2023年10月信息安全管理體系基礎(chǔ)考試難度應(yīng)屬于正常難度，經(jīng)統(tǒng)計，單選題有20題重復(fù)真題，多選題有4道重復(fù)真題，判斷題有7道重復(fù)真題，所占分值為45分。信息安全管理體系基礎(chǔ)這科，相對其它科目依然比較難。

[單選題]

1.在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會是（ ）。

A.ISO/IECJTC1SC27

B.ISO/IECJTC1SC40

C.ISO/IECTC27

D.ISO/IECTC40

答案：A

解析：GB/T 29246-2017/ISO/IEC 27000:2016 引言0.2信息安全管理體系標(biāo)準(zhǔn)族 注：通用標(biāo)題《信息技術(shù)安全技術(shù)》是指這些標(biāo)準(zhǔn)是由ISO/IEC的信息技術(shù)委員會（JTC1）下屬的安全技術(shù)分委員會（SC27）的。【2021年05月信息安全管理體系真題】

2.下面哪個不是《中華人民共和國密碼法》中密碼的分類？（ ）

A.核心密碼

B.普通密碼

C.國家密碼

D.個人密碼

答案：D

解析：《中華人民共和國密碼法》

第七條國家將密碼分為核心密碼、普通密碼、商用密碼，實行分類管理。【2021年05月信息安全管理體系真題】

3. 依據(jù)GB/T22080/ISO/IEC27001，信息分類方案的目的是（ ）。

A.劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤。

B.劃分信息載體所屬的職能以便于明確管理責(zé)任。

C.劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則

D.劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析

答案：C

解析：GB/T 22081-2016/ISO/IEC 27002:2013 《信息技術(shù)安全技術(shù)信息安全控制實踐指南》

8.2信息分級目的：確保信息依據(jù)其對組織的重要程度受到適當(dāng)水平的保護(hù)；

8.2.1信息的分級控制：信息已按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級；實施指南：分級的結(jié)果宜體現(xiàn)資產(chǎn)的價值，該價值取決于資產(chǎn)對組織的敏感性和重要性；

8.2.3資產(chǎn)的處理實施指南：宜建立信息操作、處理、存儲和傳輸?shù)囊?guī)程，并與分級保持一致。所以選C。【2015年12月信息安全管理體系真題】

4.為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時間間隔不能超過（ ）。

A.服務(wù)水平目標(biāo)（SLO）

B.恢復(fù)點目標(biāo)（RPO）

C.恢復(fù)時間目標(biāo)（RTO）

D.最長可接受終端時間（MAO）

答案：B

解析：《災(zāi)難恢復(fù)》，為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時間間隔不能超過恢復(fù)點目標(biāo)，其中恢復(fù)點目標(biāo)是指、災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時間點要求。【2022年12月信息安全管理體系真題】

5.關(guān)于《中華人民共和國保密法》，以下說法正確的是：（ ）。

A.該法的目的是為了保守國家秘密而定

B.該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全

C.該法適用于所有組織對其敏感信息的保護(hù)

D.國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)

答案：A

解析：《中華人民共和國保密法》為保守國家秘密，維護(hù)國家的安全和利益保障改革開放和社會主義建設(shè)事業(yè)的順利進(jìn)行，制定本法。所以故選A。【2018年03月信息安全管理體系真題】

6.以下說不正確的是（ ）。

A.應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化對風(fēng)險評估結(jié)果進(jìn)行再評審

B.應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進(jìn)行再評估

C.制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響

D.安全計劃應(yīng)適時更新

答案：C

解析：生產(chǎn)場所擴(kuò)大，環(huán)境發(fā)生變化，風(fēng)險也隨之發(fā)生變化，需要重新對風(fēng)險進(jìn)行識別，分析、評估。【2016年06月信息安全管理體系真題】

7.關(guān)于GB/T28450，以下說法不正確的是（ ）。

A.增加了ISMS的審核指導(dǎo)

