本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2016年12月基礎(chǔ)知識（改考前）答案及解析單選題（共80題，共80分）1.依據(jù)GBT22080/ISO/IEC27001，制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）。A.業(yè)務(wù)戰(zhàn)略B.法律法規(guī)要求C.合同要求D.以上全部答案：D解析：根據(jù)GBT22080/ISO/IEC27001標(biāo)準(zhǔn)，制定信息安全管理體系方針時，應(yīng)予以考慮的輸入包括業(yè)務(wù)戰(zhàn)略、法律法規(guī)要求和合同要求。因此，選項D“以上全部”是正確的答案。2.信息安全中的可用性是指（）。A.根據(jù)授權(quán)實體的要求可訪問和利用的特性B.信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性C.保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D.反應(yīng)失誤真是情況的程度答案：A解析：信息安全中的可用性是指根據(jù)授權(quán)實體的要求可訪問和利用的特性。可用性是指系統(tǒng)或信息在需要時能夠被授權(quán)用戶訪問和使用的程度，即信息或服務(wù)能夠在需要時被獲取和使用。這與未授權(quán)的個人、實體或過程無關(guān)，也不涉及信息的準(zhǔn)確性和完整性，更不是反應(yīng)失誤真是情況的程度。因此，正確答案是A。3.依據(jù)GBT22080/ISO/IEC27001，以下符合責(zé)任分割原則的是（）。A.某數(shù)據(jù)中心機(jī)房運(yùn)維工程師權(quán)某負(fù)責(zé)制定機(jī)房訪問控制策略，為方便巡檢，登錄門禁系統(tǒng)為自己配置了各個機(jī)房的不限時門禁權(quán)限。B.A公司由信息安全官（CIO）負(fù)責(zé)制定訪問控制策略，為信息系統(tǒng)管理員的登錄權(quán)限授權(quán)時，由另外5位副總到場分別輸入自己的口令然后完成授權(quán)。C.A公司制定了訪問權(quán)限列表，信息系統(tǒng)權(quán)限分配為：董事長擁有全部權(quán)限，某次為副總，再某次為主管經(jīng)理，依次類推，運(yùn)維工程師因職務(wù)最低，故擁有最少權(quán)限。D.以上均符合責(zé)任分割原則。答案：B解析：根據(jù)GBT22080/ISO/IEC27001標(biāo)準(zhǔn)，責(zé)任分割原則要求將信息資產(chǎn)的管理責(zé)任分配給不同的個人或團(tuán)隊，以避免單一個體擁有過多的權(quán)力。A選項中，運(yùn)維工程師權(quán)某為自己配置了各個機(jī)房的不限時門禁權(quán)限，這可能導(dǎo)致權(quán)某擁有過多的門禁權(quán)限，不符合責(zé)任分割原則。B選項中，信息安全官（CIO）負(fù)責(zé)制定訪問控制策略，而授權(quán)過程需要另外5位副總到場分別輸入自己的口令，這符合責(zé)任分割原則，因為多個個體共同決策，降低了單一個體擁有過多權(quán)力的風(fēng)險。C選項中，雖然制定了訪問權(quán)限列表，但董事長擁有全部權(quán)限，這可能使得董事長擁有過多的權(quán)力，不符合責(zé)任分割原則。D選項中，沒有明確指出哪一個選項符合或不符合責(zé)任分割原則，因此不能直接判斷。綜上所述，符合責(zé)任分割原則的是B選項。4.依據(jù)GB/T22080/IS0/IEC27001，建立資產(chǎn)清單即（）。A.列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對組織業(yè)務(wù)的關(guān)鍵性。B.完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)負(fù)責(zé)人。C.資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D.A+B答案：A解析：在GB/T22080/IS0/IEC27001中，建立資產(chǎn)清單的主要目的是列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對組織業(yè)務(wù)的關(guān)鍵性。這是資產(chǎn)管理的核心，有助于組織了解和控制其資產(chǎn)，確保信息安全和合規(guī)性。選項B提到的固定資產(chǎn)臺賬雖然與資產(chǎn)有關(guān)，但并不是建立資產(chǎn)清單的主要目的。選項C將資產(chǎn)的重要性和價格掛鉤，這是不準(zhǔn)確的，因為資產(chǎn)的重要性不僅取決于其價格，還取決于其在組織業(yè)務(wù)中的關(guān)鍵性。選項D將A和B的選項合并，但這不是建立資產(chǎn)清單的正確方法。因此，正確答案是A。5.為信息系統(tǒng)用戶注冊時，以下正確的是（）。A.按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)B.組共享用戶ID按組任務(wù)的最大權(quán)限注冊C.預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性D.避免頻繁變更用戶訪問權(quán)答案：A解析：在為用戶注冊信息系統(tǒng)時，確保訪問權(quán)限的適當(dāng)和合理分配至關(guān)重要。根據(jù)提供的選項：A.按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)-這是一個合理的做法，因為它確保每個用戶根據(jù)其職責(zé)或業(yè)務(wù)角色獲得適當(dāng)?shù)脑L問權(quán)限，從而增加了系統(tǒng)的安全性和效率。B.組共享用戶ID按組任務(wù)的最大權(quán)限注冊-這可能導(dǎo)致權(quán)限過大，因為整個組可能擁有超出其實際需要的權(quán)限，增加了誤操作或不當(dāng)訪問的風(fēng)險。C.預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性-這種做法可能會導(dǎo)致資源的浪費(fèi)和安全性問題，因為過多的冗余ID可能會成為潛在的安全隱患。D.避免頻繁變更用戶訪問權(quán)-這確實是一個重要的考慮因素，但并不能直接關(guān)聯(lián)到用戶注冊時的正確做法，它更多的是關(guān)于訪問權(quán)限管理的長期策略。因此，選項A"按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)"是最合適的。6.信息分類方案的目的是（）。A.劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤。B.劃分信息載體所屬的職能以便于明確管理責(zé)任。C.劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則。D.劃分信息的數(shù)據(jù)類型如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對其分析。答案：C解析：信息分類方案的目的是劃分信息對于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲、處理、處置的原則。這是因為不同的信息對于組織的業(yè)務(wù)有不同的重要性和敏感性，需要采取不同的存儲、處理和處置措施。例如，一些信息可能需要高度保密，需要采取嚴(yán)格的安全措施；而另一些信息可能只需要普通的存儲和處理方式。因此，通過信息分類方案，可以明確不同信息的存儲、處理和處置原則，從而更好地保護(hù)組織的利益。其他選項如劃分信息載體的不同介質(zhì)、劃分信息載體所屬的職能、劃分信息的數(shù)據(jù)類型等，雖然也是信息管理中需要考慮的因素，但并不是信息分類方案的主要目的。7.以下做法不正確的是（）。A.保貿(mào)者矗危信息的介質(zhì)的處置記錄B.將大量含有信息的介質(zhì)匯集在一起時提高其總體敏感性等級C.將所有的已用過一面的復(fù)印紙分配各部門復(fù)用以符合組織的節(jié)能降耗策略D.依據(jù)風(fēng)險評估的結(jié)果將維修更換下來的磁盤交第三方按雙方約定的程序進(jìn)行處置答案：C解析：選項A“保貿(mào)者矗危信息的介質(zhì)的處置記錄”是正確的，因為對于敏感信息的介質(zhì)，確實需要妥善記錄其處置情況，確保信息安全。選項B“將大量含有信息的介質(zhì)匯集在一起時提高其總體敏感性等級”也是正確的，因為將大量敏感介質(zhì)匯集在一起時，其總體敏感性等級確實會提高，需要采取更嚴(yán)格的保護(hù)措施。選項C“將所有的已用過一面的復(fù)印紙分配各部門復(fù)用以符合組織的節(jié)能降耗策略”是不正確的。這是因為已經(jīng)使用過的復(fù)印紙可能包含敏感信息，如果隨意分配給各部門復(fù)用，可能會泄露機(jī)密信息，帶來安全隱患。選項D“依據(jù)風(fēng)險評估的結(jié)果將維修更換下來的磁盤交第三方按雙方約定的程序進(jìn)行處置”是正確的，因為維修更換下來的磁盤可能包含敏感信息，需要依據(jù)風(fēng)險評估的結(jié)果，交給第三方按照約定的程序進(jìn)行安全處置。8.保密性是指（）。A.根據(jù)授權(quán)實體的要求可訪問的特性B.信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C.保護(hù)信息準(zhǔn)確和完整的特性D.以上都不對答案：B解析：保密性是指信息不被未授權(quán)的個人、實體或過程利用或知悉的特性。這是信息安全領(lǐng)域中的一個重要概念，旨在確保信息僅被授權(quán)的人員或?qū)嶓w訪問和使用，防止未經(jīng)授權(quán)的人員獲取或泄露敏感信息。因此，選項B“信息不被未授權(quán)的個人、實體或過程利用或知悉的特性”是保密性的定義。其他選項與保密性的定義不符，所以答案為B。9.在建立信息安全管理體系時所用的風(fēng)險評估方法必須（）。A.遵循風(fēng)險評估的國際標(biāo)準(zhǔn)B.使用定性的方法C.使用定量的方法D.選用能夠產(chǎn)生可比較和可再現(xiàn)結(jié)果的方法答案：D解析：在建立信息安全管理體系時，風(fēng)險評估方法的選擇非常重要。我們需要確保所選方法能夠產(chǎn)生可比較和可再現(xiàn)的結(jié)果，這樣我們才能夠準(zhǔn)確地評估信息安全風(fēng)險，并采取相應(yīng)的措施來降低這些風(fēng)險。因此，選項D“選用能夠產(chǎn)生可比較和可再現(xiàn)結(jié)果的方法”是正確的選擇。其他選項，如遵循風(fēng)險評估的國際標(biāo)準(zhǔn)、使用定性的方法或定量的方法，雖然可能在某些情況下有用，但不一定能夠確保評估結(jié)果的準(zhǔn)確性和可比較性。10.關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）。A.沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)。B.對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接C.