本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2017年03月基礎(chǔ)知識(shí)（改考前）答案及解析單選題（共79題，共79分）1.在我國(guó)《信息安全等級(jí)保護(hù)管理辦法》中將信息系統(tǒng)的安全等級(jí)分為（）級(jí)。A.3B.4C.5D.6答案：C解析：《信息安全等級(jí)保護(hù)管理辦法》將信息系統(tǒng)的安全等級(jí)分為5級(jí)，從第一級(jí)到第五級(jí)，安全保護(hù)能力逐步增強(qiáng)。因此，正確答案為C。2.可信分算基須維護(hù)與可被外部主體直接或間接訪問(wèn)到的計(jì)算機(jī)信息系統(tǒng)資源相關(guān)的敏感標(biāo)記的等級(jí)是（）。A.二級(jí)、三級(jí)、四級(jí)B.三級(jí)、四級(jí)、五級(jí)C.四級(jí)、五級(jí)D.五級(jí)答案：C解析：可信分算基（EF）是一個(gè)抽象概念，通常與訪問(wèn)控制安全策略、數(shù)據(jù)保護(hù)和隱私管理等方面有關(guān)。它確保敏感標(biāo)記（例如數(shù)據(jù)級(jí)別或分類）的正確性、完整性和機(jī)密性，以防止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)?？尚欧炙慊婕暗矫舾袠?biāo)記的等級(jí)，這些等級(jí)與可被外部主體直接或間接訪問(wèn)到的計(jì)算機(jī)信息系統(tǒng)資源相關(guān)。通常，敏感標(biāo)記的等級(jí)有四級(jí)，而五級(jí)不是常見(jiàn)的等級(jí)劃分。因此，正確答案是C，即四級(jí)。3.作為信息安全治理的成果，戰(zhàn)略方針提供了（）。A.企業(yè)所需的安全要求B.遵從最佳實(shí)務(wù)的安全基準(zhǔn)C.日?；⒅贫然慕鉀Q方案D.風(fēng)險(xiǎn)暴露的理解答案：A解析：信息安全治理戰(zhàn)略方針是為了明確企業(yè)所需的安全要求，從而確保信息安全得到有效保障。最佳實(shí)務(wù)的安全基準(zhǔn)可以作為參考，但不一定適用于所有企業(yè)；日?；?、制度化的解決方案是實(shí)施戰(zhàn)略方針的具體手段；風(fēng)險(xiǎn)暴露的理解是信息安全治理中的一個(gè)重要環(huán)節(jié)，但并非戰(zhàn)略方針的直接成果。因此，作為信息安全治理的成果，戰(zhàn)略方針提供了企業(yè)所需的安全要求，即選項(xiàng)A。4.信息安全管理體系審核是用來(lái)確定（）。A.組織的管理效率B.產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C.信息安全管理體系滿足審核準(zhǔn)則的程度D.信息安全手冊(cè)與標(biāo)準(zhǔn)的符合程度答案：C解析：信息安全管理體系審核是用來(lái)確定信息安全管理體系滿足審核準(zhǔn)則的程度。審核準(zhǔn)則通常包括信息安全管理體系的標(biāo)準(zhǔn)、規(guī)范、政策、程序等，審核員會(huì)依據(jù)這些準(zhǔn)則來(lái)評(píng)估組織的信息安全管理體系是否有效實(shí)施和持續(xù)改進(jìn)，以及是否符合審核準(zhǔn)則的要求。因此，正確答案是C，即信息安全管理體系滿足審核準(zhǔn)則的程度。其他選項(xiàng)如組織的管理效率、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度、信息安全手冊(cè)與標(biāo)準(zhǔn)的符合程度等，都不是信息安全管理體系審核的主要目的。5.信息安全控制措施是指（）。A.管理信息安全風(fēng)險(xiǎn)的一種方法B.規(guī)程、指南C.信息安全技術(shù)D.以上都不對(duì)答案：A解析：信息安全控制措施是指管理信息安全風(fēng)險(xiǎn)的一種方法。信息安全控制措施是為了降低信息安全風(fēng)險(xiǎn)而采取的一系列措施，包括技術(shù)、管理和組織措施等，其主要目的是保護(hù)信息系統(tǒng)和信息的機(jī)密性、完整性和可用性。因此，信息安全控制措施屬于管理信息安全風(fēng)險(xiǎn)的一種方法。所以，正確選項(xiàng)為A。6.以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）。A.認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全相關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B.認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來(lái)制定C.監(jiān)督審核可以與其他管理體系的審核相結(jié)合D.認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的使用進(jìn)行監(jiān)督答案：B解析：本題考查認(rèn)證機(jī)構(gòu)的監(jiān)督要求。A項(xiàng)正確，認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全相關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性，這符合認(rèn)證機(jī)構(gòu)監(jiān)督的實(shí)際要求。B項(xiàng)錯(cuò)誤，認(rèn)證機(jī)構(gòu)的監(jiān)督方案是由認(rèn)證機(jī)構(gòu)根據(jù)客戶的實(shí)際情況來(lái)制定，而不是由認(rèn)證機(jī)構(gòu)和客戶共同制定?？蛻粼诒O(jiān)督過(guò)程中提供相關(guān)信息和配合，但監(jiān)督方案的制定主要由認(rèn)證機(jī)構(gòu)負(fù)責(zé)。C項(xiàng)正確，監(jiān)督審核可以與其他管理體系的審核相結(jié)合，這可以提高監(jiān)督的效率和效果。D項(xiàng)正確，認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的使用進(jìn)行監(jiān)督，確?？蛻粼讷@得認(rèn)證后能夠正確使用認(rèn)證證書(shū)，避免濫用或誤用。因此，選項(xiàng)B的表述錯(cuò)誤，所以答案為B。7.審核原則要求（）是審核的公正性和審核結(jié)論客觀性的基礎(chǔ)。A.系統(tǒng)性B.嚴(yán)格性C.獨(dú)立性D.可追蹤性答案：C解析：審核的公正性和審核結(jié)論的客觀性依賴于審核過(guò)程的獨(dú)立性。獨(dú)立性意味著審核過(guò)程不受任何外部干擾，審核人員能夠客觀、公正地評(píng)估被審核對(duì)象。因此，獨(dú)立性是審核公正性和客觀性的基礎(chǔ)。選項(xiàng)A“系統(tǒng)性”指的是審核過(guò)程需要按照一定的系統(tǒng)或結(jié)構(gòu)進(jìn)行，雖然對(duì)于審核過(guò)程很重要，但并不直接決定審核的公正性和客觀性。選項(xiàng)B“嚴(yán)格性”指的是審核過(guò)程需要嚴(yán)謹(jǐn)、細(xì)致，確保審核的全面性和準(zhǔn)確性，但同樣不直接決定審核的公正性和客觀性。選項(xiàng)D“可追蹤性”指的是審核過(guò)程需要能夠追溯，確保審核的透明度和責(zé)任性，雖然對(duì)于審核過(guò)程也很重要，但并不直接決定審核的公正性和客觀性。因此，正確答案是C“獨(dú)立性”。8.關(guān)于信息安全產(chǎn)品的使用，以下說(shuō)法正確的是（）。A.對(duì)于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件應(yīng)具有我國(guó)自主知識(shí)產(chǎn)權(quán)B.對(duì)于三級(jí)以上信息系統(tǒng)，已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)C.對(duì)于四級(jí)以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術(shù)人員應(yīng)無(wú)犯罪記錄D.對(duì)于四級(jí)以上信息系統(tǒng)，信息安全產(chǎn)品研制單位應(yīng)聲明沒(méi)有故意留有或設(shè)置漏洞答案：B解析：根據(jù)題目中的描述，我們逐項(xiàng)進(jìn)行分析：A選項(xiàng)提到“對(duì)于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件應(yīng)具有我國(guó)自主知識(shí)產(chǎn)權(quán)”。然而，題目中并沒(méi)有明確指出這是針對(duì)所有信息系統(tǒng)的要求，因此A選項(xiàng)的表述過(guò)于絕對(duì)，不正確。B選項(xiàng)表示“對(duì)于三級(jí)以上信息系統(tǒng)，已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)”。這與題目中的描述是一致的，所以B選項(xiàng)是正確的。C選項(xiàng)說(shuō)“對(duì)于四級(jí)以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術(shù)人員應(yīng)無(wú)犯罪記錄”。然而，題目中并沒(méi)有明確提到四級(jí)以上信息系統(tǒng)對(duì)于信息安全產(chǎn)品研制人員的具體要求，因此C選項(xiàng)不正確。D選項(xiàng)提到“對(duì)于四級(jí)以上信息系統(tǒng)，信息安全產(chǎn)品研制單位應(yīng)聲明沒(méi)有故意留有或設(shè)置漏洞”。同樣，題目中也沒(méi)有明確提到四級(jí)以上信息系統(tǒng)對(duì)于信息安全產(chǎn)品研制單位的具體要求，因此D選項(xiàng)也不正確。綜上所述，只有B選項(xiàng)與題目中的描述一致，因此正確答案是B。9.下列信息系統(tǒng)安全說(shuō)法正確的是（）。A.加固所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備就可以保證網(wǎng)絡(luò)的安全B.只要資金允許就可以實(shí)現(xiàn)絕對(duì)的安全C.斷開(kāi)所有的服務(wù)可以保證信息系統(tǒng)的安全D.信息系統(tǒng)安全狀態(tài)會(huì)隨著業(yè)務(wù)的變化而變化，因此網(wǎng)絡(luò)安全狀態(tài)需要根據(jù)業(yè)務(wù)而調(diào)整相應(yīng)的網(wǎng)絡(luò)安全策略答案：D解析：加固所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備只是網(wǎng)絡(luò)安全的一部分，不能保證網(wǎng)絡(luò)的安全。資金允許也不能實(shí)現(xiàn)絕對(duì)的安全，因?yàn)榘踩且粋€(gè)持續(xù)的過(guò)程，需要不斷更新和改進(jìn)。斷開(kāi)所有的服務(wù)不能保證信息系統(tǒng)的安全，因?yàn)楹芏喾?wù)是必需的。信息系統(tǒng)安全狀態(tài)會(huì)隨著業(yè)務(wù)的變化而變化，因此網(wǎng)絡(luò)安全狀態(tài)需要根據(jù)業(yè)務(wù)而調(diào)整相應(yīng)的網(wǎng)絡(luò)安全策略，這是正確的說(shuō)法。因此，選項(xiàng)D是正確答案。11.在現(xiàn)場(chǎng)審核時(shí)，審核組有權(quán)自行決定變更的事項(xiàng)是（）。A.審核人日B.審核的業(yè)務(wù)范圍C.審核日期D.審核組任務(wù)調(diào)整答案：D解析：在現(xiàn)場(chǎng)審核時(shí)，審核組的任務(wù)和職責(zé)是明確的，他們不能隨意變更審核的范圍、日期或人日。然而，根據(jù)審核的實(shí)際情況，審核組有權(quán)根據(jù)需要進(jìn)行一些調(diào)整，以適應(yīng)現(xiàn)場(chǎng)審核的需要。這些調(diào)整可能包括審核組內(nèi)部的分工、任務(wù)分配等，但不涉及審核的核心要素，如審核范圍、日期和人日。因此，正確答案是D，即審核組任務(wù)調(diào)整。12.訪問(wèn)控制是為了保護(hù)信息的（）。A.完整性和機(jī)密性B.可用性和機(jī)密性C.可用性和完整性D.以上都是答案：A解析：訪問(wèn)控制是信息安全領(lǐng)域中的一個(gè)重要概念，它的主要目的是保護(hù)信息的完整性和機(jī)密性。完整性指的是信息在傳輸或存儲(chǔ)過(guò)程中不被篡改或損壞，而機(jī)密性則是指信息只能被授權(quán)的人員訪問(wèn)。因此，選項(xiàng)A“完整性和機(jī)密性”是正確的答案。選項(xiàng)B“可用性和機(jī)密性”只涉及到了可用性，沒(méi)有包括完整性；選項(xiàng)C“可用性和完整性”同樣沒(méi)有涵蓋機(jī)密性；選項(xiàng)D“以上都是”則包含了所有選項(xiàng)，但訪問(wèn)控制的核心是保護(hù)信息的完整性和機(jī)密性，而不是所有選項(xiàng)都包括。因此，正確答案是A。13.審核證據(jù)是指（）。A.與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B.