B.等同采用了ISO 19011

C.與ISO/IEC27006—致

D.與ISO19011—致

答案：B

解析：GB/T 28450—2012/引言 本標(biāo)準(zhǔn)旨在為信息安全管理體系（簡稱ISMS）審核員（包括內(nèi)部審核員和外部審核員）執(zhí)行ISMS審核提供指導(dǎo)，以確保審核既符合GB/T 22080-2008的要求，又與GB/T19011—2003 《質(zhì)量和（或）環(huán)境管理體系審核指南》 （ISO 19011；2002， IDT）和ISO/IEC 27006；2007 《信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求》標(biāo)準(zhǔn)保持一致；成為幫助受審核的組織持續(xù)改進(jìn)的一項有效活動。【2021年10月信息安全管理體系真題】

8.在以下人為的惡意攻擊行為中，屬于主動攻擊的是（ ）？

A.數(shù)據(jù)竊聽

B.誤操作

C.數(shù)據(jù)流分析

D.數(shù)據(jù)篡改

答案：D

解析：結(jié)合題干描述，可以首先排除B和C。選項A的這種行為屬于被動攻擊，攻擊者通過竊聽網(wǎng)絡(luò)數(shù)據(jù)包獲取敏感信息或秘密；故只有選項D正確，攻擊者會故意修改網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容，以達(dá)到某種目的，比如破壞數(shù)據(jù)的完整性、誤導(dǎo)系統(tǒng)、等。【2023年05月信息安全管理體系真題】

9.根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS文件評審不包括（ ）。

A.信息安全管理手冊的充分性

B.風(fēng)險評估報告的合理性

C.適用性聲明的完備性和合理性

D.風(fēng)險處置計劃的完備性

答案：A

解析：GB/T 28450-2020 《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》6.4.3.1/ IS 6.4.3審核實施階段的文件評審 ISMS審核員宜驗證審核準(zhǔn)則所要求的且與審核范圍相關(guān)的文件化信息是否存在，并符合審核準(zhǔn)則要求。ISMS審核員宜確認(rèn)審核范圍內(nèi)所確定的控制與風(fēng)險評估和風(fēng)險處置結(jié)果相關(guān)，并可追溯到信息安全方針和目標(biāo)。此題可用排除法，信息安全管理手冊它是一個指導(dǎo)和規(guī)范組織信息安全工作的文件，一般是由體系負(fù)責(zé)人根據(jù)已有的信息安全管理政策和策略制定的，沒有涉及風(fēng)險評估和風(fēng)險處置，因此是不屬于文件評審內(nèi)容的。【2023年05月信息安全管理體系真題】

10.某公司的機(jī)房有一扇臨街的窗戶，下列風(fēng)險描述中哪個風(fēng)險與該種情況無關(guān)？（ ）。

A.機(jī)房設(shè)備面臨被盜的風(fēng)險

B.機(jī)房設(shè)備面臨受破壞的風(fēng)險

C.機(jī)房設(shè)備面臨灰塵的風(fēng)險

D.機(jī)房設(shè)備面臨人員誤入的風(fēng)險

答案：D

解析：abcd四項都是風(fēng)險，但臨街窗戶不會導(dǎo)致人員誤入，如果是臨街的門是存在此風(fēng)險的。ABC三項符合邏輯，故本題選D。【2022年12月信息安全管理體系真題】

11.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定（ ）。

A.要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時候開始，一次何測量結(jié)果

B.要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何測量結(jié)果

C.要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成如何評價結(jié)果

D.要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果

答案：C

解析：GB/T 22080—2016/6.2信息安全目標(biāo)及其實現(xiàn)規(guī)劃：在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定；f） 要做什么；g）需要什么資源；h） 由誰負(fù)責(zé)；i） 什么時候完成j）如何評價結(jié)果。【2018年03月信息安全管理體系真題】

12.某數(shù)據(jù)中心申請ISMS認(rèn)證的范圍為"IDC基礎(chǔ)設(shè)施服務(wù)的提供"，對此以下說法正確的是（ ）。

A.A.8可以刪減

B.A.12可以刪減

C.A.14可以刪減

D.以上都對

答案：C

解析：數(shù)據(jù)中心主要工作職責(zé)是運(yùn)維護(hù)服務(wù)，不涉及A.14開發(fā)內(nèi)容，不適用條款可刪減。【2022年12月信息安全管理體系真題】