對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D.以上都對答案：C解析：在網(wǎng)絡(luò)服務(wù)的訪問控制策略中，選項C"對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)"是正確的。訪問控制策略的目的就是為了確保只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)服務(wù)。如果沒有明確的授權(quán)機(jī)制，就無法確定哪些用戶可以訪問哪些網(wǎng)絡(luò)服務(wù)，這可能會導(dǎo)致安全漏洞。因此，對于允許訪問的網(wǎng)絡(luò)服務(wù)，必須按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)，以確保網(wǎng)絡(luò)的安全性。選項A"沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)"并不完全正確。雖然這是一個常見的原則，但它并不是訪問控制策略的核心。訪問控制策略的核心是確定哪些用戶可以訪問哪些網(wǎng)絡(luò)服務(wù)，而不是默認(rèn)允許所有未明確禁止的訪問。選項B"對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、VPN等多種手段鏈接"也不完全正確。雖然無線和VPN等連接方式可以提供訪問網(wǎng)絡(luò)服務(wù)的手段，但這并不是訪問控制策略的核心。訪問控制策略的核心是確定哪些用戶可以通過哪些手段訪問哪些網(wǎng)絡(luò)服務(wù)。選項D"以上都對"顯然是不正確的，因為選項A和B都存在問題。因此，正確答案是選項C。11.關(guān)于特權(quán)訪問，以下說法正確的是（）。A.特權(quán)訪問用戶通常須包含顧客B.特權(quán)訪問用戶必須包含最高管理者C.特權(quán)訪問用戶的訪問權(quán)限最大權(quán)限原則的應(yīng)用D.特殊訪問權(quán)應(yīng)與其職能角色一致答案：D解析：特權(quán)訪問用戶通常指的是擁有特殊權(quán)限的用戶，這些權(quán)限可能超過普通用戶的權(quán)限。特權(quán)訪問用戶的選擇和權(quán)限分配應(yīng)該與其職能角色一致，以確保系統(tǒng)的安全性和穩(wěn)定性。因此，選項D“特殊訪問權(quán)應(yīng)與其職能角色一致”是正確的。選項A“特權(quán)訪問用戶通常須包含顧客”不正確，因為顧客通常不是特權(quán)訪問用戶，他們可能只擁有普通用戶的權(quán)限。選項B“特權(quán)訪問用戶必須包含最高管理者”也不正確，特權(quán)訪問用戶可能包括多個角色，而不僅僅是最高管理者。選項C“特權(quán)訪問用戶的訪問權(quán)限最大權(quán)限原則的應(yīng)用”沒有給出具體的解釋或上下文，因此無法判斷其正確性。12.描述組織釆取適當(dāng)?shù)目刂拼胧┑奈臋n是（）。A.管理手冊B.適用性聲明C.風(fēng)險處置計劃D.風(fēng)險評估程序答案：B解析：根據(jù)題目描述，我們需要找到描述組織采取適當(dāng)控制措施的文檔。選項A管理手冊通常包含組織的政策和程序，但它并不特指控制措施。選項C風(fēng)險處置計劃描述了如何響應(yīng)和處理特定風(fēng)險，但它并不是描述控制措施本身的文檔。選項D風(fēng)險評估程序描述了如何評估風(fēng)險，但它也不直接描述控制措施。而選項B適用性聲明通常描述控制措施如何適用于特定的環(huán)境或業(yè)務(wù)活動，因此，它最符合題目描述組織采取適當(dāng)控制措施的文檔的要求。因此，正確答案是B適用性聲明。13.管理者應(yīng)（）。A.制定ISMS方針B.制定ISMS目標(biāo)和計劃C.實施ISMS內(nèi)部審核D.確保ISMS管理評審的執(zhí)行答案：A解析：ISMS是信息安全管理體系（InformationSecurityManagementSystem）的縮寫。在信息安全管理體系中，制定ISMS方針是管理者的首要任務(wù)。ISMS方針是組織信息安全管理的總體方向和原則，它明確了組織對信息安全的承諾和期望，并為信息安全管理體系的建立、實施和改進(jìn)提供了指導(dǎo)。因此，管理者應(yīng)制定ISMS方針，以確保組織信息安全管理體系的有效運(yùn)行。選項A“制定ISMS方針”是正確答案。選項B“制定ISMS目標(biāo)和計劃”雖然也是ISMS中重要的一環(huán)，但它并不是管理者的首要任務(wù)，而是根據(jù)ISMS方針來制定的。選項C“實施ISMS內(nèi)部審核”和選項D“確保ISMS管理評審的執(zhí)行”都是ISMS實施和監(jiān)控階段的活動，也不是管理者的首要任務(wù)。14.完整性是指（）。A.根據(jù)授權(quán)實體的要求可訪問的特性B.信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C.保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D.以上都不對答案：C解析：完整性是指保護(hù)資產(chǎn)準(zhǔn)確和完整的特性。它確保數(shù)據(jù)或信息在傳輸、存儲或處理過程中不被篡改或損壞，保持其原始狀態(tài)。這是信息安全領(lǐng)域中的一個重要概念，對于保護(hù)敏感信息、維護(hù)系統(tǒng)穩(wěn)定和數(shù)據(jù)可靠性至關(guān)重要。因此，選項C“保護(hù)資產(chǎn)準(zhǔn)確和完整的特性”是正確的答案。15.關(guān)于用戶訪問權(quán)，以下做法正確的是（）。A.用戶崗位變更時，其原訪問權(quán)應(yīng)終止或撤銷B.抽樣進(jìn)行針對信息系統(tǒng)用戶訪問權(quán)的定期評審C.組織主動解聘員工時可不必復(fù)審員工訪問權(quán)D.使用監(jiān)控系統(tǒng)可替代用戶訪問權(quán)評審答案：A解析：根據(jù)題目描述，我們需要判斷哪個選項關(guān)于用戶訪問權(quán)的做法是正確的。A選項提到，用戶崗位變更時，其原訪問權(quán)應(yīng)終止或撤銷。這是正確的做法，因為當(dāng)用戶的崗位發(fā)生變化時，他們可能不再需要訪問某些信息系統(tǒng)或數(shù)據(jù)，因此應(yīng)該終止或撤銷他們的訪問權(quán)。B選項提到，抽樣進(jìn)行針對信息系統(tǒng)用戶訪問權(quán)的定期評審。雖然定期評審是一個好的做法，但抽樣進(jìn)行可能無法確保所有用戶的訪問權(quán)都得到充分的評審，因此不是最佳實踐。C選項提到，組織主動解聘員工時可不必復(fù)審員工訪問權(quán)。這是不正確的，因為當(dāng)員工被解聘時，他們可能仍然擁有訪問某些信息系統(tǒng)或數(shù)據(jù)的權(quán)限，因此應(yīng)該進(jìn)行復(fù)審以確保他們的訪問權(quán)被正確終止。D選項提到，使用監(jiān)控系統(tǒng)可替代用戶訪問權(quán)評審。這也是不正確的，因為監(jiān)控系統(tǒng)只是用于監(jiān)視用戶的訪問行為，而不能替代對訪問權(quán)的正式評審。綜上所述，A選項是正確的做法。16.關(guān)于密碼技術(shù)和密碼產(chǎn)品，以下說法正確的是（）。A.未經(jīng)批準(zhǔn)，禁止出口密碼技術(shù)和密碼產(chǎn)品，但進(jìn)口不受限B.未經(jīng)許可，禁止銷售商用密碼產(chǎn)品，但自行研發(fā)供自行使用不受限C.未經(jīng)指定，禁止生產(chǎn)商用密碼產(chǎn)品D.密碼技術(shù)和密碼產(chǎn)品均是國家秘密，須實行?？毓芾泶鸢福篊解析：根據(jù)《中華人民共和國密碼法》的規(guī)定，國家采取多種形式支持密碼科學(xué)研究和技術(shù)開發(fā)，保護(hù)自主創(chuàng)新的密碼科研成果，健全統(tǒng)一、開放、競爭、有序的密碼科研體系和市場體系。國家鼓勵密碼從業(yè)單位自主選擇商用密碼標(biāo)準(zhǔn)，支持密碼從業(yè)單位依法參與制定商用密碼國際標(biāo)準(zhǔn)。國家鼓勵商用密碼從業(yè)單位采用商用密碼標(biāo)準(zhǔn)，提升產(chǎn)品和服務(wù)質(zhì)量。國家推動商用密碼與物聯(lián)網(wǎng)、人工智能等新技術(shù)融合應(yīng)用，促進(jìn)商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展。對于商用密碼產(chǎn)品，未經(jīng)指定，禁止生產(chǎn)或者進(jìn)口在境內(nèi)銷售或者在境內(nèi)使用；商用密碼產(chǎn)品應(yīng)當(dāng)在顯著位置標(biāo)注商用密碼產(chǎn)品型號和密級。因此，選項C“未經(jīng)指定，禁止生產(chǎn)商用密碼產(chǎn)品”是正確的說法。選項A“未經(jīng)批準(zhǔn)，禁止出口密碼技術(shù)和密碼產(chǎn)品，但進(jìn)口不受限”、選項B“未經(jīng)許可，禁止銷售商用密碼產(chǎn)品，但自行研發(fā)供自行使用不受限”、選項D“密碼技術(shù)和密碼產(chǎn)品均是國家秘密，須實行?？毓芾怼本环仙鲜龇梢?guī)定。17.以下屬于計算機(jī)病毒感染事件的糾正措施的是（）。A.對計算機(jī)病毒事件進(jìn)行響應(yīng)和處理B.將感染病毒的計算機(jī)從網(wǎng)絡(luò)隔離C.對相關(guān)責(zé)任人進(jìn)行處罰D.以上都不對答案：D解析：根據(jù)題目所描述的內(nèi)容，選項A、B和C均不符合計算機(jī)病毒感染事件的糾正措施。選項A“對計算機(jī)病毒事件進(jìn)行響應(yīng)和處理”雖然是對病毒事件的一種處理方式，但并不是糾正措施。選項B“將感染病毒的計算機(jī)從網(wǎng)絡(luò)隔離”雖然是一種預(yù)防措施，但也不是糾正措施。選項C“對相關(guān)責(zé)任人進(jìn)行處罰”更不符合糾正措施的定義。因此，選項D“以上都不對”是正確答案，表明前面給出的選項都不是計算機(jī)病毒感染事件的糾正措施。糾正措施應(yīng)該是針對已發(fā)生的事件進(jìn)行修正和補(bǔ)救，而題目中的選項并未體現(xiàn)這一點(diǎn)。18.物理安全周邊的安全設(shè)置應(yīng)考慮（）。A.區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B.重點(diǎn)考慮計算機(jī)機(jī)房，不是蘇公區(qū)或其他功能區(qū)C.入侵探測和報警機(jī)櫚D.A+C答案：D解析：根據(jù)題目描述，我們需要考慮物理安全周邊的安全設(shè)置。選項A提到“區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類”，這涉及到對信息和資產(chǎn)的安全級別進(jìn)行劃分，是物理安全設(shè)置的一部分，但不是全部。選項B“重點(diǎn)考慮計算機(jī)機(jī)房，不是蘇公區(qū)或其他功能區(qū)”似乎存在筆誤或信息錯誤，因為“蘇公區(qū)”并不是一個常見的術(shù)語，可能是輸入錯誤。