本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2017年09月基礎(chǔ)知識（改考前）答案及解析單選題（共49題，共49分）1.（）屬于管理脆弱性的識別對象。A.物理環(huán)境B.網(wǎng)絡(luò)結(jié)構(gòu)C.應(yīng)用系統(tǒng)D.技術(shù)管理答案：D解析：管理脆弱性是指組織在管理和運(yùn)營過程中存在的漏洞或不足，可能導(dǎo)致安全威脅或風(fēng)險。識別管理脆弱性需要關(guān)注組織的管理流程、政策、程序以及人員的行為等方面。技術(shù)管理是組織在技術(shù)應(yīng)用和管理方面所采取的措施和策略，它直接涉及到組織如何管理其技術(shù)環(huán)境，包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)等。因此，技術(shù)管理是管理脆弱性的識別對象之一。物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)雖然與技術(shù)管理相關(guān)，但它們更多地是技術(shù)脆弱性的識別對象。所以，正確答案是D，即技術(shù)管理是管理脆弱性的識別對象。2.ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響，但不包括（）。A.業(yè)務(wù)要求變更B.合同義務(wù)變更C.安全要求的變更D.以上都不對答案：D解析：題目中要求找出ISMS管理評審的輸出中不應(yīng)包括的內(nèi)容。根據(jù)ISMS（信息安全管理體系）的管理實踐，管理評審的輸出通常會考慮各種變更對安全規(guī)程和控制措施的影響。這些變更可能包括業(yè)務(wù)要求的變更、合同義務(wù)的變更以及安全要求的變更。因此，選項A“業(yè)務(wù)要求變更”、選項B“合同義務(wù)變更”和選項C“安全要求的變更”都是管理評審輸出中應(yīng)考慮的變更類型。而選項D“以上都不對”表示上述所有變更類型都是管理評審輸出中應(yīng)考慮的內(nèi)容，這與題目要求找出不應(yīng)包括的內(nèi)容相矛盾。因此，正確答案是選項C“安全要求的變更”。3.（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，他可能是對信息安全方針的違反或控制措施的失效，或是利安全相關(guān)的一個先前未知的狀態(tài)。A.信息安全事態(tài)B.信息安全事件C.信息安全事故D.信息安全故障答案：A解析：信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，他可能是對信息安全方針的違反或控制措施的失效，或是利安全相關(guān)的一個先前未知的狀態(tài)。信息安全事態(tài)可能是對信息安全方針的違反或控制措施的失效，也可能是一個先前未知的狀態(tài)。根據(jù)給出的選項，選項A“信息安全事態(tài)”與題干描述相符。因此，答案為A。4.關(guān)于“關(guān)鍵信息基礎(chǔ)設(shè)施”的行業(yè)和領(lǐng)域，以下說法不正確的是（）。A.關(guān)鍵信息基礎(chǔ)設(shè)施包括公共通信和信息服務(wù)、能源、交通、公共服務(wù)B.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、醫(yī)療、教育、電子政務(wù)C.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、水利、電子政務(wù)D.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、水利、金融、金融、公共服務(wù)、電子政務(wù)答案：B解析：關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等多個行業(yè)和領(lǐng)域。選項B中的醫(yī)療并沒有包含在關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)和領(lǐng)域中，因此不正確。其他選項A、C、D都正確描述了關(guān)鍵信息基礎(chǔ)設(shè)施的部分行業(yè)和領(lǐng)域。因此，答案是B。5.關(guān)于中國認(rèn)證認(rèn)可相關(guān)活動的監(jiān)督管理機(jī)制，以下說法正確的是（）。A.CNCA對CNAS、CCAA、認(rèn)證機(jī)構(gòu)依法實施監(jiān)督管理B.CNCA依法監(jiān)管CNAS，CNAS依法監(jiān)管認(rèn)證機(jī)構(gòu)C.CCAA依法監(jiān)管認(rèn)證機(jī)構(gòu)，CNCA依法監(jiān)管CNASD.CCAA依法監(jiān)管認(rèn)證人員，CNAS依法監(jiān)管認(rèn)證機(jī)構(gòu)，CNCA依法監(jiān)管CNAS答案：A解析：根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》的規(guī)定，國家認(rèn)證認(rèn)可監(jiān)督管理委員會（CNCA）對認(rèn)證機(jī)構(gòu)、認(rèn)可機(jī)構(gòu)以及認(rèn)證培訓(xùn)、咨詢機(jī)構(gòu)等相關(guān)機(jī)構(gòu)和人員依法實施監(jiān)督管理。其中，CNAS（中國合格評定國家認(rèn)可委員會）和CCAA（中國認(rèn)證認(rèn)可協(xié)會）都是CNCA監(jiān)管下的機(jī)構(gòu)。因此，選項A“CNCA對CNAS、CCAA、認(rèn)證機(jī)構(gòu)依法實施監(jiān)督管理”是正確的說法。選項B、C、D的說法均不符合條例的規(guī)定。6.ISO/IEC2700標(biāo)準(zhǔn)族中關(guān)于信息安全管理測量的標(biāo)準(zhǔn)是（）。A.ISO/IEC27002B.ISO/IEC27003C.ISO/IEC27004D.ISO/IEC27005答案：C解析：在ISO/IEC2700標(biāo)準(zhǔn)族中，關(guān)于信息安全管理測量的標(biāo)準(zhǔn)是ISO/IEC27004。該標(biāo)準(zhǔn)提供了對信息安全管理體系（ISMS）的測量、監(jiān)視和審查的指南，以確保組織的信息安全管理體系持續(xù)有效并符合相關(guān)要求。因此，正確答案是C選項，即ISO/IEC27004。7.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)從（）的角度，為建立、實施、運(yùn)行、監(jiān)視、評審、保持和改變文件化的ISMS規(guī)定了要求。A.客戶安全要求B.組織整體業(yè)務(wù)風(fēng)險C.信息安全法律法規(guī)D.以上都不對答案：B解析：題目中提到的是GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)主要是關(guān)于信息安全管理體系（ISMS）的規(guī)定。信息安全管理體系是從組織整體業(yè)務(wù)風(fēng)險的角度來建立的，用于確保組織的信息資產(chǎn)得到適當(dāng)保護(hù)。因此，該標(biāo)準(zhǔn)從組織整體業(yè)務(wù)風(fēng)險的角度為建立、實施、運(yùn)行、監(jiān)視、評審、保持和改變文件化的ISMS規(guī)定了要求。因此，正確選項是B，即“組織整體業(yè)務(wù)風(fēng)險”。其他選項A、C、D均不符合題意。8.保密協(xié)議或不泄露協(xié)議至少應(yīng)包括（）。A.組織和員工雙方的信息安全職責(zé)和責(zé)任B.員工的信息安全職責(zé)和責(zé)任C.組織的信息安全職責(zé)和責(zé)任D.紀(jì)律處罰規(guī)定答案：A解析：保密協(xié)議或不泄露協(xié)議是為了確保組織和員工在信息安全方面的職責(zé)和責(zé)任得到明確和遵守。因此，這樣的協(xié)議應(yīng)該包括組織和員工雙方的信息安全職責(zé)和責(zé)任，以確保雙方都能遵守協(xié)議，保護(hù)組織的信息安全。所以，正確選項是A。選項B只涉及員工的信息安全職責(zé)和責(zé)任，而選項C只涉及組織的信息安全職責(zé)和責(zé)任，都沒有涵蓋雙方的信息安全職責(zé)和責(zé)任，因此都不正確。選項D與保密協(xié)議或不泄露協(xié)議的主要內(nèi)容無關(guān)，因此也不正確。9.對于外部供方提供的軟件包，以下說法正確的是（）。A.組織的人員可隨時對其進(jìn)行實用性調(diào)整B.應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)軟件包的保密性C.應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)其完整性和可用性D.以上都不對答案：C解析：對于外部供方提供的軟件包，應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)其完整性和可用性。這是因為軟件包可能包含關(guān)鍵的商業(yè)邏輯、算法或安全機(jī)制，對其進(jìn)行隨意調(diào)整可能會影響軟件的功能、性能和安全性。同時，保持軟件包的完整性也是尊重知識產(chǎn)權(quán)的表現(xiàn)。因此，選項C“應(yīng)嚴(yán)格限制對軟件包的調(diào)整以保護(hù)其完整性和可用性”是正確的。其他選項A、B和D的說法都不符合這一原則。10.以下說法不正確的是（）。A.信息安全事件管理不包括工業(yè)控制系統(tǒng)安全事件B.工業(yè)控制系統(tǒng)由各種自動化控制組件以及對實時數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件構(gòu)成C.工業(yè)控制系統(tǒng)資產(chǎn)的吸引力是影響信息安全事件可能性的因素之一D.工業(yè)控制系統(tǒng)的保密性、完整性可用性決定了其資產(chǎn)價值答案：A解析：本題為選非題，主要考查工業(yè)控制系統(tǒng)安全事件的相關(guān)信息。A選項表示“信息安全事件管理不包括工業(yè)控制系統(tǒng)安全事件”，這一說法是錯誤的。