2023年10月ISMS信息安全管理體系審核員考試試題（網(wǎng)友回憶版）[單選題]1.IS0/IEC17799是哪個(gè)標(biāo)準(zhǔn)的前身？()A.ISO/IEC27001B.ISO/IEC27002C.BS7799-（江南博哥）2D.BS7799-1正確答案：B參考解析：ISO/IEC17799后來(lái)改版并重新編號(hào)成為ISO/IEC27002，它是ISO/IEC27001的配套標(biāo)準(zhǔn)，提供信息安全管理體系實(shí)施指南。而BS7799-1是ISO/IEC17799的前身，后兩者都不對(duì)。所以ISO/IEC17799是ISO/IEC27002的前身。答案：B[單選題]2.在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是()A.ISO/IECJTC1SC27B.ISO/IECJTC1SC40C.ISO/IECTC27D.ISO/IECTC40正確答案：A參考解析：在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的是ISO/IECJTC1SC27。答案：A[單選題]3.關(guān)于GB/T28450，以下說(shuō)法不正確的是()A.增加了ISMS的審核指導(dǎo)B.等同采用了ISO19011C.與ISO/IEC27006一致D.與ISO19011一致正確答案：B參考解析：GB/T28450并非等同采用ISO19011。GB/T28450對(duì)ISMS審核提供指導(dǎo)，在一些方面與ISO/IEC27006、ISO19011有一致性，但B選項(xiàng)說(shuō)法錯(cuò)誤。答案：B[單選題]4.根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS文件評(píng)審不包括()。A.信息安全管理手冊(cè)的充分性B.風(fēng)險(xiǎn)評(píng)估報(bào)告的合理性C.適用性聲明的完備性和合理性D.風(fēng)險(xiǎn)處置計(jì)劃的完備性正確答案：A[單選題]5.根據(jù)GB/T29246標(biāo)準(zhǔn)，信息安全的保密性是指()？A.保護(hù)信息準(zhǔn)確和完整的特性B.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性D.保證信息不被其他人使用正確答案：B參考解析：保密性強(qiáng)調(diào)信息不被未授權(quán)者知悉。A選項(xiàng)說(shuō)的是完整性；C選項(xiàng)說(shuō)的是可用性；D選項(xiàng)表述不準(zhǔn)確，保密性并非單純指不被其他人使用。答案：B[單選題]6.根據(jù)GB/T29246，信息安全即()A.保持信息的保密性、完整性和可用性B.保持信息資產(chǎn)的授權(quán)訪問(wèn)控制屬性C.保持信息系統(tǒng)的完整性和高可用性D.保持信息處理設(shè)施的完整性和可用性正確答案：A參考解析：GB/T29246中信息安全強(qiáng)調(diào)的是保持信息的保密性、完整性和可用性這三個(gè)基本屬性。答案：A[單選題]7.根據(jù)GB/T29246標(biāo)準(zhǔn)，信息安全完整性是指()A.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性B.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C.保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D.保護(hù)資產(chǎn)保密和可用的特性正確答案：C參考解析：完整性強(qiáng)調(diào)的是資產(chǎn)準(zhǔn)確和完整。A選項(xiàng)說(shuō)的是可用性；B選項(xiàng)是保密性；D選項(xiàng)表述也不符合完整性定義。答案選C。[單選題]8.根據(jù)ISO/IEC27000標(biāo)準(zhǔn)，()為組織提供了信息安全管理體系實(shí)施指南A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27013D.ISO/IEC27003正確答案：D參考解析：ISO/IEC27003為信息安全管理體系實(shí)施指南。ISO/IEC27002是控制措施指南；ISO/IEC27007是審核指南；ISO/IEC27013是整合實(shí)施指南。答案：D[單選題]9..()是對(duì)于一個(gè)組織成功實(shí)施ISMS來(lái)滿足其業(yè)務(wù)目標(biāo)的關(guān)鍵要素。A.信息安全策略、目標(biāo)和與目標(biāo)一致的活動(dòng)B.更有效、經(jīng)濟(jì)的信息安全投資管理C.增加利益相關(guān)方對(duì)組織的信任D.