選項C“入侵探測和報警機(jī)櫚”指的是入侵檢測和報警系統(tǒng)，是物理安全設(shè)置中的重要部分，用于檢測和防止未經(jīng)授權(quán)的訪問。因此，選項D“A+C”包含了上述兩個重要的物理安全設(shè)置要素，是最全面的選擇。所以，正確答案是D。19.以下哪一項不屬于物理入口控制的措施？（）A.僅允許佩戴規(guī)定類型工牌的人員進(jìn)入B.人門處使用指紋識別系統(tǒng)C.僅允許穿戴規(guī)定防護(hù)服的人員進(jìn)入D.保安核實來訪人員的登記信息答案：C解析：物理入口控制是組織為保護(hù)其資產(chǎn)和信息安全而采取的一種措施，通過物理手段限制未經(jīng)授權(quán)的人員進(jìn)入。選項A“僅允許佩戴規(guī)定類型工牌的人員進(jìn)入”和選項B“人門處使用指紋識別系統(tǒng)”都是物理入口控制的措施，因為它們通過物理手段限制了進(jìn)入。選項D“保安核實來訪人員的登記信息”雖然涉及核實來訪人員的信息，但它不是通過物理手段實現(xiàn)的，因此不屬于物理入口控制的措施。選項C“僅允許穿戴規(guī)定防護(hù)服的人員進(jìn)入”雖然與人員進(jìn)入有關(guān)，但它更像是安全或衛(wèi)生方面的措施，不屬于物理入口控制的范疇。因此，正確答案是C。20.關(guān)于信息安全策略，下列說法正確的是（）。A.信息安全策略可以分為上層策略和下層策略B.信息安全方針是信息安全策略的上層部分C.信息安全策略必須在體系建設(shè)之初確定并發(fā)布D.信息安全策略需要定期或在重大變化時進(jìn)行評審答案：D解析：信息安全策略是一個重要的概念，它涉及到如何保護(hù)組織的信息資產(chǎn)。對于給出的選項，我們可以逐一分析：A選項提到信息安全策略可以分為上層策略和下層策略。然而，這個選項并沒有在題目中明確提及，因此我們不能確定其正確性。B選項說信息安全方針是信息安全策略的上層部分。同樣，這個選項也沒有在題目中明確提及，所以我們不能確認(rèn)其準(zhǔn)確性。C選項提到信息安全策略必須在體系建設(shè)之初確定并發(fā)布。雖然在實際操作中，信息安全策略的確需要在體系建設(shè)之初進(jìn)行規(guī)劃，但題目中并沒有明確提到必須在體系建設(shè)之初確定并發(fā)布，因此這個選項也不能確定為正確。D選項說信息安全策略需要定期或在重大變化時進(jìn)行評審。這是信息安全策略管理中的一個重要環(huán)節(jié)，因為隨著組織的發(fā)展和外部環(huán)境的變化，信息安全策略可能需要進(jìn)行調(diào)整。因此，定期或在重大變化時進(jìn)行評審是確保信息安全策略有效性的關(guān)鍵。綜上所述，正確答案是D選項。21.下列說法不正確的是（）。A.殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準(zhǔn)B.適用性聲明需要包含必要的控制及其選擇的合理性說明C.所有的信息安全活動都必須有記錄D.組織控制下的員工應(yīng)了解信息安全方針答案：C解析：A選項提到“殘余風(fēng)險需要獲得風(fēng)險責(zé)任人的批準(zhǔn)”，這是正確的，因為殘余風(fēng)險是指即使采取了控制措施后仍然存在的風(fēng)險，需要得到相關(guān)責(zé)任人的審批。B選項提到“適用性聲明需要包含必要的控制及其選擇的合理性說明”，這也是正確的，適用性聲明是對控制措施適用性的聲明，其中必須包含對控制措施及其選擇的合理性說明。D選項表示“組織控制下的員工應(yīng)了解信息安全方針”，這也是正確的，因為員工了解信息安全方針是確保信息安全的重要前提。而C選項“所有的信息安全活動都必須有記錄”是不正確的。雖然信息安全活動應(yīng)該盡可能地進(jìn)行記錄，但并不是所有的信息安全活動都需要有記錄。有些活動可能由于各種原因（如涉及敏感信息或?qū)崟r處理等）而不適合或無法進(jìn)行記錄。因此，C選項是不正確的。22.以下屬于安全辦公區(qū)域控制的措施是（）。A.敏感信息處理設(shè)施避免放置在和外部方共用的辦公區(qū)B.顯著標(biāo)記“敏感檔案存儲區(qū)，閑人免進(jìn)”標(biāo)識牌C.告知全體員工敏感區(qū)域的位置信息，教育員工保護(hù)其安全D.以上都對答案：A解析：本題考查的是安全辦公區(qū)域控制的措施。A選項“敏感信息處理設(shè)施避免放置在和外部方共用的辦公區(qū)”是安全辦公區(qū)域控制的措施之一，因為這樣可以減少敏感信息被外部方獲取的風(fēng)險。B選項“顯著標(biāo)記‘敏感檔案存儲區(qū)，閑人免進(jìn)’標(biāo)識牌”也是安全辦公區(qū)域控制的措施，通過明顯的標(biāo)識牌可以提醒員工和非授權(quán)人員不要進(jìn)入敏感區(qū)域。C選項“告知全體員工敏感區(qū)域的位置信息，教育員工保護(hù)其安全”同樣是安全辦公區(qū)域控制的措施，通過告知員工敏感區(qū)域的位置信息，可以增強(qiáng)員工對敏感信息的保護(hù)意識。綜上，A、B、C選項均屬于安全辦公區(qū)域控制的措施，故正確答案為D。23.對于交接區(qū)域的信息安全管理，以下說法正確的是（）。A.對于進(jìn)入組織的設(shè)備設(shè)施予以檢查驗證，對于離開組織的設(shè)備設(shè)施則不必驗證B.對于離開組織的設(shè)備設(shè)施予以檢查驗證，對于進(jìn)入組織的設(shè)備設(shè)施則不必驗證C.對于進(jìn)入和離開組織的設(shè)備設(shè)施均須檢查驗證D.對于進(jìn)入和離開組織的設(shè)備設(shè)施，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證答案：C解析：交接區(qū)域的信息安全管理，對進(jìn)入和離開組織的設(shè)備設(shè)施均須檢查驗證，這是確保組織信息安全的重要措施。選項A和B都存在偏見，只對一側(cè)的設(shè)備設(shè)施進(jìn)行檢查，可能帶來安全漏洞。而選項D建議驗證攜帶者身份信息，替代對設(shè)備設(shè)施的驗證，這種方法不足以保證設(shè)備設(shè)施的安全，因為身份信息可能被偽造或盜用。因此，正確答案是C，即對進(jìn)入和離開組織的設(shè)備設(shè)施均須檢查驗證。24.附錄A有（）安全域。A.18個B.16個C.15個D.14個答案：D解析：根據(jù)題目，我們需要確定附錄A中安全域的數(shù)量。根據(jù)給出的選項，我們可以逐一考慮：A選項表示有18個安全域，但題目中并沒有明確提到這個數(shù)量，所以A選項不正確。B選項表示有16個安全域，同樣，題目中也沒有提到這個數(shù)量，所以B選項也不正確。C選項表示有15個安全域，但這也不是題目中給出的答案。D選項表示有14個安全域，這是題目中給出的正確答案。因此，正確答案是D選項，附錄A中有14個安全域。25.文件化信息是指（）。A.組織創(chuàng)建的文件B.組織擁有的文件C.組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D.對組織有價值的文件答案：C解析：本題主要考查對“文件化信息”概念的理解。文件化信息指的是組織創(chuàng)建、使用或保留的，要求控制和維護(hù)的，包含該信息的介質(zhì)。它不僅僅是組織創(chuàng)建或擁有的文件，而是涵蓋了所有與組織活動相關(guān)的信息及其載體。因此，選項C“組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)”最符合文件化信息的定義。選項A“組織創(chuàng)建的文件”和選項B“組織擁有的文件”都過于片面，只涉及到文件化信息的某一方面，沒有涵蓋所有內(nèi)容。選項D“對組織有價值的文件”則沒有突出“要求控制和維護(hù)的信息及包含該信息的介質(zhì)”這一點(diǎn)，因此也不是最佳選擇。26.信息安全管理中，支持性基礎(chǔ)設(shè)施指（）。A.供電、通信設(shè)施B.消防、防雷設(shè)施C.空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D.以上全部答案：D解析：信息安全管理中，支持性基礎(chǔ)設(shè)施包括供電、通信設(shè)施、消防、防雷設(shè)施、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)等等，這些設(shè)施對于信息安全保障有著至關(guān)重要的作用。因此，選項D“以上全部”是正確的答案。供電、通信設(shè)施、消防、防雷設(shè)施等是確保信息安全的基礎(chǔ)設(shè)施，而空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)雖然不是直接的安全設(shè)施，但它們的正常運(yùn)行對于保障信息安全環(huán)境同樣重要。27.設(shè)施維護(hù)維修時，應(yīng)考慮的安全措施包括（）。A.維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B.維護(hù)維修后，檢査是否有未授權(quán)的新增功能C.敏感部件進(jìn)行物理銷毀而不予送修D(zhuǎn).以上全部答案：D解析：在設(shè)施維護(hù)維修時，為了確保安全，需要考慮多種安全措施。首先，維護(hù)維修前，需要按規(guī)定程序處理或清除其中的信息，以防止信息泄露或誤操作。其次，維護(hù)維修后，需要檢查是否有未授權(quán)的新增功能，確保設(shè)施的功能正常且未被篡改。最后，對于敏感部件，應(yīng)該進(jìn)行物理銷毀而不予送修，以防止敏感信息被非法獲取。因此，上述所有的安全措施都是必要的，故答案選D，即以上全部。28.信息安全管理中，變更管理應(yīng)予以控制的風(fēng)險包括（）。A.組織架構(gòu)、業(yè)務(wù)流程變更的風(fēng)險B.信息系統(tǒng)配置、物理位置變更的風(fēng)險C.信息系統(tǒng)新的組件、功能模塊發(fā)布的風(fēng)險D.以上全部答案：D解析：在信息安全管理中，變更管理需要予以控制的風(fēng)險涵蓋了多個方面。組織架構(gòu)和業(yè)務(wù)流程的變更可能導(dǎo)致原有的安全策略失效或管理失效，增加安全漏洞的風(fēng)險；信息系統(tǒng)的配置和物理位置的變更可能改變原有的安全環(huán)境，使系統(tǒng)更容易受到攻擊；而信息系統(tǒng)新的組件或功能模塊的發(fā)布，如果沒有經(jīng)過嚴(yán)格的安全評估，也可能引入新的安全風(fēng)險。因此，變更管理應(yīng)予以控制的風(fēng)險包括組織架構(gòu)、業(yè)務(wù)流程變更的風(fēng)險，信息系統(tǒng)配置、物理位置變更的風(fēng)險，以及信息系統(tǒng)新的組件、功能模塊發(fā)布的風(fēng)險，即選項D所述“以上全部”。29.關(guān)于容量管理，以下說法不正確的是（）。A.根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B.針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C.對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾D.依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃答案：C解析：對于選項C，“對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報警的干擾”這一說法是不正確的。