在審核過(guò)程中收集到的所有記錄、事實(shí)陳述或其他信息C.一組方針、程序或要求D.以上都不對(duì)答案：A解析：審核證據(jù)是指與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息。審核證據(jù)是審核過(guò)程中的重要依據(jù)，用于支持審核發(fā)現(xiàn)和審核結(jié)論。因此，選項(xiàng)A“與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息”是正確的答案。選項(xiàng)B“在審核過(guò)程中收集到的所有記錄、事實(shí)陳述或其他信息”過(guò)于寬泛，沒(méi)有強(qiáng)調(diào)與審核準(zhǔn)則的相關(guān)性；選項(xiàng)C“一組方針、程序或要求”與審核證據(jù)的定義不符；選項(xiàng)D“以上都不對(duì)”顯然是不正確的。14.許多計(jì)算機(jī)系統(tǒng)為診斷和服務(wù)支持的目的提供一些“維護(hù)帳號(hào)”給系統(tǒng)帶來(lái)的脆弱性，下面哪一種安全技術(shù)最不被優(yōu)先考慮使用（）。A.回叫確認(rèn)B.通訊加密C.智能令牌卡D.口令與服務(wù)名答案：D解析：在計(jì)算機(jī)系統(tǒng)中，為診斷和服務(wù)支持的目的提供“維護(hù)帳號(hào)”可能引入脆弱性。在這種情況下，安全性是一個(gè)關(guān)鍵因素。對(duì)于給定的選項(xiàng)進(jìn)行分析：A.回叫確認(rèn)（CallbackConfirmation）：這是一種安全措施，通過(guò)用戶進(jìn)行驗(yàn)證以確保他們真的是授權(quán)用戶。它可以防止未授權(quán)用戶假冒授權(quán)用戶進(jìn)行操作。B.通訊加密（CommunicationEncryption）：通訊加密能夠保護(hù)數(shù)據(jù)在傳輸過(guò)程中的安全，防止數(shù)據(jù)被截獲或篡改。C.智能令牌卡（SmartTokenCard）：智能令牌卡是一種物理安全設(shè)備，通常包含加密芯片，用于生成和驗(yàn)證用戶的身份。D.口令與服務(wù)名（PasswordandServiceName）：口令和服務(wù)名是最基本的身份驗(yàn)證方式。然而，如果“維護(hù)帳號(hào)”的口令和服務(wù)名被泄露，攻擊者可能能夠輕易地進(jìn)行訪問(wèn)。此外，僅僅依賴口令和服務(wù)名進(jìn)行身份驗(yàn)證可能不足以提供足夠的安全性?？紤]到“維護(hù)帳號(hào)”的潛在脆弱性，最不被優(yōu)先考慮的安全技術(shù)是D選項(xiàng)，即口令與服務(wù)名。因?yàn)榭诹詈头?wù)名容易被猜測(cè)或破解，而且它們不能提供足夠的安全性來(lái)防止未授權(quán)訪問(wèn)。因此，正確答案是D。15.訪問(wèn)控制是指確定（）以及實(shí)施訪問(wèn)權(quán)限的過(guò)程。A.用戶權(quán)限B.可給予哪些主體訪問(wèn)權(quán)利C.可被用戶訪間的資源D.系統(tǒng)是杏遭受入侵答案：B解析：訪問(wèn)控制是指確定可給予哪些主體訪問(wèn)權(quán)利以及實(shí)施訪問(wèn)權(quán)限的過(guò)程。因此，選項(xiàng)B“可給予哪些主體訪問(wèn)權(quán)利”是正確的。其他選項(xiàng)A、C、D都與訪問(wèn)控制的定義不符。16.信息安全管理體系的要求類標(biāo)準(zhǔn)是（）。A.GB/T22080-2016B.GB/T22081-2008C.ISO/IEC27003D.ISO/IEC27004答案：A解析：信息安全管理體系的要求類標(biāo)準(zhǔn)是指為信息安全管理體系的建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)提供框架和指南的標(biāo)準(zhǔn)。根據(jù)給出的選項(xiàng)，A選項(xiàng)“GB/T22080-2016”是信息安全管理體系的要求類標(biāo)準(zhǔn)，而B(niǎo)選項(xiàng)“GB/T22081-2008”是信息安全管理體系的指南類標(biāo)準(zhǔn)，C選項(xiàng)“ISO/IEC27003”是信息安全管理體系的成熟度模型標(biāo)準(zhǔn)，D選項(xiàng)“ISO/IEC27004”是信息安全管理體系的度量標(biāo)準(zhǔn)。因此，正確答案為A。17.下列不屬于GB/T22080-2016/ISO/IEC27001:2013附錄A中A8資產(chǎn)管理規(guī)定的控制目標(biāo)的是（）。A.資產(chǎn)歸還B.資產(chǎn)分發(fā)C.資產(chǎn)的處理D.資產(chǎn)清單答案：B解析：根據(jù)題目中的信息，我們需要找出不屬于GB/T22080-2016/ISO/IEC27001:2013附錄A中A8資產(chǎn)管理規(guī)定的控制目標(biāo)。A.資產(chǎn)歸還：這通常涉及到確保資產(chǎn)在不再需要時(shí)能夠安全、完整地歸還給適當(dāng)?shù)膶?shí)體或部門(mén)。B.資產(chǎn)分發(fā)：雖然資產(chǎn)分發(fā)是資產(chǎn)管理的一部分，但它并不直接屬于A8資產(chǎn)管理規(guī)定的控制目標(biāo)。A8更側(cè)重于資產(chǎn)的處理、使用和保護(hù)，而不是分發(fā)。C.資產(chǎn)的處理：這涉及到對(duì)資產(chǎn)進(jìn)行維護(hù)、升級(jí)、報(bào)廢等處理，確保資產(chǎn)的有效利用和合規(guī)性。D.資產(chǎn)清單：資產(chǎn)清單是記錄和管理資產(chǎn)的重要工具，有助于確保資產(chǎn)的安全和完整性。從上述分析中可以看出，資產(chǎn)分發(fā)并不直接屬于A8資產(chǎn)管理規(guī)定的控制目標(biāo)，因此答案為B。18.關(guān)于可信計(jì)算基，以下說(shuō)法正確的是（）。A.指計(jì)算機(jī)系統(tǒng)中用作保護(hù)裝置的硬件、固件、軟件等的組合體B.指配置有可信賴安全防護(hù)硬件、軟件產(chǎn)品的計(jì)算機(jī)環(huán)境C.指通過(guò)了國(guó)家有關(guān)安全機(jī)構(gòu)認(rèn)證的計(jì)算機(jī)信息系統(tǒng)D.指通過(guò)了國(guó)家有關(guān)機(jī)構(gòu)評(píng)測(cè)的計(jì)算機(jī)基礎(chǔ)設(shè)施，含硬件、軟件的配置答案：A解析：可信計(jì)算基（TCB，TrustedComputingBase）是指計(jì)算機(jī)系統(tǒng)中用作保護(hù)裝置的硬件、固件、軟件等的組合體。它提供了一種機(jī)制，用于確保系統(tǒng)的機(jī)密性、完整性和可用性。因此，選項(xiàng)A“指計(jì)算機(jī)系統(tǒng)中用作保護(hù)裝置的硬件、固件、軟件等的組合體”是正確的。選項(xiàng)B、C和D都與可信計(jì)算基的定義不符。19.風(fēng)險(xiǎn)識(shí)別過(guò)程中需要識(shí)別的方面包括：資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、（）和（）。A.識(shí)別可能性和影響B(tài).識(shí)別脆弱性和識(shí)別后果C.識(shí)別脆弱性和可能性D.識(shí)別脆弱性和影響答案：B解析：風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)管理過(guò)程的第一步，旨在識(shí)別和評(píng)估潛在的風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)識(shí)別過(guò)程中，需要識(shí)別以下幾個(gè)主要方面：資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、識(shí)別脆弱性和識(shí)別后果。選項(xiàng)A的“可能性和影響”只涵蓋了“可能性”和“影響”兩個(gè)方面，選項(xiàng)C的“脆弱性和可能性”同樣只涵蓋了“脆弱性”和“可能性”兩個(gè)方面，選項(xiàng)D的“脆弱性和影響”只涵蓋了“脆弱性”和“影響”兩個(gè)方面，均不完整。因此，正確答案是B，即“識(shí)別脆弱性和識(shí)別后果”。20.下面哪一種日志文件有助于評(píng)估計(jì)算機(jī)安全事例的危害程度？（）A.聯(lián)絡(luò)日志B.活動(dòng)日志C.事件日志D.審計(jì)日志答案：C解析：為了評(píng)估計(jì)算機(jī)安全事例的危害程度，我們需要詳細(xì)記錄與計(jì)算機(jī)安全相關(guān)的事件。事件日志通常記錄了與安全相關(guān)的事件，包括安全違規(guī)、系統(tǒng)入侵、惡意軟件活動(dòng)等。這些事件日志可以幫助我們了解安全事件的性質(zhì)、影響范圍以及危害程度。因此，事件日志是最有助于評(píng)估計(jì)算機(jī)安全事例危害程度的日志文件。選項(xiàng)A的聯(lián)絡(luò)日志主要記錄通信聯(lián)絡(luò)信息，與計(jì)算機(jī)安全事例的危害程度評(píng)估關(guān)系不大。選項(xiàng)B的活動(dòng)日志可能記錄了一些系統(tǒng)或用戶活動(dòng)，但不一定與安全事件直接相關(guān)。選項(xiàng)D的審計(jì)日志可能記錄了一些與安全相關(guān)的操作，但不一定全面和詳細(xì)，可能不足以評(píng)估計(jì)算機(jī)安全事例的危害程度。因此，正確答案是C，即事件日志。21.符合性要求包括（）。A.知識(shí)產(chǎn)權(quán)保護(hù)B.公司信息保護(hù)C.個(gè)人隱私的保護(hù)D.以上都是答案：D解析：題目詢問(wèn)的是符合性要求包括哪些內(nèi)容。選項(xiàng)A提到的是知識(shí)產(chǎn)權(quán)保護(hù)，選項(xiàng)B提到的是公司信息保護(hù)，選項(xiàng)C提到的是個(gè)人隱私的保護(hù)。由于題目中問(wèn)到的是“符合性要求”，這意味著它應(yīng)該涵蓋所有相關(guān)的要求。因此，選項(xiàng)D“以上都是”是最全面的答案，因?yàn)樗怂刑岬降囊?。所以，正確答案是D。22.下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）。A.消息篡改B.偽裝C.拒絕服務(wù)D.流量分析答案：D解析：網(wǎng)絡(luò)攻擊分為被動(dòng)攻擊和主動(dòng)攻擊兩種。被動(dòng)攻擊的特點(diǎn)是侵犯者僅僅觀察和監(jiān)測(cè)數(shù)據(jù)而不干擾數(shù)據(jù)流。例如，流量分析是一種典型的被動(dòng)攻擊方式，它通過(guò)分析網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，嘗試獲取敏感信息，如用戶密碼、賬號(hào)等。因此，選項(xiàng)D“流量分析”屬于網(wǎng)絡(luò)上的被動(dòng)攻擊。而選項(xiàng)A“消息篡改”、選項(xiàng)B“偽裝”和選項(xiàng)C“拒絕服務(wù)”都屬于主動(dòng)攻擊。23.依據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，不屬于第三方服務(wù)監(jiān)視和評(píng)審范圍的是（）。A.監(jiān)視和評(píng)審服務(wù)級(jí)別協(xié)議的符合性B.監(jiān)視和評(píng)瀋服務(wù)方人員聘用和考核的流程C.監(jiān)視和評(píng)審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D.和評(píng)審服務(wù)方跟蹤處理信息安全事件的能力答案：B解析：依據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，第三方服務(wù)監(jiān)視和評(píng)審的范圍包括監(jiān)視和評(píng)審服務(wù)級(jí)別協(xié)議的符合性、監(jiān)視和評(píng)審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度、和評(píng)審服務(wù)方跟蹤處理信息安全事件的能力。然而，監(jiān)視和評(píng)瀋服務(wù)方人員聘用和考核的流程并不屬于第三方服務(wù)監(jiān)視和評(píng)審的范圍。因此，選項(xiàng)B是不屬于第三方服務(wù)監(jiān)視和評(píng)審范圍的。24.構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）。A.人、財(cái)、物B.技術(shù)、管理和操作C.資產(chǎn)、威脅和弱點(diǎn)D.資產(chǎn)、可能性和嚴(yán)重性答案：C解析：構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素包括資產(chǎn)、威脅和弱點(diǎn)。資產(chǎn)是指可能被攻擊或利用的目標(biāo)，如企業(yè)的數(shù)據(jù)、系統(tǒng)或設(shè)施等；威脅是指可能對(duì)資產(chǎn)造成損害或破壞的因素，如黑客攻擊、自然災(zāi)害等；弱點(diǎn)是指資產(chǎn)或系統(tǒng)中存在的安全漏洞或缺陷，這些弱點(diǎn)可能被威脅利用。