2023年10月信息安全管理體系基礎考試難度應屬于正常難度，經統計，單選題有20題重復真題，多選題有4道重復真題，判斷題有7道重復真題，所占分值為45分。信息安全管理體系基礎這科，相對其它科目依然比較難。

[單選題]

1.在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術委員會是（ ）。

A.ISO/IECJTC1SC27

B.ISO/IECJTC1SC40

C.ISO/IECTC27

D.ISO/IECTC40

答案：A

解析：GB/T 29246-2017/ISO/IEC 27000:2016 引言0.2信息安全管理體系標準族 注：通用標題《信息技術安全技術》是指這些標準是由ISO/IEC的信息技術委員會（JTC1）下屬的安全技術分委員會（SC27）的。【2021年05月信息安全管理體系真題】

2.下面哪個不是《中華人民共和國密碼法》中密碼的分類？（ ）

A.核心密碼

B.普通密碼

C.國家密碼

D.個人密碼

答案：D

解析：《中華人民共和國密碼法》

第七條國家將密碼分為核心密碼、普通密碼、商用密碼，實行分類管理。【2021年05月信息安全管理體系真題】

3. 依據GB/T22080/ISO/IEC27001，信息分類方案的目的是（ ）。

A.劃分信息載體的不同介質以便于儲存和處理，如紙張、光盤、磁盤。

B.劃分信息載體所屬的職能以便于明確管理責任。

C.劃分信息對于組織業務的關鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則

D.劃分信息的數據類型，如供銷數據、生產數據、開發測試數據，以便于應用大數據技術對其分析

答案：C

解析：GB/T 22081-2016/ISO/IEC 27002:2013 《信息技術安全技術信息安全控制實踐指南》

8.2信息分級目的：確保信息依據其對組織的重要程度受到適當水平的保護；

8.2.1信息的分級控制：信息已按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級；實施指南：分級的結果宜體現資產的價值，該價值取決于資產對組織的敏感性和重要性；

8.2.3資產的處理實施指南：宜建立信息操作、處理、存儲和傳輸的規程，并與分級保持一致。所以選C。【2015年12月信息安全管理體系真題】

4.為了達到組織災難恢復的要求，備份時間間隔不能超過（ ）。

A.服務水平目標（SLO）

B.恢復點目標（RPO）

C.恢復時間目標（RTO）

D.最長可接受終端時間（MAO）

答案：B

解析：《災難恢復》，為了達到組織災難恢復的要求，備份時間間隔不能超過恢復點目標，其中恢復點目標是指、災難發生后，系統和數據必須恢復到的時間點要求。【2022年12月信息安全管理體系真題】

5.關于《中華人民共和國保密法》，以下說法正確的是：（ ）。

A.該法的目的是為了保守國家秘密而定

B.該法的執行可替代以ISO/IEC27001為依據的信息安全

C.該法適用于所有組織對其敏感信息的保護

D.國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護

答案：A

解析：《中華人民共和國保密法》為保守國家秘密，維護國家的安全和利益保障改革開放和社會主義建設事業的順利進行，制定本法。所以故選A。【2018年03月信息安全管理體系真題】

6.以下說不正確的是（ ）。

A.應考慮組織架構與業務目標的變化對風險評估結果進行再評審

B.應考慮以往未充分識別的威脅對風險評估結果進行再評估

C.制造部增加的生產場所對信息安全風險無影響

D.安全計劃應適時更新

答案：C

解析：生產場所擴大，環境發生變化，風險也隨之發生變化，需要重新對風險進行識別，分析、評估。【2016年06月信息安全管理體系真題】

7.關于GB/T28450，以下說法不正確的是（ ）。

A.增加了ISMS的審核指導

B.等同采用了ISO 19011

C.與ISO/IEC27006—致

D.與ISO19011—致

答案：B

解析：GB/T 28450—2012/引言 本標準旨在為信息安全管理體系（簡稱ISMS）審核員（包括內部審核員和外部審核員）執行ISMS審核提供指導，以確保審核既符合GB/T 22080-2008的要求，又與GB/T19011—2003 《質量和（或）環境管理體系審核指南》 （ISO 19011；2002， IDT）和ISO/IEC 27006；2007 《信息技術安全技術信息安全管理體系審核認證機構要求》標準保持一致；成為幫助受審核的組織持續改進的一項有效活動。【2021年10月信息安全管理體系真題】

