2024年03月ISMS信息安全管理體系審核員考試試題（網(wǎng)友回憶版）[單選題]1.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，信息安全管理中的“可用性”是指()。A.反映事物真（江南博哥）實(shí)情況的程度B.保護(hù)資產(chǎn)準(zhǔn)確和完整的特性C.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性D.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性正確答案：C參考解析：可用性強(qiáng)調(diào)的是可訪問(wèn)和利用。A選項(xiàng)說(shuō)的是反映事物真實(shí)情況程度，與可用性無(wú)關(guān)；B選項(xiàng)保護(hù)資產(chǎn)準(zhǔn)確完整是完整性；D選項(xiàng)信息不被未授權(quán)利用或知悉是保密性。C選項(xiàng)符合可用性定義。答案：C[單選題]2.GB/T22080-2016標(biāo)準(zhǔn)中提到的“風(fēng)險(xiǎn)責(zé)任者”，是指()。A.發(fā)現(xiàn)風(fēng)險(xiǎn)的人或?qū)嶓wB.風(fēng)險(xiǎn)處置人員或?qū)嶓wC.有責(zé)任和權(quán)威來(lái)管理風(fēng)險(xiǎn)的人或?qū)嶓wD.對(duì)風(fēng)險(xiǎn)發(fā)生后結(jié)果進(jìn)行負(fù)責(zé)的人或?qū)嶓w正確答案：C參考解析：風(fēng)險(xiǎn)責(zé)任者重點(diǎn)在于對(duì)風(fēng)險(xiǎn)有管理的責(zé)任和權(quán)威。A選項(xiàng)發(fā)現(xiàn)風(fēng)險(xiǎn)并非關(guān)鍵；B選項(xiàng)風(fēng)險(xiǎn)處置只是其中一部分工作；D選項(xiàng)對(duì)結(jié)果負(fù)責(zé)較片面，更強(qiáng)調(diào)管理過(guò)程。C選項(xiàng)準(zhǔn)確表述了風(fēng)險(xiǎn)責(zé)任者概念。答案：C[單選題]3.組織應(yīng)按照GB/T22080-2016標(biāo)準(zhǔn)的要求()信息安全管理體系。A.建立、實(shí)施、監(jiān)視和持續(xù)改進(jìn)B.策劃、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)C.建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)D.策劃、實(shí)現(xiàn)、監(jiān)視和持續(xù)改進(jìn)正確答案：C[單選題]4.關(guān)于GB/T22080-2016標(biāo)準(zhǔn)，所采用的過(guò)程方法是()。A.PDCA法B.PPTR方法C.SWOT方法D.SMART方法正確答案：A參考解析：GB/T22080-2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》采用的過(guò)程方法是PDCA法，PDCA循環(huán)包括策劃（Plan）、實(shí)施（Do）、檢查（Check）和處置（Act），是信息安全管理體系常用的過(guò)程方法。答案選A。[單選題]5.ISO/IEC27002最新版本為()。A.2022B.2015C.2005D.2013正確答案：A參考解析：ISO/IEC27002最新版本是2022年發(fā)布的。答案選A。[單選題]6.關(guān)于ISO/IEC27004，以下說(shuō)法正確的是()。A.該標(biāo)準(zhǔn)可以替代GB/T28450B.該標(biāo)準(zhǔn)是信息安全水平的度量標(biāo)準(zhǔn)C.該標(biāo)準(zhǔn)是ISMS管理績(jī)效的度量指南D.該標(biāo)準(zhǔn)可以替代ISO/IEC27001中的9.2的要求正確答案：C參考解析：ISO/IEC27004是關(guān)于信息安全管理體系（ISMS）績(jī)效度量的指南，主要針對(duì)ISMS管理績(jī)效的度量。A選項(xiàng)，不同標(biāo)準(zhǔn)有不同用途，不能替代GB/T28450；B選項(xiàng)它并非單純信息安全水平度量標(biāo)準(zhǔn)；D選項(xiàng)，不能替代ISO/IEC27001中9.2的要求。答案：C[單選題]7.在ISO/IEC27000系列標(biāo)準(zhǔn)中，為組織的信息安全風(fēng)險(xiǎn)管理提供指南的標(biāo)準(zhǔn)是()。A.ISO/IEC27004B.ISO/IEC27003C.ISO/IEC27002D.IS0/IEC27005正確答案：D參考解析：ISO/IEC27005為信息安全風(fēng)險(xiǎn)管理提供指南。其他選項(xiàng)中，ISO/IEC27002是控制措施相關(guān)；ISO/IEC27003是實(shí)施指南；ISO/IEC27004是度量指標(biāo)相關(guān)。答案：D[單選題]8.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，最高管理層應(yīng)()，以確保信息安全管理體系符合標(biāo)準(zhǔn)要求。