本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2016年12月審核知識(shí)（改考前）答案及解析單選題（共40題，共40分）1.信息安全管理體系中提到的“風(fēng)險(xiǎn)責(zé)任人”是指（）。A.發(fā)現(xiàn)風(fēng)險(xiǎn)的人或?qū)嶓wB.風(fēng)險(xiǎn)處置人員或?qū)嶓wC.對(duì)風(fēng)險(xiǎn)管理有責(zé)任和權(quán)利的人或?qū)嶓wD.對(duì)風(fēng)險(xiǎn)發(fā)生后進(jìn)行負(fù)責(zé)的人或?qū)嶓w答案：C解析：在信息安全管理體系中，“風(fēng)險(xiǎn)責(zé)任人”通常指的是對(duì)風(fēng)險(xiǎn)管理有責(zé)任和權(quán)利的人或?qū)嶓w。這意味著他們負(fù)責(zé)識(shí)別、評(píng)估、控制和監(jiān)視信息安全風(fēng)險(xiǎn)，確保組織的信息資產(chǎn)得到妥善保護(hù)。因此，選項(xiàng)C“對(duì)風(fēng)險(xiǎn)管理有責(zé)任和權(quán)利的人或?qū)嶓w”是正確的。其他選項(xiàng)如A、B、D都與風(fēng)險(xiǎn)責(zé)任人的定義不符。A選項(xiàng)“發(fā)現(xiàn)風(fēng)險(xiǎn)的人或?qū)嶓w”只是風(fēng)險(xiǎn)識(shí)別的一部分，B選項(xiàng)“風(fēng)險(xiǎn)處置人員或?qū)嶓w”只是風(fēng)險(xiǎn)處理的一部分，D選項(xiàng)“對(duì)風(fēng)險(xiǎn)發(fā)生后進(jìn)行負(fù)責(zé)的人或?qū)嶓w”則過于狹隘，沒有涵蓋風(fēng)險(xiǎn)管理的全過程。2.信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指（）。A.對(duì)資產(chǎn)擁有財(cái)產(chǎn)權(quán)的人B.使用資產(chǎn)的人C.有權(quán)限變更資產(chǎn)安全屬性的人D.資產(chǎn)所在部門負(fù)責(zé)人答案：C解析：在信息安全管理體系中，“資產(chǎn)責(zé)任人”通常指的是有權(quán)限變更資產(chǎn)安全屬性的人。這意味著他們負(fù)責(zé)確保資產(chǎn)的安全性和完整性，并根據(jù)需要采取適當(dāng)?shù)拇胧﹣肀Ｗo(hù)資產(chǎn)。因此，選項(xiàng)C“有權(quán)限變更資產(chǎn)安全屬性的人”是正確的答案。其他選項(xiàng)如A、B和D雖然與資產(chǎn)有關(guān)，但不符合“資產(chǎn)責(zé)任人”的定義。3.組織應(yīng)給予信息以適當(dāng)級(jí)別保護(hù)，是指（）。A.應(yīng)實(shí)施盡可能先進(jìn)的保護(hù)情施以確保其保密性B.應(yīng)按信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性給予充分和必要的保護(hù)C.應(yīng)確保信息對(duì)于組織內(nèi)的所有員工可用D.以上都對(duì)答案：B解析：組織應(yīng)給予信息以適當(dāng)級(jí)別保護(hù)，意味著應(yīng)根據(jù)信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性給予充分和必要的保護(hù)。這是信息安全的基本原則之一，確保敏感信息得到適當(dāng)?shù)谋Ｗo(hù)，以防止未經(jīng)授權(quán)的訪問、泄露或損壞。因此，選項(xiàng)B“應(yīng)按信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性給予充分和必要的保護(hù)”是正確的。其他選項(xiàng)A、C、D與這一原則不符。4.考慮設(shè)備安全是為了（）。A.防止設(shè)備丟失、損壞帶來的財(cái)產(chǎn)損失B.有序保障設(shè)備維修時(shí)的備件供應(yīng)C.及時(shí)對(duì)設(shè)備進(jìn)行升級(jí)和更新?lián)Q代D.控制資產(chǎn)的丟失、損壞、失竊、危及資產(chǎn)安全以及組織活動(dòng)中斷的風(fēng)險(xiǎn)答案：D解析：考慮設(shè)備安全的主要目的是控制資產(chǎn)的丟失、損壞、失竊、危及資產(chǎn)安全以及組織活動(dòng)中斷的風(fēng)險(xiǎn)。選項(xiàng)A雖然提到了防止設(shè)備丟失和損壞，但只是設(shè)備安全的一個(gè)方面，不是主要目的。選項(xiàng)B關(guān)于備件供應(yīng)和選項(xiàng)C關(guān)于設(shè)備升級(jí)和更新?lián)Q代，雖然與設(shè)備有關(guān)，但不是設(shè)備安全的核心目的。因此，正確答案是D，即控制資產(chǎn)的丟失、損壞、失竊、危及資產(chǎn)安全以及組織活動(dòng)中斷的風(fēng)險(xiǎn)。5.一個(gè)組織或安全域內(nèi)所有信息處理設(shè)施與己設(shè)精確時(shí)鐘源同步是為了（）。A.便于針對(duì)使用信息處理設(shè)施的人員計(jì)算工時(shí)B.便于探測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的發(fā)生C.確保信息處理的及時(shí)性得到控制D.人員異地工作時(shí)統(tǒng)一作息時(shí)間答案：B解析：一個(gè)組織或安全域內(nèi)所有信息處理設(shè)施與己設(shè)精確時(shí)鐘源同步，是為了便于探測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的發(fā)生。這是因?yàn)椋绻行畔⑻幚碓O(shè)施都使用相同的時(shí)鐘源，那么任何未經(jīng)授權(quán)的信息處理活動(dòng)都會(huì)留下時(shí)間戳，從而容易被檢測(cè)出來。而針對(duì)使用信息處理設(shè)施的人員計(jì)算工時(shí)、確保信息處理的及時(shí)性得到控制、人員異地工作時(shí)統(tǒng)一作息時(shí)間等需求，雖然重要，但不是該措施的直接目的。因此，選項(xiàng)B是正確答案。6.定期備份和測(cè)試信息是指（）。A.每次備份完成時(shí)對(duì)備份結(jié)果進(jìn)行檢查，以確保備份效果B.對(duì)系統(tǒng)測(cè)試記錄進(jìn)行定期備份C.定期備份，定期對(duì)備份數(shù)據(jù)的完整性和可用性進(jìn)行測(cè)試D.定期檢査備份存儲(chǔ)介質(zhì)的容量答案：C解析：定期備份和測(cè)試信息是指定期備份，定期對(duì)備份數(shù)據(jù)的完整性和可用性進(jìn)行測(cè)試。這是因?yàn)閭浞莸哪康氖菫榱吮Ｕ蠑?shù)據(jù)的安全性，而測(cè)試則是為了確保備份數(shù)據(jù)的完整性和可用性，從而確保在需要時(shí)能夠恢復(fù)數(shù)據(jù)。因此，選項(xiàng)C“定期備份，定期對(duì)備份數(shù)據(jù)的完整性和可用性進(jìn)行測(cè)試”是符合題目要求的。其他選項(xiàng)如A、B、D雖然與備份和測(cè)試有關(guān)，但都沒有涵蓋到測(cè)試備份數(shù)據(jù)完整性和可用性的內(nèi)容，因此不是正確答案。7.信息處理設(shè)施的變更管理不包括（）。A.信息處理設(shè)施用途的變更B.信息處理設(shè)施故障部件的更換C.信息處理設(shè)施軟件的升級(jí)D.以上都不對(duì)答案：D解析：根據(jù)題目描述，我們需要找出信息處理設(shè)施的變更管理不包括的選項(xiàng)。信息處理設(shè)施的變更管理通常包括設(shè)施用途的變更、設(shè)施故障部件的更換以及設(shè)施軟件的升級(jí)等。因此，選項(xiàng)A、B、C都是信息處理設(shè)施變更管理的一部分。而選項(xiàng)D表示“以上都不對(duì)”，實(shí)際上是一個(gè)不正確的表述，因?yàn)榍懊嬉呀?jīng)列舉了變更管理的內(nèi)容。因此，正確答案是D。8.為防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問，組織應(yīng)（）。A.制定安全策略，確保用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)B.禁止內(nèi)部人員訪問互聯(lián)網(wǎng)C.禁止外部人員訪問組織局域網(wǎng)D.以上都對(duì)答案：A解析：為了防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問，組織應(yīng)該制定安全策略，確保用戶僅能訪問已獲專門授權(quán)使用的服務(wù)。這是最直接和有效的措施，能夠確保只有經(jīng)過授權(quán)的用戶才能訪問網(wǎng)絡(luò)服務(wù)，從而防止未授權(quán)訪問。