容量管理的核心目標(biāo)之一是確保系統(tǒng)性能的穩(wěn)定和資源的合理分配。如果對于關(guān)鍵業(yè)務(wù)放寬閾值，可能會導(dǎo)致系統(tǒng)性能下降，資源分配不合理，甚至可能引發(fā)報警干擾，影響業(yè)務(wù)的正常運(yùn)行。因此，選項C的說法是不正確的。選項A“根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制”是正確的。這符合容量管理的基本原則，根據(jù)業(yè)務(wù)需求設(shè)置合適的閾值，并設(shè)置監(jiān)視和調(diào)整機(jī)制來確保系統(tǒng)性能。選項B“針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級”也是正確的。在資源有限的情況下，根據(jù)業(yè)務(wù)的關(guān)鍵性設(shè)置資源占用的優(yōu)先級是確保關(guān)鍵業(yè)務(wù)得到足夠資源的重要手段。選項D“依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃”是正確的。通過分析資源使用趨勢數(shù)據(jù)，可以更好地預(yù)測未來的資源需求，從而進(jìn)行更加準(zhǔn)確和有效的容量規(guī)劃。30.信息安全管理體系國際標(biāo)準(zhǔn)族中關(guān)于信息安全管理測量的標(biāo)準(zhǔn)是（）。A.ISO/IEC27002B.ISO/IEC27003C.ISO/IEC27004D.ISO/IEC27005答案：C解析：信息安全管理體系國際標(biāo)準(zhǔn)族中關(guān)于信息安全管理測量的標(biāo)準(zhǔn)是ISO/IEC27004。該標(biāo)準(zhǔn)提供了信息安全管理測量框架和方法，包括選擇、實施和報告信息安全指標(biāo)的過程。ISO/IEC27002是信息安全管理體系的標(biāo)準(zhǔn)，ISO/IEC27003是信息安全管理體系實施指南，ISO/IEC27005是信息安全管理體系的信息安全風(fēng)險管理指南。因此，選項C“ISO/IEC27004”是正確的選擇。31.關(guān)于防范惡意軟件，以下說法正確的是（）。A.備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測試B.安裝入侵探測系統(tǒng)即可防范惡意軟件C.建立白名單即可范惡意軟件D.備份信息不是管理購烏祥記錄，不須規(guī)定保存期答案：D解析：A選項提到“備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測試”，這主要是關(guān)于數(shù)據(jù)備份和恢復(fù)的策略，與防范惡意軟件沒有直接關(guān)系。B選項“安裝入侵探測系統(tǒng)即可防范惡意軟件”過于簡化。雖然入侵探測系統(tǒng)可以檢測并響應(yīng)惡意活動，但它并不能完全防范所有類型的惡意軟件。C選項“建立白名單即可防范惡意軟件”也是片面的。白名單可以限制執(zhí)行未經(jīng)授權(quán)的程序，但惡意軟件可能偽裝成合法程序，從而繞過白名單。D選項“備份信息不是管理購烏祥記錄，不須規(guī)定保存期”中的“購烏祥”似乎是一個拼寫錯誤，應(yīng)該是“購買”和“記錄”。但即使忽略這個錯誤，該選項的表述也是錯誤的。備份信息和管理購買記錄都是重要的，并且通常都需要規(guī)定保存期。因此，正確答案是D選項，但考慮到D選項中的拼寫錯誤，實際上沒有一個選項是正確的。如果題目中的D選項表述正確，那么它應(yīng)該是關(guān)于備份信息和管理記錄的重要性，與防范惡意軟件沒有直接關(guān)系。（注：由于原始答案中的D選項存在明顯的錯誤，上述解析是基于對原始答案的理解。如果原始答案中的D選項表述正確，那么它實際上與防范惡意軟件沒有直接關(guān)系，因此沒有正確答案。）32.關(guān)于備份，以下說法正確的是（）。A.備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測試B.如果組織刪減了“信息安全連接性”要求，同機(jī)備份或備份本地存放時可接受的C.備份介質(zhì)的退化是質(zhì)量管理體系的范疇D.備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期答案：A解析：A選項：備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測試。這是正確的，因為定期進(jìn)行恢復(fù)測試可以確保備份介質(zhì)的完整性和可用性，保證在需要時能夠成功恢復(fù)數(shù)據(jù)。B選項：如果組織刪減了“信息安全連接性”要求，同機(jī)備份或備份本地存放時可接受的。這個選項沒有明確的依據(jù)支持，且“信息安全連接性”與備份的存儲位置沒有直接關(guān)系，因此B選項不正確。C選項：備份介質(zhì)的退化是質(zhì)量管理體系的范疇。備份介質(zhì)的退化與質(zhì)量管理體系沒有直接關(guān)系，它更多的是與數(shù)據(jù)保護(hù)和存儲管理相關(guān)，因此C選項不正確。D選項：備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期。備份信息通常是非常重要的管理體系運(yùn)行記錄，因為它們記錄了關(guān)鍵的業(yè)務(wù)數(shù)據(jù)。這些數(shù)據(jù)在發(fā)生問題時可能需要用于恢復(fù)，因此通常需要規(guī)定保存期，以確保數(shù)據(jù)的長期可用性，因此D選項不正確。33.關(guān)于系統(tǒng)運(yùn)行日志以下說法正確的是（）。A.系統(tǒng)管理員負(fù)貴對日態(tài)信息進(jìn)行編輯、保存B.日志信息文件的保存應(yīng)納入容量管理C.志管理即系統(tǒng)審計日志管理D.組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入日志答案：B解析：A選項提到系統(tǒng)管理員負(fù)責(zé)對日志信息進(jìn)行編輯、保存，這是不正確的。系統(tǒng)管理員通常負(fù)責(zé)管理和維護(hù)系統(tǒng)，但他們不應(yīng)該直接編輯或修改日志信息。日志信息應(yīng)該由系統(tǒng)自動生成，并保存在指定的日志文件中，以確保其完整性和真實性。B選項表示日志信息文件的保存應(yīng)納入容量管理，這是正確的。隨著系統(tǒng)的運(yùn)行，日志信息會不斷增加，如果不加以管理，可能會消耗大量的存儲空間。因此，對日志信息進(jìn)行適當(dāng)?shù)娜萘抗芾?，確保其存儲空間不會過度占用，是確保系統(tǒng)正常運(yùn)行的重要措施。C選項提到日志管理即系統(tǒng)審計日志管理，這是不準(zhǔn)確的。日志管理包括系統(tǒng)審計日志管理，但還包括其他類型的日志，如系統(tǒng)運(yùn)行日志、應(yīng)用日志等。系統(tǒng)審計日志主要用于記錄與安全相關(guān)的操作，如用戶登錄、訪問控制等。D選項提到組織的安全策略應(yīng)決定系統(tǒng)管理員的活動是否有記入日志，這是不準(zhǔn)確的。系統(tǒng)管理員的活動應(yīng)該被記入日志，這是為了確保系統(tǒng)的透明度和可追蹤性。組織的安全策略可能會規(guī)定哪些活動需要被記錄，但系統(tǒng)管理員的活動本身就應(yīng)該被記錄，以確保系統(tǒng)的安全性和穩(wěn)定性。因此，正確答案是B選項，即日志信息文件的保存應(yīng)納入容量管理。34.A公司為軟件開發(fā)企業(yè)，在建立ISMS時卻對附錄A的“A14.1.1安全要求分析和說明”進(jìn)行了刪減，刪減理由為公司使用的系統(tǒng)為非定制系統(tǒng)，相關(guān)風(fēng)險可以接受（）。A.不合理B.合理C.不一定D.以上都不對答案：A解析：《信息安全管理體系（ISMS）要求》（GB/T22080-2008/ISO/IEC27001:2005）附錄A中“A14.1.1安全要求分析和說明”明確指出：“組織應(yīng)確定適用于其活動的安全要求，并說明這些要求是如何得到滿足的。”這一條款要求組織對其活動進(jìn)行安全要求分析，并說明這些要求是如何得到滿足的。如果A公司使用的系統(tǒng)為非定制系統(tǒng)，相關(guān)風(fēng)險可以接受，那么公司可能認(rèn)為這些非定制系統(tǒng)的安全要求已經(jīng)滿足，因此可以省略這一步驟。然而，即使是非定制系統(tǒng)，也可能存在未被識別或未被充分評估的安全風(fēng)險，因此直接刪減這一步驟是不合理的。因此，答案選A“不合理”。35.文件化信息創(chuàng)建和更新時，下列哪個活動不是必須的？（）A.組織應(yīng)確保適當(dāng)?shù)臉?biāo)識和描述B.組織應(yīng)確保適當(dāng)?shù)母袷胶徒橘|(zhì)C.組織應(yīng)確保適當(dāng)?shù)膶m應(yīng)性和充分性迸行評審和批準(zhǔn)D.組織應(yīng)確保適當(dāng)?shù)脑L問控制答案：D解析：在文件化信息創(chuàng)建和更新時，選項D“組織應(yīng)確保適當(dāng)?shù)脑L問控制”不是必須的。這是因為適當(dāng)?shù)脑L問控制雖然是文件管理的一個重要環(huán)節(jié)，但并不是文件創(chuàng)建和更新的必要條件。而選項A“組織應(yīng)確保適當(dāng)?shù)臉?biāo)識和描述”、選項B“組織應(yīng)確保適當(dāng)?shù)母袷胶徒橘|(zhì)”和選項C“組織應(yīng)確保適當(dāng)?shù)膶m應(yīng)性和充分性進(jìn)行評審和批準(zhǔn)”都是文件創(chuàng)建和更新過程中必要的活動。因此，正確答案是D。36.在運(yùn)行系統(tǒng)上安裝軟件，以下說法不正確的是（）。A.對于復(fù)雜的系統(tǒng)應(yīng)釆取分步部署的策略B.應(yīng)在安裝前在隔離的環(huán)境中完成驗收測試C.應(yīng)在安裝前完成單元測試，隨之進(jìn)行安裝然后進(jìn)行驗收測試D.安裝運(yùn)行后應(yīng)評審對關(guān)鍵業(yè)務(wù)應(yīng)用的影響答案：C解析：在安裝軟件時，應(yīng)確保按照正確的步驟和策略進(jìn)行。選項A提到對于復(fù)雜的系統(tǒng)應(yīng)采取分步部署的策略，這是合理的，因為分步部署可以降低風(fēng)險并確保系統(tǒng)的穩(wěn)定性。選項B建議在安裝前在隔離的環(huán)境中完成驗收測試，這也是必要的，因為這樣可以確保軟件在正式環(huán)境中運(yùn)行之前已經(jīng)通過了必要的測試。選項D提到安裝運(yùn)行后應(yīng)評審對關(guān)鍵業(yè)務(wù)應(yīng)用的影響，這也是重要的，因為這樣可以及時發(fā)現(xiàn)并解決可能對關(guān)鍵業(yè)務(wù)應(yīng)用造成的問題。然而，選項C提到應(yīng)在安裝前完成單元測試，隨之進(jìn)行安裝然后進(jìn)行驗收測試，這是不正確的。單元測試通常是在軟件開發(fā)階段進(jìn)行的，而不是在安裝階段。因此，不正確的說法是C。