13. ISO/IEC27001描述的風(fēng)險分析過程不包括（ ）。

A.分析風(fēng)險發(fā)生的原因

B.確定風(fēng)險級別

C.評估識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果

D.評估所識別的風(fēng)險實際發(fā)生的可能性

答案：A

解析：GB/T 22080-2016/1SO/IEC 27001:2013/6.1.2信息安全風(fēng)險評估d） 分析信息安全風(fēng)險；1）評估6.1.2c） 1）中所識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果；2）評估6.1.2c） 1）中所識別的風(fēng)險實際發(fā)生的可能性；3）確定風(fēng)險級別。【2021年10月信息安全管理體系真題】

14. 防火墻提供的接入模式不包括（ ）。

A.透明模式

B.混合模式

C.網(wǎng)關(guān)模式

D.旁路接入模式

答案：D

解析：防火墻（英語：Firewall）技術(shù)是通過有機(jī)結(jié)合各類用于安全管理與篩選的軟件和硬件設(shè)備，幫助計算機(jī)網(wǎng)絡(luò)與其內(nèi)、外網(wǎng)之間構(gòu)建一道相對隔絕的保護(hù)屏障，以保護(hù)用戶資料與信息安全性的一種技術(shù)。防火墻技術(shù)的功能主要在于及時發(fā)現(xiàn)并處理計算機(jī)網(wǎng)絡(luò)運(yùn)行時可能存在的安全風(fēng)險、數(shù)據(jù)傳輸?shù)葐栴}，其中處理措施包括隔離與保護(hù)，同時可對計算機(jī)網(wǎng)絡(luò)安全當(dāng)中的各項操作實施記錄與檢測，以確保計算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計算機(jī)網(wǎng)絡(luò)使用體驗。【2021年10月信息安全管理體系真題】

15.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（ ）信心。

A.相關(guān)方

B.供應(yīng)商

C.顧客

D.上級機(jī)關(guān)

答案：A

解析：

GB/T 22080-2016引言/0.1總則 組織信息安全管理體系的建立和實現(xiàn)受組織的需要和目標(biāo)、安全要求、組織所采用的過程、規(guī)模和結(jié)構(gòu)的影響。所有這些影響因素可能隨時間發(fā)生變化。信息安全管理體系通過應(yīng)用風(fēng)險管理過程來保持信息的保密性、完整性和可用性，并為相關(guān)方樹立風(fēng)險得到充分管理的信心。【2021年10月信息安全管理體系真題】

16. 下列關(guān)于DMZ區(qū)的說法錯誤的是（ ）。

A.DMZ可以訪問內(nèi)部網(wǎng)絡(luò)

B.通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如WEB服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等C.內(nèi)部網(wǎng)絡(luò)可以無限制地訪問外部網(wǎng)絡(luò)以及DMZ

D.有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作

答案：A

解析：DMZ Demilitaried Zone （非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)）應(yīng)用：1.內(nèi)網(wǎng)可以訪問外網(wǎng)；2.內(nèi)網(wǎng)可以訪問DMZ；3.外網(wǎng)不能訪問內(nèi)網(wǎng)；4.外網(wǎng)可以訪問DMZ；5.DMZ訪問內(nèi)網(wǎng)有限制；6.DMZ不能訪問外網(wǎng)【2021年05月信息安全管理體系真題】

17.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，組織應(yīng)在相關(guān)（ ）上建立信息安全目標(biāo)。A.組織環(huán)境和相關(guān)方要求

B.戰(zhàn)略和意思

C.戰(zhàn)略和方針

D.職能和層次

答案：D

GB/T22080-2016/6.2信息安全目標(biāo)及其實現(xiàn)規(guī)劃 組織應(yīng)在相關(guān)職能和層級上建立信息安全目標(biāo)。【2021年10月信息安全管理體系真題】

