本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2017年審核知識（改考前）答案及解析單選題（共40題，共40分）1.信息安全管理中，變更管理應(yīng)予以控制的風(fēng)險包括（）。A.組織架構(gòu)、業(yè)務(wù)流程變更的風(fēng)險B.信息系統(tǒng)配置、物理位置變更的風(fēng)險C.信息系統(tǒng)新的組件、功能模塊發(fā)布的風(fēng)險D.以上全部答案：D解析：在信息安全管理中，變更管理需要予以控制的風(fēng)險涵蓋了多個方面。組織架構(gòu)和業(yè)務(wù)流程的變更可能導(dǎo)致原有的安全策略失效或管理失效，增加安全漏洞的風(fēng)險；信息系統(tǒng)的配置和物理位置的變更可能改變原有的安全環(huán)境，使系統(tǒng)更容易受到攻擊；而信息系統(tǒng)新的組件或功能模塊的發(fā)布，如果沒有經(jīng)過嚴(yán)格的安全評估，也可能引入新的安全風(fēng)險。因此，變更管理應(yīng)予以控制的風(fēng)險包括組織架構(gòu)、業(yè)務(wù)流程變更的風(fēng)險，信息系統(tǒng)配置、物理位置變更的風(fēng)險，以及信息系統(tǒng)新的組件、功能模塊發(fā)布的風(fēng)險，即選項D所述“以上全部”。2.關(guān)于防范惡意軟件，以下說法正確的是（）。A.物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B.安裝入侵深測系統(tǒng)即可防范惡意軟件C.建立白名單即可防范惡意軟件D.建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件答案：D解析：對于防范惡意軟件，我們需要從多個層面進(jìn)行考慮。A選項提到“物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件”，這實際上是一種過于簡單和片面的做法。惡意軟件可以通過多種途徑傳播，不僅僅是互聯(lián)網(wǎng)連接。物理隔斷可能阻止了一部分傳播途徑，但并不能完全解決問題。B選項“安裝入侵深測系統(tǒng)即可防范惡意軟件”同樣存在問題。入侵檢測系統(tǒng)（IDS）確實可以檢測到某些惡意軟件的入侵行為，但它并不能主動預(yù)防惡意軟件的感染。C選項“建立白名單即可防范惡意軟件”也是不全面的。白名單確實可以幫助我們識別和允許已知安全的應(yīng)用運行，但對于未知的或經(jīng)過偽裝的惡意軟件，白名單就無能為力了。D選項“建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件”則更加全面和合理。通過建立探測、預(yù)防和恢復(fù)機制，我們可以及時發(fā)現(xiàn)惡意軟件的入侵行為，并采取預(yù)防措施阻止其傳播，同時，在受到攻擊后也能迅速恢復(fù)系統(tǒng)正常運行。綜上所述，D選項“建立探測、預(yù)防和恢復(fù)機制以防范惡意軟件”是最全面和有效的做法，因此是正確答案。3.以下不屬于可降低信息傳輸中的信息安全風(fēng)險的措施是（）。A.規(guī)定使用通信設(shè)施的限制規(guī)定B.使用鎧甲線纜以及數(shù)據(jù)加密C.雙路供電以及定期測試備份電機D.記錄物理介質(zhì)運輸全程的交接信息答案：C解析：題目要求找出不屬于可降低信息傳輸中的信息安全風(fēng)險的措施。A選項“規(guī)定使用通信設(shè)施的限制規(guī)定”是有效的安全措施，有助于控制對通信設(shè)施的訪問，減少潛在的安全風(fēng)險。B選項“使用鎧甲線纜以及數(shù)據(jù)加密”同樣是有效的安全措施，能夠增強數(shù)據(jù)傳輸?shù)陌踩?，降低被截獲和破解的風(fēng)險。D選項“記錄物理介質(zhì)運輸全程的交接信息”也是一個安全措施，能夠追蹤物理介質(zhì)的安全，降低物理安全風(fēng)險。而C選項“雙路供電以及定期測試備份電機”與信息安全風(fēng)險的降低沒有直接關(guān)系。雙路供電和定期測試備份電機主要是為了提高系統(tǒng)的可用性和可靠性，與信息安全風(fēng)險的降低沒有直接聯(lián)系。因此，C選項是不屬于可降低信息傳輸中的信息安全風(fēng)險的措施。4.依據(jù)GB/T2208/ISO/IC27001，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A.監(jiān)視和評審服務(wù)級別協(xié)議的符合性B.監(jiān)視和評審服務(wù)方人員聘用和考核的流程C.監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D.監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力答案：B解析：依據(jù)GB/T2208/ISO/IC27001，第三方服務(wù)監(jiān)視和評審范疇主要包括監(jiān)視和評審服務(wù)級別協(xié)議的符合性、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度以及監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力。而監(jiān)視和評審服務(wù)方人員聘用和考核的流程并不屬于第三方服務(wù)監(jiān)視和評審的范疇。因此，答案為B。5.在進(jìn)行技術(shù)符合性評審時，以下說法正確的是（）。A.技術(shù)符合性評審即滲透測試B.技術(shù)符合性評審即漏洞掃描和滲透測試的結(jié)合C.