因此，選項(xiàng)C“資產(chǎn)、威脅和弱點(diǎn)”是構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素。而選項(xiàng)A“人、財(cái)、物”不是構(gòu)成風(fēng)險(xiǎn)的直接因素，選項(xiàng)B“技術(shù)、管理和操作”雖然與風(fēng)險(xiǎn)有關(guān)，但不是關(guān)鍵因素，選項(xiàng)D“資產(chǎn)、可能性和嚴(yán)重性”中的“可能性和嚴(yán)重性”也不是構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素。因此，正確答案是C。25.一種基于信任而產(chǎn)生的并且很難防范的主要風(fēng)險(xiǎn)是（）。A.正確使用的授權(quán)訪問(wèn)B.被濫用的授權(quán)訪問(wèn)C.不成功的非授權(quán)訪問(wèn)D.成功的非授權(quán)訪問(wèn)答案：B解析：基于信任而產(chǎn)生的風(fēng)險(xiǎn)通常與授權(quán)訪問(wèn)有關(guān)。在授權(quán)訪問(wèn)中，用戶被賦予特定的權(quán)限來(lái)執(zhí)行某些操作。然而，如果授權(quán)被濫用，即用戶超出其權(quán)限范圍進(jìn)行操作，就可能導(dǎo)致風(fēng)險(xiǎn)。這種濫用授權(quán)訪問(wèn)的風(fēng)險(xiǎn)很難防范，因?yàn)橐坏┦跈?quán)被賦予，很難實(shí)時(shí)監(jiān)控每個(gè)用戶的操作。因此，被濫用的授權(quán)訪問(wèn)是一種基于信任而產(chǎn)生的主要風(fēng)險(xiǎn)。其他選項(xiàng)如正確使用的授權(quán)訪問(wèn)、不成功的非授權(quán)訪問(wèn)和成功的非授權(quán)訪問(wèn)雖然也與風(fēng)險(xiǎn)有關(guān)，但它們與基于信任而產(chǎn)生的風(fēng)險(xiǎn)特點(diǎn)不完全吻合。因此，正確答案是B，即被濫用的授權(quán)訪問(wèn)。26.關(guān)于入侵檢測(cè)，以下不正確的是（）。A.入侵檢測(cè)是一個(gè)采集知識(shí)的過(guò)程B.入侵檢測(cè)指信息安全事件響應(yīng)過(guò)程C.分析反常的使用模式是入侵檢測(cè)模式之一D.入侵檢測(cè)包括收集被利用脆弱性發(fā)生的時(shí)間信息答案：B解析：入侵檢測(cè)是指識(shí)別針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)，未經(jīng)授權(quán)且有害的嘗試性行為，并對(duì)此行為作出反應(yīng)的過(guò)程。它主要依賴于對(duì)網(wǎng)絡(luò)和系統(tǒng)的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。A項(xiàng)描述了入侵檢測(cè)中的知識(shí)采集過(guò)程，C項(xiàng)描述了入侵檢測(cè)的一種模式，D項(xiàng)描述了入侵檢測(cè)中收集被利用脆弱性發(fā)生的時(shí)間信息，均正確。而B(niǎo)項(xiàng)提到的信息安全事件響應(yīng)過(guò)程，雖然是入侵檢測(cè)的一部分，但不是入侵檢測(cè)本身，所以是不正確的。因此，正確答案是B。27.關(guān)于文件管理下列說(shuō)法錯(cuò)誤的是（）。A.文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B.必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)C.應(yīng)確保文件保持清晰，易于識(shí)別D.作廢文件應(yīng)及時(shí)銷毀，防止錯(cuò)誤使用答案：D解析：本題考察的是文件管理的相關(guān)知識(shí)。A選項(xiàng)提到“文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的”，這是文件管理中非常關(guān)鍵的一步，確保文件的準(zhǔn)確性和適用性。B選項(xiàng)提到“必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)”，這也是文件管理中不可或缺的一部分，當(dāng)文件的內(nèi)容或標(biāo)準(zhǔn)發(fā)生變化時(shí)，需要進(jìn)行評(píng)審和更新，以確保文件的持續(xù)有效性和準(zhǔn)確性。C選項(xiàng)提到“應(yīng)確保文件保持清晰，易于識(shí)別”，這是文件管理的基本要求，確保文件的可讀性和易理解性。D選項(xiàng)“作廢文件應(yīng)及時(shí)銷毀，防止錯(cuò)誤使用”雖然在實(shí)際操作中可能是一種常見(jiàn)的做法，但不是文件管理的硬性要求。文件管理并不強(qiáng)制要求必須銷毀作廢文件，而是需要確保這些文件不被錯(cuò)誤地使用。實(shí)際上，某些情況下，保留作廢文件可能有助于追溯和審計(jì)。因此，D選項(xiàng)“作廢文件應(yīng)及時(shí)銷毀，防止錯(cuò)誤使用”是錯(cuò)誤的說(shuō)法。所以正確答案是D。28.風(fēng)險(xiǎn)責(zé)任人是指（）。A.具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓wB.實(shí)施風(fēng)險(xiǎn)評(píng)估的組織的法人C.實(shí)施風(fēng)險(xiǎn)評(píng)估的項(xiàng)目負(fù)責(zé)人或項(xiàng)目任務(wù)責(zé)任人D.信息及信息處理設(shè)施的使用者答案：A解析：風(fēng)險(xiǎn)責(zé)任人是具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓w。在風(fēng)險(xiǎn)管理中，風(fēng)險(xiǎn)責(zé)任人通常是負(fù)責(zé)管理和控制特定風(fēng)險(xiǎn)的個(gè)人或組織，他們負(fù)責(zé)確保風(fēng)險(xiǎn)得到適當(dāng)?shù)淖R(shí)別、評(píng)估和控制。因此，選項(xiàng)A“具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓w”是正確的答案。其他選項(xiàng)如實(shí)施風(fēng)險(xiǎn)評(píng)估的組織的法人、實(shí)施風(fēng)險(xiǎn)評(píng)估的項(xiàng)目負(fù)責(zé)人或項(xiàng)目任務(wù)責(zé)任人、信息及信息處理設(shè)施的使用者，雖然與風(fēng)險(xiǎn)管理有關(guān)，但不是風(fēng)險(xiǎn)責(zé)任人的定義。29.管理評(píng)審應(yīng)包括評(píng)估信息安全管理體系改進(jìn)的計(jì)劃和變更的需求，管理評(píng)審的輸入可以不包括（）。A.相關(guān)方的反饋B.預(yù)防和糾正措施的狀況C.有效性測(cè)量的結(jié)果D.業(yè)務(wù)連續(xù)性演練結(jié)果答案：D解析：管理評(píng)審是組織對(duì)其信息安全管理體系的定期評(píng)估，目的是確保體系持續(xù)有效并滿足組織的需求。管理評(píng)審的輸入通常包括與信息安全管理體系相關(guān)的各種信息，如相關(guān)方的反饋、預(yù)防和糾正措施的狀況以及有效性測(cè)量的結(jié)果。然而，業(yè)務(wù)連續(xù)性演練結(jié)果并不直接與管理評(píng)審的輸入相關(guān)，它更多地與業(yè)務(wù)連續(xù)性管理相關(guān)，而不是信息安全管理體系的評(píng)估。因此，業(yè)務(wù)連續(xù)性演練結(jié)果不應(yīng)作為管理評(píng)審的輸入。所以，選項(xiàng)D業(yè)務(wù)連續(xù)性演練結(jié)果不應(yīng)包括在管理評(píng)審的輸入中。30.目前，我國(guó)信息安全管理格局是一個(gè)多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法出多門(mén)，《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》是由下列哪個(gè)部門(mén)所制定的規(guī)章制度。（）A.公安部B.國(guó)家保密局C.信息產(chǎn)業(yè)部D.國(guó)家密碼管理委員會(huì)辦公室答案：B解析：《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》是由國(guó)家保密局制定的規(guī)章制度。這是根據(jù)題目中提到的“多方‘齊抓共管’的體制”和“多頭管理現(xiàn)狀決定法出多門(mén)”可以推斷出來(lái)的。因此，正確答案是nB國(guó)家保密局。31.管理體系是實(shí)現(xiàn)組織的方針、（）、指南和相關(guān)資源的框架。A.自標(biāo)B.規(guī)程C.文件D.記錄答案：B解析：管理體系是為了實(shí)現(xiàn)組織的方針、目標(biāo)，對(duì)內(nèi)部過(guò)程進(jìn)行識(shí)別、理解和管理，確保這些過(guò)程有效運(yùn)行并得到控制而建立的一系列相互關(guān)聯(lián)或相互作用的要素。管理體系的框架中包括了方針、目標(biāo)、過(guò)程、績(jī)效指標(biāo)、所需資源以及為達(dá)到目標(biāo)而采取的措施等要素。因此，管理體系是實(shí)現(xiàn)組織的方針、目標(biāo)的框架，而不是文件、記錄或其他內(nèi)容。因此，正確答案為B，即“規(guī)程”。32.體系是指（）。A.建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系B.相互關(guān)聯(lián)和相互作用的一組要素C.指揮和控制組織的協(xié)調(diào)活動(dòng)D.以上都不對(duì)答案：B解析：體系是指相互關(guān)聯(lián)和相互作用的一組要素。在系統(tǒng)中，各個(gè)要素之間相互作用、相互依賴，共同構(gòu)成了一個(gè)有機(jī)整體。因此，選項(xiàng)B“相互關(guān)聯(lián)和相互作用的一組要素”是體系的基本定義。其他選項(xiàng)A、C、D都與體系的基本定義不符，故排除。因此，正確答案為B。33.過(guò)程是指（）。A.有輸入和輸出的任意活動(dòng)B.通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)C.所有業(yè)務(wù)活動(dòng)的集合D.以上都不對(duì)答案：B解析：過(guò)程是指通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)。在過(guò)程中，輸入經(jīng)過(guò)一系列的操作和轉(zhuǎn)換，最終轉(zhuǎn)化為輸出。這種轉(zhuǎn)換通常涉及到資源的利用和管理，包括人力、物力、財(cái)力等。因此，選項(xiàng)B“通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)”是過(guò)程的定義。其他選項(xiàng)A、C、D都不符合過(guò)程的定義。34.下面哪一條措施不能防止數(shù)據(jù)泄漏（）。A.數(shù)據(jù)冗余B.數(shù)據(jù)加密C.訪問(wèn)控制D.密碼系統(tǒng)答案：A解析：數(shù)據(jù)冗余是指數(shù)據(jù)的重復(fù)存儲(chǔ)，雖然它可以提高數(shù)據(jù)的可用性和可靠性，但并不能直接防止數(shù)據(jù)泄漏。數(shù)據(jù)加密、訪問(wèn)控制和密碼系統(tǒng)都是有效的數(shù)據(jù)保護(hù)措施，可以防止數(shù)據(jù)被未經(jīng)授權(quán)的人員訪問(wèn)或泄露。因此，選項(xiàng)A數(shù)據(jù)冗余不能防止數(shù)據(jù)泄漏。35.如果信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害，則應(yīng)具備的保護(hù)水平為（）。A.三級(jí)B.二級(jí)C.四級(jí)D.六級(jí)答案：A解析：根據(jù)題目描述，如果信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害，那么需要具備的保護(hù)水平應(yīng)該是最高的。在信息安全等級(jí)保護(hù)制度中，等級(jí)從低到高分別為一級(jí)、二級(jí)、三級(jí)、四級(jí)。其中，三級(jí)保護(hù)水平是較高的，適用于對(duì)國(guó)家安全或者社會(huì)秩序和公共利益有較大影響的信息系統(tǒng)。因此，正確答案為A，即三級(jí)。36.資產(chǎn)是對(duì)組織（）的任何東西。A.有使用價(jià)值B.擁有C.有價(jià)值D.購(gòu)買答案：C解析：題目考察的是對(duì)“資產(chǎn)”這一概念的理解。資產(chǎn)通常指的是那些能夠?yàn)榻M織帶來(lái)經(jīng)濟(jì)利益的資源或物品。