10月信息安全管理体系基础（部分）真题、解析及试卷分析，组织应确定（ ）。

A.要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果

B.要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果

C.要做什么，需要什么资源，由谁负责，什么时候完成如何评价结果

D.要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果

答案：C

解析：GB/T —2016/6.2信息安全目标及其实现规划：在规划如何达到信息安全目标时，组织应确定；f） 要做什么；g）需要什么资源；h） 由谁负责；i） 什么时候完成j）如何评价结果。【2018年03月信息安全管理体系真题】

12.某数据中心申请ISMS认证的范围为”IDC基础设施服务的提供”，对此以下说法正确的是（ ）。

A.A.8可以删减

B.A.12可以删减

C.A.14可以删减

D.以上都对

答案：C

解析：数据中心主要工作职责是运维护服务，不涉及A.14开发内容，不适用条款可删减。【2022年12月信息安全管理体系真题】

13. ISO/描述的风险分析过程不包括（ ）。

A.分析风险发生的原因

B.确定风险级别

C.评估识别的风险发生后，可能导致的潜在后果

D.评估所识别的风险实际发生的可能性

答案：A

解析：GB/T -2016/1SO/IEC :2013/6.1.2信息安全风险评估d） 分析信息安全风险；1）评估6.1.2c） 1）中所识别的风险发生后，可能导致的潜在后果；2）评估6.1.2c） 1）中所识别的风险实际发生的可能性；3）确定风险级别。【2021年10月信息安全管理体系真题】

14. 防火墙提供的接入模式不包括（ ）。

A.透明模式

B.混合模式

C.网关模式

D.旁路接入模式

答案：D

解析：防火墙（英语：）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络与其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。【2021年10月信息安全管理体系真题】

15.根据GB/-2016标准的要求，建立ISMS体系的目的，是为了充分保护信息资产并给予（ ）信心。

A.相关方

B.供应商

C.顾客

D.上级机关

答案：A

解析：

GB/T -2016引言/0.1总则 组织信息安全管理体系的建立和实现受组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立风险得到充分管理的信心。【2021年10月信息安全管理体系真题】

16. 下列关于DMZ区的说法错误的是（ ）。

A.DMZ可以访问内部网络

B.通常DMZ包含允许来自互联网的通信可进行的设备，如WEB服务器、FTP服务器、SMTP服务器和DNS服务器等C.内部网络可以无限制地访问外部网络以及DMZ

D.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作

答案：A

解析：DMZ Zone （非安全系统与安全系统之间的缓冲区）应用：1.内网可以访问外网；2.内网可以访问DMZ；3.外网不能访问内网；4.外网可以访问DMZ；5.DMZ访问内网有限制；6.DMZ不能访问外网【2021年05月信息安全管理体系真题】

17.根据GB/-2016标准，组织应在相关（ ）上建立信息安全目标。A.组织环境和相关方要求

B.战略和意思

C.战略和方针

D.职能和层次

答案：D

GB/-2016/6.2信息安全目标及其实现规划 组织应在相关职能和层级上建立信息安全目标。【2021年10月信息安全管理体系真题】

18.在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（ ）。

A.设备要求和网络要求

B.硬件要求和软件要求

C.物理要求和应用要求

D.技术要求和管理要求

答案：D

解析：GB/T -2008 《信息安全技术信息系统安全等级保护基本要求》附录B a）明确信息系统应该具有的安全保护能力，根据信息系统的安全保护等级选择基本安全要求，包括技术要求和管理要求。【2021年10月信息安全管理体系真题】

19. 根据GB/-2016标准，最高管理层应（ ），以确保信息安全管理体系符合本标准要求。

A.分配职责与权限

B.分配岗位与权限

C.分配责任和权限

D.分配角色和权限

答案：C

解析：GB/-2016/5.3 织的角色，责任和权限 最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。【2018年09月信息安全管理体系真题】

20.根据GB/标准，保密性是指（ ）。

A.根据授权实体的要求可访问的特性

B.信息不被未授权的个人、实体或过程利用或知悉的特性

C.保护信息准确和完整的特性

D.保证信息不被其他人使用

答案：B

解析：GB/T -2017/2.12 保密性 信息对未授权的个人、实体或过程不可用或不泄露的特性。【2022年12月信息安全管理体系真题】

[多选题]

1. 根据GB/T -2016标准的要求，下列说法正确的是（ ）。

A.残余风险需要获得风险责任人的批准

B.适用性声明需要包含必要的控制及其选择的合理性说明

C.所有的信息安全活动都必须有记录

D.组织控制下的员工应了解信息安全方针

答案：A,B,D

解析：GB/T -2016 A选项正确，参考,1,3 f）获得风险责任人对信息安全处置计划以及对信息安全参与风险的接受的批准。B项正确， ,1,3d）适用性声明，包含必要的控制及其选择的合理性说明，以及对附录A控制删减的合理性说明。D项正确，,3 a）组织控制下的员工应了解信息安全方针。C选项错误，描述过于绝对。综上，本题选ABD。【2020年11月信息安全管理体系真题】

2. 根据ISO/标准，风险处置的可选措施包括（ ）。

A.风险识别

B.风险分析

C.风险转移

D.风险减缓

答案：C,D

解析：GB/-2015在风险处置环节，可以包括风险接受、风险降低、风险转移、风险规避。风险减缓，使残余风险能够再被评估时达到可接受的级别。【2022年12月信息安全管理体系真题】