選項(xiàng)B“禁止內(nèi)部人員訪問互聯(lián)網(wǎng)”和選項(xiàng)C“禁止外部人員訪問組織局域網(wǎng)”雖然可能有助于限制訪問，但它們過于絕對(duì)，可能會(huì)影響到組織的正常運(yùn)營(yíng)和合作。選項(xiàng)D“以上都對(duì)”顯然是不正確的，因?yàn)椴皇撬羞x項(xiàng)都是必要的或充分的。因此，正確答案是A。9.組織應(yīng)進(jìn)行安全需求分析，規(guī)定對(duì)安全控制的要求，當(dāng)（）。A.組織需建立新的信息系統(tǒng)時(shí)B.組織的原有信息系統(tǒng)擴(kuò)容或升級(jí)時(shí)C.組織向顧客交付軟件系統(tǒng)時(shí)D.A+B答案：D解析：根據(jù)題目描述，組織應(yīng)進(jìn)行安全需求分析，規(guī)定對(duì)安全控制的要求，當(dāng)組織需建立新的信息系統(tǒng)時(shí)或組織的原有信息系統(tǒng)擴(kuò)容或升級(jí)時(shí)，都需要進(jìn)行安全需求分析，因此選項(xiàng)D“A+B”是正確的。選項(xiàng)A和B分別描述了組織建立新的信息系統(tǒng)和原有信息系統(tǒng)擴(kuò)容或升級(jí)的情況，這兩種情況都需要進(jìn)行安全需求分析，所以選項(xiàng)D是正確的。選項(xiàng)C“組織向顧客交付軟件系統(tǒng)時(shí)”并沒有提到需要進(jìn)行安全需求分析，因此是錯(cuò)誤的。10.對(duì)保密文件復(fù)印件張數(shù)核對(duì)是確保保常文件的（）。A.保密性B.完整性C.用性D.以上全部答案：B解析：對(duì)保密文件復(fù)印件張數(shù)核對(duì)是確保保密文件的完整性。保密文件的完整性指的是文件內(nèi)容的完整、無誤，沒有缺失或改動(dòng)。核對(duì)復(fù)印件的張數(shù)可以確保復(fù)印件與原件內(nèi)容一致，從而確保文件的完整性。保密性主要指的是文件內(nèi)容不被未經(jīng)授權(quán)的人員獲取或泄露，核對(duì)復(fù)印件的張數(shù)并不能直接保證文件的保密性?？捎眯灾傅氖俏募梢员徽！⒂行У厥褂?，核對(duì)復(fù)印件的張數(shù)也不能直接保證文件的可用性。因此，選項(xiàng)B“完整性”是正確答案。11.國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)施（）。A.備案制度B.許可度C.行政監(jiān)管制度D.備案與行政監(jiān)管相結(jié)合的管理制度答案：B解析：根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度，對(duì)非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度。因此，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)施的是許可制度，而非備案制度、行政監(jiān)管制度或備案與行政監(jiān)管相結(jié)合的管理制度。因此，正確答案為B。12.確定資產(chǎn)的可用性要求須依據(jù)（）。A.授權(quán)實(shí)體的需求B.信息系統(tǒng)的實(shí)際性能水平C.組織可支付的經(jīng)濟(jì)成本D.最高管理者的決定答案：A解析：確定資產(chǎn)的可用性要求通常是根據(jù)授權(quán)實(shí)體的需求來確定的。資產(chǎn)的可用性要求反映了資產(chǎn)必須滿足的業(yè)務(wù)功能或服務(wù)，而這些功能或服務(wù)通常是基于組織的業(yè)務(wù)需求和戰(zhàn)略目標(biāo)。因此，授權(quán)實(shí)體的需求是確定資產(chǎn)可用性要求的主要依據(jù)。其他選項(xiàng)如信息系統(tǒng)的實(shí)際性能水平、組織可支付的經(jīng)濟(jì)成本和最高管理者的決定，雖然可能對(duì)資產(chǎn)的可用性產(chǎn)生影響，但它們不是確定可用性要求的核心依據(jù)。因此，正確答案是A，即授權(quán)實(shí)體的需求。13.為了確保布纜安全，以下正確的做法是（）。A.使用同一電纜管道鋪設(shè)電源電纜和通信電纜B.網(wǎng)絡(luò)電纜采用明線架設(shè)C.配線盤應(yīng)盡量放置在公共可訪問區(qū)域，以便于應(yīng)急管理D.使用配線標(biāo)記和設(shè)各標(biāo)記，編制配線列表答案：D解析：為了確保布纜安全，應(yīng)該采取一些專業(yè)的做法。對(duì)于A選項(xiàng)，將電源電纜和通信電纜鋪設(shè)在同一電纜管道中是不安全的，因?yàn)殡娫措娎|會(huì)產(chǎn)生電磁場(chǎng)，干擾通信電纜的正常工作，所以A選項(xiàng)錯(cuò)誤。對(duì)于B選項(xiàng)，網(wǎng)絡(luò)電纜采用明線架設(shè)，這樣容易受到物理損壞，同時(shí)也不美觀，所以B選項(xiàng)錯(cuò)誤。對(duì)于C選項(xiàng)，配線盤應(yīng)盡量放置在公共可訪問區(qū)域，以便于應(yīng)急管理，但是這樣的做法可能會(huì)導(dǎo)致線纜暴露在外，容易受到物理損壞，所以C選項(xiàng)錯(cuò)誤。對(duì)于D選項(xiàng)，使用配線標(biāo)記和設(shè)備標(biāo)記，編制配線列表，這樣可以確保線纜的清晰標(biāo)識(shí)和管理，有利于后期的維護(hù)和故障排查，所以D選項(xiàng)正確。因此，為了確保布纜安全，應(yīng)該采取D選項(xiàng)的做法。14.以下不屬于信息安全事態(tài)或事件的是（）。A.服務(wù)、設(shè)備或設(shè)施的丟失B.系統(tǒng)故障或超負(fù)載C.物理安全要求的違規(guī)D.安全策略變更的臨時(shí)通知答案：D解析：信息安全事態(tài)或事件通常指的是可能對(duì)信息系統(tǒng)安全產(chǎn)生負(fù)面影響的情況。A選項(xiàng)“服務(wù)、設(shè)備或設(shè)施的丟失”可能導(dǎo)致信息泄露或系統(tǒng)不可用，屬于信息安全事態(tài)。B選項(xiàng)“系統(tǒng)故障或超負(fù)載”可能導(dǎo)致系統(tǒng)性能下降或數(shù)據(jù)丟失，也是信息安全事件。C選項(xiàng)“物理安全要求的違規(guī)”可能導(dǎo)致物理設(shè)備被非法訪問或損壞，同樣屬于信息安全事件。而D選項(xiàng)“安全策略變更的臨時(shí)通知”通常是為了維護(hù)系統(tǒng)安全而進(jìn)行的正常操作，不屬于信息安全事態(tài)或事件。因此，正確答案是D。15.對(duì)于針對(duì)信息系統(tǒng)的軟件包，以下說法正確的是（）。A.組織應(yīng)具有有能力的人員，以便隨時(shí)對(duì)軟件包進(jìn)行適用性修改B.應(yīng)盡量勸阻對(duì)軟件包實(shí)施變更，以規(guī)避變更的風(fēng)險(xiǎn)C.軟件包不必作為配置項(xiàng)進(jìn)行管理D.軟件包的安裝必須由其開發(fā)商實(shí)施安裝答案：B解析：針對(duì)信息系統(tǒng)的軟件包，我們需要考慮其管理、維護(hù)以及變更控制。A選項(xiàng)提到“組織應(yīng)具有有能力的人員，以便隨時(shí)對(duì)軟件包進(jìn)行適用性修改”。雖然這聽起來像是合理的建議，但它并沒有直接關(guān)聯(lián)到題目中的“應(yīng)盡量勸阻對(duì)軟件包實(shí)施變更，以規(guī)避變更的風(fēng)險(xiǎn)”。B選項(xiàng)“應(yīng)盡量勸阻對(duì)軟件包實(shí)施變更，以規(guī)避變更的風(fēng)險(xiǎn)”與題目中的描述相符。變更通常伴隨著風(fēng)險(xiǎn)，特別是當(dāng)軟件包已經(jīng)過嚴(yán)格測(cè)試并部署在生產(chǎn)環(huán)境中時(shí)。隨意變更可能導(dǎo)致未預(yù)期的問題，甚至影響系統(tǒng)的穩(wěn)定性和安全性。C選項(xiàng)“軟件包不必作為配置項(xiàng)進(jìn)行管理”與實(shí)際情況不符。軟件包作為信息系統(tǒng)的重要組成部分，其配置、版本和變更歷史都應(yīng)該被詳細(xì)記錄和管理，以確保系統(tǒng)的可維護(hù)性和可追溯性。D選項(xiàng)“軟件包的安裝必須由其開發(fā)商實(shí)施安裝”也不是一個(gè)普遍適用的建議。雖然開發(fā)商通常對(duì)軟件包有深入的了解，但在很多情況下，組織可能希望或需要自行安裝和管理軟件包。因此，考慮到題目的描述和選項(xiàng)的內(nèi)容，B選項(xiàng)“應(yīng)盡量勸阻對(duì)軟件包實(shí)施變更，以規(guī)避變更的風(fēng)險(xiǎn)”是最符合題目要求的。16.依據(jù)GB/T22080，組織監(jiān)視外包軟件開發(fā)應(yīng)考慮（）。A.