滿足社會(huì)的需要和期望正確答案：A參考解析：信息安全管理體系（ISMS）成功實(shí)施以達(dá)成業(yè)務(wù)目標(biāo)，關(guān)鍵在于明確的信息安全策略、目標(biāo)以及圍繞目標(biāo)開(kāi)展的活動(dòng)，它們?yōu)檎麄€(gè)體系的運(yùn)行指明方向并提供具體行動(dòng)指引，而B側(cè)重于投資管理，C強(qiáng)調(diào)利益相關(guān)方信任，D關(guān)乎社會(huì)需求期望，相比之下A更符合關(guān)鍵要素的描述。答案：A[單選題]10.風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的()。A.行動(dòng)B.計(jì)劃C.意愿D.批復(fù)正確答案：C參考解析：風(fēng)險(xiǎn)偏好體現(xiàn)的是組織對(duì)于風(fēng)險(xiǎn)的一種主觀傾向，也就是愿意去尋求或保留風(fēng)險(xiǎn)的意愿程度，而不是具體行動(dòng)、計(jì)劃或批復(fù)。答案：C[單選題]11.GB/T22080-2016標(biāo)準(zhǔn)，所采用的過(guò)程方法是()A.PDCA方法B.SMART方法C.SWOT方法D.PPTR方法正確答案：A參考解析：GB/T22080-2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》采用的過(guò)程方法是PDCA方法，PDCA循環(huán)（計(jì)劃、執(zhí)行、檢查、處理）常用于管理體系運(yùn)作。答案：A。[單選題]12.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予()信心A.相關(guān)方B.供應(yīng)商C.顧客D.上級(jí)機(jī)關(guān)正確答案：A參考解析：建立ISMS體系（信息安全管理體系），其保護(hù)信息資產(chǎn)目的是為讓所有相關(guān)方都對(duì)組織信息安全有信心，相關(guān)方涵蓋供應(yīng)商、顧客、上級(jí)機(jī)關(guān)等各類與之有關(guān)的對(duì)象。B選項(xiàng)供應(yīng)商、C選項(xiàng)顧客、D選項(xiàng)上級(jí)機(jī)關(guān)都只是相關(guān)方中的一部分。答案：A。[單選題]13.根據(jù)GB/T22080-2016的要求，下列哪一項(xiàng)不是管理層承諾成的？()A.相關(guān)方B.確保建立了信息安全策略C.確保建立了信息安全目標(biāo)D.購(gòu)買性能良好的信息安全產(chǎn)品正確答案：D參考解析：GB/T22080-2016主要聚焦信息安全管理體系相關(guān)內(nèi)容，管理層承諾多圍繞體系建設(shè)、策略目標(biāo)制定等方面，而購(gòu)買特定性能的信息安全產(chǎn)品不屬于管理層承諾范疇，更側(cè)重于采購(gòu)執(zhí)行層面。答案：D[單選題]14.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，最高管理層應(yīng)()，以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求A.分配職責(zé)與權(quán)限B.分配崗位與權(quán)限C.分配責(zé)任與權(quán)限D(zhuǎn).分配角色與權(quán)限正確答案：C[單選題]15.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，組織應(yīng)在相關(guān)()上建立信息安全目標(biāo)A.組織環(huán)境和相關(guān)方要求B.戰(zhàn)略和意圖C.戰(zhàn)略和方針D.職能和層級(jí)正確答案：D參考解析：GB/T22080-2016標(biāo)準(zhǔn)規(guī)定組織應(yīng)在相關(guān)職能和層級(jí)上建立信息安全目標(biāo)，這是標(biāo)準(zhǔn)對(duì)于目標(biāo)設(shè)定位置的明確要求。答案：D[單選題]16.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定()。A.要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開(kāi)始，如何測(cè)量結(jié)果B.要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C.要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D.要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開(kāi)始，如何評(píng)價(jià)結(jié)果正確答案：C[單選題]17.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是()。？A.發(fā)布新的法律法規(guī)B.ISMS最高管理者人員變更C.ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D.計(jì)劃的時(shí)間間隔正確答案：B參考解析：發(fā)布新法律法規(guī)可能影響合規(guī)性需評(píng)估；采用新網(wǎng)絡(luò)架構(gòu)會(huì)改變信息系統(tǒng)情況需評(píng)估；按計(jì)劃時(shí)間間隔也要常規(guī)開(kāi)展風(fēng)險(xiǎn)評(píng)估。而ISMS最高管理者人員變更，通常對(duì)信息安全風(fēng)險(xiǎn)的直接影響相對(duì)較小，不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估。答案：B[單選題]18.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，組織()實(shí)施風(fēng)險(xiǎn)評(píng)估。A.應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)B.應(yīng)按計(jì)劃的時(shí)間間隔且當(dāng)重大變更提出或發(fā)生時(shí)C.只需在重大變更發(fā)生時(shí)D.只需按計(jì)劃的時(shí)間間隔正確答案：A參考解析：GB/T22080-2016標(biāo)準(zhǔn)規(guī)定組織實(shí)施風(fēng)險(xiǎn)評(píng)估既需要按計(jì)劃的時(shí)間間隔，也需要在重大變更提出或發(fā)生時(shí)。選項(xiàng)A全面涵蓋了這兩種情況。答案：A[單選題]19.依據(jù)GB/T22080-2016/ISO/IEC27001，信息分類的目的是()。A.劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析B.確保信息按照其對(duì)組織的重要程度受到適當(dāng)水平的保護(hù)C.劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤D.劃分信息載體所屬的職能以便于明確管理責(zé)任正確答案：B參考解析：信息分類主要是為了根據(jù)信息對(duì)組織的重要程度，實(shí)施與之匹配的保護(hù)措施。答案：B[單選題]20.某公司的機(jī)房有一扇臨街的窗戶，下列風(fēng)險(xiǎn)描述中哪個(gè)風(fēng)險(xiǎn)與該種情況無(wú)關(guān)？()A.機(jī)房設(shè)備面臨被盜的風(fēng)險(xiǎn)B.機(jī)房設(shè)備面臨受破壞的風(fēng)險(xiǎn)C.機(jī)房設(shè)備面臨灰塵的風(fēng)險(xiǎn)D.機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)正確答案：D參考解析：臨街窗戶可能使設(shè)備有被盜、被外部人員破壞以及灰塵進(jìn)入的風(fēng)險(xiǎn)。而人員誤入一般指從正常通道進(jìn)入時(shí)誤闖入機(jī)房，與臨街窗戶無(wú)直接關(guān)系。答案：D[單選題]21.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，網(wǎng)絡(luò)隔離指的是A.內(nèi)網(wǎng)與外網(wǎng)之間的隔離B.LAN與MAN、WAN之間的隔離C.不同用戶組之間的隔離D.不同運(yùn)營(yíng)商之間的隔離正確答案：C[單選題]22.某數(shù)據(jù)中心申請(qǐng)ISMS認(rèn)證的范圍為“IDC基礎(chǔ)設(shè)施服務(wù)的提供”，對(duì)此以下說(shuō)法正確的是()。A.附錄A.8可以刪減B.附錄A12可以刪減C.附錄A.14可以刪減D.附錄A.17可以刪減正確答案：C[單選題]23.關(guān)于ISO/IEC27004，以下說(shuō)法正確的是()。A.該標(biāo)準(zhǔn)可以替代GB/T28450B.該標(biāo)準(zhǔn)是信息安全水平的度量標(biāo)準(zhǔn)C.該標(biāo)準(zhǔn)可以替代ISO/IEC27001中的9.2的要求D.該標(biāo)準(zhǔn)是ISMS管理績(jī)效的度量指南正確答案：D參考解析：ISO/IEC27004是信息安全管理體系（ISMS）績(jī)效評(píng)估的指南，重點(diǎn)在于ISMS管理績(jī)效度量。A選項(xiàng)，不同標(biāo)準(zhǔn)適用場(chǎng)景不同，不能替代GB/T28450；B選項(xiàng)表述不準(zhǔn)確，不是信息安全水平度量標(biāo)準(zhǔn)；C選項(xiàng)不能替代ISO/IEC27001中9.2的要求。答案：D[單選題]24.以下說(shuō)法不正確的是()A.應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)審B.