A.分配責(zé)任和權(quán)限B.分配角色和權(quán)限C.分配崗位與權(quán)限D(zhuǎn).分配職責(zé)與權(quán)限正確答案：A[單選題]9.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，組織應(yīng)在相關(guān)()上建立信息安全目標(biāo)。A.職能和層次B.戰(zhàn)略和意圖C.戰(zhàn)略和方針D.組織環(huán)境和相關(guān)方要求正確答案：A參考解析：GB/T22080-2016標(biāo)準(zhǔn)規(guī)定組織應(yīng)在相關(guān)職能和層次上建立信息安全目標(biāo)，這是標(biāo)準(zhǔn)中對(duì)于信息安全目標(biāo)設(shè)立位置的明確要求。答案：A[單選題]10.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織()實(shí)施風(fēng)險(xiǎn)評(píng)估。A.只需在重大變更發(fā)生時(shí)B.只需按計(jì)劃的時(shí)間間隔C.應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)D.應(yīng)按計(jì)劃的時(shí)間間隔且當(dāng)重大變更提出或發(fā)生時(shí)正確答案：C參考解析：GB/T22080-2016標(biāo)準(zhǔn)要求組織實(shí)施風(fēng)險(xiǎn)評(píng)估，既不是只在重大變更發(fā)生時(shí)，也不是只按計(jì)劃時(shí)間間隔，而是這兩種情況都要考慮，即按計(jì)劃時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)。答案：C[單選題]11.某數(shù)據(jù)中心申請(qǐng)ISMS認(rèn)證的范圍為“IDC基礎(chǔ)設(shè)施服務(wù)的提供”，對(duì)此以下說(shuō)法正確的是()。A.附錄A.8可以刪減B.附錄A.17可以刪減C.附錄A.12可以刪減D.附錄A.14可以刪減正確答案：D參考解析：附錄A.8是信息資產(chǎn)的分類與控制，對(duì)于提供IDC基礎(chǔ)設(shè)施服務(wù)的機(jī)構(gòu)，信息資產(chǎn)的管理至關(guān)重要，不能刪減；附錄A.17是信息安全的獨(dú)立評(píng)審，對(duì)ISMS認(rèn)證范圍評(píng)估等很關(guān)鍵，不能刪減；附錄A.12是運(yùn)營(yíng)安全，IDC基礎(chǔ)設(shè)施服務(wù)運(yùn)營(yíng)涉及眾多安全方面，不能刪減；附錄A.14主要針對(duì)信息系統(tǒng)獲取、開發(fā)和維護(hù)，而該數(shù)據(jù)中心認(rèn)證范圍僅為“IDC基礎(chǔ)設(shè)施服務(wù)的提供”，相對(duì)不涉及信息系統(tǒng)獲取、開發(fā)等環(huán)節(jié)，可考慮刪減。答案：D[單選題]12.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是()。A.技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)B.及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息C.了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)驗(yàn)越小D.及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑正確答案：B參考解析：A選項(xiàng)，技術(shù)脆弱性管理與事件管理有關(guān)聯(lián)，不是單獨(dú)管理，A錯(cuò)誤；C選項(xiàng)，了解技術(shù)脆弱性公眾范圍越廣，風(fēng)險(xiǎn)可能越大，C錯(cuò)誤；D選項(xiàng)，不能盲目安裝所有補(bǔ)丁，要評(píng)估后安裝，不是最佳途徑，D錯(cuò)誤。B選項(xiàng)，及時(shí)獲取在用信息系統(tǒng)技術(shù)方面脆弱性信息，符合標(biāo)準(zhǔn)要求。答案：B[單選題]13.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于資產(chǎn)清單，正確的是()。？A.做好資產(chǎn)整理是其基礎(chǔ)B.識(shí)別信息，以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn)C.識(shí)別和完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)責(zé)任人D.資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高正確答案：B參考解析：資產(chǎn)清單需識(shí)別信息及與信息和信息處理設(shè)施相關(guān)其他資產(chǎn)。A選項(xiàng)“做好資產(chǎn)整理”表述模糊；C選項(xiàng)僅依賴固定資產(chǎn)臺(tái)賬不全面；D選項(xiàng)資產(chǎn)重要性并非單純由價(jià)格決定。