信息安全事件管理實際上包含了工業(yè)控制系統(tǒng)安全事件的管理，工業(yè)控制系統(tǒng)作為重要的基礎(chǔ)設(shè)施，其安全性也是信息安全事件管理的重要組成部分。B選項表示“工業(yè)控制系統(tǒng)由各種自動化控制組件以及對實時數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件構(gòu)成”，這是正確的描述，工業(yè)控制系統(tǒng)確實是由這些組件構(gòu)成的。C選項表示“工業(yè)控制系統(tǒng)資產(chǎn)的吸引力是影響信息安全事件可能性的因素之一”，這也是正確的。工業(yè)控制系統(tǒng)的資產(chǎn)價值越高，其吸引力也越大，從而更容易成為攻擊目標(biāo)，信息安全事件的可能性也就越高。D選項表示“工業(yè)控制系統(tǒng)的保密性、完整性可用性決定了其資產(chǎn)價值”，這一說法并不完全準(zhǔn)確。雖然保密性、完整性和可用性都是工業(yè)控制系統(tǒng)的重要屬性，但它們并不能完全決定其資產(chǎn)價值。資產(chǎn)價值還受到其他多種因素的影響。因此，不正確的說法是A選項。11.在信息安全管理中進(jìn)行（），可以有效解決人員安全意識薄弱問題。A.內(nèi)容監(jiān)控B.安全數(shù)育和培訓(xùn)C.責(zé)任追查和懲處D.訪問控制答案：B解析：在信息安全管理中，解決人員安全意識薄弱問題的有效方法是進(jìn)行安全教育和培訓(xùn)。通過安全教育和培訓(xùn)，可以提高員工的安全意識，使他們了解并遵守相關(guān)的安全規(guī)定和操作流程，從而降低安全風(fēng)險。因此，選項B“安全數(shù)育和培訓(xùn)”是正確答案。其他選項如內(nèi)容監(jiān)控、責(zé)任追查和懲處、訪問控制等，雖然與信息安全有關(guān)，但并不直接解決人員安全意識薄弱的問題。12.在風(fēng)險評估中進(jìn)行資產(chǎn)的價值估算時，下列哪個不會影響資產(chǎn)的價值（）。A.資產(chǎn)的替代階值B.資產(chǎn)喪失或損壞的業(yè)務(wù)影響C.資產(chǎn)本身的購買價值D.資產(chǎn)的存放位置答案：D解析：在風(fēng)險評估中進(jìn)行資產(chǎn)的價值估算時，資產(chǎn)的替代價值、資產(chǎn)喪失或損壞的業(yè)務(wù)影響以及資產(chǎn)本身的購買價值都會影響資產(chǎn)的價值。而資產(chǎn)的存放位置通常不會直接影響資產(chǎn)的價值，它更多地是一個物理屬性，與資產(chǎn)的實際價值無直接關(guān)系。因此，選項D“資產(chǎn)的存放位置”不會影響資產(chǎn)的價值。13.依據(jù)GBT22080/ISOIEC27001，以下符合責(zé)任分割原則的是（）。A.某數(shù)據(jù)中心機(jī)房運(yùn)維工程師權(quán)某負(fù)責(zé)制定機(jī)房訪問控制策略，為方便巡檢，登錄門禁系統(tǒng)為自己配置個機(jī)房的不限時門禁權(quán)限B.A公司由信息安全官(CIO)負(fù)責(zé)制定訪問控制策略，為信息系統(tǒng)管理員的登錄權(quán)限授權(quán)時，由另外5位副總到場分別輸入自己的口令然后完成授權(quán)C.A公司制定了訪問權(quán)限列表，信息系統(tǒng)權(quán)限分配為：董事長擁有全部權(quán)限，某次為副總，再某次為主管經(jīng)理，依次類推，運(yùn)維工程師因職務(wù)最低，故擁有最少權(quán)限D(zhuǎn).以上均符合責(zé)任分割原則答案：B解析：在GB/T22080/ISO/IEC27001中，責(zé)任分割原則要求組織內(nèi)部不同的責(zé)任部門或人員不能共享訪問權(quán)限，確保不能出現(xiàn)單獨一人擁有過多的權(quán)力。A選項中，運(yùn)維工程師權(quán)某為自己配置不限時門禁權(quán)限，這違反了責(zé)任分割原則，因為權(quán)某獨自擁有過多的權(quán)限。B選項中，信息安全官（CIO）負(fù)責(zé)制定訪問控制策略，并為信息系統(tǒng)管理員的登錄權(quán)限授權(quán)時，需要另外5位副總到場分別輸入自己的口令然后完成授權(quán)。這符合責(zé)任分割原則，因為授權(quán)過程需要多人參與，沒有單獨一人擁有過多的權(quán)力。C選項中，雖然制定了訪問權(quán)限列表，但董事長擁有全部權(quán)限，這同樣違反了責(zé)任分割原則，因為董事長獨自擁有過多的權(quán)限。D選項中，雖然提到“以上均符合責(zé)任分割原則”，但實際上只有B選項符合。因此，符合責(zé)任分割原則的是B選項。14.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.授予認(rèn)證決定的實體不宜推翻審核組的正面結(jié)論B.授予認(rèn)證決定的實體不宜推翻審核組的負(fù)面結(jié)論C.認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D.認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期答案：B解析：在信息安全管理體系認(rèn)證中，審核組會基于客戶的ISMS（信息安全管理體系）進(jìn)行評估，并給出正面或負(fù)面的結(jié)論。根據(jù)審核的準(zhǔn)則，授予認(rèn)證決定的實體（如認(rèn)證機(jī)構(gòu)）不應(yīng)輕易推翻審核組的結(jié)論，特別是當(dāng)審核組給出負(fù)面結(jié)論時。這是因為審核組是基于專業(yè)的知識和經(jīng)驗進(jìn)行評估的，他們的結(jié)論應(yīng)該得到尊重。因此，選項B“授予認(rèn)證決定的實體不宜推翻審核組的負(fù)面結(jié)論”是正確的。對于選項A“授予認(rèn)證決定的實體不宜推翻審核組的正面結(jié)論”，雖然在實際操作中，認(rèn)證機(jī)構(gòu)通常不會隨意推翻正面的結(jié)論，但這并不是絕對的，因為認(rèn)證機(jī)構(gòu)有權(quán)進(jìn)行進(jìn)一步的審核和驗證。選項C“認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核”并不準(zhǔn)確。認(rèn)證機(jī)構(gòu)通常不會直接進(jìn)行內(nèi)部審核，而是基于客戶組織提供的內(nèi)部審核報告和其他相關(guān)文件進(jìn)行評估。選項D“認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評審的周期”也不正確。認(rèn)證機(jī)構(gòu)有自己的審核周期和準(zhǔn)則，他們不會完全遵從客戶組織的內(nèi)部審核和管理評審周期。綜上所述，正確答案是B。15.甲乙二人在同一公司工作，甲是內(nèi)審員，那么甲是否可以審核乙的工作（）。A.可以B.不可以C.不確定D.如果是一個部門就不可以答案：C解析：內(nèi)審員審核工作，一般是審核與其工作不直接相關(guān)的人員或部門的工作。甲作為內(nèi)審員，理論上可以審核乙的工作，但具體能否審核，還取決于公司的內(nèi)部規(guī)定和乙的工作性質(zhì)。因此，無法直接確定甲是否可以審核乙的工作，答案為“不確定”。選項D“如果是一個部門就不可以”也不準(zhǔn)確，因為審核與部門歸屬無直接關(guān)系。因此，正確答案為C“不確定”。16.密碼技術(shù)可以保護(hù)信息的（）。A.保密性B.完整性C.可用性D.A+B答案：D解析：密碼技術(shù)是一種保護(hù)信息安全的手段，它可以保護(hù)信息的保密性和完整性。保密性是指信息不被未經(jīng)授權(quán)的人員獲取，而完整性是指信息在傳輸過程中不被篡改或損壞。因此，選項D“A+B”即保密性和完整性，是密碼技術(shù)可以保護(hù)的信息屬性。17.下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）可用于備份？（）A.需要使用網(wǎng)絡(luò)附加存儲設(shè)備（NAS）時B.不能使用TCP/IP的環(huán)境中C.需要備份舊的備份系統(tǒng)不能處理的文件許可時D.要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時答案：A解析：網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）是一種用于備份網(wǎng)絡(luò)存儲設(shè)備的協(xié)議，它主要用于支持網(wǎng)絡(luò)附加存儲設(shè)備（NAS）的備份。因此，當(dāng)需要使用網(wǎng)絡(luò)附加存儲設(shè)備時，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）可用于備份。其他選項如不能使用TCP/IP的環(huán)境中、需要備份舊的備份系統(tǒng)不能處理的文件許可時、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時等，并不是網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）的典型應(yīng)用場景。18.網(wǎng)絡(luò)上數(shù)據(jù)傳輸時，如何保證數(shù)據(jù)的保密性？（）A.數(shù)據(jù)在傳輸前經(jīng)加密處理B.所有消息附加在HASH值C.網(wǎng)絡(luò)設(shè)備所在的區(qū)域加強(qiáng)安全警戒D.電纜作安全保護(hù)答案：A解析：在網(wǎng)絡(luò)上數(shù)據(jù)傳輸時，保證數(shù)據(jù)的保密性非常重要。為了確保數(shù)據(jù)的安全，需要在傳輸前對數(shù)據(jù)進(jìn)行加密處理。這種加密技術(shù)可以對數(shù)據(jù)進(jìn)行編碼，使其無法被未經(jīng)授權(quán)的人員讀取或理解。加密處理可以有效防止數(shù)據(jù)在傳輸過程中被竊取或篡改，從而保護(hù)數(shù)據(jù)的機(jī)密性和完整性。選項A提到“數(shù)據(jù)在傳輸前經(jīng)加密處理”，這與保護(hù)數(shù)據(jù)保密性的目標(biāo)相符。選項B提到“所有消息附加在HASH值”，HASH值主要用于驗證數(shù)據(jù)的完整性和真實性，而不是用于加密。