監(jiān)督外包方及時(shí)交付軟件的能力B.監(jiān)督外包方的開發(fā)成果物質(zhì)量C.確保外包方的開發(fā)滿足組織安全需求D.驗(yàn)證外包方的開發(fā)過程符合CMMI要求答案：C解析：根據(jù)GB/T22080標(biāo)準(zhǔn)，組織監(jiān)視外包軟件開發(fā)應(yīng)確保外包方的開發(fā)滿足組織的安全需求。這是為了保障組織的信息安全，避免外包軟件開發(fā)過程中可能出現(xiàn)的安全漏洞或風(fēng)險(xiǎn)。因此，選項(xiàng)C“確保外包方的開發(fā)滿足組織安全需求”是正確答案。選項(xiàng)A、B、D雖然也是外包軟件開發(fā)中需要考慮的因素，但與標(biāo)準(zhǔn)中明確的監(jiān)視重點(diǎn)不符。17.國(guó)家信息安全等級(jí)保護(hù)采?。ǎ?。A.自主定級(jí)、自主保護(hù)的原則B.國(guó)家保密部門定級(jí)、自主保持的原則C.公安部門定級(jí)、自主保護(hù)的原則D.國(guó)家保密部門定級(jí)、公安部門監(jiān)督保護(hù)的原則答案：A解析：根據(jù)《信息安全等級(jí)保護(hù)管理辦法》的規(guī)定，國(guó)家信息安全等級(jí)保護(hù)采取自主定級(jí)、自主保護(hù)的原則。因此，選項(xiàng)A“自主定級(jí)、自主保護(hù)的原則”是正確的。其他選項(xiàng)，如國(guó)家保密部門定級(jí)、自主保持的原則，公安部門定級(jí)、自主保護(hù)的原則，以及國(guó)家保密部門定級(jí)、公安部門監(jiān)督保護(hù)的原則，均不符合該管理辦法的規(guī)定。18.信息安全管理中，關(guān)于脆弱性，以下說法正確的是（）。A.組織使用的開源軟件不須考慮其技術(shù)脆弱性B.軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種C.識(shí)別資產(chǎn)脆弱性時(shí)應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D.使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅和利用的機(jī)會(huì)答案：B解析：A選項(xiàng)錯(cuò)誤，組織使用的開源軟件同樣需要考慮其技術(shù)脆弱性。開源軟件雖然公開源代碼，但并不意味著沒有安全漏洞或脆弱性。B選項(xiàng)正確，軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種。后門是未經(jīng)授權(quán)訪問系統(tǒng)或數(shù)據(jù)的途徑，增加了系統(tǒng)被攻擊和濫用的風(fēng)險(xiǎn)。C選項(xiàng)錯(cuò)誤，識(shí)別資產(chǎn)脆弱性時(shí)應(yīng)考慮資產(chǎn)的固有特性，包括當(dāng)前安全控制措施。安全控制措施是組織為減少或消除脆弱性而采取的措施，評(píng)估脆弱性時(shí)需要考慮這些控制措施的效果。D選項(xiàng)錯(cuò)誤，使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可減少其脆弱性被威脅和利用的機(jī)會(huì)，但并不能杜絕。物理隔離只能減少一部分風(fēng)險(xiǎn)，其他如內(nèi)部人員濫用權(quán)限、物理設(shè)備被攻擊等風(fēng)險(xiǎn)仍然存在。因此，物理隔離并不是萬能的，還需要其他安全措施來綜合保護(hù)信息系統(tǒng)。19.信息安全管理中，關(guān)于撤銷訪問權(quán)，不包括以下哪種情況（）。A.員工離職時(shí)B.組織內(nèi)項(xiàng)目人員調(diào)換到不同的項(xiàng)目組時(shí)C.顧客或第三方人員結(jié)束訪問時(shí)D.以上都不對(duì)。答案：D解析：在信息安全管理中，撤銷訪問權(quán)通常發(fā)生在某些特定情況下，以確保未經(jīng)授權(quán)的人員無法訪問敏感信息或系統(tǒng)。根據(jù)給出的選項(xiàng)，員工離職時(shí)、組織內(nèi)項(xiàng)目人員調(diào)換到不同的項(xiàng)目組時(shí)以及顧客或第三方人員結(jié)束訪問時(shí)，都是可能需要撤銷訪問權(quán)的情況。因此，選項(xiàng)D“以上都不對(duì)”是不正確的。所以，正確答案是D。20.依據(jù)GB/T22080，業(yè)務(wù)連續(xù)性管理活動(dòng)不包括（）。A.針對(duì)業(yè)務(wù)中斷進(jìn)行風(fēng)險(xiǎn)評(píng)估B.定義恢復(fù)的優(yōu)先順序C.定義恢復(fù)時(shí)間指標(biāo)D.按事件管理流程進(jìn)行處置答案：D解析：依據(jù)GB/T22080，業(yè)務(wù)連續(xù)性管理活動(dòng)主要包括針對(duì)業(yè)務(wù)中斷進(jìn)行風(fēng)險(xiǎn)評(píng)估、定義恢復(fù)的優(yōu)先順序以及定義恢復(fù)時(shí)間指標(biāo)。這些活動(dòng)都是為了確保在業(yè)務(wù)中斷時(shí)，企業(yè)能夠迅速、有效地恢復(fù)運(yùn)營(yíng)。而按事件管理流程進(jìn)行處置并不是業(yè)務(wù)連續(xù)性管理活動(dòng)的范疇，而是更偏向于應(yīng)急管理或危機(jī)管理的范疇。因此，選項(xiàng)D“按事件管理流程進(jìn)行處置”是不包括在業(yè)務(wù)連續(xù)性管理活動(dòng)中的。21.以下不屬于“責(zé)任分割”原則范疇的做法是（）。A.不同職級(jí)人員斗作區(qū)域隔離B.保持安金審核人員的獨(dú)立性C.授權(quán)者、操作者和監(jiān)視者三者責(zé)任分離D.事件報(bào)告人員與事件處理人員職責(zé)分離答案：A解析：責(zé)任分割原則指的是將完成某項(xiàng)任務(wù)或職責(zé)的責(zé)任，按照特定的規(guī)則分配給不同的個(gè)體或組織，以確保任務(wù)的完成和職責(zé)的履行。在題干中，我們列出了四個(gè)選項(xiàng)，它們分別代表了不同的責(zé)任分割方式。A選項(xiàng)“不同職級(jí)人員斗作區(qū)域隔離”這個(gè)表述似乎有些問題，因?yàn)樗鼪]有明確表達(dá)出責(zé)任分割的原則。它更像是描述了一個(gè)物理上的隔離，而不是職責(zé)上的分割。因此，這個(gè)選項(xiàng)不符合責(zé)任分割原則的定義。B選項(xiàng)“保持安金審核人員的獨(dú)立性”體現(xiàn)了責(zé)任分割原則，即確保審核人員獨(dú)立于其他可能影響審核結(jié)果的人員，以保證審核的公正性和準(zhǔn)確性。C選項(xiàng)“授權(quán)者、操作者和監(jiān)視者三者責(zé)任分離”也是責(zé)任分割原則的體現(xiàn)，它確保了任務(wù)的不同環(huán)節(jié)由不同的人負(fù)責(zé)，以避免權(quán)力濫用和錯(cuò)誤的發(fā)生。D選項(xiàng)“事件報(bào)告人員與事件處理人員職責(zé)分離”同樣體現(xiàn)了責(zé)任分割原則，即確保事件報(bào)告和處理職責(zé)由不同的人承擔(dān)，以避免報(bào)告人員因?yàn)閭€(gè)人原因而隱瞞或歪曲事實(shí)。綜上所述，A選項(xiàng)“不同職級(jí)人員斗作區(qū)域隔離”不屬于責(zé)任分割原則范疇的做法，因此答案是A。22.對(duì)于用戶訪問信息系統(tǒng)使用的口令，以下說法正確的是（）。A.口令必須定期更換B.同一工作組的成員可以共享口令C.如果使用生物識(shí)別技術(shù)，可替代口令D.以上全部答案：C解析：對(duì)于用戶訪問信息系統(tǒng)使用的口令，正確的說法是如果使用生物識(shí)別技術(shù)，可替代口令。這是因?yàn)樯镒R(shí)別技術(shù)是一種基于人體生物特征的身份驗(yàn)證方式，如指紋、虹膜等，具有更高的安全性和可靠性，可以替代傳統(tǒng)的口令驗(yàn)證方式。而定期更換口令雖然可以提高安全性，但過于頻繁更換口令會(huì)給用戶帶來不便，且如果口令管理不當(dāng)，也容易導(dǎo)致口令泄露的風(fēng)險(xiǎn)。同一工作組的成員共享口令則更容易導(dǎo)致口令被猜測(cè)或破解，從而增加信息系統(tǒng)被攻擊的風(fēng)險(xiǎn)。因此，選項(xiàng)C是正確的。23.關(guān)于商用密碼技術(shù)和產(chǎn)品，以下說法不正確的是（）。A.任何組織不得隨意進(jìn)口密碼產(chǎn)品，但可以出口商用密碼產(chǎn)品B.商用密碼技術(shù)屬于國(guó)家秘密C.商用密碼是對(duì)不涉及國(guó)家秘密的內(nèi)容進(jìn)行加密保護(hù)的產(chǎn)品D.