應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C.制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影D.安全計(jì)劃應(yīng)適時(shí)更新正確答案：C參考解析：制造部增加生產(chǎn)場(chǎng)所，可能會(huì)帶來(lái)新的人員、設(shè)備、業(yè)務(wù)流程等變化，這些都可能對(duì)信息安全風(fēng)險(xiǎn)產(chǎn)生影響，C選項(xiàng)說(shuō)法不符合常理。A提到組織架構(gòu)與業(yè)務(wù)目標(biāo)變化會(huì)影響風(fēng)險(xiǎn)評(píng)估，合理；B以往未充分識(shí)別威脅需再評(píng)估，合理；D安全計(jì)劃適時(shí)更新也是合理的。答案：C[單選題]25.ISO/IEC27005描述的風(fēng)險(xiǎn)分析過(guò)程不包括()A.事件影響評(píng)估B.識(shí)別威脅和脆弱點(diǎn)C.后果的識(shí)別和評(píng)估D.風(fēng)險(xiǎn)級(jí)別的估算正確答案：A參考解析：ISO/IEC27005風(fēng)險(xiǎn)分析過(guò)程包含識(shí)別威脅和脆弱點(diǎn)、后果識(shí)別與評(píng)估、風(fēng)險(xiǎn)級(jí)別的估算等，事件影響評(píng)估不屬于其明確描述的風(fēng)險(xiǎn)分析過(guò)程內(nèi)容。答案：A[單選題]26..表示客體安全級(jí)別并描述客體敏感性的一組信息，是()A.敏感性標(biāo)記，是表明訪問(wèn)者安全權(quán)限級(jí)別B.關(guān)鍵性標(biāo)記，是可信計(jì)算機(jī)基中強(qiáng)制訪問(wèn)控制決策的依據(jù)C.關(guān)鍵性等級(jí)標(biāo)記，是信息資產(chǎn)分類分級(jí)的依據(jù)D.敏感性標(biāo)記，是可信計(jì)算機(jī)基中強(qiáng)制訪問(wèn)控制決策的依據(jù)正確答案：D參考解析：敏感性標(biāo)記是表示客體安全級(jí)別并描述客體敏感性的一組信息，它是可信計(jì)算機(jī)基中強(qiáng)制訪問(wèn)控制決策的依據(jù)。選項(xiàng)A中說(shuō)敏感性標(biāo)記表明訪問(wèn)者安全權(quán)限級(jí)別錯(cuò)誤，訪問(wèn)者安全權(quán)限級(jí)別是主體相關(guān)概念。選項(xiàng)B中關(guān)鍵性標(biāo)記說(shuō)法錯(cuò)誤。選項(xiàng)C中關(guān)鍵性等級(jí)標(biāo)記表述錯(cuò)誤。答案：D[單選題]27.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的5個(gè)等級(jí)。其中，按照()的順序從左到右安全能力逐漸增強(qiáng)A.系統(tǒng)審計(jì)保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)B.用戶自主保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)C.訪問(wèn)驗(yàn)證保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)D.用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)正確答案：D參考解析：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中5個(gè)等級(jí)從低到高依次為用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)，安全能力也是依次增強(qiáng)。答案：D[單選題]28.投訴受理后收到的每件投訴都應(yīng)該按照準(zhǔn)則進(jìn)行初步評(píng)估，評(píng)估的內(nèi)容不包括()A.嚴(yán)重程度B.影響程度C.復(fù)雜程度D.風(fēng)險(xiǎn)偏好正確答案：D參考解析：對(duì)投訴進(jìn)行初步評(píng)估，通常會(huì)考量投訴本身的嚴(yán)重程度、對(duì)相關(guān)方面的影響程度以及處理的復(fù)雜程度，而風(fēng)險(xiǎn)偏好是企業(yè)等主體在面對(duì)風(fēng)險(xiǎn)時(shí)的態(tài)度傾向，和投訴初步評(píng)估并無(wú)直接關(guān)聯(lián)。答案：D[單選題]29.