因此，它與保護(hù)數(shù)據(jù)的保密性無關(guān)。選項C提到“網(wǎng)絡(luò)設(shè)備所在的區(qū)域加強(qiáng)安全警戒”，雖然這可以加強(qiáng)網(wǎng)絡(luò)安全，但與確保數(shù)據(jù)傳輸時的保密性沒有直接關(guān)系。選項D提到“電纜作安全保護(hù)”，雖然電纜的安全保護(hù)可以防止物理破壞，但并不能直接保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?。因此，正確答案是A，即“數(shù)據(jù)在傳輸前經(jīng)加密處理”。19.由認(rèn)可機(jī)構(gòu)對認(rèn)證機(jī)構(gòu)、檢測機(jī)構(gòu)、實驗室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動是（）。A.認(rèn)證B.認(rèn)可C.審核D.評審答案：B解析：題目中提到的“由認(rèn)可機(jī)構(gòu)對認(rèn)證機(jī)構(gòu)、檢測機(jī)構(gòu)、實驗室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動”描述的是認(rèn)可機(jī)構(gòu)對認(rèn)證活動人員的能力和執(zhí)業(yè)資格進(jìn)行承認(rèn)的過程。在認(rèn)證、認(rèn)可、審核和評審中，認(rèn)可是指權(quán)威機(jī)構(gòu)對機(jī)構(gòu)或人員的能力、資格、結(jié)果等進(jìn)行承認(rèn)的行為。因此，答案為B，即認(rèn)可。20.下列哪項不是監(jiān)督審核的目的？（）A.驗證認(rèn)證通過的ISMS是否得以持續(xù)實現(xiàn)B.驗證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化C.確認(rèn)是否持續(xù)符合認(rèn)證要求D.做出是否換發(fā)證書的決定答案：D解析：監(jiān)督審核的目的是驗證認(rèn)證通過的ISMS是否得以持續(xù)實現(xiàn)，驗證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化，以及確認(rèn)是否持續(xù)符合認(rèn)證要求。而做出是否換發(fā)證書的決定并不是監(jiān)督審核的目的，而是認(rèn)證機(jī)構(gòu)根據(jù)審核結(jié)果和組織的持續(xù)符合性來決定的。因此，選項D不是監(jiān)督審核的目的。21.下列哪項事情是審核員不必要做的？（）A.對接觸到的客戶信息進(jìn)行保密B.客觀公正的給出審核結(jié)論C.關(guān)注客戶的喜好D.盡量使用客戶熟悉的表達(dá)方式答案：C解析：審核員的主要職責(zé)是確保審核過程的客觀公正，并基于審核結(jié)果給出結(jié)論。因此，選項A“對接觸到的客戶信息進(jìn)行保密”、選項B“客觀公正的給出審核結(jié)論”和選項D“盡量使用客戶熟悉的表達(dá)方式”都是審核員應(yīng)該做的事情。然而，選項C“關(guān)注客戶的喜好”并不是審核員的核心職責(zé)。審核員應(yīng)該專注于審核過程和結(jié)果，而不是客戶的個人喜好。因此，C選項是審核員不必要做的事情。22.在現(xiàn)場審核結(jié)束之前，下列哪項活動不是必須的？（）A.關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說明B.審核現(xiàn)場發(fā)現(xiàn)的不符合C.提供審核報告D.聽取客戶對審核發(fā)現(xiàn)提出的問題答案：C解析：本題考查的是審核流程的相關(guān)知識。在現(xiàn)場審核結(jié)束之前，審核組需要確保完成所有的審核活動，以確保審核的準(zhǔn)確性和有效性。關(guān)于客戶組織ISMS與認(rèn)證要求之間的符合性說明、審核現(xiàn)場發(fā)現(xiàn)的不符合和聽取客戶對審核發(fā)現(xiàn)提出的問題，都是在現(xiàn)場審核過程中必要的步驟。然而，提供審核報告是在現(xiàn)場審核結(jié)束后進(jìn)行的，不是在現(xiàn)場審核結(jié)束之前必須的。因此，正確答案是C，即提供審核報告。24.《中華人民共和國網(wǎng)絡(luò)安全法》的實施時間是（）。A.42522B.42681C.42887D.43046答案：C解析：《中華人民共和國網(wǎng)絡(luò)安全法》的實施時間是2017年6月1日，即42887。因此，正確答案為C。其他選項A、B、D都不是正確的實施時間。25.下列哪種方式會消耗掉有價值的網(wǎng)絡(luò)寬帶？（）A.特洛伊木馬B.陷阱門C.蠕蟲D.疫苗答案：C解析：特洛伊木馬、陷阱門和疫苗都是計算機(jī)安全領(lǐng)域中的術(shù)語，但它們不會直接消耗有價值的網(wǎng)絡(luò)寬帶。特洛伊木馬是一種惡意軟件，通常用于攻擊或控制受害者的計算機(jī)，但它本身不會直接占用網(wǎng)絡(luò)帶寬。陷阱門是一種安全漏洞，允許授權(quán)用戶訪問受限資源，但它也不會直接消耗網(wǎng)絡(luò)帶寬。疫苗則是用于預(yù)防計算機(jī)病毒或惡意軟件的程序，它同樣不會消耗網(wǎng)絡(luò)帶寬。而蠕蟲是一種能夠自我復(fù)制并通過網(wǎng)絡(luò)傳播的惡意軟件，它會占用大量的網(wǎng)絡(luò)帶寬來傳播自身，因此會消耗有價值的網(wǎng)絡(luò)寬帶。因此，正確答案是C，即蠕蟲。26.風(fēng)險評估過程一般應(yīng)包括（）。A.風(fēng)險識別B.風(fēng)險分析C.風(fēng)險評價D.以上全部答案：D解析：在風(fēng)險評估過程中，通常會依次進(jìn)行風(fēng)險識別、風(fēng)險分析和風(fēng)險評價這三個步驟。風(fēng)險識別是對潛在的風(fēng)險進(jìn)行識別和列舉的過程，風(fēng)險分析是對已識別的風(fēng)險進(jìn)行定性或定量分析的過程，而風(fēng)險評價則是對風(fēng)險的程度進(jìn)行判斷，并根據(jù)風(fēng)險的程度采取相應(yīng)的措施。因此，題目中的選項“D以上全部”是正確的，因為它包括了風(fēng)險評估過程中的所有步驟。27.關(guān)于GB/T22081-2016/ISO/IEC27002:2013，以下說法錯誤的是（）。A.該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B.該標(biāo)準(zhǔn)中給出了ISO/IEC27001附錄A中所有控制措施的應(yīng)用指南C.該標(biāo)準(zhǔn)給出了ISMS的實施指南D.該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》答案：D解析：A選項提到GB/T22081-2016/ISO/IEC27002:2013是一個指南類標(biāo)準(zhǔn)，這是正確的，因為它確實為信息安全管理體系（ISMS）提供了實施指南。B選項提到該標(biāo)準(zhǔn)中給出了ISO/IEC27001附錄A中所有控制措施的應(yīng)用指南，這也是正確的，因為ISO/IEC27002確實提供了對ISO/IEC27001中控制措施的應(yīng)用指南。C選項說該標(biāo)準(zhǔn)給出了ISMS的實施指南，這也是正確的。然而，D選項提到該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》，這是錯誤的。實際上，該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理體系要求》，與D選項中的描述不符。因此，D選項是錯誤的。28.關(guān)于備份，以下說法正確的是（）。A.備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測試B.如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C.退化的備份介質(zhì)一定會影響備份信息的恢復(fù)D.備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期答案：A解析：A選項提到“備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測試”，這是正確的。定期恢復(fù)測試可以確保備份介質(zhì)在需要時能夠成功恢復(fù)數(shù)據(jù)，這是備份策略中非常重要的一部分。B選項說“如果組織刪減了‘信息安全連續(xù)性’要求，同機(jī)備份或備份本地存放是可接受的”。這個說法是不準(zhǔn)確的。即使組織削減了信息安全連續(xù)性的要求，備份策略仍然應(yīng)該確保數(shù)據(jù)的完整性和可用性，同機(jī)備份或備份本地存放可能無法滿足這一要求。C選項提到“退化的備份介質(zhì)一定會影響備份信息的恢復(fù)”，這個說法過于絕對。退化的備份介質(zhì)可能會影響備份信息的恢復(fù)，但并非所有退化的備份介質(zhì)都會影響。D選項說“備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期”，這也是不正確的。備份信息通常也是管理體系運(yùn)行記錄的一部分，因此應(yīng)該規(guī)定適當(dāng)?shù)谋４嫫冢源_保在需要時能夠恢復(fù)數(shù)據(jù)。因此，正確答案是A選項：“備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測試”。29.關(guān)于訪問控制策略，以下不正確的是（）。A.須考慮被訪問客體的敏感性分類，訪問主體的授權(quán)方式、時限和訪問類型B.對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C.物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策略D.物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致答案：B解析：訪問控制策略是確保系統(tǒng)安全的關(guān)鍵措施之一，它規(guī)定了哪些用戶或系統(tǒng)可以訪問哪些資源以及如何進(jìn)行訪問。