商用密碼產(chǎn)品的用戶不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品答案：A解析：商用密碼技術(shù)和產(chǎn)品涉及國(guó)家安全，因此任何組織都不得隨意進(jìn)口或出口商用密碼產(chǎn)品，所以A選項(xiàng)不正確。B選項(xiàng)正確，商用密碼技術(shù)屬于國(guó)家秘密，受到保護(hù)。C選項(xiàng)正確，商用密碼是用于保護(hù)不涉及國(guó)家秘密的信息的產(chǎn)品。D選項(xiàng)正確，商用密碼產(chǎn)品的用戶不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品，以維護(hù)國(guó)家安全。因此，答案為A。24.信息安全災(zāi)備管理中，“恢復(fù)點(diǎn)目標(biāo)”指（）。A.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間B.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能項(xiàng)恢復(fù)的范圍C.災(zāi)難發(fā)生后，系統(tǒng)和必須恢復(fù)到的時(shí)間點(diǎn)要求D.災(zāi)難發(fā)生后，關(guān)鍵數(shù)據(jù)能被復(fù)原的范圍答案：C解析：在信息安全災(zāi)備管理中，“恢復(fù)點(diǎn)目標(biāo)”（RecoveryPointObjective，簡(jiǎn)稱RPO）指的是災(zāi)難發(fā)生后，系統(tǒng)和必須恢復(fù)到的時(shí)間點(diǎn)要求。這意味著在發(fā)生災(zāi)難后，系統(tǒng)或業(yè)務(wù)功能需要恢復(fù)到某個(gè)特定的時(shí)間點(diǎn)，以確保數(shù)據(jù)的完整性和業(yè)務(wù)的連續(xù)性。因此，選項(xiàng)C“災(zāi)難發(fā)生后，系統(tǒng)和必須恢復(fù)到的時(shí)間點(diǎn)要求”是正確的。其他選項(xiàng)A、B和D都與恢復(fù)點(diǎn)目標(biāo)的定義不符。25.信息安全管理中，“防止濫用信息處理設(shè)施”是為了防止（）。A.工作場(chǎng)所出現(xiàn)“公私不分”的情況B.組織信息保密性受損C.組織資產(chǎn)可用性受損D.B+C答案：D解析：在信息安全管理中，“防止濫用信息處理設(shè)施”是為了防止組織信息保密性受損和組織資產(chǎn)可用性受損。這是因?yàn)闉E用信息處理設(shè)施可能導(dǎo)致敏感信息的泄露，損害組織的保密性，同時(shí)也可能導(dǎo)致設(shè)施被錯(cuò)誤使用或破壞，影響組織的正常運(yùn)營(yíng)和資產(chǎn)可用性。因此，選項(xiàng)D“組織信息保密性受損和組織資產(chǎn)可用性受損”是正確的答案。選項(xiàng)A“工作場(chǎng)所出現(xiàn)‘公私不分’的情況”雖然可能是一個(gè)濫用信息處理設(shè)施的結(jié)果，但并不是其主要目的。選項(xiàng)B“組織信息保密性受損”和選項(xiàng)C“組織資產(chǎn)可用性受損”雖然都涉及到了濫用信息處理設(shè)施可能帶來的問題，但單獨(dú)來看并不全面，因此不是最佳答案。26.在現(xiàn)場(chǎng)審核時(shí)，審核組有權(quán)自行決定變更的事項(xiàng)是（）。A.審核準(zhǔn)則B.審核人日數(shù)C.審核路線D.應(yīng)受審核的業(yè)務(wù)過程答案：C解析：在現(xiàn)場(chǎng)審核時(shí)，審核組有權(quán)自行決定變更的事項(xiàng)是審核路線。審核準(zhǔn)則、審核人日數(shù)以及應(yīng)受審核的業(yè)務(wù)過程都是事先確定的，審核組無權(quán)自行變更。因此，正確答案是C，即審核路線。27.第三方認(rèn)證審核時(shí)確定審核范圍的程序是（）。A.組織提出、與審核組協(xié)商、認(rèn)證機(jī)構(gòu)確認(rèn)、認(rèn)證合同規(guī)定B.組織申請(qǐng)、認(rèn)證機(jī)構(gòu)評(píng)審、認(rèn)證合同規(guī)定、審核組確認(rèn)C.組織提出、與咨詢機(jī)構(gòu)協(xié)商、認(rèn)證機(jī)構(gòu)確認(rèn)D.認(rèn)證機(jī)構(gòu)提出、與組織協(xié)商、審核組確認(rèn)、認(rèn)證合同規(guī)定答案：B解析：在第三方認(rèn)證審核中，確定審核范圍的程序通常涉及多個(gè)步驟。首先，組織需要向認(rèn)證機(jī)構(gòu)提出認(rèn)證申請(qǐng)，認(rèn)證機(jī)構(gòu)會(huì)對(duì)申請(qǐng)進(jìn)行評(píng)審，以確定是否滿足認(rèn)證條件。評(píng)審?fù)ㄟ^后，認(rèn)證機(jī)構(gòu)會(huì)與組織簽訂認(rèn)證合同，其中規(guī)定了審核的范圍和其他相關(guān)條款。最后，審核組會(huì)依據(jù)認(rèn)證合同確認(rèn)具體的審核范圍，并開始進(jìn)行審核工作。因此，選項(xiàng)B“組織申請(qǐng)、認(rèn)證機(jī)構(gòu)評(píng)審、認(rèn)證合同規(guī)定、審核組確認(rèn)”是確定審核范圍的正確程序。選項(xiàng)A中的“審核組協(xié)商”和選項(xiàng)C中的“與咨詢機(jī)構(gòu)協(xié)商”在常規(guī)流程中并不涉及，而選項(xiàng)D中的“認(rèn)證機(jī)構(gòu)提出”也不符合通常的做法，因?yàn)閷徍朔秶拇_定通常是基于組織的申請(qǐng)和認(rèn)證機(jī)構(gòu)的評(píng)審結(jié)果。28.信息安全管理體系認(rèn)證過程包含（）。A.現(xiàn)場(chǎng)審核首次會(huì)議開始到末次會(huì)議結(jié)束的所有活動(dòng)B.從審核準(zhǔn)備到審核報(bào)告提交期間的所有活動(dòng)C.一次初審以及至少2次監(jiān)督審核的所有活動(dòng)D.從受理認(rèn)證到證書到期期間所有的審核以及認(rèn)證服務(wù)和管理活動(dòng)答案：D解析：信息安全管理體系認(rèn)證過程涉及從受理認(rèn)證到證書到期期間所有的審核以及認(rèn)證服務(wù)和管理活動(dòng)。這包括審核準(zhǔn)備、現(xiàn)場(chǎng)審核（包括首次會(huì)議和末次會(huì)議）以及審核報(bào)告的提交等各個(gè)環(huán)節(jié)。選項(xiàng)A只涵蓋了現(xiàn)場(chǎng)審核的部分活動(dòng)，選項(xiàng)B只涵蓋了從審核準(zhǔn)備到審核報(bào)告提交的部分活動(dòng)，選項(xiàng)C則只涉及了一次初審和至少2次監(jiān)督審核，均不如選項(xiàng)D全面。因此，正確答案是D。29.第三方認(rèn)證時(shí)的監(jiān)督審核不定是對(duì)整個(gè)體系的審核，以下說法正確的是（）。A.組織獲得認(rèn)證范圍內(nèi)的職能區(qū)域可以抽查，但標(biāo)準(zhǔn)條款不可以抽查B.組織獲得認(rèn)證范圍內(nèi)的亞務(wù)過程可以抽查，但職能區(qū)域不可以抽查C.組織獲得認(rèn)證范圍內(nèi)的業(yè)務(wù)過程和職能區(qū)域都不可以抽查，僅標(biāo)準(zhǔn)條款可以抽查D.標(biāo)準(zhǔn)條款可以射查，但針對(duì)內(nèi)審和管理評(píng)審以及持續(xù)改進(jìn)方面的審核不可缺少答案：D解析：第三方認(rèn)證時(shí)的監(jiān)督審核通常是對(duì)整個(gè)體系的審核，而不是只針對(duì)部分區(qū)域或過程。對(duì)于組織獲得認(rèn)證范圍內(nèi)的業(yè)務(wù)過程和職能區(qū)域，監(jiān)督審核可能會(huì)進(jìn)行抽查，但標(biāo)準(zhǔn)條款通常不可以抽查，因?yàn)闃?biāo)準(zhǔn)條款是整個(gè)體系的基礎(chǔ)和框架，必須得到全面的審核和評(píng)估。因此，D選項(xiàng)“標(biāo)準(zhǔn)條款可以抽查，但針對(duì)內(nèi)審和管理評(píng)審以及持續(xù)改進(jìn)方面的審核不可缺少”是正確的。A、B、C選項(xiàng)都存在問題，因?yàn)楸O(jiān)督審核通常需要對(duì)整個(gè)體系進(jìn)行審核，不能僅抽查部分區(qū)域或過程。30.認(rèn)證審核時(shí)審核組織抽查的樣本應(yīng)（）。A.由受審核方熟悉的人員事先選取，做好準(zhǔn)備B.由審核組明確總體并在受控狀態(tài)下獨(dú)立抽樣C.由受審核組和受審核方人員協(xié)商抽樣D.有受審核方安排的向?qū)?shí)施抽樣答案：B解析：審核組織抽查的樣本應(yīng)由審核組明確總體并在受控狀態(tài)下獨(dú)立抽樣。這是因?yàn)閷徍说哪康氖菫榱蓑?yàn)證受審核方的管理體系是否符合相關(guān)標(biāo)準(zhǔn)和要求，而審核組作為獨(dú)立的第三方，應(yīng)該保持客觀、公正的態(tài)度，確保抽樣的公正性和代表性。