在給出的選項(xiàng)中，只有“有價(jià)值”能夠準(zhǔn)確描述資產(chǎn)的本質(zhì)特征，即資產(chǎn)能夠?qū)M織產(chǎn)生價(jià)值。因此，正確答案為“C有價(jià)值”。37.信息系統(tǒng)審計(jì)（）。A.是發(fā)現(xiàn)信息系統(tǒng)脆弱性的手段之一B.應(yīng)在系統(tǒng)運(yùn)行期間進(jìn)行，以便于準(zhǔn)確地發(fā)現(xiàn)弱點(diǎn)C.審核工具在組織內(nèi)應(yīng)公開(kāi)可獲取，以便于提升員工的能力D.只要定期進(jìn)行，就可以替代內(nèi)部ISMS審核答案：A解析：信息系統(tǒng)審計(jì)是發(fā)現(xiàn)信息系統(tǒng)脆弱性的手段之一，通過(guò)審計(jì)可以評(píng)估信息系統(tǒng)的安全性、可靠性和效率，從而發(fā)現(xiàn)可能存在的弱點(diǎn)。因此，選項(xiàng)A是正確的。選項(xiàng)B提到“應(yīng)在系統(tǒng)運(yùn)行期間進(jìn)行，以便于準(zhǔn)確地發(fā)現(xiàn)弱點(diǎn)”，這雖然是一個(gè)正確的觀點(diǎn)，但并不是信息系統(tǒng)審計(jì)的核心目的，因此不是最佳答案。選項(xiàng)C提到“審核工具在組織內(nèi)應(yīng)公開(kāi)可獲取，以便于提升員工的能力”，雖然提升員工能力是一個(gè)好的目標(biāo)，但這與信息系統(tǒng)審計(jì)的核心目的不直接相關(guān)，因此也不是最佳答案。選項(xiàng)D提到“只要定期進(jìn)行，就可以替代內(nèi)部ISMS審核”，這與信息系統(tǒng)審計(jì)的目的和作用不符。信息系統(tǒng)審計(jì)是對(duì)信息系統(tǒng)進(jìn)行獨(dú)立、客觀、全面的評(píng)估，而內(nèi)部ISMS審核是對(duì)組織內(nèi)部的信息安全管理體系進(jìn)行審核，兩者不能相互替代。因此，選項(xiàng)D也是錯(cuò)誤的。38.描述與組織信息安全管理體系相關(guān)的和適用的控制措施的文檔是（）。A.信息安全管理體系方針B.適用性聲明C.信息安全管理體系范圍D.風(fēng)險(xiǎn)評(píng)估程序答案：B解析：題目要求選擇描述與組織信息安全管理體系相關(guān)的和適用的控制措施的文檔。在信息安全管理體系中，適用性聲明是用于描述組織信息安全管理體系與組織的業(yè)務(wù)過(guò)程、產(chǎn)品、服務(wù)以及組織環(huán)境的適用性，以及組織如何實(shí)施控制措施來(lái)管理信息安全風(fēng)險(xiǎn)的文檔。因此，適用性聲明是與組織信息安全管理體系相關(guān)的和適用的控制措施的文檔，答案為B。其他選項(xiàng)如信息安全管理體系方針、信息安全管理體系范圍、風(fēng)險(xiǎn)評(píng)估程序雖然與信息安全管理體系有關(guān)，但不是直接描述控制措施的文檔。39.某種網(wǎng)絡(luò)安全威脅是通過(guò)非法手段對(duì)數(shù)據(jù)進(jìn)行惡意修改，這種安全威脅屬于（）。A.竊聽(tīng)數(shù)據(jù)B.破壞數(shù)據(jù)完整性C.破壞數(shù)據(jù)可用性D.物理安全威脅答案：B解析：題目中描述的網(wǎng)絡(luò)安全威脅是通過(guò)非法手段對(duì)數(shù)據(jù)進(jìn)行惡意修改，這種威脅直接影響了數(shù)據(jù)的完整性和準(zhǔn)確性，因此屬于破壞數(shù)據(jù)完整性的安全威脅。選項(xiàng)A“竊聽(tīng)數(shù)據(jù)”是指未經(jīng)授權(quán)地獲取數(shù)據(jù)，但不涉及數(shù)據(jù)的修改；選項(xiàng)C“破壞數(shù)據(jù)可用性”是指使數(shù)據(jù)無(wú)法被正常訪問(wèn)或使用，但題目中并未提到數(shù)據(jù)不可用；選項(xiàng)D“物理安全威脅”是指對(duì)計(jì)算機(jī)硬件的物理破壞或干擾，與題目描述不符。因此，正確答案是B，即破壞數(shù)據(jù)完整性。40.容量管理的對(duì)象是（）。A.信息系統(tǒng)內(nèi)存B.辦公室空間和基礎(chǔ)設(shè)施C.人力資源D.A+B+C答案：D解析：容量管理是一個(gè)涉及多個(gè)方面的概念，它不僅僅是關(guān)于某一特定對(duì)象的。在本題中，給出的選項(xiàng)包括信息系統(tǒng)內(nèi)存、辦公室空間和基礎(chǔ)設(shè)施以及人力資源。容量管理通常涉及對(duì)這些資源的規(guī)劃、分配和監(jiān)控，以確保它們能夠滿足組織的需求。因此，選項(xiàng)D“A+B+C”是最全面的答案，涵蓋了所有與容量管理相關(guān)的對(duì)象。41.公共密鑰體系(PKI)的某一組成要素的主要功能是管理證書(shū)生命周期，包括證書(shū)目錄維護(hù)、表維護(hù)和證書(shū)發(fā)布，這個(gè)要素是（）。A.證書(shū)機(jī)構(gòu)(CA)B.數(shù)字簽名C.證書(shū)實(shí)踐聲明D.注冊(cè)機(jī)構(gòu)(RA)答案：A解析：公共密鑰體系（PKI）中，證書(shū)機(jī)構(gòu)（CA）的主要功能是管理證書(shū)的生命周期，包括證書(shū)目錄維護(hù)、表維護(hù)和證書(shū)發(fā)布。這是證書(shū)機(jī)構(gòu)的核心職責(zé)，確保數(shù)字證書(shū)的生成、發(fā)布、存儲(chǔ)和撤銷等流程得以正確執(zhí)行。因此，答案為A。其他選項(xiàng)如數(shù)字簽名、證書(shū)實(shí)踐聲明和注冊(cè)機(jī)構(gòu)（RA）雖然都是PKI的重要組成部分，但它們?cè)谧C書(shū)的生命周期管理中并沒(méi)有直接涉及證書(shū)目錄維護(hù)、表維護(hù)和證書(shū)發(fā)布的功能。42.下列說(shuō)法不正確的是（）。A.殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)B.體系文件應(yīng)能夠顯示出所選擇的控制措施回潮到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程的結(jié)果C.所有的信息安全活動(dòng)都必須記錄D.管理評(píng)審至少每年進(jìn)行一次答案：C解析：A項(xiàng)正確，殘余風(fēng)險(xiǎn)是指通過(guò)實(shí)施控制措施后，仍可能發(fā)生的危害或損失。殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)，這是確保企業(yè)風(fēng)險(xiǎn)可控的重要步驟。B項(xiàng)正確，體系文件應(yīng)能夠顯示出所選擇的控制措施回潮到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程的結(jié)果，這是體系文件的基本功能，能夠確保控制措施的有效性和針對(duì)性。C項(xiàng)錯(cuò)誤，不是所有的信息安全活動(dòng)都必須記錄，而是那些對(duì)信息安全有重大影響的活動(dòng)才需要記錄。D項(xiàng)正確，管理評(píng)審是評(píng)估管理體系是否有效、是否符合企業(yè)要求的過(guò)程，至少每年進(jìn)行一次，這是確保管理體系有效運(yùn)行的重要步驟。綜上所述，不正確的說(shuō)法是C項(xiàng)，即“所有的信息安全活動(dòng)都必須記錄”。43.依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說(shuō)法不正確的是（）。A.網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對(duì)網(wǎng)絡(luò)的攻擊和侵入B.網(wǎng)絡(luò)安全措施包括防范對(duì)網(wǎng)絡(luò)的破壞C.網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D.網(wǎng)絡(luò)安全包括對(duì)信息收集、存儲(chǔ)、傳輸、交換、處理系統(tǒng)的保護(hù)答案：C解析：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)免受攻擊、侵入、干擾和破壞；保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)的安全性、完整性、保密性和可用性；防止危害網(wǎng)絡(luò)安全行為的發(fā)生，以及減少危害網(wǎng)絡(luò)安全行為造成的損失和影響。此外，網(wǎng)絡(luò)運(yùn)營(yíng)者還應(yīng)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。因此，網(wǎng)絡(luò)安全不僅僅包括保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全，還包括對(duì)信息收集、存儲(chǔ)、傳輸、交換、處理系統(tǒng)的保護(hù)。所以，選項(xiàng)C的說(shuō)法不正確。44.信息安全風(fēng)險(xiǎn)（R）計(jì)算中涉及脆弱性（V），以下說(shuō)法正確的是（）。A.脆弱性是資產(chǎn)性質(zhì)決定的固有的弱點(diǎn)，其賦值不變B.如果當(dāng)前控制措施有效，入資產(chǎn)脆弱性賦值可以降低C.控制措施是管理范疇的概念，脆弱性是技術(shù)范疇的概念，二者沒(méi)有關(guān)系D.只要威脅存在，脆弱性就存在，二者的賦值同向增減答案：B解析：在信息安全風(fēng)險(xiǎn)（R）計(jì)算中，脆弱性（V）是一個(gè)重要的因素。根據(jù)題目選項(xiàng)，我們可以逐一分析：A選項(xiàng)提到“脆弱性是資產(chǎn)性質(zhì)決定的固有的弱點(diǎn)，其賦值不變”。但實(shí)際上，脆弱性是可以根據(jù)控制措施的有效性而變化的。如果控制措施有效，那么脆弱性可能會(huì)降低，因此A選項(xiàng)不正確。B選項(xiàng)說(shuō)“如果當(dāng)前控制措施有效，入資產(chǎn)脆弱性賦值可以降低”，這是正確的。因?yàn)橛行У目刂拼胧┛梢詼p少或消除潛在的威脅，從而降低脆弱性。C選項(xiàng)表示“控制措施是管理范疇的概念，脆弱性是技術(shù)范疇的概念，二者沒(méi)有關(guān)系”。但實(shí)際上，控制措施和脆弱性是緊密相關(guān)的。有效的控制措施可以降低脆弱性，因此C選項(xiàng)不正確。D選項(xiàng)提到“只要威脅存在，脆弱性就存在，二者的賦值同向增減”。雖然威脅和脆弱性確實(shí)有關(guān)系，但它們的賦值并不總是同向增減。例如，即使威脅存在，如果控制措施有效，脆弱性可能會(huì)降低。因此D選項(xiàng)也不正確。綜上所述，正確答案是B選項(xiàng)：“如果當(dāng)前控制措施有效，入資產(chǎn)脆弱性賦值可以降低”。45.信息安全管理體系的設(shè)計(jì)應(yīng)考慮（）。A.組織的成略B.組織的目標(biāo)和需求C.組織的業(yè)務(wù)過(guò)程性質(zhì)D.以上全部答案：D解析：在設(shè)計(jì)信息安全管理體系時(shí)，需要全面考慮組織的戰(zhàn)略、目標(biāo)和需求，以及業(yè)務(wù)過(guò)程的性質(zhì)。這些因素都會(huì)影響信息安全管理體系的設(shè)計(jì)和實(shí)施。因此，選項(xiàng)D“以上全部”是正確的選擇。選項(xiàng)A“組織的成略”可能是一個(gè)輸入錯(cuò)誤，可能是指“組織的戰(zhàn)略”。然而，無(wú)論是組織的戰(zhàn)略還是目標(biāo)，以及業(yè)務(wù)過(guò)程的性質(zhì)，都是信息安全管理體系設(shè)計(jì)過(guò)程中需要考慮的重要因素。46.信息安全是保證信息的保密性、完整性、（）。A.充分性B.適宜性C.可用性D.有效性答案：C解析：信息安全是確保信息在傳輸、存儲(chǔ)和處理過(guò)程中不被未經(jīng)授權(quán)的訪問(wèn)、泄露、篡改或破壞。保密性、完整性和可用性是信息安全的三個(gè)基本屬性。保密性是指信息不會(huì)被未授權(quán)的人員獲?。煌暾允侵感畔⒃趥鬏斶^(guò)程中不會(huì)被篡改；可用性是指授權(quán)人員能夠在需要時(shí)獲取和使用信息。因此，選項(xiàng)C“可用性”是信息安全中保證的三個(gè)基本屬性之一，是正確答案。其他選項(xiàng)如充分性、適宜性和有效性并不屬于信息安全的基本屬性，因此可以排除。47.《中華人民共和國(guó)保守國(guó)家秘密法》第二章規(guī)定了國(guó)家秘密的范圍和密級(jí)，國(guó)家秘密的密級(jí)分為（）。A.普密、商密兩個(gè)級(jí)別B.低級(jí)和高級(jí)兩個(gè)級(jí)別C.絕密、機(jī)密、秘密三個(gè)級(jí)別D.一密、二密、三密、四密四個(gè)級(jí)別答案：C解析：《中華人民共和國(guó)保守國(guó)家秘密法》第二章規(guī)定了國(guó)家秘密的范圍和密級(jí)，國(guó)家秘密的密級(jí)分為絕密、機(jī)密、秘密三個(gè)級(jí)別。因此，正確答案為C。選項(xiàng)A、B、D均不符合法律規(guī)定。48.依據(jù)GB/T22080-2016/ISQ/IEC27001:2013標(biāo)準(zhǔn)，信息安全管理體系文件應(yīng)包括（）。