滲透測試和漏洞掃描可以替代風(fēng)險評估D.滲透測試和漏洞掃描不可替代風(fēng)險評估答案：D解析：技術(shù)符合性評審是一個全面的評估過程，旨在確保技術(shù)系統(tǒng)或產(chǎn)品符合預(yù)定的標(biāo)準(zhǔn)、規(guī)范或要求。滲透測試和漏洞掃描是評估技術(shù)系統(tǒng)安全性的工具，它們可以幫助發(fā)現(xiàn)潛在的安全漏洞，但并不能完全替代風(fēng)險評估。風(fēng)險評估是一個更廣泛的過程，它考慮了多種因素，包括技術(shù)、操作、管理等，以全面評估系統(tǒng)的安全狀況。因此，滲透測試和漏洞掃描不可替代風(fēng)險評估，而是作為其中的一部分。所以，選項D“滲透測試和漏洞掃描不可替代風(fēng)險評估”是正確的說法。6.信息系統(tǒng)安全等級分為五級，以下說法正確的是（）。A.二級系統(tǒng)每年進(jìn)行一次測評，三級系統(tǒng)每年進(jìn)行二次測評B.四級系統(tǒng)每年進(jìn)行二次測評，五級系統(tǒng)每年進(jìn)行一次測評C.三級系統(tǒng)每年進(jìn)行一次測評，四級系統(tǒng)每年進(jìn)行二次測評D.二級系統(tǒng)和五級系統(tǒng)不進(jìn)行測評答案：C解析：根據(jù)題目描述，信息系統(tǒng)安全等級分為五級，我們需要判斷哪個選項是正確的。A選項提到二級系統(tǒng)每年進(jìn)行一次測評，三級系統(tǒng)每年進(jìn)行二次測評。這與題目描述不符，因為題目中并沒有提到三級系統(tǒng)每年進(jìn)行二次測評。B選項說四級系統(tǒng)每年進(jìn)行二次測評，五級系統(tǒng)每年進(jìn)行一次測評。這同樣與題目描述不符，題目中并沒有提到五級系統(tǒng)每年進(jìn)行一次測評。D選項提到二級系統(tǒng)和五級系統(tǒng)不進(jìn)行測評，這與題目描述也不符，因為題目中并沒有提到二級系統(tǒng)和五級系統(tǒng)不進(jìn)行測評。C選項說三級系統(tǒng)每年進(jìn)行一次測評，四級系統(tǒng)每年進(jìn)行二次測評。這與題目描述相符，因為題目中確實提到了三級系統(tǒng)每年進(jìn)行一次測評，四級系統(tǒng)每年進(jìn)行二次測評。因此，正確答案是C選項。7.關(guān)于涉密信息系統(tǒng)的管理，以下說法不正確的是（）。A.涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B.涉密計算機只有采取了適當(dāng)防護措施才可接入互聯(lián)網(wǎng)C.涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸裁D.涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途答案：B解析：A項，涉密計算機、存儲設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，因為這樣做可能導(dǎo)致涉密信息泄露。所以，A項正確。B項，題目中說的是“涉密計算機只有采取了適當(dāng)防護措施才可接入互聯(lián)網(wǎng)”，而實際上，涉密計算機是嚴(yán)禁接入互聯(lián)網(wǎng)的。因此，B項錯誤。C項，涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸裁，這是為了確保系統(tǒng)的安全性。所以，C項正確。D項，涉密計算機未經(jīng)安全技術(shù)處理不得改作其他用途，這是為了防止涉密信息被非法獲取或利用。因此，D項正確。綜上，不正確的說法是B項。8.殘余風(fēng)險是指（）。A.風(fēng)險評估前，以往活動遺留的風(fēng)險B.風(fēng)險評估后，對以往活動遺留的風(fēng)險的估值C.風(fēng)險處置后剩余的風(fēng)險，比可接受風(fēng)險低D.風(fēng)險處置后剩余的風(fēng)險，不一定比可接受風(fēng)險低答案：D解析：殘余風(fēng)險是指風(fēng)險處置后剩余的風(fēng)險，不一定比可接受風(fēng)險低。在風(fēng)險評估和處置過程中，盡管已經(jīng)采取了措施來降低風(fēng)險，但可能仍然會存在一些未被完全消除的風(fēng)險，這些風(fēng)險就是殘余風(fēng)險。殘余風(fēng)險的大小不一定比可接受的風(fēng)險低，因此選項D是正確的。選項A、B描述的是以往活動的遺留風(fēng)險，與題目要求的“風(fēng)險處置后剩余的風(fēng)險”不符；選項C中“比可接受風(fēng)險低”的表述與題目要求的“不一定比可接受風(fēng)險低”不符。9.信息安全風(fēng)險（R）計算中涉及脆弱性（V），以下說法正確的是（）。A.脆弱性是資產(chǎn)性質(zhì)決定的固有的弱點，其賦值不變B.如果當(dāng)前控制措施有效，資產(chǎn)脆弱性賦值可以降低C.控制措施是管理范疇的概念，脆弱性是技術(shù)范疇的概念，二者沒有關(guān)系D.只要威脅存在，脆弱性就存在，二者的賦值同向增減答案：B解析：在信息安全風(fēng)險（R）計算中，脆弱性（V）是一個重要的因素。根據(jù)題目中的選項，我們可以逐一分析：A選項提到“脆弱性是資產(chǎn)性質(zhì)決定的固有的弱點，其賦值不變”。這一說法過于絕對，實際上，脆弱性賦值是可以根據(jù)控制措施的有效性而變化的。B選項表示“如果當(dāng)前控制措施有效，資產(chǎn)脆弱性賦值可以降低”。這是正確的，因為有效的控制措施可以降低資產(chǎn)被威脅利用的風(fēng)險，從而降低脆弱性。