答案：B[單選題]14.根據(jù)GB/T22080-2016中控制措施的要求，為了確保布纜安全，以下正確的做法是()。A.為了防止干擾，電源電纜宜與通信電纜分開B.使用同一電纜管道鋪設(shè)電源電纜和通信電纜C.網(wǎng)絡(luò)電纜采用明線架設(shè)，以便于探查故障和維修D(zhuǎn).配線盤應(yīng)盡量放置在公共可訪問(wèn)區(qū)域，以便于應(yīng)急管理正確答案：A參考解析：A選項(xiàng)符合確保布纜安全，防止干擾的要求；B選項(xiàng)同一電纜管道鋪設(shè)電源和通信電纜易引發(fā)干擾等安全問(wèn)題；C選項(xiàng)網(wǎng)絡(luò)電纜明線架設(shè)存在物理?yè)p壞等安全風(fēng)險(xiǎn)；D選項(xiàng)配線盤放公共可訪問(wèn)區(qū)域易被誤操作或破壞，不安全。答案選A。[單選題]15.()不是保護(hù)辦公室、房間和設(shè)施的安全的考慮措施。A.電磁屏蔽B.關(guān)鍵設(shè)施的安置避免公眾訪問(wèn)的場(chǎng)地C.配置設(shè)施以防保密信息被外部可視或可聽D.建筑物內(nèi)側(cè)或外側(cè)以明確標(biāo)記給出其用途的指示正確答案：D參考解析：選項(xiàng)A電磁屏蔽可防止信息通過(guò)電磁泄露，保護(hù)安全；選項(xiàng)B關(guān)鍵設(shè)施避開公眾場(chǎng)地能減少安全風(fēng)險(xiǎn)；選項(xiàng)C防止保密信息被外部可視可聽也是安全保護(hù)。而選項(xiàng)D建筑物給出用途指示，可能會(huì)讓別有用心的人知曉內(nèi)部情況，不利于安全保護(hù)。答案：D[單選題]16.投訴受理后收到的每件投訴都應(yīng)該按照準(zhǔn)則進(jìn)行初步評(píng)估，評(píng)估的內(nèi)容不包括()。？A.風(fēng)險(xiǎn)偏好B.復(fù)雜程度C.影響程度D.嚴(yán)重程度正確答案：A參考解析：在投訴初步評(píng)估中，復(fù)雜程度、影響程度、嚴(yán)重程度都是對(duì)投訴本身性質(zhì)及后果等方面很直觀且常見的評(píng)估內(nèi)容。而風(fēng)險(xiǎn)偏好主要是指機(jī)構(gòu)或個(gè)人對(duì)風(fēng)險(xiǎn)的態(tài)度和承受能力，與投訴本身的特性關(guān)聯(lián)不大，并非對(duì)投訴進(jìn)行初步評(píng)估的內(nèi)容。答案：A[單選題]17.根據(jù)GB/T28450《信息安全技術(shù)信息安全管理體系審核指南》標(biāo)準(zhǔn)，ISMS的規(guī)模不包括()。A.組織的部門數(shù)量B.信息系統(tǒng)的數(shù)量C.ISMS覆蓋的場(chǎng)所數(shù)量D.在組織控制下開展工作的人員總數(shù)，以及與ISMS有關(guān)的相關(guān)方和合同方正確答案：A[單選題]18.形成ISMS審核發(fā)現(xiàn)時(shí)，不需要考慮的是()。A.所實(shí)施控制措施的有效性B.所實(shí)施控制措施的時(shí)效性C.適用性聲明的完備性和合理性D.所實(shí)施控制措施與適用性聲明的符合性正確答案：B參考解析：ISMS（信息安全管理體系）審核發(fā)現(xiàn)重點(diǎn)關(guān)注控制措施有效性、與適用性聲明的符合性以及適用性聲明本身完備合理等方面。而時(shí)效性通常不是審核發(fā)現(xiàn)重點(diǎn)考慮的關(guān)鍵因素，控制措施關(guān)鍵在于是否有效、是否符合聲明等，而非實(shí)施時(shí)間的時(shí)效性特點(diǎn)。答案：B[單選題]19.根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS文件評(píng)審不包括()。A.風(fēng)險(xiǎn)處置計(jì)劃的完備性B.風(fēng)險(xiǎn)評(píng)估報(bào)告的合理性C.適用性聲明的完備性和合理性D.信息安全管理手冊(cè)的充分性正確答案：D[單選題]20.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，信息安全的保密性是指()。A.保證信息不被其他人使用B.保護(hù)信息準(zhǔn)確和完整的特性C.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性D.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性正確答案：D參考解析：保密性強(qiáng)調(diào)信息不被未授權(quán)者知曉。A選項(xiàng)“不被其他人使用”說(shuō)法不準(zhǔn)確，保密性主要針對(duì)知悉層面；B選項(xiàng)是完整性的概念；C選項(xiàng)是可用性概念。D選項(xiàng)準(zhǔn)確闡述了保密性。答案：D[單選題]21.根據(jù)ISO/IEC27000標(biāo)準(zhǔn)，()為組織提供了信息安全管理體系實(shí)施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27003D.ISO/IEC27013正確答案：C參考解析：ISO/IEC27003是信息安全管理體系實(shí)施指南。