3.根据《网络安全等级保护基本要求》要求，对风险安全等级三级及以上系统，以下说法正确的是（ ）。

A.采用双重身份鉴别机制

B.对用户和数据采用安全标记

C.系统管理员可任意访问日志记录

D.三年开展一次网络安全等级测评工作

答案：A,B

解析：【2019年11月信息安全管理体系真题】

4. 含有敏感信息的设备的处置可采取（ ）。

A.格式化处理

B.采取使原始信息不可获取的技术破坏或删除

C.多次地写覆盖

D.彻底摧毁

答案：B,C,D

解析：-2016/11.2.7设备的安全处置或再利用 包含存储介质的设备的所有项目应进行检查，以确保在处置之前，任何敏感信息和注册软件已被删除或安全的写覆盖。【2022年12月信息安全管理体系真题】

[判断题]

1.ISO/是信息技术安全技术可识个人信息（PII）处理者在公有云中保护PII实践指南。（ ）

答案：对

解析：

GB/T -2017/ISO/IEC :2016/4.5.5 ISO/IEC

信息技术安全技术可识别个人信息（PII）处理者在公有云中保护PII的实践指南。【2023年05月信息安全管理体系真题】

2.根据GB/标准，信息安全事件分级考虑的要素主要包括信息系统的重要程度和社会影响，系统损失。（ ）

答案：对

解析：GB/Z -2007

5信息安全事件分级

5.1分级考虑要素

5.1.1 概述

对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响。

3.利用生物信息进行身份鉴别，包括生物行为特征鉴别及生物特征鉴别。（ ）

答案：对

解析：生物信息鉴别身份主要是通过分析和比较个体的生理和行为特征来达到确认身份的目的。生物行为特征鉴别主要是通过观察和分析个体的行为习惯，如步态、签名、声音等，来鉴别身份。因为这些行为习惯在很大程度上是具有独特性和稳定性的，所以可以用来作为身份确认的依据。而生物特征鉴别则是利用个体独特的生理特征，如指纹、面部特征、虹膜等来进行身份验证。这些生理特征具有高度的唯一性，因此可以作为准确的身份鉴别手段。所以应选A。【2018年09月信息安全管理体系真题】

4.信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（ ）

答案：错

解析：本题错误。题干中的“所有”过于绝对，参见组织环境，组织应根据信息安全管理体系的边界及适用性来建立其范围。【2021年10月信息安全管理体系真题】

5. 对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（ ）

答案：对

解析：风险接受准则应根据组织的目标、价值观和特定情境来制定。对于导致不符合法律法规的风险，由于可能涉及到法律责任和声誉损害，这样的风险通常是不可接受的。而对于违背合同要求的风险，虽然也是高风险，但组织可能会权衡其与合同方的关系、经济成本等因素，并决定接受这种风险。因此，答案是A.正确。【2021年05月信息安全管理体系真题】

6.信息系统中的”单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（ ）

答案：错

解析：”单点故障”指的是系统中的一个故障点，一旦发生故障将导致整个系统瘫痪。这是一种极高的风险等级事件。【2019年11月信息安全管理体系真题】

7. GB/-2020是等同采用国际标准ISO/的国家标准。（ ）

答案：对

解析：GB/-2020前言 本标准使用翻译法等同采用ISO/IEC :2017 《信息技术安全技术信息安全管理体系审核指南》【2021年10月信息安全管理体系真题】

以上仅发布了本次考试多涉及的以往真题，我们的信息安全题库目前已更新完成。相关题库持续更新中，尽请关注。

本人通过多年的学习、考试经验，得出了一些学习考试心得，会陆续分享一些文章或进行网络直播，您可以关注我的公众号，并分享给您身边需要的人!大家如果在考试过程中有疑问，可以添加我的个人微信向我咨询，也可以加入微信群来一起学习、交流。

（友情提醒：我们将重磅推出信息安全管理考试直播课，由工作经验丰富，审核能力扎实的老师授课，尽请期待！！！）

安全管理体系图片，27001信息安全管理体系认证（ISO27001认证的重要性）

随着信息技术的高速发展安全管理体系图片，27001信息安全管理体系认证（ISO27001认证的重要性），我们已经身处信息时代安全管理体系图片，计算机网络成为我们生活工作之中重要的工具，信息成为了生产资料和产品。组织业务对计算机、网络、信息，成为重要资产。可是在计算机、网络的服务业务中受到安全威胁。如：病毒威胁、黑客攻击、信息系统瘫痪、网络、重要信息丢失、信息人员意识淡薄、不可抗力因素等等。对信息安全的管理手段刻不容缓。

信息安全管理体系为组织提供建立、实施、保持和持续改进的信息安全要求。为企业在组织中所有的人员资源进行信息安全管理。保证组织信息资产不受侵害。

对于信息安全管理体系对于所有的企业都适应，任何公司都有核心技术与研究成果，可以说所有的企业都要做信息安全。

1) 预防信息安全事故，保证组织业务的连续性考证含金量排行榜，使组织的重要信息资产受到与其价值相符的保护，包括防范：

l 重要的商业秘密信息的泄漏、丢失、篡改和不可用；

l 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；

2) 节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：

l 依据信息资产的风险级别，安排安全控制措施的投资优先级；

l 对于可接受的信息资产的风险，不投资安全控制；

3) 保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会；

增强客户、合作伙伴等相关方的信任和信心。