8.在以下人為的惡意攻擊行為中，屬于主動攻擊的是（ ）？

A.數據竊聽

B.誤操作

C.數據流分析

D.數據篡改

答案：D

解析：結合題干描述，可以首先排除B和C。選項A的這種行為屬于被動攻擊，攻擊者通過竊聽網絡數據包獲取敏感信息或秘密；故只有選項D正確，攻擊者會故意修改網絡數據包的內容，以達到某種目的，比如破壞數據的完整性、誤導系統、等。【2023年05月信息安全管理體系真題】

9.根據GB/T28450標準，ISMS文件評審不包括（ ）。

A.信息安全管理手冊的充分性

B.風險評估報告的合理性

C.適用性聲明的完備性和合理性

D.風險處置計劃的完備性

答案：A

解析：GB/T 28450-2020 《信息技術安全技術信息安全管理體系審核指南》6.4.3.1/ IS 6.4.3審核實施階段的文件評審 ISMS審核員宜驗證審核準則所要求的且與審核范圍相關的文件化信息是否存在，并符合審核準則要求。ISMS審核員宜確認審核范圍內所確定的控制與風險評估和風險處置結果相關，并可追溯到信息安全方針和目標。此題可用排除法，信息安全管理手冊它是一個指導和規范組織信息安全工作的文件，一般是由體系負責人根據已有的信息安全管理政策和策略制定的，沒有涉及風險評估和風險處置，因此是不屬于文件評審內容的。【2023年05月信息安全管理體系真題】

10.某公司的機房有一扇臨街的窗戶，下列風險描述中哪個風險與該種情況無關？（ ）。

A.機房設備面臨被盜的風險

B.機房設備面臨受破壞的風險

C.機房設備面臨灰塵的風險

D.機房設備面臨人員誤入的風險

答案：D

解析：abcd四項都是風險，但臨街窗戶不會導致人員誤入，如果是臨街的門是存在此風險的。ABC三項符合邏輯，故本題選D。【2022年12月信息安全管理體系真題】

11.根據GB/T22080-2016標準的要求，在規劃如何達到信息安全目標時，組織應確定（ ）。

A.要做什么，有什么可用資源，由誰負責，什么時候開始，一次何測量結果

B.要做什么，需要什么資源，由誰負責，什么時候完成，如何測量結果

C.要做什么，需要什么資源，由誰負責，什么時候完成如何評價結果

D.要做什么，有什么可用資源，由誰執行，什么時候開始，如何評價結果

答案：C

解析：GB/T 22080—2016/6.2信息安全目標及其實現規劃：在規劃如何達到信息安全目標時，組織應確定；f） 要做什么；g）需要什么資源；h） 由誰負責；i） 什么時候完成j）如何評價結果。【2018年03月信息安全管理體系真題】

12.某數據中心申請ISMS認證的范圍為"IDC基礎設施服務的提供"，對此以下說法正確的是（ ）。

A.A.8可以刪減

B.A.12可以刪減

C.A.14可以刪減

D.以上都對

答案：C

解析：數據中心主要工作職責是運維護服務，不涉及A.14開發內容，不適用條款可刪減。【2022年12月信息安全管理體系真題】

13. ISO/IEC27001描述的風險分析過程不包括（ ）。

A.分析風險發生的原因

B.確定風險級別

C.評估識別的風險發生后，可能導致的潛在后果

D.評估所識別的風險實際發生的可能性

答案：A

解析：GB/T 22080-2016/1SO/IEC 27001:2013/6.1.2信息安全風險評估d） 分析信息安全風險；1）評估6.1.2c） 1）中所識別的風險發生后，可能導致的潛在后果；2）評估6.1.2c） 1）中所識別的風險實際發生的可能性；3）確定風險級別。【2021年10月信息安全管理體系真題】

14. 防火墻提供的接入模式不包括（ ）。

A.透明模式

B.混合模式

C.網關模式

D.旁路接入模式

答案：D

解析：防火墻（英語：Firewall）技術是通過有機結合各類用于安全管理與篩選的軟件和硬件設備，幫助計算機網絡與其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。防火墻技術的功能主要在于及時發現并處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網絡安全當中的各項操作實施記錄與檢測，以確保計算機網絡運行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計算機網絡使用體驗。【2021年10月信息安全管理體系真題】