答案：C[單選題]22.GB/Z20986《信息安全技術(shù)信息安全事件分類分級(jí)指南》規(guī)定，未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件是()。A.信息竊取事件B.信息泄漏事件C.信息算改事件D.信息假冒事件正確答案：C參考解析：題干強(qiáng)調(diào)未經(jīng)授權(quán)將信息更換為攻擊者提供的信息，這符合信息篡改事件中對(duì)信息進(jìn)行更改的特征。答案：C[單選題]23.下列關(guān)于DMZ區(qū)的說(shuō)法錯(cuò)誤的是()。A.DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)B.內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)外部網(wǎng)絡(luò)以及DMZC.有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作D.通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)入的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等正確答案：A參考解析：這是一道關(guān)于網(wǎng)絡(luò)安全中DMZ區(qū)域（隔離區(qū)）功能與特性的選擇題。我們可以簡(jiǎn)要梳理下題目中的各個(gè)選項(xiàng)：A.DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)-這個(gè)說(shuō)法通常是不準(zhǔn)確的。DMZ區(qū)域的設(shè)計(jì)初衷是為了放置那些需要對(duì)外提供服務(wù)但又不應(yīng)直接暴露給互聯(lián)網(wǎng)的設(shè)備，如Web服務(wù)器。為了安全起見，DMZ通常被配置為不能主動(dòng)訪問(wèn)內(nèi)部網(wǎng)絡(luò)，而是限制在特定的、受控的通信范圍內(nèi)。B.內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)外部網(wǎng)絡(luò)以及DMZ-這個(gè)說(shuō)法在一定程度上是正確的，但“無(wú)限制”這一表述可能引發(fā)誤解。內(nèi)部網(wǎng)絡(luò)確實(shí)可以訪問(wèn)外部網(wǎng)絡(luò)，也可以訪問(wèn)DMZ中的特定服務(wù)，但這并不意味著沒(méi)有任何限制或安全策略。不過(guò)，相較于A選項(xiàng)，此選項(xiàng)的核心意思更接近正確。C.有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作-這描述了一種常見的網(wǎng)絡(luò)安全架構(gòu)策略，在這種配置中，主防火墻確實(shí)常采用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）方式工作，以增加額外的安全層。D.通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)入的設(shè)備，如Web服務(wù)器、FTP服務(wù)器等-這是對(duì)DMZ功能的準(zhǔn)確描述。DMZ區(qū)域就是為了放置這些需要對(duì)外提供服務(wù)的設(shè)備而設(shè)立的。綜上所述，A選項(xiàng)“DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)”是錯(cuò)誤的，因?yàn)镈MZ的設(shè)計(jì)原則就是限制其對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限，以增強(qiáng)網(wǎng)絡(luò)安全。所以，正確答案是A。[單選題]24.關(guān)于顧客滿意以下說(shuō)法錯(cuò)誤的是()。A.顧客滿意是指顧客對(duì)其期望已被滿足程度的感受B.確保規(guī)定的顧客要求符合顧客的愿望并得到滿足，就能確保顧客很滿意C.投訴是一種滿意程度低的最常見的表達(dá)方式，但沒(méi)有投訴并不一定表明顧客很滿意D.為了實(shí)現(xiàn)較高的顧客滿意，可能有必要滿足那些顧客既沒(méi)有明示也不是通常隱含或必須履行的期望正確答案：A[單選題]25.關(guān)于“監(jiān)控系統(tǒng)”的存取與使用，下列說(shuō)法正確的是()。A.應(yīng)保持時(shí)鐘同步B.監(jiān)控系統(tǒng)所產(chǎn)生的記錄可由用戶任意存取C.只有當(dāng)系統(tǒng)發(fā)生異常事件及其他安全相關(guān)事件時(shí)才需進(jìn)行監(jiān)控D.監(jiān)控系統(tǒng)投資額龐大，并會(huì)影響系統(tǒng)效能，因此可以予以暫時(shí)省略正確答案：A參考解析：B選項(xiàng)用戶任意存取記錄缺乏安全管控不合理；C選項(xiàng)僅在異常及安全事件時(shí)監(jiān)控太局限，日常也需監(jiān)控；D選項(xiàng)監(jiān)控系統(tǒng)很重要，不能因投資和影響效能省略。