C選項說“控制措施是管理范疇的概念，脆弱性是技術(shù)范疇的概念，二者沒有關(guān)系”。這是不正確的，因為控制措施和脆弱性都是信息安全風(fēng)險計算中的重要因素，它們之間是有關(guān)系的。D選項提到“只要威脅存在，脆弱性就存在，二者的賦值同向增減”。這一說法也不準(zhǔn)確，因為威脅和脆弱性是兩個不同的概念，它們的賦值不一定同向增減。綜上所述，正確答案是B選項，即“如果當(dāng)前控制措施有效，資產(chǎn)脆弱性賦值可以降低”。10.如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，則應(yīng)具備的保護水平為（）。A.三級B.二級C.四級D.五級答案：A解析：《信息安全等級保護管理辦法》中規(guī)定了信息系統(tǒng)安全保護能力應(yīng)根據(jù)信息系統(tǒng)在國家安全、社會穩(wěn)定方面的重要程度，遭到破壞后對社會產(chǎn)生的危害程度以及系統(tǒng)本身的安全防護能力和系統(tǒng)服務(wù)的對象等因素確定，并按照等級測評、建設(shè)整改、監(jiān)督檢查、系統(tǒng)定級的流程進(jìn)行。信息系統(tǒng)安全保護等級分為五級，從低到高依次為：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益；第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全；第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害；第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害；第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。因此，如果信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，則應(yīng)具備的保護水平為第三級。故本題選A。11.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B.負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長C.負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D.負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員答案：C解析：信息安全管理體系認(rèn)證中，負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核。這是為了確保審核的公正性和獨立性。審核組組長雖然重要，但并不能單獨作出認(rèn)證決定，參與預(yù)審核的人員也不一定是作出認(rèn)證決定的人員。因此，選項C“負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核”是正確的。12.關(guān)于散布圖，以下說法正確的是（）。A.是描述特性值分布區(qū)間的網(wǎng)——趨勢圖B.是描述一對變量關(guān)系的圖——散布圖C.是描述特性隨時間變化趨勢的圖——趨勢圖D.是描述變量類別分布的圖——直方圖答案：B解析：散布圖是用來描述一對變量關(guān)系的圖，通過點的密集程度和變化趨勢，可以觀察兩變量之間是否存在某種關(guān)系。因此，選項B“是描述一對變量關(guān)系的圖——散布圖”是正確的。選項A“是描述特性值分布區(qū)間的網(wǎng)——趨勢圖”描述的是趨勢圖，與散布圖不符；選項C“是描述特性隨時間變化趨勢的圖——趨勢圖”也是描述趨勢圖的，與散布圖不符；選項D“是描述變量類別分布的圖——直方圖”描述的是直方圖，與散布圖也不符。13.設(shè)置研發(fā)內(nèi)部獨立內(nèi)網(wǎng)是采?。ǎ┑目刂拼胧?。A.上網(wǎng)流量管控B.行為管理C.敏感系統(tǒng)隔離D.信息交換答案：C解析：在研發(fā)內(nèi)部設(shè)置獨立內(nèi)網(wǎng)是為了隔離敏感系統(tǒng)，避免敏感信息外泄或受到外部攻擊。敏感系統(tǒng)隔離是采取的關(guān)鍵控制措施，能夠確保研發(fā)內(nèi)部網(wǎng)絡(luò)的安全性和穩(wěn)定性。上網(wǎng)流量管控、行為管理和信息交換雖然也是網(wǎng)絡(luò)安全中的重要環(huán)節(jié)，但與設(shè)置獨立內(nèi)網(wǎng)的主要目的不完全一致。因此，正確答案是C，即敏感系統(tǒng)隔離。14.以下說法不正確的是（）。A.應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化險評估結(jié)果進(jìn)行再評審B.應(yīng)考慮以往未充分識別的威脅對風(fēng)險評估結(jié)果進(jìn)行再評估C.制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響D.安全計劃應(yīng)適時更新答案：C解析：本題考查信息安全風(fēng)險評估的相關(guān)知識。A項正確，組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化可能引發(fā)新的信息安全風(fēng)險，因此需要進(jìn)行再評審。B項正確，威脅是信息安全風(fēng)險的一個重要來源，以往未充分識別的威脅可能帶來新的信息安全風(fēng)險，因此需要進(jìn)行再評估。C項錯誤，制造部增加的生產(chǎn)場所可能會引入新的安全風(fēng)險，例如物理安全、網(wǎng)絡(luò)安全等，因此需要考慮對信息安全風(fēng)險的影響。