18.在我國信息系統(tǒng)安全等級保護(hù)的基本要求中針對每一級的基本要求分為（ ）。

A.設(shè)備要求和網(wǎng)絡(luò)要求

B.硬件要求和軟件要求

C.物理要求和應(yīng)用要求

D.技術(shù)要求和管理要求

答案：D

解析：GB/T 22239-2008 《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》附錄B a）明確信息系統(tǒng)應(yīng)該具有的安全保護(hù)能力，根據(jù)信息系統(tǒng)的安全保護(hù)等級選擇基本安全要求，包括技術(shù)要求和管理要求。【2021年10月信息安全管理體系真題】

19. 根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，最高管理層應(yīng)（ ），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。

A.分配職責(zé)與權(quán)限

B.分配崗位與權(quán)限

C.分配責(zé)任和權(quán)限

D.分配角色和權(quán)限

答案：C

解析：GB/T22080-2016/5.3 織的角色，責(zé)任和權(quán)限 最高管理層應(yīng)確保與信息安全相關(guān)角色的責(zé)任和權(quán)限得到分配和溝通。【2018年09月信息安全管理體系真題】

20.根據(jù)GB/T29246標(biāo)準(zhǔn)，保密性是指（ ）。

A.根據(jù)授權(quán)實體的要求可訪問的特性

B.信息不被未授權(quán)的個人、實體或過程利用或知悉的特性

C.保護(hù)信息準(zhǔn)確和完整的特性

D.保證信息不被其他人使用

答案：B

解析：GB/T 29246-2017/2.12 保密性 信息對未授權(quán)的個人、實體或過程不可用或不泄露的特性。【2022年12月信息安全管理體系真題】

[多選題]

1. 根據(jù)GB/T 22080-2016標(biāo)準(zhǔn)的要求，下列說法正確的是（ ）。

A.殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準(zhǔn)

B.適用性聲明需要包含必要的控制及其選擇的合理性說明

C.所有的信息安全活動都必須有記錄

D.組織控制下的員工應(yīng)了解信息安全方針

答案：A,B,D

解析：GB/T 22080-2016 A選項正確，參考270016,1,3 f）獲得風(fēng)險責(zé)任人對信息安全處置計劃以及對信息安全參與風(fēng)險的接受的批準(zhǔn)。B項正確， 270016,1,3d）適用性聲明，包含必要的控制及其選擇的合理性說明，以及對附錄A控制刪減的合理性說明。D項正確，270007,3 a）組織控制下的員工應(yīng)了解信息安全方針。C選項錯誤，描述過于絕對。綜上，本題選ABD。【2020年11月信息安全管理體系真題】

2. 根據(jù)ISO/IEC27005標(biāo)準(zhǔn)，風(fēng)險處置的可選措施包括（ ）。

A.風(fēng)險識別

B.風(fēng)險分析

C.風(fēng)險轉(zhuǎn)移

D.風(fēng)險減緩

答案：C,D

解析：GB/T31722-2015在風(fēng)險處置環(huán)節(jié)，可以包括風(fēng)險接受、風(fēng)險降低、風(fēng)險轉(zhuǎn)移、風(fēng)險規(guī)避。風(fēng)險減緩，使殘余風(fēng)險能夠再被評估時達(dá)到可接受的級別。【2022年12月信息安全管理體系真題】

3.根據(jù)《網(wǎng)絡(luò)安全等級保護(hù)基本要求》要求，對風(fēng)險安全等級三級及以上系統(tǒng)，以下說法正確的是（ ）。

A.采用雙重身份鑒別機(jī)制

B.對用戶和數(shù)據(jù)采用安全標(biāo)記

C.系統(tǒng)管理員可任意訪問日志記錄

D.三年開展一次網(wǎng)絡(luò)安全等級測評工作

答案：A,B

解析：【2019年11月信息安全管理體系真題】

4. 含有敏感信息的設(shè)備的處置可采取（ ）。

A.格式化處理

B.采取使原始信息不可獲取的技術(shù)破壞或刪除

C.多次地寫覆蓋

D.徹底摧毀

答案：B,C,D

解析：GBT22081-2016/11.2.7設(shè)備的安全處置或再利用 包含存儲介質(zhì)的設(shè)備的所有項目應(yīng)進(jìn)行檢查，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全的寫覆蓋。【2022年12月信息安全管理體系真題】

[判斷題]