以下關(guān)于VPN說(shuō)法正確的是()A.VPN不能做到信息認(rèn)證和身份認(rèn)證B.VPN指的是用戶通過(guò)公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接C.VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路D.VPN只能提供身份認(rèn)證，不能提供加密數(shù)據(jù)的功能正確答案：B參考解析：VPN即虛擬專用網(wǎng)絡(luò)，是用戶通過(guò)公用網(wǎng)絡(luò)建立臨時(shí)、安全連接，實(shí)現(xiàn)類似專用網(wǎng)絡(luò)的功能，可進(jìn)行信息認(rèn)證、身份認(rèn)證以及數(shù)據(jù)加密。A選項(xiàng)，VPN能做到信息和身份認(rèn)證；C選項(xiàng)，不是租用物理隔離線路，而是虛擬的；D選項(xiàng)，能提供加密數(shù)據(jù)功能。答案：B[單選題]30.為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)()。A.服務(wù)水平目標(biāo)(SLO)B.恢復(fù)點(diǎn)目標(biāo)(RPO)C.恢復(fù)時(shí)間目標(biāo)(RTOD.最長(zhǎng)可接受終端時(shí)間(MAO)正確答案：B參考解析：恢復(fù)點(diǎn)目標(biāo)（RPO）是指企業(yè)能容忍的數(shù)據(jù)丟失量，即備份時(shí)間間隔不能超過(guò)RPO，否則數(shù)據(jù)丟失量會(huì)超出可接受范圍。答案：B[單選題]31.下列關(guān)于DMZ區(qū)的說(shuō)法錯(cuò)誤的是()。A.DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)B.通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如WEB服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器C.內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)外部網(wǎng)絡(luò)以及DMZD.有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作正確答案：A[單選題]32.防火墻提供的接入模式不包括()A.透明模式B.混合模式C.網(wǎng)關(guān)模式D.旁路接入模式正確答案：D[單選題]33.在以下人為的惡意攻擊行為中，于主動(dòng)攻擊的是？A.數(shù)據(jù)竊聽(tīng)B.誤操作C.數(shù)據(jù)流分析D.數(shù)據(jù)篡改正確答案：D參考解析：主動(dòng)攻擊是指攻擊者對(duì)連接中通過(guò)的協(xié)議數(shù)據(jù)單元(PDU)進(jìn)行各種處理，如修改、刪除、延遲等。數(shù)據(jù)篡改屬于主動(dòng)改變數(shù)據(jù)，而數(shù)據(jù)竊聽(tīng)和數(shù)據(jù)流分析是在不干擾系統(tǒng)正常工作下獲取信息，誤操作不屬于惡意攻擊行為。答案選D。[單選題]34.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國(guó)家對(duì)于經(jīng)營(yíng)性百聯(lián)網(wǎng)信息服務(wù)實(shí)施()A.行政監(jiān)管制度B.許可制度C.備案與行政監(jiān)管相結(jié)合的管理制度D.備案制度正確答案：B參考解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度，對(duì)非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度。所以本題問(wèn)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)施的制度，應(yīng)選許可制度。答案：B[單選題]35.根據(jù)《中華人民共和國(guó)密碼法》，國(guó)家對(duì)密碼實(shí)行分類管理，不包括下面哪一類碼？()A..商用密碼B.核心密碼C.個(gè)人密碼D.普通密碼正確答案：C參考解析：《中華人民共和國(guó)密碼法》規(guī)定國(guó)家對(duì)密碼實(shí)行分類管理，分為核心密碼、普通密碼和商用密碼，個(gè)人密碼不屬于該法規(guī)定的分類范疇。答案：C[單選題]36.建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證()A.安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使B.三級(jí)以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃同步建設(shè)、同步使用C.秘密級(jí)以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D.