A.信息安全管理體系的范圍、適用性聲明B.風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)處置計(jì)劃C.風(fēng)險(xiǎn)評(píng)估方法D.以上全部答案：D解析：依據(jù)GB/T22080-2016/ISQ/IEC27001:2013標(biāo)準(zhǔn)，信息安全管理體系文件應(yīng)包括信息安全管理體系的范圍、適用性聲明、風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)處置計(jì)劃以及風(fēng)險(xiǎn)評(píng)估方法。因此，正確答案是D，即“以上全部”。49.依據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）。A.業(yè)務(wù)戰(zhàn)略B.法律法規(guī)要求C.合同要求D.以上全部答案：D解析：依據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，制定信息安全管理體系方針時(shí)，應(yīng)予以考慮的輸入包括業(yè)務(wù)戰(zhàn)略、法律法規(guī)要求和合同要求。因此，正確答案是“以上全部”，即選項(xiàng)D。50.以下對(duì)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)的描述，正確的是（）。A.該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B.該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C.該標(biāo)準(zhǔn)可用于一致性評(píng)估D.組織在建立信息安全管理體系時(shí)，應(yīng)滿足該標(biāo)準(zhǔn)的所有要求答案：A解析：GB/T22080-2016/ISO/IEC27001:2013是一個(gè)信息安全管理體系（ISMS）標(biāo)準(zhǔn)，它規(guī)定了組織在建立、實(shí)施、監(jiān)控、評(píng)審和改進(jìn)信息安全管理體系時(shí)應(yīng)遵循的要求。因此，該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)，而不是指南類標(biāo)準(zhǔn)。此外，該標(biāo)準(zhǔn)也常用于一致性評(píng)估，但題目中并沒(méi)有明確指出這一選項(xiàng)，因此不能單獨(dú)作為正確答案。最后，組織在建立信息安全管理體系時(shí)，不需要滿足該標(biāo)準(zhǔn)的所有要求，因?yàn)樵摌?biāo)準(zhǔn)是一個(gè)框架，組織可以根據(jù)其具體情況和需求來(lái)調(diào)整和適應(yīng)標(biāo)準(zhǔn)。因此，正確答案為A，該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)。51.主體訪問(wèn)權(quán)限的（），即僅執(zhí)行授權(quán)活動(dòng)所必需的那些權(quán)利被稱為最小特定權(quán)限。A.最高限度B.最低限度C.平均限度D.次低限度答案：B解析：根據(jù)題目描述，“最小特定權(quán)限”指的是僅執(zhí)行授權(quán)活動(dòng)所必需的那些權(quán)利，即權(quán)限的“最低限度”。因此，正確答案為B選項(xiàng)，即“最低限度”。其他選項(xiàng)如“最高限度”、“平均限度”和“次低限度”與題目描述不符。52.關(guān)于信息安全連續(xù)性，以下說(shuō)法正確的是（）。A.信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B.信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C.信息處理設(shè)施的覓余即指兩個(gè)或多個(gè)服務(wù)器互備D.信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定答案：B解析：信息安全連續(xù)性是指組織在遭受信息安全事件后，能夠迅速恢復(fù)其關(guān)鍵業(yè)務(wù)功能的能力。它應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分，以確保在信息安全事件發(fā)生時(shí)，組織的業(yè)務(wù)能夠持續(xù)進(jìn)行。選項(xiàng)A錯(cuò)誤，信息安全連續(xù)性并不僅僅指IT設(shè)備運(yùn)行的連續(xù)性，它還包括數(shù)據(jù)、應(yīng)用、網(wǎng)絡(luò)等方面的連續(xù)性。選項(xiàng)C錯(cuò)誤，信息處理設(shè)施的冗余通常指的是多個(gè)服務(wù)器或設(shè)備能夠互備，但冗余并不等同于連續(xù)性。選項(xiàng)D錯(cuò)誤，信息安全連續(xù)性指標(biāo)不僅僅由IT系統(tǒng)的性能決定，還涉及組織策略、流程、人員等多個(gè)方面。因此，正確答案是B，信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分。53.在一個(gè)分布式計(jì)算環(huán)境中，系統(tǒng)安全特別重要。分布式計(jì)算環(huán)境中的網(wǎng)絡(luò)攻擊存在兩種主要的類型：被動(dòng)攻擊和主動(dòng)攻擊。下面哪一種是屬于被動(dòng)攻擊？（）A.企業(yè)登錄到別人的帳號(hào)上B.在網(wǎng)絡(luò)電纜上安裝偵聽(tīng)設(shè)備，并產(chǎn)生錯(cuò)誤消息C.拒絕為合法用戶提供服務(wù)D.當(dāng)用戶鍵入系統(tǒng)口令時(shí)，進(jìn)行竊聽(tīng)答案：D解析：被動(dòng)攻擊是指攻擊者通過(guò)竊聽(tīng)或監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)包來(lái)獲取敏感信息，而不是直接干擾或破壞網(wǎng)絡(luò)。在給出的選項(xiàng)中，只有D選項(xiàng)“當(dāng)用戶鍵入系統(tǒng)口令時(shí)，進(jìn)行竊聽(tīng)”符合被動(dòng)攻擊的定義，因?yàn)樗婕暗綄?duì)敏感信息的監(jiān)聽(tīng)。A選項(xiàng)“企業(yè)登錄到別人的帳號(hào)上”是主動(dòng)攻擊，因?yàn)樗婕暗轿唇?jīng)授權(quán)地訪問(wèn)他人的賬戶。B選項(xiàng)“在網(wǎng)絡(luò)電纜上安裝偵聽(tīng)設(shè)備，并產(chǎn)生錯(cuò)誤消息”也是主動(dòng)攻擊，因?yàn)樗粌H監(jiān)聽(tīng)數(shù)據(jù)，還產(chǎn)生錯(cuò)誤消息來(lái)干擾網(wǎng)絡(luò)。C選項(xiàng)“拒絕為合法用戶提供服務(wù)”也是主動(dòng)攻擊，因?yàn)樗芙^合法用戶訪問(wèn)系統(tǒng)。因此，正確答案是D。54.組織進(jìn)行業(yè)務(wù)連續(xù)性管理主要是為了保護(hù)信息的（）。A.機(jī)密性B.完整性C.可用性D.A+B+C答案：C解析：業(yè)務(wù)連續(xù)性管理主要是為了確保組織在面臨中斷、故障或?yàn)?zāi)難等情況下，業(yè)務(wù)活動(dòng)能夠繼續(xù)不受影響或者迅速恢復(fù)。這種連續(xù)性要求確保業(yè)務(wù)所依賴的信息具備可用性。如果信息不可用，那么即使其他措施到位，業(yè)務(wù)也無(wú)法正常運(yùn)轉(zhuǎn)。因此，組織進(jìn)行業(yè)務(wù)連續(xù)性管理主要是為了保護(hù)信息的可用性。對(duì)于其他選項(xiàng)，機(jī)密性主要是關(guān)于信息不被未經(jīng)授權(quán)的人員訪問(wèn)，完整性則是指信息在傳輸和存儲(chǔ)過(guò)程中不被篡改，雖然這些也是信息保護(hù)的重要方面，但在業(yè)務(wù)連續(xù)性管理的上下文中，可用性是最直接和核心的關(guān)注點(diǎn)。因此，正確答案是C，即“可用性”。55.某工廠M為某手機(jī)品牌S代工，S要求M將其手機(jī)設(shè)計(jì)信息敏感性等級(jí)確定為最高級(jí)，M的以下做法正確的是（）。A.限制S手機(jī)外觀設(shè)計(jì)圖紙僅在PLM系統(tǒng)中流傳，并限制訪問(wèn)權(quán)限B.將測(cè)試用S手機(jī)主板存放于密碼柜中，并限制密碼知悉人C.將生產(chǎn)線上報(bào)廢的S手機(jī)部件廢品粉碎后送環(huán)保公司處置D.以上都對(duì)答案：D解析：A選項(xiàng)：限制S手機(jī)外觀設(shè)計(jì)圖紙僅在PLM系統(tǒng)中流傳，并限制訪問(wèn)權(quán)限。這符合敏感信息的管理要求，確保只有授權(quán)人員可以訪問(wèn)這些設(shè)計(jì)圖紙，防止敏感信息泄露。B選項(xiàng)：將測(cè)試用S手機(jī)主板存放于密碼柜中，并限制密碼知悉人。這也是一種有效的敏感信息保護(hù)措施，確保只有授權(quán)人員能夠訪問(wèn)這些主板，防止敏感信息被非法獲取。C選項(xiàng)：將生產(chǎn)線上報(bào)廢的S手機(jī)部件廢品粉碎后送環(huán)保公司處置。這一做法是為了防止報(bào)廢手機(jī)部件中的敏感信息被非法獲取，確保這些部件得到妥善處理，不會(huì)造成信息泄露。綜上所述，A、B、C選項(xiàng)都是針對(duì)敏感信息的保護(hù)措施，因此D選項(xiàng)“以上都對(duì)”是正確的。56.確保信息沒(méi)有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程，其所用，是指（）。A.完整性B.可用性C.機(jī)密性D.抗抵賴性答案：C解析：確保信息沒(méi)有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程，這是機(jī)密性的定義。機(jī)密性是指信息只能被授權(quán)的個(gè)人、實(shí)體或進(jìn)程訪問(wèn)和使用，未經(jīng)授權(quán)的人員無(wú)法獲取或泄露信息。因此，正確答案為C，即機(jī)密性。57.對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）。A.認(rèn)證機(jī)構(gòu)能夠開(kāi)展認(rèn)證活動(dòng)B.其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力C.認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書(shū)都符合要求D.認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力答案：B解析：對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)會(huì)證明其具備在特定范圍內(nèi)按照標(biāo)準(zhǔn)從事認(rèn)證活動(dòng)的能力。選項(xiàng)A只描述了認(rèn)證機(jī)構(gòu)能夠開(kāi)展認(rèn)證活動(dòng)，沒(méi)有提到特定范圍和標(biāo)準(zhǔn)，不夠準(zhǔn)確。選項(xiàng)C只涉及認(rèn)證證書(shū)，沒(méi)有涉及到認(rèn)證機(jī)構(gòu)的能力，與題意不符。選項(xiàng)D雖然提到了認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力，但沒(méi)有明確提到是在特定范圍內(nèi)按照標(biāo)準(zhǔn)，所以也不是最準(zhǔn)確的答案。因此，正確答案是B，即其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力。58.適用性聲明文件應(yīng)（）。A.描述與組織相關(guān)和適用的控制目標(biāo)和控制措施B.版本應(yīng)保持穩(wěn)定不變C.應(yīng)包含標(biāo)準(zhǔn)GB/T22080附錄A的所有條款D.應(yīng)刪除組織不擬實(shí)施的控制措施答案：A解析：適用性聲明文件應(yīng)描述與組織相關(guān)和適用的控制目標(biāo)和控制措施。適用性聲明文件是為了確保信息安全管理體系與組織的具體需求和運(yùn)營(yíng)情況相適應(yīng)而制定的。文件中應(yīng)明確與組織相關(guān)和適用的控制目標(biāo)，以及實(shí)現(xiàn)這些目標(biāo)所需的控制措施，確保組織能夠根據(jù)自身的實(shí)際情況進(jìn)行信息安全管理。選項(xiàng)B提到“版本應(yīng)保持穩(wěn)定不變”，這與適用性聲明文件的編寫(xiě)和維護(hù)無(wú)直接關(guān)聯(lián)。選項(xiàng)C提到“應(yīng)包含標(biāo)準(zhǔn)GB/T22080附錄A的所有條款”，適用性聲明文件的內(nèi)容并不是固定不變的，需要根據(jù)組織的實(shí)際情況進(jìn)行調(diào)整和修改，不一定需要包含標(biāo)準(zhǔn)GB/T22080附錄A的所有條款。選項(xiàng)D提到“應(yīng)刪除組織不擬實(shí)施的控制措施”，適用性聲明文件應(yīng)明確組織擬實(shí)施的控制措施，而不是刪除不擬實(shí)施的控制措施。