37.關(guān)于技術(shù)脆弱性管理，以下說法正確的是（）。A.技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)B.了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險越小C.針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D.及時安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)網(wǎng)朦農(nóng)佳途徑答案：C解析：選項A提到技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒有關(guān)聯(lián)，這是不正確的。技術(shù)脆弱性管理和事件管理是兩個相互關(guān)聯(lián)的領(lǐng)域，事件管理需要考慮到技術(shù)脆弱性的存在，以便在發(fā)生事件時采取適當(dāng)?shù)拇胧＿x項B說了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險越小，這也是不正確的。公眾范圍越廣，意味著有更多的潛在攻擊者可能利用該脆弱性，從而增加組織的風(fēng)險。選項D提到及時安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)網(wǎng)朦農(nóng)佳途徑，這里的“網(wǎng)朦農(nóng)佳”可能是輸入錯誤，應(yīng)該是“網(wǎng)絡(luò)安全”。即使忽略這個錯誤，該選項也不完全正確。雖然及時安裝補(bǔ)丁是應(yīng)對脆弱性的重要步驟，但還需要采取其他措施，如配置管理、訪問控制等，來確保網(wǎng)絡(luò)安全。因此，正確答案是選項C，即針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制。這意味著在安裝補(bǔ)丁之前，需要進(jìn)行適當(dāng)?shù)脑u估和測試，以確保補(bǔ)丁不會引入新的問題或風(fēng)險。38.信息系統(tǒng)審核（）。A.是發(fā)現(xiàn)信息系統(tǒng)脆弱性的手段之一B.應(yīng)在系統(tǒng)運(yùn)行期間進(jìn)行，以便于準(zhǔn)確地發(fā)現(xiàn)弱點(diǎn)C.審核工具在組織內(nèi)應(yīng)公開可獲取，以便于提升員工的能力D.只要定期進(jìn)行，就可以替代內(nèi)部ISMS審核答案：A解析：信息系統(tǒng)審核是發(fā)現(xiàn)信息系統(tǒng)脆弱性的手段之一，因此選項A是正確的。選項B雖然提到了在系統(tǒng)運(yùn)行期間進(jìn)行審核，但這并不是審核的主要目的，審核的目的在于發(fā)現(xiàn)弱點(diǎn)，而不是僅僅在系統(tǒng)運(yùn)行期間進(jìn)行。選項C雖然提到了審核工具在組織內(nèi)應(yīng)公開可獲取，但這并不是審核的必要條件，審核的關(guān)鍵在于發(fā)現(xiàn)弱點(diǎn)，而不是提升員工的能力。選項D提出了定期進(jìn)行審核可以替代內(nèi)部ISMS審核的觀點(diǎn)，但這并不準(zhǔn)確，因為內(nèi)部ISMS審核和信息系統(tǒng)審核雖然都是對系統(tǒng)進(jìn)行審核，但審核的側(cè)重點(diǎn)和目的是不同的。因此，正確答案是A。39.在ISO/IEC27005《信息安全風(fēng)險管理》中風(fēng)險管理過程包括確定環(huán)境、風(fēng)險評估、風(fēng)險處置、（）、風(fēng)險溝通和風(fēng)險監(jiān)視和評審。A.風(fēng)險接受B.風(fēng)險再評估C.風(fēng)險保持D.風(fēng)險維護(hù)答案：A解析：在ISO/IEC27005《信息安全風(fēng)險管理》中，風(fēng)險管理過程包括確定環(huán)境、風(fēng)險評估、風(fēng)險處置、風(fēng)險接受、風(fēng)險溝通和風(fēng)險監(jiān)視和評審。根據(jù)題目給出的選項，風(fēng)險接受是風(fēng)險管理過程中的一個環(huán)節(jié)，因此答案為A。選項B、C、D在題目中均未提及。40.以下不屬于可降低信息傳輸中的信息安全風(fēng)險的措施是（）。A.規(guī)定使用通信設(shè)施的限制規(guī)定B.使用鎧甲線纜以及數(shù)據(jù)加密C.雙路供電以及定期測試備份電機(jī)D.記錄物理介質(zhì)運(yùn)輸全程的交接信息答案：C解析：題目要求找出不屬于可降低信息傳輸中的信息安全風(fēng)險的措施。A選項“規(guī)定使用通信設(shè)施的限制規(guī)定”是有效的安全措施，有助于控制對通信設(shè)施的訪問，減少潛在的安全風(fēng)險。B選項“使用鎧甲線纜以及數(shù)據(jù)加密”同樣是有效的安全措施，能夠增強(qiáng)數(shù)據(jù)傳輸?shù)陌踩裕档捅唤孬@和破解的風(fēng)險。D選項“記錄物理介質(zhì)運(yùn)輸全程的交接信息”也是一個安全措施，能夠追蹤物理介質(zhì)的安全，降低物理安全風(fēng)險。而C選項“雙路供電以及定期測試備份電機(jī)”與信息安全風(fēng)險的降低沒有直接關(guān)系。雙路供電和定期測試備份電機(jī)主要是為了提高系統(tǒng)的可用性和可靠性，與信息安全風(fēng)險的降低沒有直接聯(lián)系。因此，C選項是不屬于可降低信息傳輸中的信息安全風(fēng)險的措施。41.對于可能超越系統(tǒng)和應(yīng)用控制的實用程序，以下說法正確的是（）。A.實用程序的使用不在審計范圍內(nèi)B.建立禁止使用的實用程序清單C.應(yīng)急響應(yīng)時需使用的實用程序不需額外授權(quán)D.建立鑒別，授權(quán)機(jī)制和許可使用的實用程序清單答案：D解析：對于可能超越系統(tǒng)和應(yīng)用控制的實用程序，建立鑒別，授權(quán)機(jī)制和許可使用的實用程序清單是正確的做法。這樣可以確保實用程序的使用在審計范圍內(nèi)，并且只有經(jīng)過授權(quán)的人員才能使用。同時，對于應(yīng)急響應(yīng)時可能使用的實用程序，也需要建立相應(yīng)的授權(quán)和許可機(jī)制，以確保其使用符合安全要求。因此，選項D“建立鑒別，授權(quán)機(jī)制和許可使用的實用程序清單”是正確的。選項A“實用程序的使用不在審計范圍內(nèi)”是錯誤的，因為實用程序的使用應(yīng)該受到審計和監(jiān)控。選項B“建立禁止使用的實用程序清單”雖然是一種安全措施，但并不是直接針對可能超越系統(tǒng)和應(yīng)用控制的實用程序的。選項C“應(yīng)急響應(yīng)時需使用的實用程序不需額外授權(quán)”也是錯誤的，因為即使是應(yīng)急響應(yīng)時使用的實用程序，也需要符合安全和授權(quán)的要求。42.在我國信息系統(tǒng)安全等級保護(hù)的基本要求中針對每一級的基本要求分為（）。A.設(shè)備要求和網(wǎng)絡(luò)要求B.硬件要求和軟件要求C.物理要求和應(yīng)用要求D.技術(shù)要求和管理要求答案：D解析：在我國信息系統(tǒng)安全等級保護(hù)的基本要求中，針對每一級的基本要求分為技術(shù)要求和管理要求。這包括了物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面的技術(shù)要求，以及安全管理、安全管理機(jī)構(gòu)、人員管理等方面的管理要求。因此，正確選項是D。選項A中的設(shè)備要求和網(wǎng)絡(luò)要求、選項B中的硬件要求和軟件要求、選項C中的物理要求和應(yīng)用要求都沒有涵蓋完整的信息系統(tǒng)安全等級保護(hù)基本要求。43.在風(fēng)險評估中進(jìn)行資產(chǎn)的價值估算時，下列哪個不會影響資產(chǎn)的價值（）。A.資產(chǎn)的替代價值B.資產(chǎn)喪失或損壞的業(yè)務(wù)影響C.資產(chǎn)本身的購買價值D.資產(chǎn)的存放位置答案：D解析：在風(fēng)險評估中進(jìn)行資產(chǎn)的價值估算時，資產(chǎn)的替代價值、資產(chǎn)喪失或損壞的業(yè)務(wù)影響以及資產(chǎn)本身的購買價值都會影響資產(chǎn)的價值。然而，資產(chǎn)的存放位置通常不會直接影響資產(chǎn)的價值。因此，選項D“資產(chǎn)的存放位置”是不會影響資產(chǎn)的價值的因素。44.A公司進(jìn)行風(fēng)險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱惠，為了處置這個風(fēng)險，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）。A.風(fēng)險接受B.風(fēng)險規(guī)避C.風(fēng)險轉(zhuǎn)移D.風(fēng)險減緩答案：B解析：風(fēng)險接受是指企業(yè)承擔(dān)風(fēng)險帶來的后果，而公司不再提供無線網(wǎng)絡(luò)用于辦公，這是主動避免風(fēng)險，屬于風(fēng)險規(guī)避。風(fēng)險規(guī)避是指企業(yè)預(yù)先設(shè)定風(fēng)險限額，當(dāng)風(fēng)險超過限額時，企業(yè)便采取回避措施或放棄原有業(yè)務(wù)，屬于主動的風(fēng)險控制活動。風(fēng)險轉(zhuǎn)移是指企業(yè)以購買保險的方式將風(fēng)險轉(zhuǎn)移給保險公司承擔(dān)，而公司不再提供無線網(wǎng)絡(luò)用于辦公并沒有涉及保險，因此不屬于風(fēng)險轉(zhuǎn)移。風(fēng)險減緩是指企業(yè)采取措施減少風(fēng)險或降低風(fēng)險的影響程度，而公司不再提供無線網(wǎng)絡(luò)用于辦公是主動避免風(fēng)險，不屬于風(fēng)險減緩。因此，公司不再提供無線網(wǎng)絡(luò)用于辦公的處置方式屬于風(fēng)險規(guī)避。45.密碼技術(shù)可以保護(hù)信息的（）。A.保密性B.完整性C.可用性D.A+B答案：D解析：密碼技術(shù)是一種保護(hù)信息安全的手段，它可以保護(hù)信息的保密性和完整性。保密性是指信息不被未經(jīng)授權(quán)的人員獲取，而完整性是指信息在傳輸過程中不被篡改或損壞。因此，選項D“A+B”即保密性和完整性，是密碼技術(shù)可以保護(hù)的信息屬性。46.設(shè)置防火墻策略是為了（）。A.進(jìn)行訪問控制B.進(jìn)行病毒防范C.進(jìn)行郵件內(nèi)容過濾D.進(jìn)行流量控制答案：A解析：設(shè)置防火墻策略是為了進(jìn)行訪問控制。防火墻的主要作用就是阻止非法的訪問和請求，控制訪問權(quán)限，防止外部網(wǎng)絡(luò)中的攻擊者未經(jīng)授權(quán)訪問內(nèi)部網(wǎng)絡(luò)資源，保證內(nèi)部網(wǎng)絡(luò)的安全。因此，選項A“進(jìn)行訪問控制”是正確的答案。選項B“進(jìn)行病毒防范”并不是防火墻的主要功能，病毒防范通常需要通過防病毒軟件來實現(xiàn)。選項C“進(jìn)行郵件內(nèi)容過濾”和選項D“進(jìn)行流量控制”雖然也是網(wǎng)絡(luò)安全中需要考慮的問題，但并不是防火墻策略的主要目的。