D項正確，安全計劃應(yīng)根據(jù)實際情況適時更新，以應(yīng)對新的安全風(fēng)險和挑戰(zhàn)。因此，C項“制造部增加的生產(chǎn)場所對信息安全風(fēng)險無影響”說法不正確。15.A公司的機房有一扇臨街的窗戶，下列風(fēng)險描述中哪個風(fēng)險與該種情況無關(guān)（）。A.機房設(shè)備面臨被盜的風(fēng)險B.機房設(shè)備面臨受破壞的風(fēng)險C.機房設(shè)備面臨灰塵的風(fēng)險D.機房設(shè)備面臨人員誤入的風(fēng)險答案：D解析：題目描述了一個公司機房有一扇臨街的窗戶，這可能會引起多種風(fēng)險。選項A機房設(shè)備面臨被盜的風(fēng)險，是因為窗戶臨街，可能會被不法分子利用進(jìn)行盜竊。選項B機房設(shè)備面臨受破壞的風(fēng)險，同樣是因為窗戶臨街，可能會被惡意破壞。選項C機房設(shè)備面臨灰塵的風(fēng)險，是因為窗戶可能讓灰塵進(jìn)入機房，影響設(shè)備的正常運行。而選項D機房設(shè)備面臨人員誤入的風(fēng)險，與窗戶臨街的情況沒有直接關(guān)系，因為人員誤入的風(fēng)險更多是與機房內(nèi)部標(biāo)識不清、安全措施不足等因素有關(guān)，與窗戶的位置沒有直接聯(lián)系。因此，與該種情況無關(guān)的風(fēng)險是D，即機房設(shè)備面臨人員誤入的風(fēng)險。16.不屬于計算機病毒防治的策略是（）。A.確認(rèn)您手頭常備一張真正“干凈的引導(dǎo)盤”B.及時、可靠升級反病毒產(chǎn)品C.新購置的計算機軟件也要進(jìn)行病毒檢測D.整理磁盤答案：D解析：計算機病毒防治的策略主要包括：確認(rèn)手頭常備一張真正“干凈的引導(dǎo)盤”，以便在必要時使用；及時、可靠地升級反病毒產(chǎn)品，以應(yīng)對新出現(xiàn)的病毒；新購置的計算機軟件也要進(jìn)行病毒檢測，以防止病毒帶入系統(tǒng)。而整理磁盤并不屬于計算機病毒防治的策略，它更多的是關(guān)于磁盤空間管理和優(yōu)化磁盤性能的操作。因此，選項D“整理磁盤”是不屬于計算機病毒防治的策略。17.不屬于WEB服務(wù)器的安全措施的是（）。A.保證注冊帳戶的時效性B.刪除死帳戶C.強制用戶使用不易被破解的密碼D.所有用戶使用一次性密碼答案：D解析：本題考查的是WEB服務(wù)器的安全措施。A選項“保證注冊帳戶的時效性”是WEB服務(wù)器的安全措施之一，它確保了只有有效的帳戶才能登錄，從而增強了系統(tǒng)的安全性。B選項“刪除死帳戶”也是WEB服務(wù)器的安全措施之一，死帳戶指的是那些不再使用或者已被鎖定的帳戶，刪除這些帳戶可以減少被攻擊的風(fēng)險。C選項“強制用戶使用不易被破解的密碼”同樣是WEB服務(wù)器的安全措施，它提高了用戶密碼的安全性，降低了密碼被破解的風(fēng)險。D選項“所有用戶使用一次性密碼”并不是WEB服務(wù)器的常見安全措施。一次性密碼（OTP）通常用于增強身份認(rèn)證，但它并不是所有用戶的默認(rèn)或唯一密碼。因此，這一選項不符合WEB服務(wù)器的安全措施。綜上所述，不屬于WEB服務(wù)器的安全措施的是D選項“所有用戶使用一次性密碼”。18.定期備份和測試信息是指（）。A.每次備份完成時對備份結(jié)果進(jìn)行檢查，以確保備份效果B.對系統(tǒng)測試記錄進(jìn)行定期備份C.定期備份，定期對備份數(shù)據(jù)的完整性和可用性進(jìn)行測試D.定期檢查備份存儲介質(zhì)的容量答案：C解析：定期備份和測試信息是指定期備份，定期對備份數(shù)據(jù)的完整性和可用性進(jìn)行測試。這是因為備份的目的是為了保障數(shù)據(jù)的安全性，而測試則是為了確保備份數(shù)據(jù)的完整性和可用性，即當(dāng)需要恢復(fù)數(shù)據(jù)時，備份數(shù)據(jù)能夠正常、完整地恢復(fù)。因此，定期備份和測試信息應(yīng)該包括定期備份和定期測試備份數(shù)據(jù)的完整性和可用性兩個方面。選項A只涉及備份結(jié)果的檢查，沒有提到測試；選項B只涉及系統(tǒng)測試記錄的備份，與題目要求不符；選項D只涉及備份存儲介質(zhì)的容量檢查，也沒有提到測試。因此，正確答案是C。19.一個組織或安全域內(nèi)所有信息處理設(shè)施與已設(shè)精確時鐘源同步是為了（）。A.便于針對使用信息處理設(shè)施的人員計算工時B.便于探測未經(jīng)授權(quán)的信息處理活動的發(fā)生C.確保信息處理的及時性得到控制D.人員異地工作時統(tǒng)一作息時間答案：B解析：題目要求的是關(guān)于組織或安全域內(nèi)所有信息處理設(shè)施與已設(shè)精確時鐘源同步的目的。根據(jù)選項進(jìn)行分析：A.便于針對使用信息處理設(shè)施的人員計算工時-這與信息處理設(shè)施的時鐘同步無直接關(guān)系，所以A選項不正確。B.便于探測未經(jīng)授權(quán)的信息處理活動的發(fā)生-當(dāng)所有信息處理設(shè)施與已設(shè)精確時鐘源同步時，可以更容易地檢測和識別未經(jīng)授權(quán)的信息處理活動，因為時間戳的一致性有助于追蹤和定位異?；顒?。因此，B選項是正確的。C.確保信息處理的及時性得到控制-雖然時鐘同步可以確保信息處理活動的時間一致性，但這并不是同步的主要目的。因此，C選項不正確。D.人員異地工作時統(tǒng)一作息時間-這與信息處理設(shè)施的時鐘同步?jīng)]有直接關(guān)系，所以D選項不正確。綜上所述，正確答案是B，即“便于探測未經(jīng)授權(quán)的信息處理活動的發(fā)生”。