A選項(xiàng)保持時(shí)鐘同步對(duì)于準(zhǔn)確記錄事件等很有必要，是合理的。答案：A[單選題]26.若通過(guò)桌面系統(tǒng)對(duì)終端實(shí)行引IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為()。A.動(dòng)態(tài)B.靜態(tài)C.靜態(tài)、動(dòng)態(tài)均可D.靜態(tài)達(dá)到50%以上即可正確答案：B參考解析：IP、MAC綁定需要固定的IP地址，動(dòng)態(tài)分配的IP地址會(huì)變化，無(wú)法穩(wěn)定綁定，只有靜態(tài)分配IP地址才能實(shí)現(xiàn)IP與MAC的綁定。答案：B[單選題]27.在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是()。A.數(shù)據(jù)篡改B.數(shù)據(jù)竊聽C.非法訪問(wèn)D.數(shù)據(jù)流分析正確答案：A參考解析：主動(dòng)攻擊是指攻擊者對(duì)連接中通過(guò)的協(xié)議數(shù)據(jù)單元（PDU）進(jìn)行各種處理，如修改、刪除、重放、偽造等，試圖改變系統(tǒng)資源或影響系統(tǒng)運(yùn)行。數(shù)據(jù)篡改是對(duì)數(shù)據(jù)進(jìn)行了修改操作，屬于主動(dòng)攻擊。而數(shù)據(jù)竊聽、數(shù)據(jù)流分析主要是獲取信息，非法訪問(wèn)只是未經(jīng)授權(quán)進(jìn)入系統(tǒng)，未改變數(shù)據(jù)等，屬于被動(dòng)攻擊。答案：A[單選題]28.關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估，以下說(shuō)法正確的是()。A.風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)評(píng)價(jià)B.組織應(yīng)基于其整體業(yè)務(wù)活動(dòng)所在的環(huán)境和風(fēng)險(xiǎn)考慮其信息安全管理體系的設(shè)計(jì)C.風(fēng)險(xiǎn)評(píng)估過(guò)程中各參數(shù)的賦值一旦確定，不應(yīng)輕易改變，以維持風(fēng)險(xiǎn)評(píng)估的穩(wěn)定性D.如果集團(tuán)企業(yè)的各地分子公司業(yè)務(wù)性質(zhì)相同，則針對(duì)一個(gè)分子公司識(shí)別、評(píng)價(jià)風(fēng)險(xiǎn)即可，其風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果文件其他分子公司可直接采用，以節(jié)省重復(fù)識(shí)別和計(jì)算的工作品正確答案：B參考解析：A選項(xiàng)風(fēng)險(xiǎn)評(píng)估主要是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)等評(píng)估，風(fēng)險(xiǎn)管理包含風(fēng)險(xiǎn)評(píng)估等多個(gè)環(huán)節(jié)，A說(shuō)法錯(cuò)誤；B選項(xiàng)組織確實(shí)應(yīng)基于整體業(yè)務(wù)環(huán)境和風(fēng)險(xiǎn)來(lái)設(shè)計(jì)信息安全管理體系，該說(shuō)法合理；C選項(xiàng)業(yè)務(wù)等情況變化時(shí)，風(fēng)險(xiǎn)評(píng)估參數(shù)賦值應(yīng)調(diào)整，C錯(cuò)誤；D選項(xiàng)各地分子公司雖業(yè)務(wù)性質(zhì)相同，但所處環(huán)境等可能不同，不能直接照搬風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果，D錯(cuò)誤。答案：B[單選題]29.在物聯(lián)網(wǎng)中，M2M通常由三部分組成，下面哪項(xiàng)不是其組成部分？()A.主機(jī)部分B.網(wǎng)絡(luò)部分C.應(yīng)用部分D.終端部分正確答案：A參考解析：M2M通常包含終端部分（實(shí)現(xiàn)數(shù)據(jù)采集等）、網(wǎng)絡(luò)部分（負(fù)責(zé)數(shù)據(jù)傳輸）、應(yīng)用部分（對(duì)數(shù)據(jù)進(jìn)行處理和應(yīng)用），主機(jī)部分一般不屬于其常見組成部分。答案：A[單選題]30.()是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A.漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè)和防火墻B.漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻C.網(wǎng)絡(luò)入侵檢測(cè)、防病毒系統(tǒng)和防火墻D.補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)和防火墻正確答案：B參考解析：建立有效的計(jì)算機(jī)病毒防御體系，漏洞掃描可發(fā)現(xiàn)系統(tǒng)漏洞，補(bǔ)丁管理系統(tǒng)能及時(shí)修復(fù)漏洞，防火墻可阻擋外部非法訪問(wèn)與部分病毒入侵。