機(jī)密級(jí)及以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用正確答案：A參考解析：建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施遵循“三同步”原則，即安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。答案：A[單選題]37.根據(jù)《網(wǎng)絡(luò)安全審查辦法》，關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者(),影響或可能影響國(guó)家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查A.使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)B.采購(gòu)安全產(chǎn)品和服務(wù)C.使用安全產(chǎn)品和服務(wù)D.采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)正確答案：D參考解析：《網(wǎng)絡(luò)安全審查辦法》主要針對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)這一行為，若影響或可能影響國(guó)家安全需進(jìn)行網(wǎng)絡(luò)安全審查。重點(diǎn)在于“采購(gòu)”以及“網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。答案：D[單選題]38.在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為()？A.設(shè)備要求和網(wǎng)絡(luò)要求B.硬件要求和軟件要求C.物理要求和應(yīng)用要求D.技術(shù)要求和管理要求正確答案：D參考解析：我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)基本要求按等級(jí)劃分，每級(jí)都從技術(shù)和管理兩方面提出要求。技術(shù)要求涉及物理、網(wǎng)絡(luò)、主機(jī)等層面安全，管理要求涵蓋安全管理制度、人員等方面。答案：D[單選題]39.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》關(guān)于“關(guān)鍵信息基礎(chǔ)設(shè)施“的行業(yè)和領(lǐng)域，以下說(shuō)法不正確的是()A.關(guān)鍵信息基礎(chǔ)設(shè)施包括公共通信和信息服務(wù)、能源、交通、公共服務(wù)B.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、醫(yī)療、教育、電子政務(wù)C.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、水利電子政務(wù)D.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、水利金融、公共服務(wù)、電子政務(wù)正確答案：B參考解析：逐一對(duì)比各選項(xiàng)，發(fā)現(xiàn)B選項(xiàng)中“醫(yī)療”并不在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確的關(guān)鍵信息基礎(chǔ)設(shè)施通常涵蓋的行業(yè)和領(lǐng)域內(nèi)。答案：B[單選題]40.根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的()。A.專用產(chǎn)品B.特定產(chǎn)品C.特定硬件和軟件產(chǎn)品D.專用硬件和軟件產(chǎn)品正確答案：D參考解析：《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品。答案：D[多選題]1.以下屬于相關(guān)方的是()A.顧客B.組織內(nèi)的人員C.供方D.所有者正確答案：ABCD參考解析：相關(guān)方是指可影響決策或活動(dòng)、受決策或活動(dòng)影響，或自認(rèn)為受決策或活動(dòng)影響的個(gè)人或組織。顧客、組織內(nèi)人員、供方、所有者都符合相關(guān)方定義。答案：ABCD。[多選題]2.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，信息安全方針應(yīng)A..適當(dāng)時(shí)，對(duì)相關(guān)方可用B.與組織的意圖相適宜C..形成文件化信息并可用D.與組織內(nèi)外相關(guān)方全面進(jìn)行溝通正確答案：ABC參考解析：GB/T22080-2016標(biāo)準(zhǔn)要求信息安全方針要與組織意圖適宜、形成文件化信息且可用、適當(dāng)時(shí)對(duì)相關(guān)方可用等。但“與組織內(nèi)外相關(guān)方全面進(jìn)行溝通”表述過(guò)于絕對(duì)，并非全面溝通。