A選項提到，訪問控制策略需要考慮被訪問客體的敏感性分類，訪問主體的授權(quán)方式、時限和訪問類型。這是訪問控制策略的核心內(nèi)容，確保只有經(jīng)過授權(quán)的用戶才能訪問特定的資源，并且訪問的權(quán)限和范圍得到合理控制。B選項說，對于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限。這與訪問控制策略的原則相悖。訪問控制策略的目的是限制用戶的訪問權(quán)限，而不是一次性賦予全任務(wù)權(quán)限。C選項提到，物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策略。這是訪問控制策略在實際應(yīng)用中的體現(xiàn)，確保了物理區(qū)域的安全性和受控性。D選項指出，物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致。這意味著不同敏感性的資產(chǎn)應(yīng)受到不同程度的保護(hù)，這也是訪問控制策略的一個重要方面。綜上所述，B選項是不正確的，因為它與訪問控制策略的基本原則相悖。因此，正確答案是B。30.關(guān)于技術(shù)脆弱性管理，以下正確的是（）。A.技術(shù)脆弱性應(yīng)單獨管理B.了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險越小C.針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D.及時安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)風(fēng)險的最佳途徑答案：C解析：針對技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制，這是正確的做法。變更管理是一種組織對變更進(jìn)行規(guī)劃、實施和監(jiān)控的方法，確保變更過程能夠順利進(jìn)行，并且不會對企業(yè)的運(yùn)營產(chǎn)生負(fù)面影響。補(bǔ)丁的安裝涉及到對系統(tǒng)的更改，因此應(yīng)當(dāng)遵循變更管理的原則，確保補(bǔ)丁的安裝不會對組織的業(yè)務(wù)產(chǎn)生影響，并且能夠及時修復(fù)系統(tǒng)的安全漏洞。因此，選項C是正確的。選項A“技術(shù)脆弱性應(yīng)單獨管理”沒有明確指出為何需要單獨管理，也沒有說明單獨管理的具體方法和優(yōu)勢，因此無法判斷其正確性。選項B“了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風(fēng)險越小”是錯誤的。技術(shù)脆弱性的公眾范圍越廣，意味著更多的人知道這個漏洞的存在，可能會被攻擊者利用。因此，這種情況可能會增加組織的風(fēng)險。選項D“及時安裝針對技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對脆弱性相關(guān)風(fēng)險的最佳途徑”也是錯誤的。雖然補(bǔ)丁是修復(fù)脆弱性的有效方法，但并非所有補(bǔ)丁都需要立即安裝。一些補(bǔ)丁可能需要更多的測試和時間來確定是否會對組織的業(yè)務(wù)產(chǎn)生負(fù)面影響。此外，如果不考慮補(bǔ)丁的優(yōu)先級和組織的實際情況，盲目安裝所有補(bǔ)丁可能會導(dǎo)致系統(tǒng)不穩(wěn)定或其他問題。因此，應(yīng)當(dāng)根據(jù)具體情況和補(bǔ)丁的優(yōu)先級來制定合適的補(bǔ)丁安裝計劃。31.建立資產(chǎn)清單即（）。A.列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，列明其對組織業(yè)務(wù)的作用B.完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)責(zé)任人C.資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D.A+B答案：A解析：建立資產(chǎn)清單的主要目的是列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，列明其對組織業(yè)務(wù)的作用。這有助于組織全面了解和管理其資產(chǎn)，確保資產(chǎn)的有效利用和資源的合理分配。選項A正確描述了這一目的。選項B雖然提到了固定資產(chǎn)臺賬和資產(chǎn)責(zé)任人，但沒有明確說明這是建立資產(chǎn)清單的目的。選項C將資產(chǎn)價格與功能、重要性等級聯(lián)系起來，這并非建立資產(chǎn)清單的主要目的。選項D是選項A和B的組合，但同樣沒有說明這是建立資產(chǎn)清單的目的。因此，正確答案是A。32.經(jīng)過風(fēng)險處理后遺留的風(fēng)險通常為（）。A.重大風(fēng)險B.有條件接受的風(fēng)險C.不可接受的風(fēng)險D.殘余風(fēng)險答案：D解析：風(fēng)險處理通常是為了降低風(fēng)險或消除風(fēng)險。當(dāng)風(fēng)險得到處理后，通常會遺留一部分風(fēng)險，這部分風(fēng)險被稱為殘余風(fēng)險。重大風(fēng)險、有條件接受的風(fēng)險和不可接受的風(fēng)險都不是經(jīng)過風(fēng)險處理后通常遺留的風(fēng)險類型。因此，正確答案為D，即殘余風(fēng)險。33.依據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，應(yīng)形成文件的信息應(yīng)包括（）。A.ISMS的范圍、適用性聲明B.信息安全風(fēng)險評估過程C.信息安全風(fēng)險處置過程D.以上全部答案：D解析：根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，應(yīng)形成文件的信息應(yīng)包括信息安全管理體系的范圍、適用性聲明，信息安全風(fēng)險評估過程和信息安全風(fēng)險處置過程。因此，正確答案為“D.以上全部”。34.依據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）。A.對于進(jìn)入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗證B.對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證，對于進(jìn)入組織的設(shè)備設(shè)施則不必驗證C.對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D.對于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證答案：C解析：首先，我們需要了解GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中對于設(shè)備和資產(chǎn)的管理要求。該標(biāo)準(zhǔn)強(qiáng)調(diào)了在組織內(nèi)部和外部的設(shè)備與資產(chǎn)管理中的安全策略。針對A選項，它提到“對于進(jìn)入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗證”。這個說法與標(biāo)準(zhǔn)中對于設(shè)備與資產(chǎn)在組織內(nèi)外都應(yīng)受到驗證的原則不符，因此A選項不正確。對于B選項，它說“對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證，對于進(jìn)入組織的設(shè)備設(shè)施則不必驗證”。這個描述同樣與標(biāo)準(zhǔn)中的原則不符，因為無論是進(jìn)入還是離開組織的設(shè)備與資產(chǎn)，都應(yīng)受到驗證。所以B選項也是不正確的。再來看D選項，它提出“對于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證”。雖然驗證攜帶者身份信息是一種安全措施，但它并不能完全替代對設(shè)備設(shè)施的驗證。因此，D選項也不符合標(biāo)準(zhǔn)的原則。最后，C選項提到“對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息”。這完全符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中關(guān)于設(shè)備與資產(chǎn)管理的要求，因為無論設(shè)備是進(jìn)入還是離開組織，都應(yīng)受到適當(dāng)?shù)尿炞C，以確保其符合安全策略。因此，C選項是正確的。35.組織（）實施風(fēng)險評估。A.應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時B.應(yīng)按計劃的時間間隔且當(dāng)重大變更提出或發(fā)生時C.只需在重大變更發(fā)生時D.只需按計劃的時間間隔答案：A解析：風(fēng)險評估應(yīng)該按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時進(jìn)行。這意味著風(fēng)險評估不是只在重大變更發(fā)生時進(jìn)行，也不是只按計劃的時間間隔進(jìn)行，而是兩者都需要。因此，選項A“應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時”是正確的。選項B“應(yīng)按計劃的時間間隔且當(dāng)重大變更提出或發(fā)生時”雖然包含了兩者，但使用了“且”這個連詞，意味著兩者必須同時滿足，這與題目要求不符。選項C和D都只涉及了其中一個條件，因此都是錯誤的。36.關(guān)于用戶訪問權(quán)，以下做法正確的是（）。A.用戶崗位變更時，其原訪問權(quán)應(yīng)終止或撤銷B.抽樣進(jìn)行針對信息系統(tǒng)用戶訪問權(quán)的定期評審C.組織主動解聘員工時可不必復(fù)審員工訪問權(quán)D.使用監(jiān)控系統(tǒng)可替代用戶訪問權(quán)評審答案：A解析：根據(jù)題目描述，我們需要判斷哪個選項關(guān)于用戶訪問權(quán)的做法是正確的。A選項提到，用戶崗位變更時，其原訪問權(quán)應(yīng)終止或撤銷。