6 ISO27001：2013信息安全管理体系内审员培训试卷.docVIP

ISO/IEC27001：2013信息安全管理体系内审员培训试卷 姓名： 选择题（在下列各题中选择一个你认为最适合的答案，填在括号中。每题2分，共30分） 1、信息安全中的可用性是指（ ）? ? a信息不能被未授权的个人，实体或者过程利用或知悉的特性????? b保护资产的准确和完整的特性? ???? c根据授权实体的要求可访问和利用的特性????? d以上都不对 2、审核发现是指（ ）。 a审核中观察到的事实。 b审核中的事实与审核准则相比较的评价结果； c审核过程中发现的新的线索； d审核中的观察项。 3、风险处理的可选措施包括： a采用适当的控制措施； b接受风险 c避免风险； d风险转移 e a+b+c+d 4、以下属于计算机病毒感染事件的纠正措施的是( ) a 对计算机病毒事件进行响应和处理????b将感染病毒的计算机从网络中隔离 c 对相关责任人进行处罚????? d以上都不是 5、组织应定期( )已建立和实施的信息安全连续性控制措施，以确保在不利情况下是有效的和生效的 a培训 b测试 c验证 d增加 6、ISO/IEC27001：2013标准可与其他管理标准， 如质量管理标准（ ）。 a相容； b包容； c互不相容； d既包含也相容。 7、组织的信息安全要求来源包括（ ） a法律法规与合同要求 b风险评估的结果 c组织已有的原则、目标与要求 d a+b+c 8、编制内部审核实施计划时，应考虑( ), 才能合理的安排时间和审核员，以保证审核有计划的顺利进行。 a上次审核的结果 b某个部门在体系中的重要程度 c主要过程、风险因素的分布 d a+b+c 9、外部审核时陪同人员的作用是 a负责联络 b审核路线引导 c审核证据的证实 d a+b+c 10、审核方案是 a一组方针、程序和要求 b针对特定时间段所策划、并具有特定目的的一组（一次或多次）审核 c一项审核的广度和界限 d对一项审核的活动及安排的说明 11受审核方代表在不合格报告上签字确认的目的是 a对不合格报告中各栏内容的正确性进行复核 b对不合格事实进行确认 c对不合格性质（严重程度）进行确认 d a+b+c 12第三方信息安全管理体系审核的目的是 a发现尽可能多的不符合项 b建立互利的供方关系 c证实组织的信息安全管理体系符合已确定准则的要求 d改进组织信息安全管理 13信息安全管理体系文件详略程序取决于 a组织规模 b活动类型 c安全要求和被管理系统的范围和复杂程度 d a+b+c 14审核证据是指（ ） a将收集到的审核证据对照审核准则进行评价的结果 b与审核有关的记录 c与审核准则有关的并且能够证实的记录、事实陈述或其他信息 15、管理评审应（ ）。 a?按策划的时间间隔进行,一年不少于1次 b按规定的时间间隔进行 c由最高管理者随机确定 是非题（正确的在括号中打“√”，错误的打“×”。每题2分，共20分） （ ）1、组织的安全要求全部来源于风险评估。 （ ）2、机密性、完整性和可用性是评价信息资产的三个安全属性。 （ ）3、末次会议意味着一次现场审核的结束。 （ ）4、管理评审的目的是确保信息安全管理体系的适宜性、充分性、有效性。 （ ）5、为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。 （ ）6、建议的残余风险必须获得管理者的批准 （ ）7、审核计划经受审核方事先确认后，不能更改。 （ ）8、审核的原则包括审核的独立性和