15.根據GB/T22080-2016標準的要求，建立ISMS體系的目的，是為了充分保護信息資產并給予（ ）信心。

A.相關方

B.供應商

C.顧客

D.上級機關

答案：A

解析：

GB/T 22080-2016引言/0.1總則 組織信息安全管理體系的建立和實現受組織的需要和目標、安全要求、組織所采用的過程、規模和結構的影響。所有這些影響因素可能隨時間發生變化。信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性，并為相關方樹立風險得到充分管理的信心。【2021年10月信息安全管理體系真題】

16. 下列關于DMZ區的說法錯誤的是（ ）。

A.DMZ可以訪問內部網絡

B.通常DMZ包含允許來自互聯網的通信可進行的設備，如WEB服務器、FTP服務器、SMTP服務器和DNS服務器等C.內部網絡可以無限制地訪問外部網絡以及DMZ

D.有兩個DMZ的防火墻環境的典型策略是主防火墻采用NAT方式工作

答案：A

解析：DMZ Demilitaried Zone （非安全系統與安全系統之間的緩沖區）應用：1.內網可以訪問外網；2.內網可以訪問DMZ；3.外網不能訪問內網；4.外網可以訪問DMZ；5.DMZ訪問內網有限制；6.DMZ不能訪問外網【2021年05月信息安全管理體系真題】

17.根據GB/T22080-2016標準，組織應在相關（ ）上建立信息安全目標。A.組織環境和相關方要求

B.戰略和意思

C.戰略和方針

D.職能和層次

答案：D

GB/T22080-2016/6.2信息安全目標及其實現規劃 組織應在相關職能和層級上建立信息安全目標。【2021年10月信息安全管理體系真題】

18.在我國信息系統安全等級保護的基本要求中針對每一級的基本要求分為（ ）。

A.設備要求和網絡要求

B.硬件要求和軟件要求

C.物理要求和應用要求

D.技術要求和管理要求

答案：D

解析：GB/T 22239-2008 《信息安全技術信息系統安全等級保護基本要求》附錄B a）明確信息系統應該具有的安全保護能力，根據信息系統的安全保護等級選擇基本安全要求，包括技術要求和管理要求。【2021年10月信息安全管理體系真題】

19. 根據GB/T22080-2016標準，最高管理層應（ ），以確保信息安全管理體系符合本標準要求。

A.分配職責與權限

B.分配崗位與權限

C.分配責任和權限

D.分配角色和權限

答案：C

解析：GB/T22080-2016/5.3 織的角色，責任和權限 最高管理層應確保與信息安全相關角色的責任和權限得到分配和溝通。【2018年09月信息安全管理體系真題】

20.根據GB/T29246標準，保密性是指（ ）。

A.根據授權實體的要求可訪問的特性

B.信息不被未授權的個人、實體或過程利用或知悉的特性

C.保護信息準確和完整的特性

D.保證信息不被其他人使用

答案：B

解析：GB/T 29246-2017/2.12 保密性 信息對未授權的個人、實體或過程不可用或不泄露的特性。【2022年12月信息安全管理體系真題】

[多選題]

1. 根據GB/T 22080-2016標準的要求，下列說法正確的是（ ）。

A.殘余風險需要獲得風險責任人的批準

B.適用性聲明需要包含必要的控制及其選擇的合理性說明

C.所有的信息安全活動都必須有記錄

D.組織控制下的員工應了解信息安全方針

答案：A,B,D

解析：GB/T 22080-2016 A選項正確，參考270016,1,3 f）獲得風險責任人對信息安全處置計劃以及對信息安全參與風險的接受的批準。B項正確， 270016,1,3d）適用性聲明，包含必要的控制及其選擇的合理性說明，以及對附錄A控制刪減的合理性說明。D項正確，270007,3 a）組織控制下的員工應了解信息安全方針。C選項錯誤，描述過于絕對。綜上，本題選ABD。【2020年11月信息安全管理體系真題】

2. 根據ISO/IEC27005標準，風險處置的可選措施包括（ ）。

A.風險識別

B.風險分析

C.風險轉移

D.風險減緩

答案：C,D

解析：GB/T31722-2015在風險處置環節，可以包括風險接受、風險降低、風險轉移、風險規避。風險減緩，使殘余風險能夠再被評估時達到可接受的級別。【2022年12月信息安全管理體系真題】