這是正確的做法，因為當(dāng)用戶的崗位發(fā)生變化時，他們可能不再需要訪問某些信息系統(tǒng)或數(shù)據(jù)，因此應(yīng)該終止或撤銷他們的訪問權(quán)。B選項提到，抽樣進(jìn)行針對信息系統(tǒng)用戶訪問權(quán)的定期評審。雖然定期評審是一個好的做法，但抽樣進(jìn)行可能無法確保所有用戶的訪問權(quán)都得到充分的評審，因此不是最佳實踐。C選項提到，組織主動解聘員工時可不必復(fù)審員工訪問權(quán)。這是不正確的，因為當(dāng)員工被解聘時，他們可能仍然擁有訪問某些信息系統(tǒng)或數(shù)據(jù)的權(quán)限，因此應(yīng)該進(jìn)行復(fù)審以確保他們的訪問權(quán)被正確終止。D選項提到，使用監(jiān)控系統(tǒng)可替代用戶訪問權(quán)評審。這也是不正確的，因為監(jiān)控系統(tǒng)只是用于監(jiān)視用戶的訪問行為，而不能替代對訪問權(quán)的正式評審。綜上所述，A選項是正確的做法。37.信息安全管理體系適用性聲明應(yīng)包括（）。A.對整個標(biāo)準(zhǔn)進(jìn)行刪減的理由B.對四到八章進(jìn)行刪減的理由C.對附錄A的控制進(jìn)廠D.對標(biāo)準(zhǔn)全文中答案：C解析：信息安全管理體系適用性聲明通常用于說明組織如何應(yīng)用信息安全管理體系標(biāo)準(zhǔn)，并可能涉及對標(biāo)準(zhǔn)的刪減或修改。在給出的選項中，只有“對附錄A的控制進(jìn)廠”與適用性聲明直接相關(guān)。適用性聲明可能涉及對標(biāo)準(zhǔn)中某些部分的選擇性應(yīng)用，而不是對整個標(biāo)準(zhǔn)或特定章節(jié)的刪減。因此，選項C“對附錄A的控制進(jìn)廠”是最符合題目要求的答案。38.關(guān)于信息系統(tǒng)登錄門令的管理，以下做法不正確的是（）。A.必要時使用密碼技術(shù)、生物識別等替代口令B.用提示信息告知用戶輸入的口令是否正確C.明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D.適用互動式管理確保用戶使用優(yōu)質(zhì)口令答案：B解析：在關(guān)于信息系統(tǒng)登錄口令的管理中，不正確的做法是B選項“用提示信息告知用戶輸入的口令是否正確”。這是因為提示用戶口令是否正確會增加口令被猜測或破解的風(fēng)險，因為攻擊者可能會利用這些提示信息來嘗試猜測正確的口令。其他選項如A、C和D都是正確的做法，包括使用密碼技術(shù)、生物識別等替代口令，明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略，以及適用互動式管理確保用戶使用優(yōu)質(zhì)口令。39.對于信息安全方針，（）是GB/T22080-2016/ISO/IEC27001:2013所要求的。A.信息安全方針應(yīng)形成文件B.信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C.信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D.信息安全方針是建立信息安全工作的總方向和原則，不可變更答案：A解析：根據(jù)GB/T22080-2016/ISO/IEC27001:2013的要求，信息安全方針應(yīng)形成文件。這是信息安全管理體系的基礎(chǔ)，為組織的信息安全活動提供了方向和原則。因此，選項A“信息安全方針應(yīng)形成文件”是正確答案。選項B“信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露”并不是該標(biāo)準(zhǔn)的要求；選項C“信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義”雖然可能是一個好的做法，但不是該標(biāo)準(zhǔn)所強(qiáng)制要求的；選項D“信息安全方針是建立信息安全工作的總方向和原則，不可變更”與標(biāo)準(zhǔn)中的“信息安全方針應(yīng)定期評審和更新，以反映組織業(yè)務(wù)環(huán)境和威脅環(huán)境的變化”相矛盾。40.風(fēng)險評價是指（）。A.系統(tǒng)地使用信息來識別風(fēng)險來源和估計風(fēng)險B.將估算的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程C.指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D.以上都不對答案：B解析：風(fēng)險評價是指將估算的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程。A選項描述了風(fēng)險來源的識別，C選項描述了風(fēng)險協(xié)調(diào)活動，D選項表示以上都不對，因此B選項是正確的。風(fēng)險評價是風(fēng)險管理的關(guān)鍵步驟之一，它涉及到對風(fēng)險進(jìn)行量化評估，并與預(yù)設(shè)的風(fēng)險準(zhǔn)則進(jìn)行比較，以確定風(fēng)險是否可接受或需要進(jìn)一步采取措施來降低風(fēng)險。41.防止計算機(jī)中信息被竊取的手段不包括（）。A.用戶識別B.權(quán)限控制C.數(shù)據(jù)加密D.數(shù)據(jù)備份答案：D解析：在防止計算機(jī)中信息被竊取的手段中，A選項“用戶識別”用于確認(rèn)用戶的身份，確保只有授權(quán)用戶能夠訪問敏感信息；B選項“權(quán)限控制”用于限制用戶訪問特定資源或執(zhí)行特定操作，確保只有具備相應(yīng)權(quán)限的用戶能夠訪問敏感信息；C選項“數(shù)據(jù)加密”用于對敏感信息進(jìn)行加密，即使信息被竊取，攻擊者也無法直接讀取其中的內(nèi)容。而D選項“數(shù)據(jù)備份”主要用于在數(shù)據(jù)丟失或損壞時恢復(fù)數(shù)據(jù)，與防止信息被竊取沒有直接關(guān)系。因此，防止計算機(jī)中信息被竊取的手段不包括數(shù)據(jù)備份。42.跨國公司的IS經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN)升級，釆用通道技術(shù)使用其支持語音IP服務(wù)，那么，需要首要關(guān)注的是（）。A.服務(wù)的可靠性和質(zhì)量（qualityofservice）B.身份的驗證方式C.語音傳輸?shù)谋Ｃ蹹.數(shù)據(jù)傳輸?shù)谋Ｃ艽鸢福篈解析：在升級虛擬專用網(wǎng)（VPN）以支持語音IP服務(wù)時，首要關(guān)注的是服務(wù)的可靠性和質(zhì)量。因為語音通信對實時性和穩(wěn)定性要求非常高，如果服務(wù)質(zhì)量不可靠，可能會導(dǎo)致語音通話中斷、延遲或音質(zhì)下降，從而影響用戶的通信體驗。因此，確保服務(wù)的可靠性和質(zhì)量是首要考慮的因素。其他選項如身份的驗證方式、語音傳輸?shù)谋Ｃ芎蛿?shù)據(jù)傳輸?shù)谋Ｃ茈m然也很重要，但在升級VPN以支持語音IP服務(wù)時，首要關(guān)注的是服務(wù)的可靠性和質(zhì)量。43.利用殘留在現(xiàn)場的指紋等人體生物特征偵破非授權(quán)的訪問（如：盜竊入室），屬于哪一類攻擊？（）A.重用、重放、重演(replay)B.暴力攻擊C.解密D.假裝、模仿答案：A解析：根據(jù)題目描述，利用殘留在現(xiàn)場的指紋等人體生物特征偵破非授權(quán)的訪問，屬于重用、重放、重演（replay）攻擊。這類攻擊利用已經(jīng)獲得的合法用戶的憑證（如指紋、密碼等）進(jìn)行非法訪問，而不需要重新進(jìn)行身份驗證。因此，選項A“重用、重放、重演(replay)”是正確的答案。其他選項如暴力攻擊、解密、假裝、模仿與題目描述的場景不符。44.A公司計劃升級現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)。實施時需要（）。A.所有受信的PC機(jī)用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B.完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）C.在指紋識別的基礎(chǔ)上增加口令保護(hù)D.保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)答案：A解析：實施指紋識別登錄系統(tǒng)時，需要所有受信的PC機(jī)用戶履行登記、注冊手續(xù)（或稱為：初始化手續(xù)）。這是因為指紋識別系統(tǒng)需要收集用戶的指紋信息，并將其與用戶的賬戶關(guān)聯(lián)起來，以便在登錄時進(jìn)行比對驗證。因此，選項A是正確的。選項B“完全避免失誤接受的風(fēng)險”雖然重要，但不是實施時的必要步驟，因為任何身份驗證系統(tǒng)都存在一定的誤識別風(fēng)險，只能通過不斷的技術(shù)改進(jìn)和驗證策略優(yōu)化來降低風(fēng)險，但不能完全避免。選項C“在指紋識別的基礎(chǔ)上增加口令保護(hù)”雖然可以增加系統(tǒng)的安全性，但不是實施時的必要步驟。指紋識別系統(tǒng)本身已經(jīng)是一種身份驗證方式，增加口令保護(hù)會增加用戶的操作復(fù)雜性，并且可能降低用戶體驗。選項D“保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)”是實施后的目標(biāo)，而不是實施時的必要步驟。實施時只需要確保系統(tǒng)能夠正確驗證授權(quán)用戶的身份，并允許其訪問關(guān)鍵數(shù)據(jù)。保護(hù)非授權(quán)用戶訪問關(guān)鍵數(shù)據(jù)是系統(tǒng)實施后的安全策略，而不是實施時的具體步驟。45.《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為（）。A.ISO/IEC27011B.ISO/IEC27012C.ISO/IEC27013D.ISO/IEC27014答案：D解析：《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標(biāo)準(zhǔn)號為ISO/IEC27014。