47.信息系統(tǒng)開發(fā)過程中正確的安全措施是（）。A.通過開發(fā)成果物的訪問控制確保保密性、完整性可用性B.開發(fā)過程中的成果物僅需考慮保密性保護(hù)不需保護(hù)完整性和可用性C.只有完成了集成測試的成果物才需要保護(hù)其保密性、完整性和可用性D.由具體擔(dān)當(dāng)開發(fā)任務(wù)的人員決定其成果物的保密性、完整性和可用性是否需要答案：A解析：在信息系統(tǒng)開發(fā)過程中，確保保密性、完整性和可用性是非常重要的安全措施。這些措施不僅適用于開發(fā)成果物，還應(yīng)在整個開發(fā)過程中得到實施。因此，選項A“通過開發(fā)成果物的訪問控制確保保密性、完整性可用性”是正確的選擇。選項B只考慮了保密性保護(hù)，忽略了完整性和可用性；選項C僅指出完成集成測試的成果物需要保護(hù)，而開發(fā)過程中其他階段的成果物則沒有提及；選項D提到由具體擔(dān)當(dāng)開發(fā)任務(wù)的人員決定其成果物的保密性、完整性和可用性是否需要，這種決策方式缺乏統(tǒng)一性和標(biāo)準(zhǔn)化，可能導(dǎo)致安全措施的不一致和漏洞。因此，A選項是最符合信息系統(tǒng)開發(fā)過程中正確安全措施的選項。48.對于外部方提供的軟件包，以下說法正確的是（）。A.組織的人員可隨時對其進(jìn)行適用性調(diào)整B.應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的保密性C.應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D.以上都不對答案：C解析：對于外部方提供的軟件包，應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性。這是因為軟件包可能包含重要的知識產(chǎn)權(quán)和敏感信息，對其進(jìn)行任意調(diào)整可能會侵犯他人的權(quán)益，并可能導(dǎo)致軟件包的功能失效或不穩(wěn)定。因此，選項C“應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性”是正確的。選項A“組織的人員可隨時對其進(jìn)行適用性調(diào)整”可能會導(dǎo)致軟件包的完整性和可用性受到損害，選項B“應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的保密性”并沒有明確指出軟件包的完整性和可用性也需要保護(hù)，而選項D“以上都不對”明顯是不正確的。49.不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A.監(jiān)視和評審服務(wù)級別桃議的符合性B.監(jiān)視和評審服務(wù)方入員聘用和考核的流程C.監(jiān)視和評服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D.監(jiān)視和評律服務(wù)方跟蹤處理信息安全事件的能力答案：B解析：第三方服務(wù)監(jiān)視和評審?fù)ǔｊP(guān)注服務(wù)級別協(xié)議（SLA）的符合性、服務(wù)交付對協(xié)議規(guī)定的安全要求的遵從程度以及服務(wù)方跟蹤處理信息安全事件的能力。這些方面都是確保服務(wù)質(zhì)量和安全性的重要環(huán)節(jié)。而服務(wù)方人員聘用和考核的流程，雖然對于服務(wù)提供方來說非常重要，但并不屬于第三方服務(wù)監(jiān)視和評審的范疇。因此，選項B“監(jiān)視和評審服務(wù)方人員聘用和考核的流程”是不屬于第三方服務(wù)監(jiān)視和評審范疇的。50.息安全事件管理須包括（）。A.事件升級流程B.事件報告和處理流程以及事件類型的定義C.事態(tài)和脆弱性發(fā)現(xiàn)者立即對其進(jìn)行測試和處理的規(guī)則D.事態(tài)和脆弱性監(jiān)控和審計軟件工具答案：B解析：本題考察的是信息安全事件管理應(yīng)包含的內(nèi)容。A選項“事件升級流程”不是信息安全事件管理的必須部分，升級流程可以包含在事件處理流程中。C選項“事態(tài)和脆弱性發(fā)現(xiàn)者立即對其進(jìn)行測試和處理的規(guī)則”過于片面，這只是對事態(tài)和脆弱性的處理，并未涉及到事件報告、處理等整個流程。D選項“事態(tài)和脆弱性監(jiān)控和審計軟件工具”并不是信息安全事件管理的必須部分，而是用于輔助監(jiān)控和審計的工具。B選項“事件報告和處理流程以及事件類型的定義”涵蓋了信息安全事件管理的主要內(nèi)容，包括事件的報告、處理以及事件的分類和定義，符合題目要求。因此，正確答案是B。51.國家保密的保密期限應(yīng)為（）。A.絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B.絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C.絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D.絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年答案：A解析：《中華人民共和國保守國家秘密法》第十九條規(guī)定，國家秘密的保密期限，除另有規(guī)定外，絕密級不超過三十年，機(jī)密級不超過二十年，秘密級不超過十年。因此，正確答案為A選項，即“絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年”。52.關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說法正確的是（）。A.互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B.非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C.從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D.經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動。答案：C解析：根據(jù)《中華人民共和國電信條例》規(guī)定，經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)頁制作等服務(wù)活動。非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動。從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)符合《中華人民共和國電信條例》規(guī)定的要求，取得電信主管部門頒發(fā)的經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)備案編號。非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得備案編號不得進(jìn)行。因此，選項C“從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求”是正確的。選項A“互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案”表述不準(zhǔn)確，因為非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)也需要在電信主管部門備案。選項B“非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行”表述錯誤，非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)不需要取得許可，但需要備案。選項D“經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動”表述錯誤，經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)頁制作等服務(wù)活動。53.《計算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計算機(jī)信息系統(tǒng)，是指（）。A.對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)版權(quán)所B.計算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C.計算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D.一個組織所有計算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計算機(jī)答案：A解析：《計算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計算機(jī)信息系統(tǒng)，是指進(jìn)行信息采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。因此，選項A“對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)”是正確的。選項B“計算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件”和選項C“計算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)”都沒有涵蓋到計算機(jī)信息系統(tǒng)的主要功能，即信息處理。選項D“一個組織所有計算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計算機(jī)”雖然提到了計算機(jī)，但沒有明確說明這些計算機(jī)是用于信息處理的。因此，正確答案是A。54.以下哪個選項不屬于審核組長的職責(zé)（）。A.確定審核的需要和目的B.組織編制現(xiàn)場審核有關(guān)的工作文件C.主持首末次會議和審核組會議D.代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通答案：A解析：根據(jù)題目描述，我們需要找出不屬于審核組長的職責(zé)的選項。A選項“確定審核的需要和目的”通常是由審核委托方或?qū)徍宋袉挝粊泶_定的，而不是審核組長。審核組長的主要職責(zé)包括組織編制現(xiàn)場審核有關(guān)的工作文件、主持首末次會議和審核組會議以及代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通。因此，A選項“確定審核的需要和目的”不屬于審核組長的職責(zé)。55.審核計劃中不包括（）。A.本次及其后續(xù)審核的時間安排B.審核準(zhǔn)則C.審核組城員及分工D.審核的日程安排答案：A解析：根據(jù)題目所給的信息，審核計劃應(yīng)該包含審核準(zhǔn)則、審核組成員及分工、審核的日程安排等內(nèi)容。而選項A“本次及其后續(xù)審核的時間安排”并不在審核計劃中應(yīng)該包含的內(nèi)容里，因此答案為A。所以，選項A“本次及其后續(xù)審核的時間安排”是不包括在審核計劃中的。