網(wǎng)絡(luò)入侵檢測(cè)主要針對(duì)網(wǎng)絡(luò)攻擊，對(duì)計(jì)算機(jī)病毒防御不是最關(guān)鍵。所以應(yīng)選包含漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻的選項(xiàng)。答案：B[單選題]31.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于()。A.6個(gè)月B.1個(gè)月C.3個(gè)月D.12個(gè)月正確答案：A參考解析：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者留存相關(guān)網(wǎng)絡(luò)日志需不少于6個(gè)月。答案：A[單選題]32.根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》，國(guó)家秘密的最高密級(jí)為()。A.秘密B.機(jī)密C.特密D.絕密正確答案：D參考解析：《中華人民共和國(guó)保守國(guó)家秘密法》規(guī)定，國(guó)家秘密的密級(jí)分為絕密、機(jī)密、秘密三級(jí)，其中絕密是最高密級(jí)。答案：D[單選題]33.根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》，國(guó)家秘密的保密期限應(yīng)為()。A.絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年B.絕密不超過(guò)三十年，機(jī)密不超過(guò)二十年，秘密不超過(guò)十年C.絕密不超過(guò)二十五年，機(jī)密不超過(guò)十五年，秘密不超過(guò)五年D.絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年正確答案：B參考解析：《中華人民共和國(guó)保守國(guó)家秘密法》規(guī)定國(guó)家秘密的保密期限，絕密級(jí)不超過(guò)三十年，機(jī)密級(jí)不超過(guò)二十年，秘密級(jí)不超過(guò)十年。答案：B[單選題]34.根據(jù)《中華人民共和國(guó)密碼法》，國(guó)家對(duì)密碼實(shí)行()管理。A.分類B.有效C.統(tǒng)籌D.統(tǒng)一正確答案：A參考解析：《中華人民共和國(guó)密碼法》規(guī)定國(guó)家對(duì)密碼實(shí)行分類管理，這是基于不同密碼的功能、應(yīng)用場(chǎng)景及重要程度等多方面考慮的管理方式。答案：A[單選題]35.根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全等級(jí)分為五級(jí)，以下說(shuō)法正確的是()。A.二級(jí)系統(tǒng)和五級(jí)系統(tǒng)不進(jìn)行測(cè)評(píng)B.二級(jí)系統(tǒng)每年進(jìn)行一次測(cè)評(píng)，三級(jí)系統(tǒng)每年進(jìn)行二次測(cè)評(píng)C.三級(jí)系統(tǒng)每年進(jìn)行一次測(cè)評(píng)，四級(jí)系統(tǒng)每年進(jìn)行二次測(cè)評(píng)D.四級(jí)系統(tǒng)每年進(jìn)行二次測(cè)評(píng)，五級(jí)系統(tǒng)每季度進(jìn)行一次測(cè)評(píng)正確答案：C參考解析：根據(jù)相關(guān)規(guī)定，三級(jí)系統(tǒng)每年進(jìn)行一次測(cè)評(píng)，四級(jí)系統(tǒng)每半年進(jìn)行一次測(cè)評(píng)（即每年進(jìn)行二次測(cè)評(píng)）。二級(jí)系統(tǒng)一般不需要進(jìn)行測(cè)評(píng)，但存在特定情況時(shí)需測(cè)評(píng)。五級(jí)系統(tǒng)由于涉及國(guó)家安全等特殊情況，其測(cè)評(píng)方式較為特殊不常規(guī)公開。A選項(xiàng)中五級(jí)雖特殊但并非不測(cè)評(píng)；B選項(xiàng)二級(jí)一般不評(píng)且三級(jí)一年一次；D選項(xiàng)五級(jí)不是每季度測(cè)評(píng)。答案：C[單選題]36.《信息安全等級(jí)保護(hù)管理辦法》規(guī)定()級(jí)保護(hù)時(shí)，國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。A.2B.3C.4D.5正確答案：C[單選題]37.根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn)，以下說(shuō)法錯(cuò)誤的是()。A.信道是系統(tǒng)內(nèi)的信息傳輸路徑B.訪問(wèn)監(jiān)控器是監(jiān)控器主體和客體之間授權(quán)訪問(wèn)關(guān)系的部件C.敏感標(biāo)記表示主體安全級(jí)別并描述主體數(shù)據(jù)敏感性的一組信息D.