20.在策略生命周期中，以下哪個是正確的（）。A.需求分析、制定、發(fā)布、推行、審核、廢除B.制定、發(fā)布、推行、審核、修訂、廢除C.需求分析、制定、發(fā)布、推行、審核、修訂D.需求分析、制定、發(fā)布、推行、審核、修訂、廢除答案：D解析：策略生命周期通常包括需求分析、制定、發(fā)布、推行、審核、修訂和廢除等階段。在給出的選項中，選項D“需求分析、制定、發(fā)布、推行、審核、修訂、廢除”與策略生命周期的階段順序相符，因此是正確答案。其他選項要么缺少某個階段，要么順序不正確。21.以下強健口令的是（）。A.a8mom9y5fub33B.1234C.CnasD.Password答案：A解析：在評估四個選項的口令強度時，我們需要考慮口令的復(fù)雜性和難以猜測性。A選項"a8mom9y5fub33"包含大小寫字母、數(shù)字和特殊字符，長度也相對較長，這樣的口令很難被猜測，因此具有較高的安全性。B選項"1234"是常見的弱口令，因為它很容易被猜測到，沒有復(fù)雜性。C選項"Cnas"雖然包含大小寫字母，但長度較短，且沒有特殊字符，相對來說也比較容易被猜測。D選項"Password"是另一個常見的弱口令，因為它是一個常用的密碼詞匯，很容易被猜測。綜上所述，A選項"a8mom9y5fub33"是最安全的口令，因為它符合強口令的標(biāo)準(zhǔn)，包括長度、復(fù)雜性、難以猜測性等要素。22.（）屬于系統(tǒng)威脅。A.不穩(wěn)定的電力供應(yīng)B.硬件維護失誤C.軟件缺乏審計記錄D.口令管理機制薄弱答案：A解析：系統(tǒng)威脅通常指的是可能對系統(tǒng)穩(wěn)定性、安全性和可用性造成威脅的因素。在給出的選項中，A選項“不穩(wěn)定的電力供應(yīng)”是一個典型的系統(tǒng)威脅，因為不穩(wěn)定的電力供應(yīng)可能導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失或設(shè)備損壞。B選項“硬件維護失誤”雖然可能對系統(tǒng)造成損害，但它更多地是一個操作失誤，而不是一個持續(xù)的系統(tǒng)威脅。C選項“軟件缺乏審計記錄”可能會導(dǎo)致安全漏洞，但它更多地與系統(tǒng)的安全策略相關(guān)，而不是系統(tǒng)威脅。D選項“口令管理機制薄弱”可能會增加未經(jīng)授權(quán)訪問的風(fēng)險，但它更多是一個管理或策略問題，而不是一個直接的系統(tǒng)威脅。因此，A選項“不穩(wěn)定的電力供應(yīng)”是最符合系統(tǒng)威脅定義的選項。23.防止靜態(tài)信息被非授權(quán)訪問和防止動態(tài)信息被截取解密是（）。A.數(shù)據(jù)完整性B.數(shù)據(jù)可用性C.數(shù)據(jù)可靠性D.數(shù)據(jù)保密性答案：D解析：數(shù)據(jù)保密性是指確保數(shù)據(jù)不被非授權(quán)訪問和防止數(shù)據(jù)被截取解密的能力。防止靜態(tài)信息被非授權(quán)訪問和防止動態(tài)信息被截取解密，都是對數(shù)據(jù)保密性的保護。因此，正確答案是D，即數(shù)據(jù)保密性。24.下列關(guān)于“風(fēng)險評價準(zhǔn)則描述不正確的是（）。A.風(fēng)險評價準(zhǔn)則是評價風(fēng)險重要程度的依據(jù)，不能被改變B.風(fēng)險評估準(zhǔn)則應(yīng)盡可能在風(fēng)險管理過程開始制定C.風(fēng)險評估準(zhǔn)則應(yīng)當(dāng)與組織的風(fēng)險管理方針一致D.風(fēng)險評價準(zhǔn)則需體現(xiàn)組織的風(fēng)險承受度，應(yīng)反映組織的價值觀、目標(biāo)和資源答案：A解析：A選項描述“風(fēng)險評價準(zhǔn)則是評價風(fēng)險重要程度的依據(jù)，不能被改變”是不正確的。風(fēng)險評價準(zhǔn)則實際上是可以根據(jù)組織的需求和情況進(jìn)行調(diào)整和改進(jìn)的。風(fēng)險評價準(zhǔn)則應(yīng)當(dāng)隨著組織的風(fēng)險管理方針、目標(biāo)、資源和承受度的變化而進(jìn)行相應(yīng)的調(diào)整。因此，A選項的描述是不準(zhǔn)確的。B選項“風(fēng)險評估準(zhǔn)則應(yīng)盡可能在風(fēng)險管理過程開始制定”是正確的，因為風(fēng)險評估準(zhǔn)則應(yīng)當(dāng)在風(fēng)險管理過程開始時制定，以確保評估的準(zhǔn)確性和一致性。C選項“風(fēng)險評估準(zhǔn)則應(yīng)當(dāng)與組織的風(fēng)險管理方針一致”也是正確的，因為風(fēng)險評估準(zhǔn)則應(yīng)當(dāng)與組織的整體風(fēng)險管理方針相一致，以確保評估的有效性和可靠性。D選項“風(fēng)險評價準(zhǔn)則需體現(xiàn)組織的風(fēng)險承受度，應(yīng)反映組織的價值觀、目標(biāo)和資源”同樣正確，因為風(fēng)險評價準(zhǔn)則應(yīng)當(dāng)反映組織的風(fēng)險承受度，體現(xiàn)組織的價值觀、目標(biāo)和資源，以確保評估的準(zhǔn)確性和實用性。25.對于風(fēng)險管理與組織其他活動的關(guān)系，以下陳述正確的是（）。A.風(fēng)險管理與組織的其他活動可以分離B.風(fēng)險管理構(gòu)成組織所有過程整體所必須的一部分C.風(fēng)險管理可以獨立于組織的其他活動D.