其他選項(xiàng)A、B、C都符合標(biāo)準(zhǔn)要求。答案：ABC[多選題]3.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，下列說(shuō)法正確的是()。A.組織控制下的員工應(yīng)了解信息安全方針B.適用性聲明需要包含必要的控制及其選擇的合理性說(shuō)明C.殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)D.保留有關(guān)信息安全風(fēng)險(xiǎn)處置過(guò)程的文件化信息正確答案：ABCD參考解析：GB/T22080-2016標(biāo)準(zhǔn)對(duì)信息安全管理有系列要求，A選項(xiàng)員工應(yīng)了解方針?lè)蠘?biāo)準(zhǔn)關(guān)于人員意識(shí)的要求；B選項(xiàng)適用性聲明確實(shí)需包含相關(guān)控制及合理性說(shuō)明；C選項(xiàng)殘余風(fēng)險(xiǎn)需獲風(fēng)險(xiǎn)責(zé)任人批準(zhǔn)是標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理流程要求；D選項(xiàng)保留風(fēng)險(xiǎn)處置過(guò)程文件化信息也是標(biāo)準(zhǔn)對(duì)文件管理要求。四個(gè)選項(xiàng)都正確。答案：ABCD[多選題]4.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，在開(kāi)展信息安全績(jī)效和ISMS有效性評(píng)價(jià)時(shí)，組織應(yīng)確定()A.監(jiān)視、測(cè)量、分析和評(píng)價(jià)過(guò)程B.適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法C.需要被監(jiān)視和測(cè)量的內(nèi)容D.監(jiān)視、測(cè)量、分析和評(píng)價(jià)的執(zhí)行人員息正確答案：BCD[多選題]5..()是組織在評(píng)價(jià)信息安全績(jī)效以及ISMS的有效性時(shí)需要進(jìn)行考慮的事項(xiàng)A.需要監(jiān)視和測(cè)量的內(nèi)容B.什么時(shí)候執(zhí)行監(jiān)視和測(cè)量C.誰(shuí)應(yīng)實(shí)施監(jiān)視和測(cè)量D.如何對(duì)監(jiān)視和測(cè)量的結(jié)果就那些分析和評(píng)價(jià)正確答案：ABC[多選題]6.含有敏感信息的設(shè)備的處置可采取()？A.存放保險(xiǎn)箱B.采取使原始信息不可獲取的技術(shù)破壞或刪除C.多次的安全寫覆蓋D.格式化處理正確答案：BC[多選題]7.根據(jù)GB/T29246標(biāo)準(zhǔn)，風(fēng)險(xiǎn)描述的要素包括()A.脆弱性B.威脅C.可能性D.后果正確答案：CD參考解析：GB/T29246標(biāo)準(zhǔn)中風(fēng)險(xiǎn)描述要素包含可能性與后果，脆弱性和威脅是影響風(fēng)險(xiǎn)可能性等的因素，并非風(fēng)險(xiǎn)描述直接要素。答案：CD[多選題]8.對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施，以下說(shuō)法正確()。A.將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移C.在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)D.規(guī)避風(fēng)險(xiǎn)正確答案：BD[多選題]9.根據(jù)ISO/IEC27005標(biāo)準(zhǔn)，風(fēng)險(xiǎn)處置的可選措施包括()。A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩正確答案：CD參考解析：風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評(píng)估階段的內(nèi)容，并非風(fēng)險(xiǎn)處置措施。風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)減緩屬于風(fēng)險(xiǎn)處置可選措施。答案：CD[多選題]10.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，以下說(shuō)法正確的是()A.風(fēng)險(xiǎn)管理旨在預(yù)防或減少不良影響B(tài).信息安全風(fēng)險(xiǎn)評(píng)估須每年進(jìn)行一次C.定期進(jìn)行第三方滲透測(cè)試可滿足標(biāo)準(zhǔn)6.1.2的要求D.風(fēng)險(xiǎn)管理旨在確保ISMS到預(yù)期結(jié)果正確答案：AD[多選題]11.