這是根據(jù)題目給出的選項進(jìn)行匹配的結(jié)果。因此，正確答案為D。46.審核方案是指（）。A.對一次審核活動和安排的描述B.針對特定時間段所策戲劃拼具有特定目的的一組（一次或多次）審核C.對“查什么”和“怎么查”的策劃D.以上都不對答案：B解析：審核方案是指針對特定時間段所策劃的具有特定目的的一組（一次或多次）審核。它是對審核活動的整體規(guī)劃和安排，明確了審核的目的、范圍、時間、方法等要素。因此，選項B“針對特定時間段所策劃的具有特定目的的一組（一次或多次）審核”是正確的。選項A“對一次審核活動和安排的描述”過于狹隘，只涉及一次審核，而審核方案可能包括多次審核；選項C“對“查什么”和“怎么查”的策劃”雖然涉及了審核的內(nèi)容和方法，但不夠全面；選項D“以上都不對”顯然是不正確的。47.按照《信息安全等級保護(hù)管理辦法》的規(guī)定，信息系統(tǒng)的安全保護(hù)等級可以分為（）級，其中第（）級發(fā)生時，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重的損害，或者對國家安全造成嚴(yán)重?fù)p害。A.一，二B.二，三C.五、四D.五，六答案：C解析：《信息安全等級保護(hù)管理辦法》規(guī)定，信息系統(tǒng)的安全保護(hù)等級可以分為五個級別，從第一級到第五級依次增加保護(hù)強(qiáng)度。其中，第五級發(fā)生信息系統(tǒng)破壞后，會對社會秩序和公共利益造成特別嚴(yán)重的損害，或者對國家安全造成嚴(yán)重?fù)p害。因此，選項C“五、四”是錯誤的，選項A“一，二”、選項B“二，三”和選項D“五，六”也均不符合規(guī)定。所以正確答案為C。48.內(nèi)聯(lián)網(wǎng)(Intranet)可以建立在一個組織的內(nèi)部網(wǎng)絡(luò)上，也可以建立在互聯(lián)網(wǎng)(Internet)上，下面哪項針對內(nèi)聯(lián)網(wǎng)的控制在安全上是最弱的？（）A.用加密的通道傳輸數(shù)據(jù)B.安裝加密路由器C.安裝加密防火墻D.對私有WWW服務(wù)器實現(xiàn)口令控制答案：D解析：內(nèi)聯(lián)網(wǎng)（Intranet）通常是一個組織內(nèi)部的網(wǎng)絡(luò)，用于內(nèi)部通信和資源共享。為了保障內(nèi)聯(lián)網(wǎng)的安全，需要采取一系列控制措施。A選項“用加密的通道傳輸數(shù)據(jù)”可以確保數(shù)據(jù)在傳輸過程中不被竊取或篡改，增強(qiáng)了數(shù)據(jù)的安全性。B選項“安裝加密路由器”可以提供加密的網(wǎng)關(guān)，確保內(nèi)外網(wǎng)之間的通信安全。C選項“安裝加密防火墻”可以過濾內(nèi)外網(wǎng)之間的通信，只允許符合安全策略的數(shù)據(jù)包通過，增強(qiáng)了網(wǎng)絡(luò)的安全性。而D選項“對私有WWW服務(wù)器實現(xiàn)口令控制”雖然可以限制對服務(wù)器的訪問，但如果口令過于簡單或容易被猜測，仍然存在安全風(fēng)險。此外，如果口令被泄露，攻擊者可能能夠輕易地訪問服務(wù)器。因此，從安全角度來看，D選項“對私有WWW服務(wù)器實現(xiàn)口令控制”可能是最弱的控制措施。49.下列哪個選項不屬于審核組長的職責(zé)？（）A.確定審核的需要和目的B.組織編制現(xiàn)場審核有關(guān)的工作文件C.主持首末次會議和審核組會議D.代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通答案：A解析：根據(jù)審核組長的職責(zé)，其主要負(fù)責(zé)審核的組織和協(xié)調(diào)，確保審核的順利進(jìn)行。選項A“確定審核的需要和目的”通常是審核委托方或?qū)徍藱C(jī)構(gòu)的任務(wù)，而不是審核組長的職責(zé)。因此，選項A不屬于審核組長的職責(zé)。選項B“組織編制現(xiàn)場審核有關(guān)的工作文件”是審核組長需要組織的工作之一，以確保審核的順利進(jìn)行。選項C“主持首末次會議和審核組會議”是審核組長需要主持的重要會議，以確保審核組內(nèi)部的溝通和協(xié)調(diào)。選項D“代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通”是審核組長需要與受審核方領(lǐng)導(dǎo)進(jìn)行的重要溝通，以確保審核的順利進(jìn)行。因此，正確答案是A。50.依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）。A.以電子或其它方式記錄的能夠單獨或與其他信息結(jié)合識別自然人的各種信息B.屬于個人信息自然人的身份證號碼、電話號碼屬于個人信息C.自然人的姓名、住址不屬于個人信息D.自然人的出生日期屬于個人信息答案：C解析：《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、個人電話等。因此，自然人的姓名、住址和電話號碼都屬于個人信息，而自然人的身份證號碼和出生日期也屬于個人信息。所以，選項C“自然人的姓名、住址不屬于個人信息”是不正確的說法。多選題（共20題，共20分）51.針對敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A.用戶嘗試登陸失敗時，明確提示其用戶名錯誤或口令錯誤B.登陸之后，不活動超過規(guī)定時間強(qiáng)制使其退出登錄C.對于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的豫作限定操作時間D.對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權(quán)限答案：BC解析：針對敏感應(yīng)用系統(tǒng)安全，我們來分析每一個選項：A.用戶嘗試登陸失敗時，明確提示其用戶名錯誤或口令錯誤這個選項涉及到用戶身份驗證的失敗反饋。雖然明確提示用戶名或口令錯誤有助于用戶了解問題所在，但這樣的提示可能泄露了部分信息，如用戶確實存在于系統(tǒng)中，只是密碼錯誤。在敏感應(yīng)用系統(tǒng)中，這樣的提示可能增加被攻擊者利用的風(fēng)險。因此，A選項不是最佳實踐。B.登陸之后，不活動超過規(guī)定時間強(qiáng)制使其退出登錄這個選項涉及到用戶會話管理。強(qiáng)制用戶在一定時間內(nèi)保持活動，否則自動退出登錄，有助于減少未授權(quán)訪問的風(fēng)險。這是敏感應(yīng)用系統(tǒng)中常見的安全實踐。C.對于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的豫作限定操作時間這個選項涉及到數(shù)據(jù)操作的時間限制。限定操作時間可以減少數(shù)據(jù)被誤操作或惡意篡改的風(fēng)險。這也是敏感應(yīng)用系統(tǒng)中常見的安全實踐。D.對于數(shù)據(jù)庫系統(tǒng)審計人員開放不限時權(quán)限這個選項涉及到權(quán)限管理。為審計人員開放不限時權(quán)限可能增加數(shù)據(jù)泄露或誤操作的風(fēng)險。在敏感應(yīng)用系統(tǒng)中，應(yīng)該根據(jù)實際需求為審計人員分配合適的、受限制的權(quán)限。因此，D選項不是最佳實踐。綜上所述，正確的選項是B和C。52.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12.3.1條款要求（）。A.設(shè)定備份策略B.定期測試備份介質(zhì)C.定期備份D.定期測試信息和軟件答案：ABD解析：根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12.3.1條款，要求組織“應(yīng)建立、實施和維護(hù)一個備份和恢復(fù)策略，包括定期測試備份介質(zhì)、恢復(fù)過程和備份數(shù)據(jù)的有效性”。其中，A選項“設(shè)定備份策略”是建立備份和恢復(fù)策略的一部分，B選項“定期測試備份介質(zhì)”是確保備份介質(zhì)的有效性，D選項“定期測試信息和軟件”與“定期測試備份介質(zhì)”有相似之處，可能指的是定期測試備份的數(shù)據(jù)或軟件，以確保其可用性和完整性。C選項“定期備份”雖然與備份策略相關(guān)，但并未明確在A12.3.1條款中提及。因此，正確答案為A、B和D。53.不同組織的ISMS文件的詳略程度取決于（）。A.文件編寫人員的態(tài)度和能力B.組織的規(guī)模和活動的類型C.人員的能力D.管理系統(tǒng)的復(fù)雜程度答案：BCD解析：ISMS文件（信息安全管理體系文件）的詳略程度通常取決于多個因素。根據(jù)題目選項，我們可以分析如下：A.文件編寫人員的態(tài)度和能力：雖然編寫人員的態(tài)度和能力可能會影響文件的質(zhì)量，但它并不是決定文件詳略程度的直接因素。詳略程度更多地與組織本身的情況有關(guān)。B.組織的規(guī)模和活動的類型：組織的規(guī)模和活動的類型會直接影響需要管理的信息安全范圍和復(fù)雜性。例如，大型企業(yè)或活動類型復(fù)雜（如涉及多個地區(qū)或涉及高度敏感信息）的組織可能需要更詳細(xì)的ISMS文件來確保信息安全。C.人員的能力：人員的能力，特別是信息安全管理人員的能力，可能會影響ISMS文件的詳略程度。如果人員具備足夠的專業(yè)知識，他們可能能夠更準(zhǔn)確地評估組織的需要，從而制定更合適的文件。D.管理系統(tǒng)的復(fù)雜程度：管理系統(tǒng)的復(fù)雜程度也會影響ISMS文件的詳略程度。如果系統(tǒng)復(fù)雜，需要更多的細(xì)節(jié)和規(guī)定來確保信息安全。綜上所述，不同組織的ISMS文件的詳略程度主要取決于組織的規(guī)模和活動的類型、人員的能力以及管理系統(tǒng)的復(fù)雜程度。因此，答案選項B、C和D是正確的。54.防范內(nèi)部人員破壞的做法有（）。A.嚴(yán)格訪問控制管理B.完善的管理措施C.內(nèi)部審計制度D.適度的安全防范措施答案：ABC解析：防范內(nèi)部人員破壞需要采取一系列措施。首先，嚴(yán)格訪問控制管理是非常重要的，它確保只有授權(quán)的人員能夠訪問敏感信息或執(zhí)行關(guān)鍵操作。