如果由受審核方熟悉的人員事先選取樣本，可能會(huì)存在主觀偏見，影響審核結(jié)果的客觀性和準(zhǔn)確性。因此，選項(xiàng)B“由審核組明確總體并在受控狀態(tài)下獨(dú)立抽樣”是正確答案。31.關(guān)于審核結(jié)論，以下說法正確的是（）。A.審核組綜合了所有審核證據(jù)進(jìn)行合理推斷的結(jié)果B.審核組綜合了所有審核證據(jù)與受審核方充分協(xié)商的結(jié)果C.審核組權(quán)衡了不符合的審核發(fā)現(xiàn)的數(shù)量及嚴(yán)重程度后得岀的結(jié)果D.審核組考慮了審核目的和所有審核發(fā)現(xiàn)后得出的審核結(jié)果答案：D解析：根據(jù)審核的定義，審核是為了獲得審核證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的獨(dú)立的并形成文件的過程。審核結(jié)論是基于審核目的和所有審核發(fā)現(xiàn)，經(jīng)過分析和評(píng)價(jià)后得出的。選項(xiàng)A中的“合理推斷”并不是審核結(jié)論的基礎(chǔ)；選項(xiàng)B中的“充分協(xié)商”也不是審核結(jié)論的必要條件；選項(xiàng)C中的“不符合的審核發(fā)現(xiàn)的數(shù)量及嚴(yán)重程度”只是審核發(fā)現(xiàn)的一部分，不足以構(gòu)成審核結(jié)論。因此，選項(xiàng)D“審核組考慮了審核目的和所有審核發(fā)現(xiàn)后得出的審核結(jié)果”是最符合審核結(jié)論定義的。32.審核組中的技術(shù)專家是（）。A.為審核組提供文化、法律、技術(shù)等方面知識(shí)咨詢的人員B.特別負(fù)責(zé)對(duì)受審核方的專業(yè)技術(shù)過程進(jìn)行審核的人員C.審核期間為受審核方提供技術(shù)咨詢的人員D.從專業(yè)的角度對(duì)審核員的審核進(jìn)行觀察評(píng)價(jià)的人員答案：A解析：根據(jù)題目描述，審核組中的技術(shù)專家應(yīng)該是為審核組提供文化、法律、技術(shù)等方面知識(shí)咨詢的人員。這個(gè)選項(xiàng)對(duì)應(yīng)的是A，特別負(fù)責(zé)對(duì)受審核方的專業(yè)技術(shù)過程進(jìn)行審核的人員是審核員或?qū)徍私M長(zhǎng)的職責(zé)，為受審核方提供技術(shù)咨詢的人員是審核咨詢專家，從專業(yè)的角度對(duì)審核員的審核進(jìn)行觀察評(píng)價(jià)的人員是觀察員或?qū)徍烁檰T的職責(zé)。因此，正確答案是A。33.對(duì)于第三方服務(wù)提供方，以下描述正確的是（）。A.為了監(jiān)視和評(píng)審第三方提供的服務(wù)，第三方人員提供服務(wù)時(shí)應(yīng)有人員全程陪同B.應(yīng)定期度量和評(píng)價(jià)第三方遵從商定的安全策略和服務(wù)水平的程度C.第三方服務(wù)提供方應(yīng)有符合ITIL的流程D.第三方服務(wù)的變更須向組織呈報(bào)以備案答案：B解析：對(duì)于第三方服務(wù)提供方的描述，我們需要根據(jù)給出的選項(xiàng)進(jìn)行分析。A選項(xiàng)提到“第三方人員提供服務(wù)時(shí)應(yīng)有人員全程陪同”，這并非是對(duì)第三方服務(wù)提供方的描述，而是對(duì)服務(wù)提供過程中的一種要求或方式，因此A選項(xiàng)不正確。B選項(xiàng)提到“應(yīng)定期度量和評(píng)價(jià)第三方遵從商定的安全策略和服務(wù)水平的程度”，這是對(duì)第三方服務(wù)提供方的一種合理描述，定期度量和評(píng)價(jià)第三方服務(wù)的質(zhì)量是確保服務(wù)符合商定標(biāo)準(zhǔn)的重要步驟。C選項(xiàng)提到“第三方服務(wù)提供方應(yīng)有符合ITIL的流程”，雖然ITIL（信息技術(shù)基礎(chǔ)架構(gòu)庫）是一種廣泛使用的IT服務(wù)管理框架，但題目中并未明確指出第三方服務(wù)提供方必須遵循ITIL流程，因此C選項(xiàng)的描述過于絕對(duì)，不正確。D選項(xiàng)提到“第三方服務(wù)的變更須向組織呈報(bào)以備案”，這更像是對(duì)組織內(nèi)部對(duì)第三方服務(wù)變更的一種管理要求，而不是對(duì)第三方服務(wù)提供方的描述，因此D選項(xiàng)不正確。綜上所述，B選項(xiàng)“應(yīng)定期度量和評(píng)價(jià)第三方遵從商定的安全策略和服務(wù)水平的程度”是對(duì)第三方服務(wù)提供方的正確描述。34.信息安全管理中，“遠(yuǎn)程訪問”指（）。A.訪問者的物理位置與被訪問客體不在一個(gè)城市B.訪問者的物理位置與被訪問客體的距離大于30米C.訪問者的物理位置與被訪問客體的距離大于15米D.訪問者從并不永久連接到所訪問網(wǎng)絡(luò)的終端訪問資源答案：D解析：在信息安全管理中，“遠(yuǎn)程訪問”通常指的是訪問者從并不永久連接到所訪問網(wǎng)絡(luò)的終端訪問資源。這意味著訪問者可能位于任何物理位置，只要他們不是直接、永久地連接到所訪問的網(wǎng)絡(luò)或系統(tǒng)，而是通過某種遠(yuǎn)程方式（如VPN、遠(yuǎn)程桌面等）進(jìn)行訪問。因此，選項(xiàng)D“訪問者從并不永久連接到所訪問網(wǎng)絡(luò)的終端訪問資源”是正確答案。選項(xiàng)A、B、C中的描述都與“遠(yuǎn)程訪問”的常規(guī)含義不符。35.依據(jù)GB/T22080，以下不是“適用性聲明”文件必須包含的內(nèi)容是（）。A.實(shí)施信息安全控制措施的角色、職責(zé)和權(quán)限B.組織選擇的控制目標(biāo)和控制措施，以及選擇的理由C.當(dāng)前實(shí)施D.對(duì)附錄A中可控制目標(biāo)和控制措施的刪減，頭及刪減的合理性說明答案：A解析：根據(jù)GB/T22080標(biāo)準(zhǔn)，適用性聲明文件應(yīng)包含組織選擇的控制目標(biāo)和控制措施，以及選擇的理由，以及對(duì)附錄A中可控制目標(biāo)和控制措施的刪減，及刪減的合理性說明。而實(shí)施信息安全控制措施的角色、職責(zé)和權(quán)限，并不是適用性聲明文件必須包含的內(nèi)容。因此，選項(xiàng)A“實(shí)施信息安全控制措施的角色、職責(zé)和權(quán)限”不是“適用性聲明”文件必須包含的內(nèi)容。36.信息安全管理體系審核時(shí)，為了獲取律核證據(jù)，應(yīng)考慮的信息源為（）。A.受審核方的辦公自動(dòng)化系統(tǒng)管理與維護(hù)相關(guān)的過程和活動(dòng)B.受審核方場(chǎng)所內(nèi)已確定為涉及國(guó)家秘密的相關(guān)過程和活動(dòng)C.受審核方的核心財(cái)務(wù)系統(tǒng)的管理與維護(hù)相關(guān)的過程和活動(dòng)D.受審核方申請(qǐng)認(rèn)證范圍內(nèi)的業(yè)務(wù)過程和活動(dòng)答案：D解析：在信息安全管理體系審核時(shí)，為了獲取審核證據(jù)，應(yīng)考慮的信息源應(yīng)該是受審核方申請(qǐng)認(rèn)證范圍內(nèi)的業(yè)務(wù)過程和活動(dòng)。這是因?yàn)閷徍说哪康氖球?yàn)證受審核方是否按照信息安全管理體系的要求實(shí)施管理，而認(rèn)證范圍內(nèi)的業(yè)務(wù)過程和活動(dòng)是最直接、最相關(guān)的證據(jù)來源。其他選項(xiàng)如辦公自動(dòng)化系統(tǒng)管理與維護(hù)相關(guān)的過程和活動(dòng)、場(chǎng)所內(nèi)已確定為涉及國(guó)家秘密的相關(guān)過程和活動(dòng)、核心財(cái)務(wù)系統(tǒng)的管理與維護(hù)相關(guān)的過程和活動(dòng)等，雖然可能與信息安全管理體系有關(guān)，但不是最直接、最相關(guān)的證據(jù)來源。因此，正確答案為D，即受審核方申請(qǐng)認(rèn)證范圍內(nèi)的業(yè)務(wù)過程和活動(dòng)。37.信息安全災(zāi)備管理中，關(guān)于災(zāi)難恢復(fù)能力，以下說法正確的是（）。A.恢復(fù)能力等級(jí)越高，恢復(fù)時(shí)間目標(biāo)越短，恢復(fù)點(diǎn)目標(biāo)越近B.恢復(fù)能力等級(jí)越高，恢復(fù)時(shí)間目標(biāo)越長(zhǎng)，恢復(fù)點(diǎn)目標(biāo)越長(zhǎng)C.恢復(fù)能萬等級(jí)越高，恢復(fù)時(shí)間目標(biāo)越短，恢復(fù)點(diǎn)目標(biāo)越長(zhǎng)D.恢復(fù)能力等級(jí)越高，恢復(fù)時(shí)間目標(biāo)越短，恢復(fù)點(diǎn)目標(biāo)越長(zhǎng)。