3.根據《網絡安全等級保護基本要求》要求，對風險安全等級三級及以上系統，以下說法正確的是（ ）。

A.采用雙重身份鑒別機制

B.對用戶和數據采用安全標記

C.系統管理員可任意訪問日志記錄

D.三年開展一次網絡安全等級測評工作

答案：A,B

解析：【2019年11月信息安全管理體系真題】

4. 含有敏感信息的設備的處置可采取（ ）。

A.格式化處理

B.采取使原始信息不可獲取的技術破壞或刪除

C.多次地寫覆蓋

D.徹底摧毀

答案：B,C,D

解析：GBT22081-2016/11.2.7設備的安全處置或再利用 包含存儲介質的設備的所有項目應進行檢查，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全的寫覆蓋。【2022年12月信息安全管理體系真題】

[判斷題]

1.ISO/IEC27018是信息技術安全技術可識個人信息（PII）處理者在公有云中保護PII實踐指南。（ ）

答案：對

解析：

GB/T 29246-2017/ISO/IEC 27000:2016/4.5.5 ISO/IEC 27018

信息技術安全技術可識別個人信息（PII）處理者在公有云中保護PII的實踐指南。【2023年05月信息安全管理體系真題】

2.根據GB/Z20986標準，信息安全事件分級考慮的要素主要包括信息系統的重要程度和社會影響，系統損失。（ ）

答案：對

解析：GB/Z 20986-2007

5信息安全事件分級

5.1分級考慮要素

5.1.1 概述

對信息安全事件的分級主要考慮三個要素：信息系統的重要程度、系統損失和社會影響。

3.利用生物信息進行身份鑒別，包括生物行為特征鑒別及生物特征鑒別。（ ）

答案：對

解析：生物信息鑒別身份主要是通過分析和比較個體的生理和行為特征來達到確認身份的目的。生物行為特征鑒別主要是通過觀察和分析個體的行為習慣，如步態、簽名、聲音等，來鑒別身份。因為這些行為習慣在很大程度上是具有獨特性和穩定性的，所以可以用來作為身份確認的依據。而生物特征鑒別則是利用個體獨特的生理特征，如指紋、面部特征、虹膜等來進行身份驗證。這些生理特征具有高度的唯一性，因此可以作為準確的身份鑒別手段。所以應選A。【2018年09月信息安全管理體系真題】

4.信息安全管理體系的范圍必須包括組織的所有場所和業務，這樣才能保證安全。（ ）

答案：錯

解析：本題錯誤。題干中的“所有”過于絕對，參見270014組織環境，組織應根據信息安全管理體系的邊界及適用性來建立其范圍。【2021年10月信息安全管理體系真題】

5. 對不同類型的風險可以采用不同的風險接受準則，例如，導致對法律法規不符合的風險可能是不可接受的，但可能允許接受導致違背合同要求的高風險。（ ）

答案：對

解析：風險接受準則應根據組織的目標、價值觀和特定情境來制定。對于導致不符合法律法規的風險，由于可能涉及到法律責任和聲譽損害，這樣的風險通常是不可接受的。而對于違背合同要求的風險，雖然也是高風險，但組織可能會權衡其與合同方的關系、經濟成本等因素，并決定接受這種風險。因此，答案是A.正確。【2021年05月信息安全管理體系真題】

6.信息系統中的"單點故障"指僅有一個故障點，因此屬于較低風險等級的事件。（ ）

答案：錯

解析："單點故障"指的是系統中的一個故障點，一旦發生故障將導致整個系統癱瘓。這是一種極高的風險等級事件。【2019年11月信息安全管理體系真題】

7. GB/T28450-2020是等同采用國際標準ISO/IEC27007的國家標準。（ ）

答案：對

解析：GB/T28450-2020前言 本標準使用翻譯法等同采用ISO/IEC 27007:2017 《信息技術安全技術信息安全管理體系審核指南》【2021年10月信息安全管理體系真題】

以上僅發布了本次考試多涉及的以往真題，我們的信息安全題庫目前已更新完成。相關題庫持續更新中，盡請關注。

本人通過多年的學習、考試經驗，得出了一些學習考試心得，會陸續分享一些文章或進行網絡直播，您可以關注我的公眾號，并分享給您身邊需要的人!大家如果在考試過程中有疑問，可以添加我的個人微信向我咨詢，也可以加入微信群來一起學習、交流。

（友情提醒：我們將重磅推出信息安全管理考試直播課，由工作經驗豐富，審核能力扎實的老師授課，盡請期待！！！）