其次，完善的管理措施能夠確保內(nèi)部人員遵循規(guī)定和程序，減少人為錯誤和不當(dāng)行為。最后，內(nèi)部審計制度可以定期審查內(nèi)部操作，發(fā)現(xiàn)潛在的安全隱患，并及時采取糾正措施。適度的安全防范措施雖然重要，但在此題目中并未明確提及為防范內(nèi)部人員破壞的具體做法，因此不選D。55.某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，我方便各項目組討論，公司創(chuàng)建了一個sharefolder，在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾。以下做法正確的是（）。A.各項目人員訪問該sharefolder需要得到授權(quán)B.獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C.IT人員與各項目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D.IT人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與答案：AC解析：對于選項A，考慮到sharefolder中存儲的是公司的重要游戲場景和任務(wù)的基礎(chǔ)要素模塊，這些數(shù)據(jù)可能包含公司的商業(yè)機(jī)密或敏感信息。因此，為了確保數(shù)據(jù)的安全性和完整性，各項目人員訪問該sharefolder需要得到授權(quán)，這是合理的。對于選項B，雖然獲得sharefolder訪問權(quán)者可以訪問該文件夾，但題目中明確指出sharefolder下還有項目數(shù)據(jù)子文件夾，這些子文件夾可能對應(yīng)不同的客戶或項目。因此，僅僅獲得sharefolder的訪問權(quán)并不意味著可以訪問所有子文件夾，還需要針對每個子文件夾進(jìn)行授權(quán)。所以，選項B是不正確的。對于選項C，IT人員與各項目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)，這是一個很好的做法。定期評審可以確保只有授權(quán)的人員可以訪問sharefolder及其子文件夾，從而保護(hù)公司的數(shù)據(jù)安全。對于選項D，IT人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，雖然這確實是一種容量管理的方式，但題目中并沒有提到刪除數(shù)據(jù)是否得到了游戲開發(fā)人員的同意或是否通知了相關(guān)人員。因此，不能簡單地認(rèn)為這是一種容量管理活動，游戲開發(fā)人員不參與。所以，選項D是不正確的。56.下列哪些選項是ISMS第一階段審核的目的？（）A.獲取對組織信息安全管理體系的了解和認(rèn)識B.了解客戶組織的審核準(zhǔn)備狀況C.為計劃二階段審核提供重點D.確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求答案：ABC解析：ISMS第一階段審核的主要目的是獲取對組織信息安全管理體系的了解和認(rèn)識，了解客戶組織的審核準(zhǔn)備狀況，并為計劃二階段審核提供重點。因此，選項A、B和C是正確的。選項D描述的是二階段審核的目的，即確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求，因此不正確。57.對于涉密信息系統(tǒng)，以下說法正確的是（）。A.使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)產(chǎn)品B.使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)的檢測C.使用的信息安全保密產(chǎn)品應(yīng)從由國家保密局審核發(fā)布的目錄中選取D.總體保護(hù)水平應(yīng)不低于國家信息安全等級保護(hù)第四級水平答案：ABC解析：根據(jù)《涉及國家秘密的計算機(jī)信息系統(tǒng)保密管理要求》，涉密信息系統(tǒng)的信息安全保密產(chǎn)品應(yīng)當(dāng)選用符合國家保密標(biāo)準(zhǔn)的國產(chǎn)產(chǎn)品，并且這些產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)的檢測，從由國家保密局審核發(fā)布的目錄中選取。因此，選項A、B和C都是正確的。而選項D中的“總體保護(hù)水平應(yīng)不低于國家信息安全等級保護(hù)第四級水平”并不是針對涉密信息系統(tǒng)的明確要求，所以選項D是錯誤的。58.風(fēng)險處置的可選措施包括（）。A.風(fēng)險識別B.風(fēng)險分析C.風(fēng)險轉(zhuǎn)移D.風(fēng)險減緩答案：CD解析：題目要求列出風(fēng)險處置的可選措施。風(fēng)險處置通常包括風(fēng)險轉(zhuǎn)移和風(fēng)險減緩兩種策略。風(fēng)險轉(zhuǎn)移是將風(fēng)險從一個實體轉(zhuǎn)移到另一個實體，例如通過保險或合同將風(fēng)險轉(zhuǎn)移給第三方。風(fēng)險減緩則是通過采取措施來降低風(fēng)險的可能性或影響，例如改進(jìn)安全措施或增加備份系統(tǒng)。因此，正確答案是風(fēng)險轉(zhuǎn)移和風(fēng)險減緩，即選項C和D。選項A風(fēng)險識別是風(fēng)險管理的第一步，涉及識別和記錄潛在的風(fēng)險，但不屬于風(fēng)險處置措施。選項B風(fēng)險分析是對風(fēng)險進(jìn)行定量或定性評估的過程，也不屬于風(fēng)險處置措施。59.信息安全體系文件應(yīng)包含（）。A.風(fēng)險評估報告B.風(fēng)險處置計劃C.服務(wù)目錄D.適用性聲明答案：ABD解析：信息安全體系文件是組織為確保信息安全而制定的一系列文件，其中包括風(fēng)險評估報告、風(fēng)險處置計劃以及適用性聲明。風(fēng)險評估報告用于識別和評估潛在的信息安全風(fēng)險，風(fēng)險處置計劃則提供了針對這些風(fēng)險的應(yīng)對措施，而適用性聲明則說明了信息安全體系文件適用于哪些組織、系統(tǒng)和業(yè)務(wù)。因此，選項A、B和D都是信息安全體系文件應(yīng)包含的內(nèi)容。而選項C“服務(wù)目錄”并不直接屬于信息安全體系文件的范疇，故不選。60.在設(shè)計和平應(yīng)用安全區(qū)域工作規(guī)程時，宜考慮（）。A.基于“須知”原則，員工宜僅規(guī)定安全區(qū)的存在或其中的活動B.為了安全原因和減少惡意活動的機(jī)會，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C.使用的安全區(qū)域宜上鎖并定期予以評審D.經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動設(shè)備中的相機(jī)答案：AB解析：在設(shè)計和平應(yīng)用安全區(qū)域工作規(guī)程時，需要考慮的因素包括員工對安全區(qū)的認(rèn)知以及安全區(qū)內(nèi)的活動監(jiān)督。選項A提到基于“須知”原則，員工宜僅規(guī)定安全區(qū)的存在或其中的活動。這意味著在設(shè)計規(guī)程時，應(yīng)確保員工明確知道安全區(qū)的存在，并了解他們在安全區(qū)內(nèi)的活動范圍。選項B提到為了安全原因和減少惡意活動的機(jī)會，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作。這強(qiáng)調(diào)了在工作規(guī)程中，需要對安全區(qū)內(nèi)的活動進(jìn)行適當(dāng)?shù)谋O(jiān)督，以減少潛在的安全風(fēng)險或惡意行為。因此，這兩個選項都是設(shè)計安全區(qū)域工作規(guī)程時應(yīng)考慮的重要因素。61.降低系統(tǒng)失效風(fēng)險的措施包括（）。A.監(jiān)視資源的使用，做出對于未來系統(tǒng)容量要求的預(yù)測B.在系統(tǒng)開發(fā)中使用密碼獵施來保護(hù)信息的策略C.在系統(tǒng)投入運(yùn)行前，進(jìn)行驗收D.對系統(tǒng)進(jìn)行備份答案：ABCD解析：降低系統(tǒng)失效風(fēng)險是一個綜合性的工作，需要多個方面的措施來共同實現(xiàn)。選項A“監(jiān)視資源的使用，做出對于未來系統(tǒng)容量要求的預(yù)測”是對于系統(tǒng)容量和資源的管理措施，可以及時發(fā)現(xiàn)并預(yù)測未來可能出現(xiàn)的資源瓶頸，從而提前進(jìn)行規(guī)劃和調(diào)整，降低系統(tǒng)失效的風(fēng)險。選項B“在系統(tǒng)開發(fā)中使用密碼策略來保護(hù)信息的策略”是對于信息安全的管理措施，通過密碼策略保護(hù)系統(tǒng)的信息安全，避免信息被非法獲取或篡改，從而降低系統(tǒng)失效的風(fēng)險。選項C“在系統(tǒng)投入運(yùn)行前，進(jìn)行驗收”是對于系統(tǒng)質(zhì)量的控制措施，通過驗收可以發(fā)現(xiàn)系統(tǒng)存在的問題并及時修復(fù)，從而確保系統(tǒng)的穩(wěn)定性和可靠性，降低系統(tǒng)失效的風(fēng)險。選項D“對系統(tǒng)進(jìn)行備份”是對于系統(tǒng)災(zāi)難恢復(fù)的管理措施，通過備份可以在系統(tǒng)出現(xiàn)故障時快速恢復(fù)，從而降低系統(tǒng)失效對業(yè)務(wù)的影響。綜上所述，降低系統(tǒng)失效風(fēng)險的措施包括監(jiān)視資源的使用，做出對于未來系統(tǒng)容量要求的預(yù)測；在系統(tǒng)開發(fā)中使用密碼策略來保護(hù)信息的策略；在系統(tǒng)投入運(yùn)行前，進(jìn)行驗收；對系統(tǒng)進(jìn)行備份。因此，選項A、B、C、D都是正確的。62.下列哪些措施可以實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)？（）A.形成重要資產(chǎn)清單，并加以維護(hù)B.購買相同設(shè)備類型中價值最高的產(chǎn)品C.確定所有資產(chǎn)的責(zé)任人D.