1.ISO/IEC27018是信息技術(shù)安全技術(shù)可識個人信息（PII）處理者在公有云中保護(hù)PII實踐指南。（ ）

答案：對

解析：

GB/T 29246-2017/ISO/IEC 27000:2016/4.5.5 ISO/IEC 27018

信息技術(shù)安全技術(shù)可識別個人信息（PII）處理者在公有云中保護(hù)PII的實踐指南。【2023年05月信息安全管理體系真題】

2.根據(jù)GB/Z20986標(biāo)準(zhǔn)，信息安全事件分級考慮的要素主要包括信息系統(tǒng)的重要程度和社會影響，系統(tǒng)損失。（ ）

答案：對

解析：GB/Z 20986-2007

5信息安全事件分級

5.1分級考慮要素

5.1.1 概述

對信息安全事件的分級主要考慮三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。

3.利用生物信息進(jìn)行身份鑒別，包括生物行為特征鑒別及生物特征鑒別。（ ）

答案：對

解析：生物信息鑒別身份主要是通過分析和比較個體的生理和行為特征來達(dá)到確認(rèn)身份的目的。生物行為特征鑒別主要是通過觀察和分析個體的行為習(xí)慣，如步態(tài)、簽名、聲音等，來鑒別身份。因為這些行為習(xí)慣在很大程度上是具有獨特性和穩(wěn)定性的，所以可以用來作為身份確認(rèn)的依據(jù)。而生物特征鑒別則是利用個體獨特的生理特征，如指紋、面部特征、虹膜等來進(jìn)行身份驗證。這些生理特征具有高度的唯一性，因此可以作為準(zhǔn)確的身份鑒別手段。所以應(yīng)選A。【2018年09月信息安全管理體系真題】

4.信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（ ）

答案：錯

解析：本題錯誤。題干中的“所有”過于絕對，參見270014組織環(huán)境，組織應(yīng)根據(jù)信息安全管理體系的邊界及適用性來建立其范圍。【2021年10月信息安全管理體系真題】

5. 對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（ ）

答案：對

解析：風(fēng)險接受準(zhǔn)則應(yīng)根據(jù)組織的目標(biāo)、價值觀和特定情境來制定。對于導(dǎo)致不符合法律法規(guī)的風(fēng)險，由于可能涉及到法律責(zé)任和聲譽(yù)損害，這樣的風(fēng)險通常是不可接受的。而對于違背合同要求的風(fēng)險，雖然也是高風(fēng)險，但組織可能會權(quán)衡其與合同方的關(guān)系、經(jīng)濟(jì)成本等因素，并決定接受這種風(fēng)險。因此，答案是A.正確。【2021年05月信息安全管理體系真題】

6.信息系統(tǒng)中的"單點故障"指僅有一個故障點，因此屬于較低風(fēng)險等級的事件。（ ）

答案：錯

解析："單點故障"指的是系統(tǒng)中的一個故障點，一旦發(fā)生故障將導(dǎo)致整個系統(tǒng)癱瘓。這是一種極高的風(fēng)險等級事件。【2019年11月信息安全管理體系真題】

7. GB/T28450-2020是等同采用國際標(biāo)準(zhǔn)ISO/IEC27007的國家標(biāo)準(zhǔn)。（ ）

答案：對

解析：GB/T28450-2020前言 本標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC 27007:2017 《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》【2021年10月信息安全管理體系真題】

以上僅發(fā)布了本次考試多涉及的以往真題，我們的信息安全題庫目前已更新完成。相關(guān)題庫持續(xù)更新中，盡請關(guān)注。

本人通過多年的學(xué)習(xí)、考試經(jīng)驗，得出了一些學(xué)習(xí)考試心得，會陸續(xù)分享一些文章或進(jìn)行網(wǎng)絡(luò)直播，您可以關(guān)注我的公眾號，并分享給您身邊需要的人!大家如果在考試過程中有疑問，可以添加我的個人微信向我咨詢，也可以加入微信群來一起學(xué)習(xí)、交流。

（友情提醒：我們將重磅推出信息安全管理考試直播課，由工作經(jīng)驗豐富，審核能力扎實的老師授課，盡請期待！！！）