相對于組織的其他活動，風(fēng)險管理是附加的一項活動答案：B解析：風(fēng)險管理與組織的其他活動不能分離，它是組織所有過程整體所必須的一部分。因此，選項B“風(fēng)險管理構(gòu)成組織所有過程整體所必須的一部分”是正確的。選項A“風(fēng)險管理與組織的其他活動可以分離”、選項C“風(fēng)險管理可以獨立于組織的其他活動”和選項D“相對于組織的其他活動，風(fēng)險管理是附加的一項活動”都是錯誤的。26.關(guān)于文件管理下列說法錯誤的是（）。A.文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B.必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)C.應(yīng)確保文件保持清晰，易于識別D.作廢文件應(yīng)及時銷毀，防止錯誤使用答案：D解析：本題考察的是文件管理的相關(guān)知識。A選項提到“文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的”，這是文件管理中非常關(guān)鍵的一步，確保文件的準(zhǔn)確性和適用性。B選項提到“必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)”，這也是文件管理中不可或缺的一部分，當(dāng)文件的內(nèi)容或標(biāo)準(zhǔn)發(fā)生變化時，需要進(jìn)行評審和更新，以確保文件的持續(xù)有效性和準(zhǔn)確性。C選項提到“應(yīng)確保文件保持清晰，易于識別”，這是文件管理的基本要求，確保文件的可讀性和易理解性。D選項“作廢文件應(yīng)及時銷毀，防止錯誤使用”雖然在實際操作中可能是一種常見的做法，但不是文件管理的硬性要求。文件管理并不強制要求必須銷毀作廢文件，而是需要確保這些文件不被錯誤地使用。實際上，某些情況下，保留作廢文件可能有助于追溯和審計。因此，D選項“作廢文件應(yīng)及時銷毀，防止錯誤使用”是錯誤的說法。所以正確答案是D。27.以下哪一項有助于檢測入侵者對服務(wù)器系統(tǒng)日志的改動（）？A.在另一臺服務(wù)器鏡像該系統(tǒng)日志B.在一塊一次寫磁盤上同時復(fù)制該系統(tǒng)日志C.將保存系統(tǒng)日志的目錄設(shè)為寫保護D.異地保存該系統(tǒng)日志的備份答案：B解析：要檢測入侵者對服務(wù)器系統(tǒng)日志的改動，我們需要確保日志的完整性和不可篡改性。A選項“在另一臺服務(wù)器鏡像該系統(tǒng)日志”雖然可以實時同步日志，但并不能保證日志的不可篡改性，因為入侵者仍然有可能在原始服務(wù)器上修改日志。B選項“在一塊一次寫磁盤上同時復(fù)制該系統(tǒng)日志”是一次寫磁盤（WriteOnceMedia）的特性，它只允許寫入一次數(shù)據(jù)，寫入后不能更改。這意味著系統(tǒng)日志在被寫入一次寫磁盤后，就不能被修改，從而保證了日志的完整性和不可篡改性。C選項“將保存系統(tǒng)日志的目錄設(shè)為寫保護”雖然可以防止對日志目錄的寫入，但不能防止對日志本身的修改，因為入侵者可能使用其他方式修改日志。D選項“異地保存該系統(tǒng)日志的備份”雖然可以保存日志的備份，但并不能實時檢測日志的改動，而且備份本身也可能被篡改。因此，B選項“在一塊一次寫磁盤上同時復(fù)制該系統(tǒng)日志”是最有助于檢測入侵者對服務(wù)器系統(tǒng)日志的改動的。28.安全管理中經(jīng)常會采用權(quán)限分離的辦法防止單個人員權(quán)限過高，出現(xiàn)內(nèi)部人員的違法犯罪行為，“權(quán)限分離”屬于（）控制措施。A.管理B.檢測C.響應(yīng)D.運行答案：A解析：在安全管理中，為了防止單個人員權(quán)限過高，出現(xiàn)內(nèi)部人員的違法犯罪行為，經(jīng)常會采用權(quán)限分離的辦法。權(quán)限分離是一種管理控制措施，通過分配不同的權(quán)限給不同的人員，確保沒有單一人員擁有過高的權(quán)限，從而減少內(nèi)部人員濫用職權(quán)的風(fēng)險。因此，選項A“管理”是正確答案。選項B“檢測”通常指的是對系統(tǒng)或數(shù)據(jù)進(jìn)行監(jiān)控和檢查，以發(fā)現(xiàn)潛在的問題或異常；選項C“響應(yīng)”是指對安全事件或問題的反應(yīng)和應(yīng)對措施；選項D“運行”則是指系統(tǒng)的正常運作。這些選項與權(quán)限分離的控制措施不直接相關(guān)。29.（）不屬于必需的災(zāi)前預(yù)防性措施。A.防火設(shè)施B.數(shù)據(jù)備份C.配置冗余設(shè)備D.不間斷電源，至少應(yīng)給服務(wù)器等關(guān)鍵設(shè)備配備答案：D解析：題目詢問的是不屬于必需的災(zāi)前預(yù)防性措施的選項。A選項“防火設(shè)施”是災(zāi)前預(yù)防性措施之一，用于防止火災(zāi)的發(fā)生，保護設(shè)備和數(shù)據(jù)安全。B選項“數(shù)據(jù)備份”也是災(zāi)前預(yù)防性措施，用于在數(shù)據(jù)丟失或損壞時恢復(fù)數(shù)據(jù)，確保業(yè)務(wù)連續(xù)性。C選項“配置冗余設(shè)備”同樣是災(zāi)前預(yù)防性措施，通過配置冗余設(shè)備，可以在主設(shè)備故障時迅速切換到備用設(shè)備，減少停機時間。D選項“不間斷電源，至少應(yīng)給服務(wù)器等關(guān)鍵設(shè)備配備”雖然是一種重要的災(zāi)前預(yù)防性措施，用于在電力故障時保持設(shè)備供電，確保設(shè)備正常運行，但它并不是必需的災(zāi)前預(yù)防性措施。