答案：A解析：在信息安全災(zāi)備管理中，災(zāi)難恢復(fù)能力通常與恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）有關(guān)?；謴?fù)時(shí)間目標(biāo)（RTO）指的是在災(zāi)難發(fā)生后，系統(tǒng)或服務(wù)恢復(fù)正常運(yùn)行所需的最長(zhǎng)時(shí)間?；謴?fù)點(diǎn)目標(biāo)（RPO）指的是在災(zāi)難發(fā)生前可以接受的最新數(shù)據(jù)丟失量。一般來說，恢復(fù)能力等級(jí)越高，意味著系統(tǒng)或服務(wù)在災(zāi)難發(fā)生后能夠更快地恢復(fù)正常運(yùn)行，即恢復(fù)時(shí)間目標(biāo)越短。同時(shí)，恢復(fù)能力等級(jí)越高，也意味著系統(tǒng)或服務(wù)在災(zāi)難發(fā)生前能夠保持更近的恢復(fù)點(diǎn)，即恢復(fù)點(diǎn)目標(biāo)越近。因此，選項(xiàng)A“恢復(fù)能力等級(jí)越高，恢復(fù)時(shí)間目標(biāo)越短，恢復(fù)點(diǎn)目標(biāo)越近”是正確的說法。38.軟件企業(yè)自行開發(fā)了用于管理其軟件產(chǎn)品的配置管理工具，以下說法錯(cuò)誤的是（）。A.該企業(yè)用于向顧客交付的軟件產(chǎn)品的測(cè)試數(shù)據(jù)應(yīng)認(rèn)真加以選擇、保護(hù)和控制B.該企業(yè)的配置管理工具的測(cè)試數(shù)據(jù)應(yīng)認(rèn)真加以選擇、保護(hù)和控制C.該企業(yè)配置管理工具不是向顧客交付的成果，因此其測(cè)試數(shù)據(jù)不是需要保護(hù)的對(duì)象D.該企業(yè)配置管理庫中的配置項(xiàng)應(yīng)識(shí)別為信息安全相關(guān)資產(chǎn)答案：C解析：根據(jù)題目描述，軟件企業(yè)自行開發(fā)的配置管理工具是用于管理其軟件產(chǎn)品的。因此，該工具本身并不是向顧客交付的成果，但它是軟件產(chǎn)品開發(fā)和維護(hù)過程中不可或缺的一部分。雖然其測(cè)試數(shù)據(jù)不是直接交付給顧客的，但同樣需要認(rèn)真加以選擇、保護(hù)和控制，以確保軟件產(chǎn)品的質(zhì)量和穩(wěn)定性。因此，選項(xiàng)C的說法是錯(cuò)誤的。選項(xiàng)A提到該企業(yè)用于向顧客交付的軟件產(chǎn)品的測(cè)試數(shù)據(jù)應(yīng)認(rèn)真加以選擇、保護(hù)和控制，這是正確的，因?yàn)闇y(cè)試數(shù)據(jù)是評(píng)估軟件產(chǎn)品質(zhì)量的重要依據(jù)。選項(xiàng)B提到該企業(yè)的配置管理工具的測(cè)試數(shù)據(jù)應(yīng)認(rèn)真加以選擇、保護(hù)和控制，這也是正確的，因?yàn)榕渲霉芾砉ぞ叩姆€(wěn)定性和可靠性對(duì)于軟件產(chǎn)品的開發(fā)和維護(hù)至關(guān)重要。選項(xiàng)D提到該企業(yè)配置管理庫中的配置項(xiàng)應(yīng)識(shí)別為信息安全相關(guān)資產(chǎn)，這也是正確的，因?yàn)榕渲霉芾韼熘械呐渲庙?xiàng)可能包含敏感信息，需要得到適當(dāng)?shù)谋Ｗo(hù)。39.依據(jù)GB/T22080，信息的標(biāo)記應(yīng)表明（）。A.相關(guān)供應(yīng)商信息、日期、資產(chǎn)序列號(hào)。B.其敏感性和關(guān)鍵性的類別和等級(jí)。C.所屬部門和批準(zhǔn)人D.信息的性質(zhì)，如軟件、文檔。答案：B解析：依據(jù)GB/T22080，信息的標(biāo)記應(yīng)表明其敏感性和關(guān)鍵性的類別和等級(jí)。這是為了對(duì)信息進(jìn)行分類和管理，確保信息安全。選項(xiàng)A中的“相關(guān)供應(yīng)商信息、日期、資產(chǎn)序列號(hào)”以及選項(xiàng)C中的“所屬部門和批準(zhǔn)人”都與信息的敏感性和關(guān)鍵性類別無直接關(guān)聯(lián)；選項(xiàng)D中的“信息的性質(zhì)，如軟件、文檔”雖然描述了信息的性質(zhì)，但并未明確其敏感性和關(guān)鍵性。因此，正確答案為B。40.信息安全管理中，對(duì)于安全違規(guī)人員的正式紀(jì)律處理過程中必不可少的活動(dòng)是（）。A.警告與罰款B.就違規(guī)的詳情向所有人員通報(bào)C.評(píng)估違規(guī)對(duì)業(yè)務(wù)造成的影響D.責(zé)成違規(guī)人員修復(fù)造成的損害答案：C解析：在信息安全管理中，對(duì)于安全違規(guī)人員的正式紀(jì)律處理過程中，評(píng)估違規(guī)對(duì)業(yè)務(wù)造成的影響是必不可少的活動(dòng)。這是因?yàn)樵u(píng)估違規(guī)對(duì)業(yè)務(wù)造成的影響是確定違規(guī)行為的嚴(yán)重程度、確定適當(dāng)?shù)奶幜P措施以及確保組織從違規(guī)中恢復(fù)的關(guān)鍵步驟。其他選項(xiàng)如警告與罰款、就違規(guī)的詳情向所有人員通報(bào)和責(zé)成違規(guī)人員修復(fù)造成的損害雖然也是處理違規(guī)的一部分，但不是必不可少的活動(dòng)。因此，正確答案是C。多選題（共5題，共5分）41.為了實(shí)現(xiàn)在網(wǎng)絡(luò)上自動(dòng)標(biāo)識(shí)設(shè)備，以下做法正確的是（）。A.啟用DHCP動(dòng)態(tài)分配IP地址功能B.為網(wǎng)絡(luò)設(shè)備分配固定IP地址C.將每一臺(tái)計(jì)算機(jī)MAC與一個(gè)IP地址綁定D.采取有效措施禁止修改MAC版權(quán)答案：BCD解析：在網(wǎng)絡(luò)環(huán)境中，標(biāo)識(shí)設(shè)備通常涉及到IP地址和MAC地址的管理。A選項(xiàng)提到“啟用DHCP動(dòng)態(tài)分配IP地址功能”。DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）是一種網(wǎng)絡(luò)協(xié)議，它允許服務(wù)器動(dòng)態(tài)地為網(wǎng)絡(luò)上的計(jì)算機(jī)分配IP地址和其他相關(guān)配置參數(shù)。通過啟用DHCP，可以自動(dòng)為設(shè)備分配IP地址，從而簡(jiǎn)化網(wǎng)絡(luò)配置。B選項(xiàng)提到“為網(wǎng)絡(luò)設(shè)備分配固定IP地址”。在某些情況下，為了管理和維護(hù)的方便，可能會(huì)為網(wǎng)絡(luò)設(shè)備分配固定的IP地址。這樣，設(shè)備在網(wǎng)絡(luò)中的位置是確定的，方便進(jìn)行故障排查和管理。C選項(xiàng)提到“將每一臺(tái)計(jì)算機(jī)MAC與一個(gè)IP地址綁定”。MAC地址是網(wǎng)絡(luò)設(shè)備的物理地址，用于在網(wǎng)絡(luò)中唯一標(biāo)識(shí)設(shè)備。通過將MAC地址與IP地址綁定，可以確保設(shè)備在網(wǎng)絡(luò)中的唯一性，防止IP地址沖突和未經(jīng)授權(quán)的設(shè)備接入。D選項(xiàng)提到“采取有效措施禁止修改MAC版權(quán)”。這一選項(xiàng)可能存在表述上的不準(zhǔn)確。MAC地址是網(wǎng)絡(luò)設(shè)備的一部分，用于標(biāo)識(shí)設(shè)備，而不是版權(quán)信息。然而，為了防止網(wǎng)絡(luò)中的設(shè)備被篡改或仿冒，可以采取措施來防止修改MAC地址。綜上所述，為了實(shí)現(xiàn)在網(wǎng)絡(luò)上自動(dòng)標(biāo)識(shí)設(shè)備，應(yīng)該采取的做法包括：?jiǎn)⒂肈HCP動(dòng)態(tài)分配IP地址功能、為網(wǎng)絡(luò)設(shè)備分配固定IP地址、將每一臺(tái)計(jì)算機(jī)MAC與一個(gè)IP地址綁定，以及采取有效措施防止修改MAC地址。因此，正確答案為B、C、D。42.信息安全管理體系審核的范圍即（）。A.組織的全部經(jīng)營(yíng)管理B.組織的全部信息安全管理范圍C.組織根據(jù)其業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等藥面的特性確定的信息安全管理體系范圍D.組織承諾按照GB/T20880標(biāo)準(zhǔn)要求建立、實(shí)施和保持信息安全管理體系的范圍答案：CD解析：根據(jù)題目中的選項(xiàng)，信息安全管理體系審核的范圍需要考慮到組織的多個(gè)方面，包括業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等。