因此，正確答案是A，即適用性聲明文件應(yīng)描述與組織相關(guān)和適用的控制目標(biāo)和控制措施。59.內(nèi)部審核是為了確定信息安全體系的（）。A.有效性和適宜性B.適宜性和充分性C.有效性和符合性D.適宜性和充分性答案：C解析：內(nèi)部審核是為了確定信息安全體系的有效性和符合性。有效性是指信息安全體系是否能夠?qū)崿F(xiàn)預(yù)期的目標(biāo)和效果，符合性是指信息安全體系是否符合相關(guān)的法律法規(guī)、標(biāo)準(zhǔn)和規(guī)范的要求。因此，選項(xiàng)C“有效性和符合性”是正確的答案。選項(xiàng)A“有效性和適宜性”中的“適宜性”在此題目中并沒(méi)有明確提及，選項(xiàng)B“適宜性和充分性”中的“充分性”同樣沒(méi)有明確提及，選項(xiàng)D“適宜性和充分性”中的兩個(gè)選項(xiàng)在此題目中都沒(méi)有明確提及，因此都不是正確答案。60.測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足是（）的活動(dòng)。A.ISMS建立階段B.ISMS實(shí)施和運(yùn)行階段C.ISMS監(jiān)視和評(píng)審階段D.ISMS保持和改進(jìn)階段答案：C解析：在信息安全管理體系（ISMS）中，監(jiān)視和評(píng)審階段的主要任務(wù)是測(cè)量控制措施的有效性，以驗(yàn)證安全要求是否被滿足。這是通過(guò)定期評(píng)審安全控制措施的效果、收集安全相關(guān)信息、識(shí)別潛在的安全威脅和風(fēng)險(xiǎn)，以及評(píng)估安全事件的影響來(lái)實(shí)現(xiàn)的。因此，正確答案是C，即ISMS監(jiān)視和評(píng)審階段。61.ISMS文件的多少和詳細(xì)程度取決于（）。A.組織的規(guī)模和活動(dòng)的類型B.過(guò)程及其相互作用的復(fù)雜程度C.員的能力D.以上都對(duì)答案：D解析：ISMS文件的多少和詳細(xì)程度取決于組織的規(guī)模和活動(dòng)的類型、過(guò)程及其相互作用的復(fù)雜程度。因此，選項(xiàng)D“以上都對(duì)”是正確的。組織的規(guī)模和活動(dòng)的類型會(huì)影響ISMS文件的數(shù)量和詳細(xì)程度，因?yàn)榇笮徒M織可能需要更多的文件和更詳細(xì)的描述。同樣，過(guò)程的復(fù)雜性和相互作用也會(huì)影響ISMS文件的詳細(xì)程度，因?yàn)閺?fù)雜的過(guò)程需要更詳細(xì)的描述和解釋。因此，組織的規(guī)模和活動(dòng)的類型、過(guò)程及其相互作用的復(fù)雜程度都是影響ISMS文件多少和詳細(xì)程度的重要因素。62.關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估，以下說(shuō)法正確的是（）。A.如果集團(tuán)企業(yè)的各地分/子公司業(yè)務(wù)性質(zhì)相同，則針對(duì)一個(gè)分/子公司識(shí)別，評(píng)價(jià)風(fēng)險(xiǎn)即可，其風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果文件其他分/子公司可直接采用，以節(jié)省重要識(shí)別和計(jì)算的工作量B.風(fēng)險(xiǎn)評(píng)估過(guò)程中各參數(shù)的賦值一旦確定，不應(yīng)輕易改變，以維持風(fēng)險(xiǎn)評(píng)估的穩(wěn)定性C.組織應(yīng)基于其整體業(yè)務(wù)活動(dòng)所在的環(huán)境和風(fēng)險(xiǎn)考慮其ISMS設(shè)計(jì)D.以上都對(duì)答案：C解析：信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)。信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)象是信息資產(chǎn)面臨的風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)過(guò)程，這個(gè)過(guò)程包括識(shí)別資產(chǎn)，確認(rèn)資產(chǎn)面臨的風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)的大小，確認(rèn)資產(chǎn)面臨的風(fēng)險(xiǎn)的可接受程度，提出控制風(fēng)險(xiǎn)的措施并予以實(shí)施，并對(duì)控制措施的實(shí)施進(jìn)行監(jiān)控。A選項(xiàng)提到，如果集團(tuán)企業(yè)的各地分/子公司業(yè)務(wù)性質(zhì)相同，則針對(duì)一個(gè)分/子公司識(shí)別，評(píng)價(jià)風(fēng)險(xiǎn)即可，其風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果文件其他分/子公司可直接采用。這個(gè)說(shuō)法是錯(cuò)誤的，因?yàn)椴煌镜木唧w情況和所面臨的風(fēng)險(xiǎn)可能有所不同，因此風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果文件不能直接套用。B選項(xiàng)提到，風(fēng)險(xiǎn)評(píng)估過(guò)程中各參數(shù)的賦值一旦確定，不應(yīng)輕易改變，以維持風(fēng)險(xiǎn)評(píng)估的穩(wěn)定性。這個(gè)說(shuō)法過(guò)于絕對(duì)，實(shí)際上，在風(fēng)險(xiǎn)評(píng)估過(guò)程中，參數(shù)的賦值可能需要根據(jù)實(shí)際情況進(jìn)行調(diào)整，以保證評(píng)估結(jié)果的準(zhǔn)確性和可靠性。C選項(xiàng)提到，組織應(yīng)基于其整體業(yè)務(wù)活動(dòng)所在的環(huán)境和風(fēng)險(xiǎn)考慮其ISMS設(shè)計(jì)。這是正確的，組織應(yīng)該根據(jù)自身的實(shí)際情況和所面臨的風(fēng)險(xiǎn)來(lái)設(shè)計(jì)和實(shí)施信息安全管理體系。D選項(xiàng)提到，以上都對(duì)，這是錯(cuò)誤的，因?yàn)锳和B選項(xiàng)的說(shuō)法都是錯(cuò)誤的。因此，正確答案是C選項(xiàng)。63.管理評(píng)審是為了確保信息安全管理體系持續(xù)的（）。A.適宜性B.充分性C.有效性D.以上都是答案：D解析：管理評(píng)審是為了確保信息安全管理體系持續(xù)的適宜性、充分性和有效性。適宜性指的是管理體系是否適合組織的業(yè)務(wù)需求和目標(biāo)；充分性指的是管理體系是否具備足夠的資源和能力來(lái)支持其運(yùn)行；有效性指的是管理體系是否能夠?qū)崿F(xiàn)預(yù)期的效果。因此，選項(xiàng)D“以上都是”是正確的。64.加強(qiáng)網(wǎng)絡(luò)安全性的最重要的基礎(chǔ)措施是（）。A.設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略B.選擇更安全的操作系統(tǒng)C.安裝殺毒軟件D.加強(qiáng)安全教育答案：A解析：網(wǎng)絡(luò)安全性的基礎(chǔ)措施是設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略。有效的網(wǎng)絡(luò)安全策略能夠指導(dǎo)組織和個(gè)人如何保護(hù)其網(wǎng)絡(luò)資產(chǎn)，包括數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施，從而確保網(wǎng)絡(luò)的安全性。選擇更安全的操作系統(tǒng)、安裝殺毒軟件和加強(qiáng)安全教育都是重要的補(bǔ)充措施，但它們不能替代設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略作為最基礎(chǔ)的措施。因此，設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略是加強(qiáng)網(wǎng)絡(luò)安全性的最重要的基礎(chǔ)措施。65.拒絕服務(wù)攻擊損害了下列哪一種信息安全特性？（）A.完整性B.可用性C.機(jī)密性D.可靠性答案：B解析：拒絕服務(wù)攻擊（DoS攻擊）是一種通過(guò)向目標(biāo)系統(tǒng)發(fā)送大量無(wú)效或惡意請(qǐng)求，導(dǎo)致系統(tǒng)資源耗盡，無(wú)法正常處理合法請(qǐng)求的攻擊方式。這種攻擊主要影響的是系統(tǒng)的可用性，即系統(tǒng)無(wú)法為授權(quán)用戶提供正常的服務(wù)。因此，拒絕服務(wù)攻擊損害了信息安全特性中的可用性。選項(xiàng)A完整性是指數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中未被篡改的特性；選項(xiàng)C機(jī)密性是指數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中不被未經(jīng)授權(quán)的人員獲取的特性；選項(xiàng)D可靠性是指系統(tǒng)能夠持續(xù)、穩(wěn)定地運(yùn)行，不出現(xiàn)意外中斷的特性。這些特性與拒絕服務(wù)攻擊的影響無(wú)直接關(guān)系。因此，正確答案是B，即可用性。66.滲透測(cè)試（）。A.可能會(huì)導(dǎo)致業(yè)務(wù)系統(tǒng)無(wú)法正常運(yùn)行拷貝B.是通過(guò)模擬惡意黑客攻擊方法，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法C.滲透測(cè)試人員在局域網(wǎng)中進(jìn)行測(cè)試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測(cè)試報(bào)告D.必須在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)首次使用前進(jìn)行，以確保系統(tǒng)安全答案：B解析：滲透測(cè)試是一種評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的方法，通過(guò)模擬惡意黑客攻擊來(lái)評(píng)估系統(tǒng)的安全性。這種方法可以發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，并輸出滲透測(cè)試報(bào)告，以便及時(shí)修復(fù)和防范潛在的安全威脅。因此，選項(xiàng)B“是通過(guò)模擬惡意黑客攻擊方法，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法”是正確的。選項(xiàng)A“可能會(huì)導(dǎo)致業(yè)務(wù)系統(tǒng)無(wú)法正常運(yùn)行拷貝”和選項(xiàng)D“必須在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)首次使用前進(jìn)行，以確保系統(tǒng)安全”的說(shuō)法都與滲透測(cè)試的定義不符。選項(xiàng)C“滲透測(cè)試人員在局域網(wǎng)中進(jìn)行測(cè)試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測(cè)試報(bào)告”雖然部分正確，但不如選項(xiàng)B全面。67.下面哪一種功能不是防火墻的主要功能？（）A.協(xié)議過(guò)濾B.應(yīng)用網(wǎng)關(guān)C.擴(kuò)展的日志記錄能力D.包交換答案：D解析：防火墻的主要功能包括協(xié)議過(guò)濾、應(yīng)用網(wǎng)關(guān)和擴(kuò)展的日志記錄能力。包交換不是防火墻的主要功能。包交換是網(wǎng)絡(luò)中的一個(gè)基本操作，涉及到數(shù)據(jù)的封裝、路由和傳輸。防火墻在數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)層時(shí)根據(jù)規(guī)則進(jìn)行過(guò)濾，而包交換涉及到更低層的操作，因此不是防火墻的主要功能。所以，正確答案是D選項(xiàng)，即包交換。68.關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是（）。A.負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參于了審核B.負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C.負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D.負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員答案：C解析：根據(jù)信息安全管理體系認(rèn)證的相關(guān)要求，負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核，以避免利益沖突和潛在的不公平現(xiàn)象。