安全策略是有關(guān)管理、保護(hù)、發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則正確答案：C參考解析：敏感標(biāo)記是表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，而不是主體，C選項(xiàng)說(shuō)法錯(cuò)誤。A選項(xiàng)對(duì)信道、B選項(xiàng)對(duì)訪問(wèn)監(jiān)控器、D選項(xiàng)對(duì)安全策略的表述正確。答案：C[單選題]38.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A.2011B.2017C.2019D.2016正確答案：A參考解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》是2000年9月25日發(fā)布，2011年1月8日修訂，現(xiàn)行有效的是2011年修訂版本。答案選A。[單選題]39.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行()。A.許可制度B.地方經(jīng)營(yíng)C.國(guó)家經(jīng)營(yíng)D.備案制度正確答案：A參考解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》明確規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度，對(duì)非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度。答案選A。[單選題]40.《網(wǎng)絡(luò)安全審查辦法》的制定，是為了()。A.保守國(guó)家秘密，維護(hù)國(guó)家安全和利益B.保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全C.確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全D.規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動(dòng)，促進(jìn)互聯(lián)網(wǎng)信息服務(wù)健康有序發(fā)展正確答案：B[多選題]1.以下()活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容。A.確定ISMS方針B.實(shí)施體系文件培訓(xùn)C.確定ISMS的范圍和邊界D.確定風(fēng)險(xiǎn)評(píng)估方法和實(shí)施正確答案：AC[多選題]2.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，風(fēng)險(xiǎn)描述的要素包括()。A.后果B.威脅C.脆弱性D.可能性正確答案：AD參考解析：風(fēng)險(xiǎn)描述通常要涵蓋風(fēng)險(xiǎn)發(fā)生的可能性以及一旦發(fā)生所帶來(lái)的后果。威脅和脆弱性是引發(fā)風(fēng)險(xiǎn)的因素，但不屬于風(fēng)險(xiǎn)描述直接的要素。所以風(fēng)險(xiǎn)描述要素包括可能性和后果。答案：AD[多選題]3.信息安全是保證信息的()，另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A.可用性B.機(jī)密性C.完備性D.完整性正確答案：ABD參考解析：信息安全通常強(qiáng)調(diào)的是可用性、機(jī)密性和完整性。完備性并非信息安全核心特性表述。而題干所問(wèn)是信息安全保證信息的特性，可用性、機(jī)密性、完整性都符合信息安全范疇。綜合常見表述，信息安全主要保證信息的可用性、機(jī)密性、完整性，這題全選ABD更合適，一般信息安全特性表述中不單獨(dú)突出完備性。答案：ABD[多選題]4.以下屬于相關(guān)方的是()。A.顧客B.供方C.所有者D.組織內(nèi)的人員正確答案：ABCD參考解析：相關(guān)方是指可影響決策或活動(dòng)、受決策或活動(dòng)影響，或自認(rèn)為受決策或活動(dòng)影響的個(gè)人或組織。顧客、供方、所有者、組織內(nèi)人員都符合相關(guān)方定義。答案：ABCD。[多選題]5.依據(jù)GB/T22080-2016，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括()。A.信息備份策略B.訪問(wèn)控制策略C.信息傳輸策略D.密鑰管理策略正確答案：ABCD[多選題]6.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，下列說(shuō)法正確的是()。A.殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B.組織控制下的員工應(yīng)了解信息安全方針C.保留有關(guān)信息安全風(fēng)險(xiǎn)處置過(guò)程的文件化信息D.適用性聲明需要包含必要的控制及其選擇的合理性說(shuō)明正確答案：ABCD[多選題]7.移動(dòng)設(shè)備策略宜考慮()。A.訪問(wèn)控制B.移動(dòng)設(shè)備注冊(cè)C.惡意軟件防范D.