56.審核發(fā)現(xiàn)是指（）。A.審核中觀察到的事實B.審核的不符合項C.審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果D.審核中的觀察項答案：C解析：審核發(fā)現(xiàn)是指審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價的結(jié)果。審核發(fā)現(xiàn)是通過收集審核證據(jù)，并對照審核準(zhǔn)則進(jìn)行評價，從而得出的結(jié)果。A選項“審核中觀察到的事實”只是審核過程中觀察到的情況，不一定是審核發(fā)現(xiàn)；B選項“審核的不符合項”只是審核發(fā)現(xiàn)的一種形式，不是審核發(fā)現(xiàn)的定義；D選項“審核中的觀察項”同樣只是審核過程中的觀察，不是審核發(fā)現(xiàn)。因此，正確答案是C選項。57.以下哪個選項不是ISMS第一橋段審核的目的（）。A.獲取對組織信息安全管理體系的了解和認(rèn)識B.了解客戶組織的審核準(zhǔn)備狀態(tài)C.為計劃二階段審核提供重點(diǎn)D.確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求答案：D解析：ISMS（信息安全管理體系）的第一階段審核的主要目的是獲取對組織信息安全管理體系的了解和認(rèn)識，了解客戶組織的審核準(zhǔn)備狀態(tài)，以及為計劃第二階段審核提供重點(diǎn)。而確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求，是第二階段審核的目的。因此，選項D不是ISMS第一階段審核的目的。58.以下不屬于密鑰管理內(nèi)容的是（）。A.密鑰材料復(fù)制、轉(zhuǎn)移、更新和確認(rèn)B.密鑰材料的生成、等級、認(rèn)證、注銷C.密鑰材料的撤銷、衍生、銷毀，和恢復(fù)D.密鑰材料的分發(fā)、安裝、存儲和歸檔答案：A解析：在密鑰管理中，關(guān)于密鑰材料的操作包括生成、等級、認(rèn)證、注銷、分發(fā)、安裝、存儲和歸檔，以及撤銷、衍生、銷毀和恢復(fù)。這些操作涵蓋了密鑰生命周期的各個環(huán)節(jié)。然而，選項A中的“密鑰材料復(fù)制、轉(zhuǎn)移、更新和確認(rèn)”并不屬于密鑰管理的內(nèi)容。因此，正確答案是A。59.災(zāi)難備份系統(tǒng)指（）。A.由數(shù)據(jù)備份系統(tǒng)，備用數(shù)據(jù)處理系統(tǒng)備用網(wǎng)絡(luò)系統(tǒng)組成的用于災(zāi)難恢復(fù)目的的信息系統(tǒng)B.有UPS、備份電機(jī)、冗余供電線路組成的用于災(zāi)難恢復(fù)目的的支持系統(tǒng)C.由數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)系統(tǒng)組成的用于為災(zāi)難恢復(fù)目的備份的的系統(tǒng)D.以上全部答案：A解析：災(zāi)難備份系統(tǒng)是由數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)系統(tǒng)組成的用于災(zāi)難恢復(fù)目的的信息系統(tǒng)。因此，選項A的描述是正確的。選項B描述的是UPS、備份電機(jī)、冗余供電線路組成的支持系統(tǒng)，這更像是電源備份系統(tǒng)，而不是災(zāi)難備份系統(tǒng)。選項C的描述中“用于為災(zāi)難恢復(fù)目的備份的的系統(tǒng)”存在語法錯誤，且其描述與選項A重復(fù)，因此不正確。選項D雖然包含了所有可能的描述，但災(zāi)難備份系統(tǒng)的核心組成部分是數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)系統(tǒng)，因此選項D也不正確。60.信息安全連續(xù)性計劃應(yīng)進(jìn)行測試或演練，目的是（）。A.備份信息系統(tǒng)功能的正確性和性能水平B.強(qiáng)化人員的安全意識C.對冗余信息系統(tǒng)進(jìn)行預(yù)防性維護(hù)D.評價連續(xù)性計劃對于恢復(fù)目標(biāo)的可行性和有效性答案：D解析：信息安全連續(xù)性計劃應(yīng)進(jìn)行測試或演練，目的是評價連續(xù)性計劃對于恢復(fù)目標(biāo)的可行性和有效性。通過測試或演練，可以評估連續(xù)性計劃在實際操作中的表現(xiàn)，驗證其是否能夠有效地恢復(fù)信息系統(tǒng)，從而達(dá)到預(yù)期的恢復(fù)目標(biāo)。因此，選項D“評價連續(xù)性計劃對于恢復(fù)目標(biāo)的可行性和有效性”是正確答案。其他選項如備份信息系統(tǒng)功能的正確性和性能水平、強(qiáng)化人員的安全意識、對冗余信息系統(tǒng)進(jìn)行預(yù)防性維護(hù)雖然也是連續(xù)性計劃的一部分，但不是測試或演練的主要目的。61.下列那些事情是審核員不必要做的？（）A.對接觸到的客戶信息進(jìn)行保密B.客觀公正的給出審核結(jié)論C.關(guān)注客戶的喜好D.盡量使用客戶熟悉的表達(dá)方式答案：C解析：本題考察的是審核員不必要做的事情。審核員的核心職責(zé)是確保審核的公正性和準(zhǔn)確性，以及保護(hù)客戶的信息安全。A選項提到“對接觸到的客戶信息進(jìn)行保密”，這是審核員的基本職責(zé)之一，他們需要確?？蛻舻男畔踩乐剐畔⑿孤?，因此A選項是審核員需要做的。B選項提到“客觀公正的給出審核結(jié)論”，這也是審核員的核心職責(zé)，他們需要基于事實和數(shù)據(jù)，給出客觀、公正的審核結(jié)論，因此B選項是審核員需要做的。C選項提到“關(guān)注客戶的喜好”，這并不是審核員的核心職責(zé)。審核員的主要任務(wù)是進(jìn)行客觀、公正的審核，而不是關(guān)注客戶的個人喜好。因此，C選項是審核員不必要做的。D選項提到“盡量使用客戶熟悉的表達(dá)方式”，雖然這有助于與客戶更好地溝通，但并不是審核員的核心職責(zé)。審核員的主要任務(wù)是確保審核的準(zhǔn)確性和公正性，而不是關(guān)注如何與客戶溝通。因此，D選項也是審核員不必要做的。綜上所述，選項C和D都是審核員不必要做的事情，但題目只要求選擇一個，因此正確答案是C。62.以下可表達(dá)知識產(chǎn)權(quán)方面符合GB/T22080要求的是（）。A.禁止安裝未列入白名單的軟件B.禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件C.禁止安裝未經(jīng)驗證的軟件包D.禁止軟件安裝超出許可證規(guī)定的最大用爐數(shù)答案：D解析：GB/T22080是關(guān)于信息安全管理體系的要求，它涉及了信息安全管理過程中的各個方面，包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等。對于給出的選項，我們來一一分析：A.禁止安裝未列入白名單的軟件：這個選項更偏向于物理安全或網(wǎng)絡(luò)安全，而不是直接涉及知識產(chǎn)權(quán)。它可能涉及到軟件來源的驗證，但不一定與知識產(chǎn)權(quán)直接相關(guān)。B.禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件：這個選項帶有一定的偏見，因為免費(fèi)軟件并不等同于非法或侵犯知識產(chǎn)權(quán)的軟件。很多免費(fèi)軟件是合法且受到版權(quán)保護(hù)的。C.禁止安裝未經(jīng)驗證的軟件包：這個選項與軟件來源的驗證有關(guān)，但同樣不直接涉及知識產(chǎn)權(quán)。它可能涉及到軟件的安全性，但不一定與知識產(chǎn)權(quán)直接相關(guān)。D.禁止軟件安裝超出許可證規(guī)定的最大用爐數(shù)：這個選項直接與知識產(chǎn)權(quán)相關(guān)。軟件許可證規(guī)定了軟件的使用范圍和使用數(shù)量，超出這些規(guī)定可能涉及到版權(quán)侵權(quán)。因此，正確答案是D.禁止軟件安裝超出許可證規(guī)定的最大用爐數(shù)。63.信息系統(tǒng)的安全保護(hù)等級分為（）。A.三級B.五級C.四級D.二級答案：B解析：根據(jù)《信息安全等級保護(hù)管理辦法》的規(guī)定，信息系統(tǒng)的安全保護(hù)等級分為五級，從低到高依次為：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益；第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全；第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害；第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害；第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。因此，信息系統(tǒng)的安全保護(hù)等級分為五級，選項B正確。64.關(guān)于涉密信息系統(tǒng)的管理，以下說法不正確的是（）。A.涉密計算機(jī)、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B.涉密計算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入聯(lián)網(wǎng)C.涉密信息系統(tǒng)中的安全技術(shù)程序和管理程家不得擅自卸載D.涉密計算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途答案：B解析：根據(jù)《涉密信息系統(tǒng)安全保密管理要求》的規(guī)定，涉密計算機(jī)、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，因此選項A正確。選項B中“涉密計算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入聯(lián)網(wǎng)”與上述規(guī)定相矛盾，故選項B錯誤。涉密信息系統(tǒng)中的安全技術(shù)程序和管理程家不得擅自卸載，故選項C正確。涉密計算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途，故選項D正確。因此，不正確的是B選項。65.A公司的機(jī)房有一扇臨街的窗戶，下列風(fēng)險描述中哪個風(fēng)險與該種情況無關(guān)？（）A.機(jī)房設(shè)備面臨被盜的風(fēng)險B.機(jī)房設(shè)備面臨受破壞的風(fēng)險C.機(jī)房設(shè)備面臨灰塵的風(fēng)險D.機(jī)房設(shè)備面臨人員誤入的風(fēng)險答案：D解析：題目描述的是A公司的機(jī)房有一扇臨街的窗戶，我們需要找出與這種情況無關(guān)的風(fēng)險。A選項提到機(jī)房設(shè)備面臨被盜的風(fēng)險，這是合理的，因為臨街的窗戶可能給不法分子提供了進(jìn)入機(jī)房的機(jī)會，從而盜取設(shè)備。B選項提到機(jī)房設(shè)備面臨受破壞的風(fēng)險，這也是可能的，因為臨街的窗戶可能受到外部因素（如天氣、人為破壞等）的影響，導(dǎo)致設(shè)備受損。