據(jù)GB/T28450的規(guī)定，影影響審核時(shí)間安排的因素包括A.認(rèn)證機(jī)構(gòu)審核人員的數(shù)量B.認(rèn)證機(jī)構(gòu)審核人員的能力C.ISMS的范圍大小D.場(chǎng)所的數(shù)量正確答案：CD參考解析：審核時(shí)間安排主要取決于受審核方相關(guān)情況，如ISMS（信息安全管理體系）范圍大小，范圍越大通常所需審核時(shí)間越多；場(chǎng)所數(shù)量越多，審核覆蓋所需時(shí)間也越多。而認(rèn)證機(jī)構(gòu)審核人員數(shù)量與能力并非直接決定審核時(shí)間安排的關(guān)鍵因素，是認(rèn)證機(jī)構(gòu)自身資源和能力配置問(wèn)題。答案：CD[多選題]12.垃圾郵件帶來(lái)的危害有()。A.垃圾郵件迫使企業(yè)使用最新的操作系統(tǒng)B.垃圾郵件提高了某些公司做廣告的效益C.垃圾郵件浪費(fèi)廣大用戶的時(shí)間和精力D.垃圾郵件占用很多互聯(lián)網(wǎng)資源正確答案：CD參考解析：垃圾郵件不會(huì)迫使企業(yè)用最新操作系統(tǒng)，A錯(cuò)誤；垃圾郵件提高某些公司廣告效益并非危害，B錯(cuò)誤；垃圾郵件會(huì)浪費(fèi)用戶時(shí)間精力，還占用互聯(lián)網(wǎng)資源，這都是其危害。答案：CD。[多選題]13.可被視為可靠的電子簽名，須同時(shí)符合以下條件()A.簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)B.簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制C.簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)D.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有正確答案：ABCD參考解析：可靠的電子簽名需滿足電子簽名制作數(shù)據(jù)用于電子簽名時(shí)屬于電子簽名人專有，簽署時(shí)僅由電子簽名人控制，且簽署后對(duì)電子簽名及數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)都能被發(fā)現(xiàn)。ABCD選項(xiàng)均符合。答案：ABCD[多選題]14.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，從事非經(jīng)營(yíng)性質(zhì)互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向()電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)A.省B.自治區(qū)C.直轄市D.特別行政區(qū)正確答案：ABC參考解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向省、自治區(qū)、直轄市電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。ABC都符合辦理備案手續(xù)對(duì)應(yīng)的管理機(jī)構(gòu)層級(jí)。我國(guó)特別行政區(qū)情況特殊，且題干所涉法規(guī)主要針對(duì)內(nèi)地相關(guān)互聯(lián)網(wǎng)信息服務(wù)管理，D不選。答案：ABC[多選題]15.根據(jù)《信息安全等級(jí)保護(hù)管理辦法》要求，對(duì)于網(wǎng)絡(luò)安全等級(jí)三級(jí)及以上系統(tǒng)，以下說(shuō)法正確的是()A.采用雙重身份鑒別機(jī)制B.對(duì)用戶和數(shù)據(jù)采用安全標(biāo)記C.系統(tǒng)管理員可任意訪問(wèn)日志記錄D.三年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作正確答案：AB參考解析：網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)及以上系統(tǒng)，通常需采用一些增強(qiáng)的安全措施。雙重身份鑒別機(jī)制能提升身份認(rèn)證安全性；對(duì)用戶和數(shù)據(jù)采用安全標(biāo)記有助于訪問(wèn)控制等安全管理。系統(tǒng)管理員任意訪問(wèn)日志記錄存在安全風(fēng)險(xiǎn)，不合理。三級(jí)及以上系統(tǒng)應(yīng)每年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作。綜上，AB符合要求。答案：AB[判斷題]1.IS0/IEC27018標(biāo)準(zhǔn)是信息技術(shù)安全技術(shù)作為(PII)處理者在公有云中保護(hù)個(gè)人身份信息PII的實(shí)踐規(guī)范