制定合乎公司要求的資產(chǎn)使用規(guī)則答案：ACD解析：對于組織資產(chǎn)的適當(dāng)保護(hù)，需要采取一系列有效的措施。首先，形成重要資產(chǎn)清單并加以維護(hù)，這是確保資產(chǎn)得到準(zhǔn)確記錄和追蹤的關(guān)鍵步驟。其次，確定所有資產(chǎn)的責(zé)任人，明確每個人對特定資產(chǎn)的責(zé)任，有助于確保資產(chǎn)得到妥善管理和保護(hù)。最后，制定合乎公司要求的資產(chǎn)使用規(guī)則，規(guī)定資產(chǎn)的使用方式、維護(hù)要求以及報廢標(biāo)準(zhǔn)等，有助于確保資產(chǎn)得到合理、高效的使用，并減少不必要的損失和浪費(fèi)。至于選項B，購買相同設(shè)備類型中價值最高的產(chǎn)品，雖然可能提高單個資產(chǎn)的價值，但并不直接涉及對組織資產(chǎn)的適當(dāng)保護(hù)。高價值的產(chǎn)品可能更容易受到損害或被盜，因此，單純的購買高價值產(chǎn)品并不足以確保資產(chǎn)的安全。此外，高價值產(chǎn)品可能并不適合所有組織的需求和預(yù)算，因此，這一措施并不是普遍適用的。63.在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定（）。A.要做什么，需要什么資源B.由誰負(fù)責(zé)，什么時候完成C.完成的目標(biāo)是什么D.如何評價結(jié)果答案：ABD解析：在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織需要明確以下幾個關(guān)鍵方面：A.要做什么，需要什么資源：這涉及到確定具體的安全措施和策略，以及為實現(xiàn)這些措施所需的資源，如人力、物力、財力等。B.由誰負(fù)責(zé)，什么時候完成：這涉及到明確責(zé)任分配和時間表，確保信息安全工作有明確的負(fù)責(zé)人和完成期限。C.完成的目標(biāo)是什么：雖然題目中未提及，但通常規(guī)劃信息安全目標(biāo)時，組織會明確具體的安全目標(biāo)，如達(dá)到某一安全等級、防止特定類型的攻擊等。但根據(jù)題目給出的選項，這個部分并未在選項中列出。D.如何評價結(jié)果：這涉及到確定如何評價信息安全工作的效果，包括評估標(biāo)準(zhǔn)、評估周期和評估方法等。因此，根據(jù)題目給出的選項，組織在規(guī)劃如何達(dá)到信息安全目標(biāo)時，應(yīng)確定的是A、B和D三個選項。但題目給出的答案中只包含了ABD，可能是答案在編輯過程中出現(xiàn)了錯誤，正確答案應(yīng)該只有A和D。64.審核計劃中應(yīng)涵蓋（）。A.本次及其后續(xù)審核的時間安排B.審核準(zhǔn)則C.審核組成員及分工D.審核的日程安排答案：BCD解析：審核計劃是用于規(guī)劃和管理審核過程的重要文件，其應(yīng)包含與審核相關(guān)的關(guān)鍵信息。從提供的選項來看：A選項“本次及其后續(xù)審核的時間安排”雖然是審核計劃中可能涉及的一個方面，但僅是一個具體的時間表，而非審核計劃的核心內(nèi)容。B選項“審核準(zhǔn)則”是審核計劃中必須明確的內(nèi)容，它規(guī)定了審核的依據(jù)和標(biāo)準(zhǔn)。C選項“審核組成員及分工”是審核計劃中的關(guān)鍵部分，明確了審核團(tuán)隊的組成和各自的任務(wù)。D選項“審核的日程安排”是審核計劃中的另一個重要方面，它詳細(xì)規(guī)劃了審核的日程和流程。綜上所述，審核計劃應(yīng)涵蓋B、C、D三個選項，即審核準(zhǔn)則、審核組成員及分工和審核的日程安排。因此，正確答案為BCD。65.信息安全的特有審核原則有（）。A.保密性B.獨立性C.基于風(fēng)險D.基于證據(jù)的方法答案：AC解析：信息安全特有審核原則主要包括保密性和基于風(fēng)險。保密性是指確保信息不被未經(jīng)授權(quán)的人員獲取和使用，這是信息安全的核心原則之一?；陲L(fēng)險則意味著在信息安全審核中，應(yīng)基于潛在的安全風(fēng)險來評估系統(tǒng)的安全性和可靠性，確保系統(tǒng)能夠抵御潛在的安全威脅。選項B獨立性并不是信息安全特有的審核原則，選項D基于證據(jù)的方法也不是信息安全特有的審核原則，因此，答案選A和C。66.公司M將信息系統(tǒng)運(yùn)維外包給公司N，以下符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是（）。A.與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B.在對N公司人員服務(wù)時，接入M公司的移動電腦事前進(jìn)行安全掃描C.將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用D.對N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)答案：AB解析：A選項：與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求。這一做法符合GB/T22080-2016標(biāo)準(zhǔn)的要求，因為該標(biāo)準(zhǔn)強(qiáng)調(diào)外包服務(wù)中的服務(wù)級別和安全要求應(yīng)在合同中明確規(guī)定。B選項：在對N公司人員服務(wù)時，接入M公司的移動電腦事前進(jìn)行安全掃描。這也是符合標(biāo)準(zhǔn)的做法，因為對外部設(shè)備進(jìn)行安全掃描是確保信息系統(tǒng)安全的重要措施。C選項：將多張核心機(jī)房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進(jìn)入機(jī)房的N公司人員使用。這一做法存在安全隱患，因為門禁卡的管理權(quán)被過度集中，可能導(dǎo)致未經(jīng)授權(quán)的人員進(jìn)入機(jī)房。D選項：對N公司帶入帶出機(jī)房的電腦進(jìn)行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)。這一做法不符合標(biāo)準(zhǔn)，因為硬盤和U盤等存儲設(shè)備可能攜帶惡意軟件或敏感信息，應(yīng)進(jìn)行檢查和登記以確保安全。綜上所述，符合GB/T22080-2016標(biāo)準(zhǔn)要求的做法是A和B。67.以下說法正確的是（）。A.認(rèn)證審核的委托方即受審核方B.受審核方是第一方審核的委托方C.受審核方的行政上級作為委托方時是第二方審核D.組織對其外包服務(wù)提供方的審核是第二方審核答案：BD解析：根據(jù)題目，我們需要分析每個選項的正確性。A選項提到“認(rèn)證審核的委托方即受審核方”，這是不正確的。認(rèn)證審核通常是由獨立的第三方機(jī)構(gòu)進(jìn)行的，委托方和受審核方是兩個不同的實體。委托方可能是希望獲得認(rèn)證的組織，而受審核方可能是該組織本身或其外包服務(wù)提供方。B選項指出“受審核方是第一方審核的委托方”，這是正確的。第一方審核是由組織自身進(jìn)行的，受審核方即組織本身，所以委托方自然也是組織本身。C選項說“受審核方的行政上級作為委托方時是第二方審核”，這并不完全正確。第二方審核是由采購方或其他利益相關(guān)方委托進(jìn)行的，而行政上級并不一定是采購方，所以不能說受審核方的行政上級作為委托方時一定是第二方審核。D選項表示“組織對其外包服務(wù)提供方的審核是第二方審核”，這是正確的。第二方審核是由采購方或其他利益相關(guān)方進(jìn)行的，當(dāng)組織對其外包服務(wù)提供方進(jìn)行審核時，組織作為委托方，外包服務(wù)提供方是受審核方，因此這確實是第二方審核。綜上所述，正確的選項是B和D。68.含有敏感信息的設(shè)備的處置可采?。ǎ.格式化處理B.采取使原始信息不可獲取的技術(shù)破壞或刪除C.多次的寫覆蓋D.徹底摧毀答案：BCD解析：根據(jù)題目描述，含有敏感信息的設(shè)備處置需要確保原始信息無法獲取。選項A格式化處理雖然可以清除設(shè)備上的信息，但可能不能完全保證敏感信息的徹底刪除，因此不夠穩(wěn)妥。選項B采取使原始信息不可獲取的技術(shù)破壞或刪除，可以確保原始信息無法獲取，是合適的處置方式。選項C多次的寫覆蓋也是一種有效的信息清除方式，通過多次覆蓋可以確保敏感信息無法恢復(fù)。選項D徹底摧毀雖然是最徹底的處置方式，但在某些情況下可能不適用，例如設(shè)備需要回收或再利用。因此，選項B、C和D都是正確的處置方式。69.投訴處理過程應(yīng)包括（）。A.投訴受理、跟蹤和告知B.投訴初步評審、投訴調(diào)查C.投訴響應(yīng)、溝通決定D.投訴終止答案：ABCD解析：投訴處理過程是一個完整的流程，從客戶提出問題開始，到最終問題得到解決或得到客戶認(rèn)可結(jié)束。其中，投訴受理、跟蹤和告知是處理過程的起點，確?？蛻舻膯栴}被接受并記錄；投訴初步評審、投訴調(diào)查是對問題進(jìn)行初步評估和調(diào)查，了解問題的具體情況；投訴響應(yīng)、溝通決定是與客戶進(jìn)行溝通，決定是否接受投訴，并給出解決方案；投訴終止是處理過程的終點，表示問題已得到解決或客戶已接受處理結(jié)果。因此，這四個選項都是投訴處理過程中不可或缺的環(huán)節(jié)。70.當(dāng)規(guī)劃信息安全管理體系時，組織應(yīng)考慮相關(guān)要求，確定需要應(yīng)對的風(fēng)險和機(jī)會，以（）。A.確保信息安全管理體系可達(dá)到預(yù)期結(jié)果B.預(yù)防或減少不良影響C.實施有效控制D.達(dá)到持續(xù)改進(jìn)答案：ABD解析：在規(guī)劃信息安全管理體系時，組織需要考慮相關(guān)要求，確定需要應(yīng)對的風(fēng)險和機(jī)會。這涉及到對信息安全管理體系的預(yù)期結(jié)果、不良影響以及持續(xù)改進(jìn)的考慮。A選項“確保信息安全管理體系可達(dá)到預(yù)期結(jié)果”是規(guī)劃信息安全管理體系時需要考慮的核心目標(biāo)，確保體系能夠按照預(yù)期運(yùn)行并達(dá)到設(shè)定的目標(biāo)。B選項“預(yù)防或減少不良影響”意味著組織需要采取措施來預(yù)防或減少由于信息安全問題可能帶來的不良影響，這是信息安全管理體系的重要組成部分。D選項“