C選項提到機(jī)房設(shè)備面臨灰塵的風(fēng)險，這也是相關(guān)的。臨街的窗戶可能會讓灰塵進(jìn)入機(jī)房，對設(shè)備造成損害。D選項提到機(jī)房設(shè)備面臨人員誤入的風(fēng)險，這與臨街的窗戶關(guān)系不大。人員誤入通常指的是非授權(quán)人員進(jìn)入機(jī)房，而臨街的窗戶雖然可能給外部人員提供進(jìn)入的機(jī)會，但并不直接導(dǎo)致人員誤入。人員誤入的風(fēng)險更多地與機(jī)房的門禁系統(tǒng)、標(biāo)識等安全措施有關(guān)。因此，與臨街的窗戶情況無關(guān)的風(fēng)險是D選項，即機(jī)房設(shè)備面臨人員誤入的風(fēng)險。66.下列措施中。不能用于防止非授權(quán)訪問的是（）。A.采取密碼技術(shù)B.采用最小授權(quán)C.采用權(quán)限復(fù)查D.采用日志記錄答案：D解析：在這個問題中，我們需要找出不能用于防止非授權(quán)訪問的措施。選項A的密碼技術(shù)是防止非授權(quán)訪問的常見手段，通過密碼保護(hù)可以確保只有授權(quán)用戶能夠訪問系統(tǒng)。選項B的采用最小授權(quán)原則意味著只授予用戶完成其任務(wù)所需的最小權(quán)限，這有助于減少非授權(quán)訪問的風(fēng)險。選項C的權(quán)限復(fù)查是對用戶權(quán)限的定期檢查，確保用戶權(quán)限的準(zhǔn)確性和安全性，也是防止非授權(quán)訪問的有效手段。而選項D的日志記錄主要用于記錄系統(tǒng)的操作記錄，雖然可以幫助識別非授權(quán)訪問，但它本身并不能直接防止非授權(quán)訪問。因此，不能用于防止非授權(quán)訪問的是選項D，即采用日志記錄。67.于信息安全管理中的“脆弱性”，以下正確的是（）。A.脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險B.網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C.允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D.以上全部答案：C解析：這道題目考察的是對信息安全管理中“脆弱性”的理解。A選項提到“脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險”。實際上，脆弱性是指系統(tǒng)、產(chǎn)品或服務(wù)存在可能被威脅利用，從而導(dǎo)致信息安全風(fēng)險的問題。但它本身并不是威脅，而是威脅利用的條件。因此，A選項不正確。B選項說“網(wǎng)絡(luò)中‘釣魚’軟件的存在，是網(wǎng)絡(luò)的脆弱性”。釣魚軟件是一種威脅，而不是網(wǎng)絡(luò)的脆弱性。網(wǎng)絡(luò)的脆弱性通常指的是網(wǎng)絡(luò)本身存在的可能被攻擊者利用的問題，如未打補(bǔ)丁的漏洞、未加密的數(shù)據(jù)傳輸?shù)?。因此，B選項也不正確。C選項提到“允許使用‘1234’這樣容易記憶的口令，是口令管理的脆弱性”。這是正確的。在口令管理中，如果允許使用過于簡單或容易猜測的口令，那么就為攻擊者提供了利用的機(jī)會，從而增加了信息安全風(fēng)險。因此，C選項是正確的。D選項說“以上全部”，由于A和B選項都是錯誤的，所以D選項也是錯誤的。綜上所述，正確答案是C選項。68.殘余風(fēng)險是指（）。A.風(fēng)險評估前，以往活動遺留的風(fēng)險B.風(fēng)險評估后，對以往活動遺留的風(fēng)險的估值C.風(fēng)險處置后剩余的風(fēng)險，比可接受風(fēng)險低D.風(fēng)險處置后的剩余的風(fēng)險，不一定比可接受風(fēng)險低答案：D解析：殘余風(fēng)險是指風(fēng)險處置后的剩余的風(fēng)險，不一定比可接受風(fēng)險低。在風(fēng)險評估和處置過程中，盡管已經(jīng)采取了措施來降低風(fēng)險，但仍然可能存在未被完全消除的風(fēng)險，即殘余風(fēng)險。這些殘余風(fēng)險可能仍然高于或低于可接受的風(fēng)險水平，因此選項D“風(fēng)險處置后的剩余的風(fēng)險，不一定比可接受風(fēng)險低”是正確的。其他選項A、B、C都與殘余風(fēng)險的定義不符。69.信息安全風(fēng)險（R）計算中涉及威脅（T）脆弱性（V）資產(chǎn)價值（F）等參數(shù)，以下說法正確的是（）。A.R由T、V、F共同決定，并與T、V、F同向增減B.R由T、V、F共同決定，并與T、V、F同反增減C.V由T、F共同決定，并與T、F同向增減D.F由R、V共同決定，并與R、V同向增減答案：A解析：信息安全風(fēng)險（R）計算中涉及威脅（T）、脆弱性（V）和資產(chǎn)價值（F）等參數(shù)。根據(jù)信息安全風(fēng)險的一般模型，風(fēng)險（R）是由威脅（T）和脆弱性（V）共同決定的，并且與這兩者同向增減。資產(chǎn)價值（F）雖然對風(fēng)險有一定的影響，但并不是決定風(fēng)險的主要因素。因此，正確選項是A：“R由T、V、F共同決定，并與T、V、F同向增減”。選項B的說法與A相反，不正確；選項C和D中的關(guān)系描述也不準(zhǔn)確，與風(fēng)險計算的常規(guī)理解不符。70.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.授予認(rèn)證決定的實體不宜推翻審核組的正面結(jié)論B.授予認(rèn)證決定的實體不宜推翻審核組的負(fù)面結(jié)論C.認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D.認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期答案：B解析：在信息安全管理體系認(rèn)證中，審核組會基于客戶的ISMS（信息安全管理體系）進(jìn)行評估，并給出正面或負(fù)面的結(jié)論。根據(jù)審核的準(zhǔn)則，授予認(rèn)證決定的實體（如認(rèn)證機(jī)構(gòu)）不應(yīng)輕易推翻審核組的結(jié)論，特別是當(dāng)審核組給出負(fù)面結(jié)論時。這是因為審核組是基于專業(yè)的知識和經(jīng)驗進(jìn)行評估的，他們的結(jié)論應(yīng)該得到尊重。因此，選項B“授予認(rèn)證決定的實體不宜推翻審核組的負(fù)面結(jié)論”是正確的。對于選項A“授予認(rèn)證決定的實體不宜推翻審核組的正面結(jié)論”，雖然在實際操作中，認(rèn)證機(jī)構(gòu)通常不會隨意推翻正面的結(jié)論，但這并不是絕對的，因為認(rèn)證機(jī)構(gòu)有權(quán)進(jìn)行進(jìn)一步的審核和驗證。選項C“認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核”并不準(zhǔn)確。認(rèn)證機(jī)構(gòu)通常不會直接進(jìn)行內(nèi)部審核，而是基于客戶組織提供的內(nèi)部審核報告和其他相關(guān)文件進(jìn)行評估。選項D“認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期”也不正確。認(rèn)證機(jī)構(gòu)有自己的審核周期和準(zhǔn)則，他們不會完全遵從客戶組織的內(nèi)部審核和管理評審周期。綜上所述，正確答案是B。71.關(guān)于《中華人民共和國保密法》，以下說法正確的是（）。A.該法的目的是為了保守國家秘密而定B.該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理C.該法適用于所有組織對其敏感信息的保護(hù)D.國家秘密分為秘密、機(jī)密、絕密三級，由組織自注定級、自主保護(hù)答案：A解析：《中華人民共和國保密法》的主要目的是保守國家秘密，因此選項A是正確的。關(guān)于選項B，該法并不替代以ISO/IEC27001為依據(jù)的信息安全管理，因此B是錯誤的。選項C提到該法適用于所有組織對其敏感信息的保護(hù)，但實際上，該法主要適用于國家機(jī)關(guān)和涉及國家秘密的單位，因此C也是錯誤的。選項D提到國家秘密分為秘密、機(jī)密、絕密三級，并由組織自定級別和自主保護(hù)，但實際上，國家秘密的密級和保密期限是由國家保密行政管理部門規(guī)定的，因此D也是錯誤的。因此，正確答案是A。72.以下哪個場景表明了對保密性的保護(hù)？（）A.將含有敏感信息的介質(zhì)集中在一個地方存放B.組織安全策略中規(guī)定所有的變更必須得到評審、批準(zhǔn)和授權(quán)C.針對某一系統(tǒng)服務(wù)，用有在通過了指紋驗證，才可在允許的時間段使用D.為計算機(jī)機(jī)房配備雙路供電、PS電源、柴油發(fā)動機(jī)等多重保障措施答案：C解析：本題考察的是保密性的保護(hù)。A選項提到“將含有敏感信息的介質(zhì)集中在一個地方存放”，這更像是物理安全性的措施，用于確保敏感信息介質(zhì)的安全存儲，而不是直接針對保密性的保護(hù)。B選項提到“組織安全策略中規(guī)定所有的變更必須得到評審、批準(zhǔn)和授權(quán)”，這是變更管理的策略，主要是為了保證系統(tǒng)的穩(wěn)定性和安全性，雖然間接地涉及到保密性，但不是直接針對保密性的保護(hù)。C選項提到“針對某一系統(tǒng)服務(wù)，用有在通過了指紋驗證，才可在允許的時間段使用”，這是針對系統(tǒng)訪問的控制措施，確保只有授權(quán)的人員在允許的時間段內(nèi)才能訪問系統(tǒng)，從而保護(hù)系統(tǒng)數(shù)據(jù)的保密性。D選項提到“為計算機(jī)機(jī)房配備雙路供電、PS電源、柴油發(fā)動機(jī)等多重保障措施”，這是為了保證計算機(jī)機(jī)房的電源供應(yīng)，與保密性保護(hù)無直接關(guān)系。因此，最符合保密性保護(hù)的是C選項。73.旨在評估信息安全管理體系有效性的標(biāo)準(zhǔn)是（）。A.ISO/IEC27001B.ISO/IEC27002C.ISO/IEC27006D.ISO/IEC27004答案：D解析：評估信息安全管理體系的有效性需要參考相關(guān)的標(biāo)準(zhǔn)。在給出的選項中，ISO/IEC27001是一個信息安全管理體系的標(biāo)準(zhǔn)，但它主要關(guān)注管理體系的要求，而不是評估其有效性。ISO/IEC27002是一個信息安全控制的標(biāo)準(zhǔn)，它提供了各種控制措施，但同樣不直接涉及評估有效性。ISO/IEC27006是關(guān)于信息安全管理體系的指南，但它主要提供了一般性的指導(dǎo)，而不是具體的評估標(biāo)準(zhǔn)。而ISO/IEC27004是一個信息安全管理體系的度量方法和指南，它提供了一套方法和標(biāo)準(zhǔn)來評估信息安全管理體系的有效性，因此，選項D“ISO/IEC27004”是正確的。74.對違反CCAA注冊人員行為準(zhǔn)則和不滿足CCAA相關(guān)注冊準(zhǔn)則要求的注冊人員，做出（）資格處置決定。A.撤銷、暫停、降級B.通報、暫停、降級C.通報、暫停、撤銷D.批評、暫停、降級答案：A解