物理保護(hù)要求正確答案：ABCD參考解析：移動(dòng)設(shè)備策略需綜合多方面，訪問(wèn)控制確保合法訪問(wèn)，移動(dòng)設(shè)備注冊(cè)便于管理，惡意軟件防范保障安全，物理保護(hù)防止設(shè)備丟失損壞等，這些都是移動(dòng)設(shè)備策略應(yīng)考慮要點(diǎn)。答案：ABCD[多選題]8.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，管理評(píng)審是為了確保信息安全管理體系持續(xù)的()。A.充分性B.符合性C.有效性D.適宜性正確答案：ACD參考解析：GB/T22080-2016標(biāo)準(zhǔn)要求管理評(píng)審確保信息安全管理體系持續(xù)的充分性、有效性和適宜性，符合性并非管理評(píng)審主要確保的方面。答案：ACD[多選題]9.針對(duì)系統(tǒng)和應(yīng)用訪問(wèn)控制，以下做法不正確的是()。A.對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)人員開放不限時(shí)權(quán)限B.登錄之后，不活動(dòng)超過(guò)規(guī)定時(shí)間強(qiáng)制使其退出登錄C.對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D.用戶嘗試登錄失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤正確答案：AD[多選題]10.對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施，以下說(shuō)法正確的是()。A.規(guī)避風(fēng)險(xiǎn)B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移C.所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別D.在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)正確答案：AB[多選題]11.風(fēng)險(xiǎn)處置的可選措施包括()。A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩正確答案：CD參考解析：風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評(píng)估階段的內(nèi)容，并非風(fēng)險(xiǎn)處置措施。而風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)減緩屬于對(duì)風(fēng)險(xiǎn)進(jìn)行處置的手段。答案：CD[多選題]12.認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備()。A.信息安全的知識(shí)B.管理體系的知識(shí)C.與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)D.ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)正確答案：ABCD[多選題]13.可用于信息安全風(fēng)險(xiǎn)分析的方法包括()。A.場(chǎng)景分析法B.ATA（攻擊路徑分析）法C.FMEA（失效模式分析）法D.HACCP（危害分析與關(guān)鍵控制點(diǎn)）法正確答案：AD[多選題]14.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)()網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A.使用B.建設(shè)C.運(yùn)營(yíng)D.維護(hù)正確答案：ABCD參考解析：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于境內(nèi)網(wǎng)絡(luò)的建設(shè)、運(yùn)營(yíng)、維護(hù)和使用等各環(huán)節(jié)以及網(wǎng)絡(luò)安全監(jiān)督管理。這幾個(gè)選項(xiàng)并非孤立，網(wǎng)絡(luò)從建設(shè)開始，到運(yùn)營(yíng)、維護(hù)、使用的整個(gè)生命周期都在該法規(guī)范范疇。答案：ABCD[判斷題]1.2008年6月19日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等同采用ISO/IEC27001:2005《信息安全管理體系要求》，僅有編輯性修改。A.正確B.錯(cuò)誤正確答案：A參考解析：需了解我國(guó)對(duì)ISO/IEC27001:2005的采用情況。實(shí)際上，我國(guó)確實(shí)在2008年6月19日等同采用該標(biāo)準(zhǔn)且僅有編輯性修改。[判斷題]2.ISO/IEC27018標(biāo)準(zhǔn)是信息技術(shù)、安全技術(shù)作為PⅡ處理者在公有云中保護(hù)個(gè)人身份信息（PⅡ）的實(shí)踐規(guī)范。A.正確B.錯(cuò)誤正確答案：A參考解析：ISO/IEC27018