因為雖然不間斷電源對于關(guān)鍵設(shè)備非常重要，但在某些情況下，例如長時間的大規(guī)模電力故障或設(shè)備自身故障，不間斷電源也可能無法正常工作。因此，雖然不間斷電源是推薦使用的災(zāi)前預(yù)防性措施，但不能說它是“必需的”。因此，正確答案是D選項。30.（）最好地描述了數(shù)字證書。A.等同于在網(wǎng)絡(luò)上證明個人和公司身份的身份證B.瀏覽器的一標(biāo)準(zhǔn)特性，它使得黑客不能得知用戶的身份C.網(wǎng)站要求用戶使用用戶名和密碼登陸的安全機制D.伴隨在線交易證明購買的收據(jù)答案：A解析：數(shù)字證書是一個電子文檔，由可信賴的第三方（通常稱為證書頒發(fā)機構(gòu)）頒發(fā)，用于證明一個實體（通常是個人或公司）的身份。它包含了實體的信息，如名稱、公鑰等，以及證書頒發(fā)機構(gòu)的數(shù)字簽名，以證明該證書是真實的。因此，數(shù)字證書在網(wǎng)絡(luò)上的作用類似于實體身份證，用于證明和確認(rèn)身份。選項A的描述最準(zhǔn)確地描述了數(shù)字證書的功能和性質(zhì)。31.關(guān)于中國認(rèn)證認(rèn)可相關(guān)活動的監(jiān)督管理機制，以下說法正確的是（）。A.CNCA對CNAS、CCAA、認(rèn)證機構(gòu)依法實施監(jiān)督管理B.CNCA依法監(jiān)管CNAS，CNAS依法監(jiān)管認(rèn)證機構(gòu)C.CCAA依法監(jiān)管認(rèn)證機構(gòu)，CNCA依法監(jiān)管CNASD.CCAA依法監(jiān)管認(rèn)證人員，CNAS依法監(jiān)管認(rèn)證機構(gòu)，CNCA依法監(jiān)管CNAS答案：A解析：根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》的規(guī)定，國家認(rèn)證認(rèn)可監(jiān)督管理委員會（CNCA）對認(rèn)證機構(gòu)、認(rèn)可機構(gòu)以及認(rèn)證培訓(xùn)、咨詢機構(gòu)等相關(guān)機構(gòu)和人員依法實施監(jiān)督管理。其中，CNAS（中國合格評定國家認(rèn)可委員會）和CCAA（中國認(rèn)證認(rèn)可協(xié)會）都是CNCA監(jiān)管下的機構(gòu)。因此，選項A“CNCA對CNAS、CCAA、認(rèn)證機構(gòu)依法實施監(jiān)督管理”是正確的說法。選項B、C、D的說法均不符合條例的規(guī)定。32.下述關(guān)于安全掃描和安全掃描系統(tǒng)的描述錯誤的是（）。A.安全掃描在企業(yè)部署安全策略中處于非常重要的地位B.安全掃描系統(tǒng)可用于管理和維護信息安全設(shè)備的安全C.安全掃描系統(tǒng)對防火墻在某些安全功能上的不足不具有彌補性D.安全掃描系統(tǒng)是把雙刃劍答案：C解析：安全掃描在企業(yè)部署安全策略中處于非常重要的地位，因此A選項正確；安全掃描系統(tǒng)可用于管理和維護信息安全設(shè)備的安全，所以B選項正確；安全掃描系統(tǒng)對防火墻在某些安全功能上的不足具有彌補性，因此C選項錯誤；安全掃描系統(tǒng)是把雙刃劍，所以D選項正確。因此，描述錯誤的是C選項。33.下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）可用于備份（）？A.需要使用網(wǎng)絡(luò)附加存儲設(shè)備（NAS）時B.不能使用TCP/IP的環(huán)境中C.需要備份舊的備份系統(tǒng)不能處理的文件許可時D.要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時答案：A解析：網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）主要用于支持網(wǎng)絡(luò)附加存儲設(shè)備（NAS）的備份，它提供了一種跨多個數(shù)據(jù)卷、連續(xù)且一致的備份方法。因此，當(dāng)需要使用網(wǎng)絡(luò)附加存儲設(shè)備時，NDMP可用于備份。所以，正確答案是A。選項B“不能使用TCP/IP的環(huán)境中”是不正確的，因為NDMP是基于TCP/IP的協(xié)議。選項C“需要備份舊的備份系統(tǒng)不能處理的文件許可時”和選項D“要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時”雖然都是NDMP可以處理的情況，但不是NDMP主要用于支持的情況。34.關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是（）。A.必要時，使用密碼技術(shù)、生物識別等替代口令B.用提示信息告知用戶輸入的口令是否正確C.確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D.適用互動式管理確保用戶使用優(yōu)質(zhì)口令答案：B解析：在信息系統(tǒng)登錄口令的管理中，我們需要確?？诹畹陌踩院捅Ｃ苄?。對于選項B，提示用戶輸入的口令是否正確，這實際上增加了口令被猜測或破解的風(fēng)險。因為攻擊者可能會嘗試各種可能的口令，并根據(jù)提示信息來確定哪個是正確的。因此，這種做法是不正確的。而選項A提到使用密碼技術(shù)、生物識別等替代口令，這可以增強口令的安全性，減少被破解的風(fēng)險。選項C和D則強調(diào)了告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略以及適用互動式管理確保用戶使用優(yōu)質(zhì)口令，這有助于提升用戶對口令安全性的認(rèn)識，從而采取更安全的口令策略。