因此，選項(xiàng)C“負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核”是正確的。選項(xiàng)A、B和D都與這一要求不符。69.《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)。A.半年B.1年C.1.5年D.2年答案：D解析：《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每?jī)赡曛辽龠M(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)。因此，正確選項(xiàng)為D，即“2年”。其他選項(xiàng)半年、1年、1.5年均不符合規(guī)定。70.以下哪一項(xiàng)有助于檢測(cè)入侵者對(duì)服務(wù)器系統(tǒng)日志的改動(dòng)？（）A.在另一臺(tái)服務(wù)器鏡像該系統(tǒng)日志B.在一塊一次寫(xiě)磁盤(pán)上同時(shí)復(fù)制該系統(tǒng)日志C.將保存系統(tǒng)日志的目錄設(shè)為寫(xiě)保護(hù)D.異地保存該系統(tǒng)日志的備份答案：B解析：入侵者可能會(huì)篡改服務(wù)器系統(tǒng)日志，以掩蓋其活動(dòng)或掩蓋證據(jù)。為了檢測(cè)這種篡改，我們需要確保日志的完整性和不可變性。A選項(xiàng)：在另一臺(tái)服務(wù)器鏡像該系統(tǒng)日志。這種方法并不能保證日志的不可變性，因?yàn)槿肭终呖赡芡瑫r(shí)篡改鏡像的日志。B選項(xiàng)：在一塊一次寫(xiě)磁盤(pán)上同時(shí)復(fù)制該系統(tǒng)日志。一次寫(xiě)磁盤(pán)（WriteOnceMedia）的特點(diǎn)是數(shù)據(jù)只能寫(xiě)入一次，寫(xiě)入后不能更改。因此，在這種磁盤(pán)上復(fù)制的系統(tǒng)日志是不可變的，一旦寫(xiě)入，任何嘗試篡改的行為都會(huì)被記錄下來(lái)。C選項(xiàng)：將保存系統(tǒng)日志的目錄設(shè)為寫(xiě)保護(hù)。雖然這可以防止對(duì)日志的寫(xiě)入，但并不能阻止對(duì)已有日志的讀取和刪除，因此不能保證日志的完整性。D選項(xiàng)：異地保存該系統(tǒng)日志的備份。這種方法雖然可以保存日志的備份，但并不能保證備份的日志是原始且未被篡改的。因此，為了確保系統(tǒng)日志的完整性和不可變性，最佳選擇是在一塊一次寫(xiě)磁盤(pán)上同時(shí)復(fù)制該系統(tǒng)日志。這樣，任何對(duì)日志的篡改都會(huì)被記錄下來(lái)，從而有助于檢測(cè)入侵者的活動(dòng)。71.加密技術(shù)可以保護(hù)信息的（）。A.機(jī)密性B.完整性C.可用性D.A+B答案：D解析：在信息安全領(lǐng)域中，加密技術(shù)被廣泛應(yīng)用來(lái)確保信息的機(jī)密性和完整性。機(jī)密性指的是信息不被未經(jīng)授權(quán)的人獲取；完整性指的是信息在傳輸過(guò)程中沒(méi)有被篡改。因此，加密技術(shù)可以保護(hù)信息的機(jī)密性和完整性，故正確答案為D。選項(xiàng)A和B都是正確的，因?yàn)樗鼈兌忌婕暗郊用芗夹g(shù)的主要目的，但選項(xiàng)D涵蓋了這兩個(gè)方面，因此是最佳選擇。72.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行（）。A.國(guó)家經(jīng)營(yíng)B.地方經(jīng)營(yíng)C.許可制度D.備案制度答案：C解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度。因此，正確答案為C選項(xiàng)，即“許可制度”。其他選項(xiàng)A、B、D均不符合該法規(guī)的規(guī)定。73.關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說(shuō)法正確的是（）。A.指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B.指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C.指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D.指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用答案：A解析：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求指的是關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。這一要求旨在確保在關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)過(guò)程中，安全技術(shù)措施能夠得到充分的規(guī)劃和實(shí)施，以保障網(wǎng)絡(luò)安全。因此，選項(xiàng)A“指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”是正確的說(shuō)法。選項(xiàng)B、C、D均不符合這一法律規(guī)定。74.在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說(shuō)法正確的是（）。A.技術(shù)符合性評(píng)審即滲透測(cè)試B.技術(shù)符合性評(píng)審即漏洞掃描與滲透測(cè)試的結(jié)合C.滲透測(cè)試與漏洞描述可以替代風(fēng)險(xiǎn)評(píng)估D.滲透測(cè)試與漏洞描述不可替代風(fēng)險(xiǎn)評(píng)估答案：D解析：技術(shù)符合性評(píng)審是一個(gè)全面的評(píng)估過(guò)程，用于確認(rèn)技術(shù)實(shí)施是否滿足相關(guān)標(biāo)準(zhǔn)、法規(guī)或業(yè)務(wù)需求。滲透測(cè)試是評(píng)估系統(tǒng)安全性的方法，通過(guò)模擬攻擊者行為來(lái)測(cè)試系統(tǒng)的安全性；漏洞掃描則是自動(dòng)或半自動(dòng)地檢測(cè)系統(tǒng)中存在的已知漏洞。盡管滲透測(cè)試和漏洞掃描是技術(shù)符合性評(píng)審中可能使用的工具，但它們并不能完全代表技術(shù)符合性評(píng)審。技術(shù)符合性評(píng)審還可能包括其他方面的評(píng)估，如配置檢查、性能評(píng)估等。選項(xiàng)A將技術(shù)符合性評(píng)審等同于滲透測(cè)試，過(guò)于狹隘；選項(xiàng)B將技術(shù)符合性評(píng)審等同于漏洞掃描與滲透測(cè)試的結(jié)合，同樣過(guò)于局限；選項(xiàng)C提出滲透測(cè)試與漏洞描述可以替代風(fēng)險(xiǎn)評(píng)估，但風(fēng)險(xiǎn)評(píng)估是一個(gè)更廣泛的概念，包括了對(duì)技術(shù)、操作、管理等多個(gè)方面的評(píng)估，滲透測(cè)試和漏洞描述只是其中的一部分。因此，選項(xiàng)D“滲透測(cè)試與漏洞描述不可替代風(fēng)險(xiǎn)評(píng)估”是正確的。75.以下做法不正確的是（）。A.保留含有敏感信息的介質(zhì)的處置記錄B.將大量含有信息的介質(zhì)匯集在一起時(shí)提高其總體敏感性等級(jí)C.將所有的已用過(guò)一面的復(fù)印紙分配各部門(mén)復(fù)用以符合組織的節(jié)能降耗策略D.依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果將維修更換下來(lái)的磁盤(pán)交第三方按雙方約定的程序進(jìn)行處置答案：C解析：題目要求找出不正確的做法。A選項(xiàng)提到保留含有敏感信息的介質(zhì)的處置記錄，這是為了追蹤和確保敏感信息的安全處理，符合信息安全的原則。B選項(xiàng)提到將大量含有信息的介質(zhì)匯集在一起時(shí)提高其總體敏感性等級(jí)，這有助于統(tǒng)一管理和保護(hù)敏感信息，也是合理的做法。D選項(xiàng)依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果將維修更換下來(lái)的磁盤(pán)交第三方按雙方約定的程序進(jìn)行處置，這是基于風(fēng)險(xiǎn)評(píng)估的安全處置策略，同樣是正確的。而C選項(xiàng)將所有的已用過(guò)一面的復(fù)印紙分配各部門(mén)復(fù)用以符合組織的節(jié)能降耗策略，這種做法可能會(huì)增加敏感信息泄露的風(fēng)險(xiǎn)，因?yàn)閺?fù)印紙可能包含敏感信息，而重復(fù)使用可能會(huì)使這些信息被不當(dāng)獲取或泄露。因此，C選項(xiàng)是不正確的做法。76.《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)再接受其注冊(cè)申請(qǐng)。A.2年B.3年C.4年D.5年答案：D解析：根據(jù)《中華人民共和國(guó)認(rèn)證認(rèn)可條例》的規(guī)定，認(rèn)證人員若被撤銷職業(yè)資格，則在5年內(nèi)，認(rèn)可機(jī)構(gòu)不能再接受其注冊(cè)申請(qǐng)。因此，正確選項(xiàng)為D，即5年。77.以下關(guān)于入侵檢測(cè)系統(tǒng)功能的敘述中，（）是不正確的。A.僅保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入B.評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C.分識(shí)別已知的攻擊行為D.統(tǒng)計(jì)分析異常行為答案：A解析：入侵檢測(cè)系統(tǒng)（IDS）是一種用于檢測(cè)網(wǎng)絡(luò)或系統(tǒng)中未經(jīng)授權(quán)或惡意活動(dòng)的系統(tǒng)。它通常用于監(jiān)控網(wǎng)絡(luò)流量、系統(tǒng)日志和其他相關(guān)數(shù)據(jù)源，以識(shí)別潛在的攻擊或異常行為。選項(xiàng)A"僅保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入"是不正確的。入侵檢測(cè)系統(tǒng)的主要功能之一是檢測(cè)網(wǎng)絡(luò)中的異常行為，但它并不直接“保護(hù)”內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入。它更像是一個(gè)警報(bào)系統(tǒng)，當(dāng)檢測(cè)到異常行為時(shí)，它可以向管理員發(fā)出警告，但并不能直接阻止非法用戶的侵入。選項(xiàng)B"評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性"是入侵檢測(cè)系統(tǒng)的一個(gè)功能。它可以幫助管理員識(shí)別是否有未經(jīng)授權(quán)的對(duì)系統(tǒng)關(guān)鍵資源或數(shù)據(jù)文件的訪問(wèn)或修改。選項(xiàng)C"識(shí)別已知的攻擊行為"是入侵檢測(cè)系統(tǒng)的一個(gè)基本功能。它通常包含已知的攻擊模式或簽名，當(dāng)檢測(cè)到這些模式或簽名時(shí)，系統(tǒng)會(huì)發(fā)出警告。選項(xiàng)D"統(tǒng)計(jì)分析異常行為"是入侵檢測(cè)系統(tǒng)的一個(gè)重要功能。通過(guò)對(duì)網(wǎng)絡(luò)流量、系統(tǒng)日志等數(shù)據(jù)的統(tǒng)計(jì)分析，系統(tǒng)可以識(shí)別出異常行為模式，從而提前發(fā)現(xiàn)潛在的攻擊。因此，不正確的敘述是選項(xiàng)A"僅保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入"。78.信息安全管理體系標(biāo)準(zhǔn)族中關(guān)于信息安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)是（）。A.ISO/IEC27002B.ISO/IEC27003C.ISO/IEC27004D.ISO/IEC27005答案：D解析：信息安全管理體系標(biāo)準(zhǔn)族中，關(guān)于信息安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)是ISO/IEC27005。ISO/IEC27002是信息安全管理體系的標(biāo)準(zhǔn)，ISO/IEC27003是信息安全控制實(shí)施指南的標(biāo)準(zhǔn)，ISO/IEC27004是信息安全管理體系審核和認(rèn)證機(jī)構(gòu)運(yùn)作指南的標(biāo)準(zhǔn)。因此，正確答案是D，即ISO/IEC27005。79.一個(gè)信息安全事件由單個(gè)的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性。A.已經(jīng)發(fā)生B.可能發(fā)生C.