這些方面都是確定信息安全管理體系范圍時(shí)需要考慮的重要因素。同時(shí)，組織還需要承諾按照GB/T20880標(biāo)準(zhǔn)要求建立、實(shí)施和保持信息安全管理體系，這也是審核范圍的一部分。因此，選項(xiàng)C和D都符合題目要求，是正確答案。選項(xiàng)A和B都沒有涵蓋到信息安全管理體系審核的全部范圍，因此是錯(cuò)誤的。43.為防止業(yè)務(wù)中斷，保持關(guān)鍵業(yè)務(wù)過程兔受信息系統(tǒng)失誤或?yàn)?zāi)難的影響，應(yīng)（）。A.定義恢復(fù)的優(yōu)先順序B.定義恢復(fù)時(shí)間指標(biāo)指標(biāo)C.按事件管理流程進(jìn)行處置D.心針閑亞務(wù)中斷進(jìn)行風(fēng)險(xiǎn)評(píng)估。答案：ABD解析：為了保障關(guān)鍵業(yè)務(wù)過程在信息系統(tǒng)失誤或?yàn)?zāi)難發(fā)生時(shí)能夠持續(xù)運(yùn)行，我們需要采取一系列措施。首先，我們需要明確恢復(fù)的優(yōu)先順序，即確定在發(fā)生問題時(shí)，哪些業(yè)務(wù)過程需要優(yōu)先恢復(fù)，以確保最重要的業(yè)務(wù)功能能夠盡快恢復(fù)正常。其次，我們需要定義恢復(fù)時(shí)間指標(biāo)，即設(shè)定每個(gè)業(yè)務(wù)過程在發(fā)生問題時(shí)需要在多長(zhǎng)時(shí)間內(nèi)恢復(fù)，以確保業(yè)務(wù)的中斷時(shí)間最小化。最后，針對(duì)業(yè)務(wù)中斷進(jìn)行風(fēng)險(xiǎn)評(píng)估也是非常重要的，通過評(píng)估可能的風(fēng)險(xiǎn)和影響，我們可以提前制定應(yīng)對(duì)措施，減少業(yè)務(wù)中斷帶來的損失。因此，選項(xiàng)A、B和D都是必要的措施，而選項(xiàng)C“按事件管理流程進(jìn)行處置”雖然在實(shí)際操作中可能也是必要的，但在題目所給的選項(xiàng)中，它并不是為了防止業(yè)務(wù)中斷和保持關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)失誤或?yàn)?zāi)難的影響所必須采取的措施。所以，正確答案是A、B和D。44.訪問信息系統(tǒng)的用戶注冊(cè)的管理是（）。A.對(duì)用戶訪問信息系統(tǒng)和極務(wù)的授權(quán)的管理B.對(duì)用戶予以注冊(cè)時(shí)須同時(shí)考慮與訪問控制策略的一致性C.當(dāng)ID資源充實(shí)時(shí)可允許用戶使用多個(gè)IDD.用戶在組織內(nèi)變換工作崗位時(shí)不必重新評(píng)審其所用ID的訪問權(quán)答案：AB解析：在訪問信息系統(tǒng)的用戶注冊(cè)管理中，我們首先要確保對(duì)用戶訪問信息系統(tǒng)和服務(wù)的授權(quán)進(jìn)行管理，即選項(xiàng)A。此外，對(duì)用戶予以注冊(cè)時(shí)，我們還需要考慮與訪問控制策略的一致性，即選項(xiàng)B。選項(xiàng)C：“當(dāng)ID資源充實(shí)時(shí)可允許用戶使用多個(gè)ID”并不符合用戶注冊(cè)管理的原則，因?yàn)槎鄠€(gè)ID的使用可能會(huì)帶來安全風(fēng)險(xiǎn)和管理混亂。選項(xiàng)D：“用戶在組織內(nèi)變換工作崗位時(shí)不必重新評(píng)審其所用ID的訪問權(quán)”也不符合用戶注冊(cè)管理的原則，因?yàn)楣ぷ鲘徫坏淖兓赡芤馕吨L問權(quán)限的變化，因此需要進(jìn)行重新評(píng)審。45.關(guān)于IT系統(tǒng)審計(jì)，以下說法不正確的是（）。A.IT系統(tǒng)審計(jì)是發(fā)現(xiàn)系統(tǒng)脆弱性的有效手段，不可刪減B.組織經(jīng)評(píng)估認(rèn)為IT系統(tǒng)審計(jì)的風(fēng)險(xiǎn)不可接受時(shí)，可以刪減C.組織認(rèn)為IT系統(tǒng)審計(jì)成本太高時(shí)，可以刪減D.組織自己不具備實(shí)施IT系統(tǒng)審計(jì)的能力時(shí)，可以刪減答案：ACD解析：IT系統(tǒng)審計(jì)是評(píng)估系統(tǒng)安全性的重要手段，旨在發(fā)現(xiàn)系統(tǒng)的脆弱性并進(jìn)行改進(jìn)。但并不意味著它是不可刪減的。根據(jù)給出的選項(xiàng)：A選項(xiàng)表示“IT系統(tǒng)審計(jì)是發(fā)現(xiàn)系統(tǒng)脆弱性的有效手段，不可刪減”。這是不正確的，因?yàn)榻M織可以根據(jù)自身情況、風(fēng)險(xiǎn)評(píng)估和成本效益分析來決定是否進(jìn)行IT系統(tǒng)審計(jì)。B選項(xiàng)表示“組織經(jīng)評(píng)估認(rèn)為IT系統(tǒng)審計(jì)的風(fēng)險(xiǎn)不可接受時(shí)，可以刪減”。這是正確的，因?yàn)榻M織有權(quán)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果來決定是否進(jìn)行IT系統(tǒng)審計(jì)。C選項(xiàng)表示“組織認(rèn)為IT系統(tǒng)審計(jì)成本太高時(shí)，可以刪減”。這也是正確的，因?yàn)槌杀拘б娣治鍪菦Q定是否進(jìn)行IT系統(tǒng)審計(jì)的一個(gè)重要因素。D選項(xiàng)表示“組織自己不具備實(shí)施IT系統(tǒng)審計(jì)的能力時(shí)，可以刪減”。這也是正確的，如果組織自身沒有能力進(jìn)行IT系統(tǒng)審計(jì)，那么可以選擇外包或?qū)ふ覍I(yè)的第三方來進(jìn)行審計(jì)。綜上所述，A、C、D選項(xiàng)的說法都是不正確的。主觀題（共7題，共7分）46.審核員在A公司審核時(shí)，發(fā)現(xiàn)該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負(fù)責(zé)人解釋說，因保安負(fù)責(zé)公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查所有區(qū)域，所以只能給保安全權(quán)限門卡。審核員對(duì)此解釋表示認(rèn)同。如果你是審核員，你將如何做？參考答案應(yīng)根據(jù)標(biāo)準(zhǔn)條款A(yù)11.1.2物理入口控制條款審核以下內(nèi)容：（1）是否有形成文件的物理入口進(jìn)出控制策略。并且包含針對(duì)公司每一部分物理區(qū)域的訪問控制策略的內(nèi)容？（2）訪問控制策略是否基于業(yè)務(wù)和訪問的安全要素進(jìn)行過評(píng)審？（3）核實(shí)保安角色是否在訪問控制策略中有明確規(guī)定？（4）保安的進(jìn)出是否都在進(jìn)入和離開時(shí)進(jìn)行了日期記錄。（5）對(duì)進(jìn)出登記是否有保護(hù)機(jī)制，確保未發(fā)生過丟失、損毀情況。（6）應(yīng)現(xiàn)場(chǎng)詢問保安負(fù)、對(duì)外來人員或相關(guān)人員關(guān)注事項(xiàng)，是否有配帶適宜的標(biāo)識(shí)，宜伴有本公司人員。（7）應(yīng)現(xiàn)場(chǎng)詢問保安員，對(duì)安全區(qū)域或保密信息處理設(shè)施如何巡查、控制。在不必要的時(shí)候，任何外來人員不得進(jìn)入或訪間。（8）應(yīng)現(xiàn)場(chǎng)詢問保安員，是否發(fā)生過信息安全事件，是否與物理區(qū)域非授權(quán)進(jìn)入有關(guān)？如有關(guān)，繼續(xù)追蹤處置過程，是否與事件管理流程相一致。（9）核實(shí)如何對(duì)保安進(jìn)行背景調(diào)查，是否明確了其安全角色和職責(zé)？解析：在審核員發(fā)現(xiàn)A公司從保安公司聘用的保安的門卡可通行公司所有的門禁時(shí)，審核員應(yīng)首先根據(jù)標(biāo)準(zhǔn)條款A(yù)11.1.2物理入口控制條款進(jìn)行審核。審核員需要核實(shí)公司是否制定了形成文件的物理入口進(jìn)出控制策略，并且該策略是否包含對(duì)公司所有物理區(qū)域的訪問控制內(nèi)容。此外，審核員還需要核實(shí)公司的訪問控制策略是否基于業(yè)務(wù)和訪問的安全要素進(jìn)行過評(píng)審，以及保安角色是否在訪問控制策略中有明確規(guī)定。在審核過程中，審核員還需要關(guān)注保安的進(jìn)出記錄，包括他們進(jìn)入和離開的時(shí)間，以及這些記錄是否得到了妥善保護(hù)，未發(fā)生過丟失、損毀情況。