意外D.A+B+C答案：C解析：根據(jù)題目中的描述，信息安全事件是由單個(gè)或一系列的有害或一系列“信息安全事態(tài)”組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性。因此，選項(xiàng)C“意外”符合題目描述，而選項(xiàng)A“已經(jīng)發(fā)生”、選項(xiàng)B“可能發(fā)生”和選項(xiàng)D“A+B+C”都不符合題目描述。因此，正確答案是C。80.數(shù)據(jù)簽名可以有效對(duì)付哪一類信息安全的風(fēng)險(xiǎn)？（）A.非授權(quán)地閱讀B.盜竊C.非授權(quán)地復(fù)制D.篡改答案：D解析：數(shù)據(jù)簽名是一種用于驗(yàn)證數(shù)據(jù)完整性和來(lái)源的技術(shù)。它可以確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改，并且數(shù)據(jù)是由預(yù)期的發(fā)送者發(fā)送的。因此，數(shù)據(jù)簽名可以有效對(duì)付信息安全中的篡改風(fēng)險(xiǎn)。選項(xiàng)A、B、C分別對(duì)應(yīng)非授權(quán)地閱讀、盜竊和非授權(quán)地復(fù)制，這些風(fēng)險(xiǎn)雖然也是信息安全中需要防范的，但數(shù)據(jù)簽名并不能直接對(duì)抗這些風(fēng)險(xiǎn)。因此，正確答案是D，即篡改。多選題（共20題，共20分）81.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于（）。A.指導(dǎo)組織建立信息安全管理體系B.為組織建立信息安全管理體系提供控制措施的實(shí)施指南C.審核員實(shí)施審核的依據(jù)D.以上都不對(duì)答案：AC解析：《GB/T22080-2016/ISO/IEC27001:2013》是一個(gè)國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，它是信息安全管理體系的標(biāo)準(zhǔn)，其目的是指導(dǎo)組織建立信息安全管理體系。這個(gè)標(biāo)準(zhǔn)提供了一個(gè)框架和一系列的控制措施，用于幫助組織實(shí)施和維護(hù)信息安全管理體系。因此，該標(biāo)準(zhǔn)可用于指導(dǎo)組織建立信息安全管理體系（A）以及為組織建立信息安全管理體系提供控制措施的實(shí)施指南（B）。但是，它并不直接用于審核員實(shí)施審核的依據(jù)，審核員實(shí)施審核的依據(jù)通常是其他的審核標(biāo)準(zhǔn)或指南。因此，選項(xiàng)D“以上都不對(duì)”是不正確的。所以，正確答案是A和C。82.撤銷對(duì)信息和信息處理設(shè)施的訪的權(quán)針對(duì)的是（）。A.組織雇員離職的情況B.組織雇員轉(zhuǎn)崗的情況C.臨時(shí)任務(wù)結(jié)束的情況D.員工出差答案：ABC解析：撤銷對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)通常是為了確保信息的安全性和保密性。當(dāng)組織雇員離職、轉(zhuǎn)崗或臨時(shí)任務(wù)結(jié)束時(shí)，他們可能不再需要訪問(wèn)這些信息或設(shè)施，因此應(yīng)該撤銷他們的訪問(wèn)權(quán)。員工出差的情況通常不會(huì)涉及到撤銷訪問(wèn)權(quán)，因?yàn)樗麄內(nèi)匀恍枰L問(wèn)相關(guān)信息或設(shè)施以完成出差任務(wù)。因此，選項(xiàng)A、B、C是正確的。83.信息安全管理體系績(jī)效測(cè)量的開(kāi)發(fā)包括（）。A.選擇目標(biāo)和特性B.確定分析模型C.確定測(cè)量指標(biāo)D.確定決策準(zhǔn)則答案：ABCD解析：信息安全管理體系績(jī)效測(cè)量的開(kāi)發(fā)是一個(gè)復(fù)雜的過(guò)程，需要綜合考慮多個(gè)方面。首先，需要明確測(cè)量的目標(biāo)和特性，以確定測(cè)量的方向和重點(diǎn)。其次，需要確定分析模型，以便對(duì)收集到的數(shù)據(jù)進(jìn)行有效的分析和評(píng)估。然后，需要確定具體的測(cè)量指標(biāo)，以量化績(jī)效的各個(gè)方面。最后，需要確定決策準(zhǔn)則，以便根據(jù)測(cè)量結(jié)果做出合理的決策。因此，選項(xiàng)A、B、C和D都是信息安全管理體系績(jī)效測(cè)量開(kāi)發(fā)中不可或缺的部分。84.以下哪幾項(xiàng)可以實(shí)現(xiàn)和保持對(duì)組織信息資產(chǎn)的適當(dāng)保護(hù)（）。A.形成重要資產(chǎn)清單，并加以維護(hù)B.購(gòu)買相同設(shè)備類型中價(jià)值最高的產(chǎn)品C.確定所有資產(chǎn)的責(zé)任人D.制定合乎公司要求的資產(chǎn)使用規(guī)則答案：ACD解析：選項(xiàng)A“形成重要資產(chǎn)清單，并加以維護(hù)”是確保對(duì)組織信息資產(chǎn)適當(dāng)保護(hù)的重要步驟。通過(guò)形成資產(chǎn)清單，組織可以明確知道其擁有的資產(chǎn)，并對(duì)其進(jìn)行適當(dāng)?shù)木S護(hù)和管理，以確保其安全性和完整性。選項(xiàng)C“確定所有資產(chǎn)的責(zé)任人”是確保資產(chǎn)得到適當(dāng)保護(hù)的關(guān)鍵。通過(guò)明確責(zé)任人，可以確保資產(chǎn)得到適當(dāng)?shù)年P(guān)注和維護(hù)，并及時(shí)處理任何潛在的安全問(wèn)題。選項(xiàng)D“制定合乎公司要求的資產(chǎn)使用規(guī)則”是保護(hù)組織信息資產(chǎn)的重要措施。通過(guò)制定明確的資產(chǎn)使用規(guī)則，可以確保員工在使用資產(chǎn)時(shí)遵循統(tǒng)一的標(biāo)準(zhǔn)和程序，減少誤用或?yàn)E用資產(chǎn)的風(fēng)險(xiǎn)。選項(xiàng)B“購(gòu)買相同設(shè)備類型中價(jià)值最高的產(chǎn)品”雖然可能提高設(shè)備的性能和質(zhì)量，但并不直接涉及到對(duì)組織信息資產(chǎn)的適當(dāng)保護(hù)。購(gòu)買高價(jià)產(chǎn)品并不一定意味著資產(chǎn)得到更好的保護(hù)，因此，該選項(xiàng)與題目要求不符。85.網(wǎng)絡(luò)攻擊的方式包括（）。A.信息搜集B.信息竊取C.系統(tǒng)利用D.資源損耗答案：ABCD解析：網(wǎng)絡(luò)攻擊的方式多種多樣，其中信息搜集、信息竊取、系統(tǒng)利用和資源損耗是常見(jiàn)的幾種方式。信息搜集是指攻擊者通過(guò)收集目標(biāo)網(wǎng)絡(luò)的信息，了解網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備配置、用戶行為等，為進(jìn)一步的攻擊做準(zhǔn)備。信息竊取是指攻擊者通過(guò)非法手段獲取目標(biāo)網(wǎng)絡(luò)中的敏感信息，如用戶密碼、個(gè)人數(shù)據(jù)等。系統(tǒng)利用是指攻擊者利用目標(biāo)網(wǎng)絡(luò)中的漏洞或安全缺陷，對(duì)系統(tǒng)進(jìn)行非法訪問(wèn)或控制。資源損耗是指攻擊者通過(guò)大量請(qǐng)求或惡意代碼，消耗目標(biāo)網(wǎng)絡(luò)的帶寬、存儲(chǔ)資源等，導(dǎo)致網(wǎng)絡(luò)性能下降或服務(wù)中斷。因此，選項(xiàng)A、B、C和D都是網(wǎng)絡(luò)攻擊的方式。86.對(duì)于某企業(yè)作為數(shù)據(jù)中心備用發(fā)電機(jī)用油的20噸油庫(kù)，以下符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求的做法是（）。A.將油庫(kù)識(shí)別為重要危險(xiǎn)源進(jìn)行風(fēng)險(xiǎn)防控B.油庫(kù)的防雷檢測(cè)不列為信息安全管理體系審核范圍C.對(duì)備用發(fā)電機(jī)定期進(jìn)行帶載測(cè)試D.油庫(kù)通過(guò)了當(dāng)?shù)叵啦块T(mén)的驗(yàn)收，可替代定期風(fēng)險(xiǎn)評(píng)估答案：AC解析：A選項(xiàng)：將油庫(kù)識(shí)別為重要危險(xiǎn)源進(jìn)行風(fēng)險(xiǎn)防控。根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，企業(yè)需要對(duì)重要的危險(xiǎn)源進(jìn)行識(shí)別，并采取相應(yīng)的風(fēng)險(xiǎn)防控措施。油庫(kù)作為數(shù)據(jù)中心備用發(fā)電機(jī)用油的重要來(lái)源，其安全性對(duì)于保障數(shù)據(jù)中心正常運(yùn)行至關(guān)重要。因此，將油庫(kù)識(shí)別為重要危險(xiǎn)源并進(jìn)行風(fēng)險(xiǎn)防控是符合標(biāo)準(zhǔn)的做法。B選項(xiàng)：油庫(kù)的防雷檢測(cè)不列為信息安全管理體系審核范圍。雖然防雷檢測(cè)對(duì)于保障油庫(kù)安全有一定作用，但與信息安全管理體系的審核范圍不太相關(guān)。信息安全管理體系主要關(guān)注與信息系統(tǒng)安全相關(guān)的信息資產(chǎn)和活動(dòng)，防雷檢測(cè)更多的是涉及物理設(shè)施的安全，因此不列為信息安全管理體系審核范圍。C選項(xiàng)：對(duì)備用發(fā)電機(jī)定期進(jìn)行帶載測(cè)試。備用發(fā)電機(jī)在數(shù)據(jù)中心中起到關(guān)鍵的保障作用，定期對(duì)其進(jìn)行帶載測(cè)試可以確保其在實(shí)際應(yīng)急情況下能夠正常工作。這是符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求的做法。D選項(xiàng)：油庫(kù)通過(guò)了當(dāng)?shù)叵啦块T(mén)的驗(yàn)收，可替代定期風(fēng)險(xiǎn)評(píng)估。雖然消防部門(mén)的驗(yàn)收可以確保油庫(kù)符合一定的安全標(biāo)準(zhǔn)，但并不能替代定期的風(fēng)險(xiǎn)評(píng)估。定期風(fēng)險(xiǎn)評(píng)估可以更全面地識(shí)別和控制油庫(kù)及整個(gè)數(shù)據(jù)中心的風(fēng)險(xiǎn)。綜上所述，符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求的做法是A和C選項(xiàng)。87.以下說(shuō)法不正確的是（）。A.信息安全管理體系審核是信息系統(tǒng)審計(jì)的一種B.信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C.組織對(duì)信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D.如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過(guò)風(fēng)險(xiǎn)評(píng)估答案：ABD解析：A選項(xiàng)：信息安全管理體系審核不等同于信息系統(tǒng)審計(jì)。信息安全管理體系審核是對(duì)組織信息安全管理體系的符合性和有效性進(jìn)行評(píng)估，而信息系統(tǒng)審計(jì)是對(duì)信息系統(tǒng)安全性的全面檢查，兩者在目的、方法和內(nèi)容上都有所不同。因此，A選項(xiàng)不正確。B選項(xiàng)：信息安全技術(shù)應(yīng)用的程度并不能決定信息安全管理體系認(rèn)證審核的結(jié)論。信息安全管理體系認(rèn)證審核關(guān)注的是組織信息安全管理體系的符合性和有效性，而不是信息安全技術(shù)應(yīng)用的程度。因此，B選項(xiàng)不正確。C選項(xiàng)：組織對(duì)信息安全威脅的分析確實(shí)是信息安全管理體系審核關(guān)注的要素之一。信息安全管理體系審核需要評(píng)估組織對(duì)信息安全威脅的識(shí)別、評(píng)估和控制能力，以確保組織能夠應(yīng)對(duì)各種信息安全威脅。因此，C選項(xiàng)是正確的。D選項(xiàng)：即使組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，信息安全管理體系審核仍然需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。業(yè)務(wù)連續(xù)性管理體系認(rèn)證關(guān)注的是組織在業(yè)務(wù)中斷時(shí)的恢復(fù)能力，而信息安全管理體系審核關(guān)注的是組織信息安全管理體系的符合性和有效性，兩者并不等同。因此，D選項(xiàng)不正確。綜上所述，不正確的選項(xiàng)是A、B和D。88.按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）。A.局域網(wǎng)B.城域網(wǎng)C.廣域網(wǎng)D.區(qū)域網(wǎng)答案