此外，審核員還需要現(xiàn)場(chǎng)詢問保安員，了解他們是否對(duì)安全區(qū)域或保密信息處理設(shè)施進(jìn)行了巡查和控制，以及他們是否對(duì)外來人員或相關(guān)人員進(jìn)行了關(guān)注，并要求他們佩戴適宜的標(biāo)識(shí)。審核員還需要關(guān)注公司是否對(duì)保安進(jìn)行了背景調(diào)查，并明確了他們的安全角色和職責(zé)。這是確保保安能夠勝任其工作的重要步驟，也是保護(hù)公司信息安全的關(guān)鍵環(huán)節(jié)。最后，審核員需要現(xiàn)場(chǎng)詢問保安員，了解他們是否遇到過信息安全事件，這些事件是否與物理區(qū)域非授權(quán)進(jìn)入有關(guān)。如果有關(guān)，審核員需要繼續(xù)追蹤處置過程，確保其與事件管理流程相一致。這是確保公司信息安全的重要環(huán)節(jié)，也是審核員需要關(guān)注的重要問題。47.審核員在質(zhì)量保證部查看了去年信息安全管理體系中開出的不符合項(xiàng)共35項(xiàng)其中有30項(xiàng)已經(jīng)采取了糾正措施，并且有糾正措施的驗(yàn)證記錄，但有5項(xiàng)沒有采取糾正措施，審核員據(jù)此開了不符合項(xiàng)，并結(jié)束了此項(xiàng)審核。這樣的審核是否符合要求？為什么？如果請(qǐng)你去審核，你會(huì)怎么做？參考答案不符合要求。審核不夠充分，沒有繼續(xù)跟蹤審核整個(gè)內(nèi)審過程的有效性，應(yīng)作如下審核：（1）查組織內(nèi)審程序，組織如何規(guī)定對(duì)未整改的不符合項(xiàng)的處理步驟?，F(xiàn)場(chǎng)詢問相關(guān)人員5項(xiàng)不符合未整改的原因。（2）詢問相關(guān)人員或查閱相關(guān)資料（不符合項(xiàng)整改計(jì)劃或驗(yàn)證記錄），了解已整改的30項(xiàng)的糾正措施實(shí)施情況，分析對(duì)不符合的原因確定是否充分，所實(shí)施的糾正錯(cuò)施是否有效：（3）所采取的糾正措施是否與相關(guān)影響相適宜，如對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)影響，風(fēng)險(xiǎn)控制策略和時(shí)間點(diǎn)目標(biāo)要求，與組織的資源能力相適應(yīng)。（4）組織是否評(píng)估所采取的糾正措施帶來的風(fēng)險(xiǎn)，如果該風(fēng)險(xiǎn)可接受，則采取糾正措施，反之可采取適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施后再次評(píng)估殘余風(fēng)險(xiǎn)，再整改。綜上，如果所有糾正措施符合風(fēng)險(xiǎn)要求。與相關(guān)影響相適宜，則糾正措施適宜。解析：該題目要求判斷審核員在信息安全管理體系審核中的操作是否符合要求，并給出如果不符合的話應(yīng)該如何進(jìn)行審核。首先，審核員在質(zhì)量保證部查看了去年信息安全管理體系中開出的不符合項(xiàng)，并發(fā)現(xiàn)有30項(xiàng)已經(jīng)采取了糾正措施且有驗(yàn)證記錄，但有5項(xiàng)沒有采取糾正措施。因此，審核員開了不符合項(xiàng)并結(jié)束了審核。然而，這種審核方式是不符合要求的。審核員沒有繼續(xù)跟蹤審核整個(gè)內(nèi)審過程的有效性，只是簡(jiǎn)單地檢查了不符合項(xiàng)的處理情況，而沒有深入分析整個(gè)內(nèi)審過程的有效性和充分性。因此，如果我去審核，我會(huì)按照以下步驟進(jìn)行：（1）查組織內(nèi)審程序，了解組織如何規(guī)定對(duì)未整改的不符合項(xiàng)的處理步驟。同時(shí)，現(xiàn)場(chǎng)詢問相關(guān)人員5項(xiàng)不符合未整改的原因，以了解具體情況。（2）詢問相關(guān)人員或查閱相關(guān)資料（不符合項(xiàng)整改計(jì)劃或驗(yàn)證記錄），了解已整改的30項(xiàng)的糾正措施實(shí)施情況。分析對(duì)不符合的原因是否充分，所實(shí)施的糾正措施是否有效。（3）分析所采取的糾正措施是否與相關(guān)影響相適宜，如對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)影響，風(fēng)險(xiǎn)控制策略和時(shí)間點(diǎn)目標(biāo)要求，與組織的資源能力是否相適應(yīng)。（4）評(píng)估所采取的糾正措施帶來的風(fēng)險(xiǎn)，如果該風(fēng)險(xiǎn)可接受，則采取糾正措施；反之，可采取適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施后再次評(píng)估殘余風(fēng)險(xiǎn)，再整改。最后，如果所有糾正措施符合風(fēng)險(xiǎn)要求，與相關(guān)影響相適宜，則糾正措施適宜。這樣可以確保內(nèi)審過程的有效性和充分性，從而確保信息安全管理體系的有效性和可靠性。48.在某軟件開發(fā)企業(yè)，質(zhì)保證部負(fù)責(zé)對(duì)軟件開發(fā)成果物進(jìn)行測(cè)試，該部門測(cè)試人員使用名為“Bugfree”的系統(tǒng)記錄測(cè)試發(fā)現(xiàn)的問題，然后由開發(fā)人員針對(duì)測(cè)試人員提出的問題，確定軟件修改方案，修改后重新提交測(cè)試，通過后由測(cè)試人員給出“最終測(cè)試通過”的結(jié)論。軟件開發(fā)人員的修改方案以及修改后重新測(cè)試的信息也分別在該“Bugfree”系統(tǒng)中予以記錄。審核員請(qǐng)開發(fā)人員演示上述過程時(shí)發(fā)現(xiàn)，開發(fā)人員也可以登錄測(cè)試問題記錄的頁面，且能夠修改測(cè)試記錄信息。當(dāng)審核員問為什么會(huì)這樣，該開發(fā)人員回答說，有時(shí)候開發(fā)人員與測(cè)試人員就軟件問題的判定有爭(zhēng)議，因此允許開發(fā)人員修改測(cè)試問題記錄，否則會(huì)影響開發(fā)人員的績(jī)效考核。參考答案不符合條款：不符合GB/T22080-2016中A9.4.1：應(yīng)按照訪問控制策略限制對(duì)信息和應(yīng)用系統(tǒng)功能的訪問。不符合事實(shí)：查質(zhì)保部對(duì)軟件開發(fā)成果物測(cè)試，開發(fā)人員可以登錄測(cè)試問題記錄的頁面，且能夠修改測(cè)試記錄信息。解析：在軟件開發(fā)過程中，測(cè)試人員負(fù)責(zé)測(cè)試軟件成果物，并記錄下測(cè)試過程中發(fā)現(xiàn)的問題。這些測(cè)試記錄應(yīng)該是客觀的、不可修改的，以確保測(cè)試結(jié)果的準(zhǔn)確性和公正性。然而，在這個(gè)案例中，開發(fā)人員能夠登錄到測(cè)試問題記錄的頁面，并且還能夠修改這些記錄，這就違反了訪問控制策略。GB/T22080-2016中A9.4.1條款明確指出，應(yīng)該按照訪問控制策略限制對(duì)信息和應(yīng)用系統(tǒng)功能的訪問，以確保信息和應(yīng)用系統(tǒng)的安全性和完整性。因此，這種情況是不符合標(biāo)準(zhǔn)的。49.創(chuàng)新公司委托專業(yè)互聯(lián)網(wǎng)運(yùn)營(yíng)商提供網(wǎng)絡(luò)運(yùn)營(yíng)，供應(yīng)商為了提升服務(wù)級(jí)別，采用了新技術(shù)，也通知了創(chuàng)新公司，但創(chuàng)新認(rèn)為新技術(shù)肯定更好，就沒采取任何措施，后來因?yàn)檐浖患嫒菰斐蓴嗑W(wǎng)了。參考答案不符合條款：GB/T22080-2016中A15.2.2：供應(yīng)商服務(wù)的變更管理：應(yīng)管理供應(yīng)商所提供服務(wù)的變更，包括維護(hù)和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制，管理應(yīng)考慮變更涉及到的業(yè)務(wù)信息、系統(tǒng)和過程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估。不符合事實(shí)：創(chuàng)新公司的供應(yīng)商采用了新技術(shù)，但創(chuàng)新公司沒有采取任何行動(dòng)，后因該技術(shù)兼容問題，導(dǎo)致了業(yè)務(wù)中斷。解析：此題主要考察的是對(duì)GB/T22080-2016中A15.2.2條款的理解和應(yīng)用。該條款明確指出，供應(yīng)商服務(wù)的變更管理應(yīng)包括維護(hù)和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制，同時(shí)應(yīng)考慮變更涉及到的業(yè)務(wù)信息、系統(tǒng)和過程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估。在題目中，創(chuàng)新公司的供應(yīng)商