因此，選項A、C和D的做法都是正確的。35.跨國公司的I$經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)（VPN）升級，采用通道技術(shù)使用其支持語音IP電話，（VOIP）服務(wù)，那么，需要首要關(guān)注的是（）。A.服務(wù)的可靠性和質(zhì)量（Qos，qualityofservice）B.身份的驗證方式C.語音傳輸?shù)谋Ｃ蹹.數(shù)據(jù)傳輸?shù)谋Ｃ艽鸢福篈解析：對于跨國公司的I$經(jīng)理來說，升級虛擬專用網(wǎng)（VPN）以支持語音IP電話（VOIP）服務(wù)時，首要關(guān)注的是服務(wù)的可靠性和質(zhì)量。這是因為可靠性和質(zhì)量直接影響到通信的穩(wěn)定性和效果，對于企業(yè)的運營和溝通至關(guān)重要。身份的驗證方式、語音傳輸?shù)谋Ｃ芎蛿?shù)據(jù)傳輸?shù)谋Ｃ茈m然也很重要，但在VPN升級的主要目標(biāo)下，服務(wù)的可靠性和質(zhì)量應(yīng)是首要關(guān)注點。因此，正確答案是A。36.A公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實施時需要（）。A.所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B.完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）C.指紋識別的基礎(chǔ)上增加口令保護D.保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)答案：A解析：公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)。為了實施這一計劃，所有受信的PC機用戶需要履行登記、注冊手續(xù)（或稱為：初始化手續(xù)）。這是為了確保每個用戶都能正確設(shè)置和驗證自己的指紋信息，從而能夠使用指紋識別登錄系統(tǒng)。因此，選項A“所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）”是正確的。選項B“完全避免失誤接受的風(fēng)險（即：把非授權(quán)者錯誤識別為授權(quán)者的風(fēng)險）”雖然重要，但不是實施這一計劃所必需的，因為指紋識別系統(tǒng)本身應(yīng)該具備防止誤識別的功能。選項C“指紋識別的基礎(chǔ)上增加口令保護”雖然可以增加額外的安全性，但并不是實施指紋識別登錄系統(tǒng)的必要條件。選項D“保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)”是一個更廣泛的目標(biāo)，而不是實施這一具體計劃所需的特定步驟。37.下列哪個選項不屬于審核組長的職責(zé)（）？A.確定審核的需要和目的B.組織編制現(xiàn)場審核有關(guān)的工作文件C.主持首末次會議和審核組會議D.代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通答案：A解析：在審核中，審核組長的職責(zé)是關(guān)鍵的。他/她需要主持首末次會議和審核組會議，以確保審核過程的順利進(jìn)行。同時，審核組長還需要組織編制現(xiàn)場審核有關(guān)的工作文件，以及代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通。而選項A“確定審核的需要和目的”通常是審核發(fā)起方或委托方的職責(zé)，而不是審核組長的職責(zé)。因此，選項A“確定審核的需要和目的”不屬于審核組長的職責(zé)。38.關(guān)于商用密碼技術(shù)和產(chǎn)品，以下說法不正確的是（）。A.任何組織不得隨意進(jìn)口密碼產(chǎn)品，但可以出口商用密碼產(chǎn)品B.商用密碼技術(shù)屬于國家秘密C.商用密碼是對不涉及國家秘密的內(nèi)容進(jìn)行加密保護的產(chǎn)品D.商用密碼產(chǎn)品的用戶不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品答案：A解析：商用密碼技術(shù)和產(chǎn)品涉及國家安全，因此任何組織都不得隨意進(jìn)口或出口商用密碼產(chǎn)品，所以A選項不正確。B選項正確，商用密碼技術(shù)屬于國家秘密，受到保護。C選項正確，商用密碼是用于保護不涉及國家秘密的信息的產(chǎn)品。D選項正確，商用密碼產(chǎn)品的用戶不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品，以維護國家安全。因此，答案為A。39.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.認(rèn)證決定人員不宜推翻審核組的正面建議B.認(rèn)證決定人員不宜推翻審核組的負(fù)面建議C.認(rèn)證決定人員宜與審核組長協(xié)商做出認(rèn)證決定D.認(rèn)證決定人員宜與受審核方協(xié)商做出認(rèn)證決定答案：B解析：在信息安全管理體系認(rèn)證過程中，審核組通常會對受審核方的管理體系進(jìn)行評估，并給出建議。審核組的正面建議通常是基于他們對受審核方管理體系的積極評價，因此，認(rèn)證決定人員通常沒有理由推翻這些建議。然而，如果審核組給出負(fù)面建議，認(rèn)證決定人員應(yīng)當(dāng)進(jìn)行獨立的判斷，并考慮所有相關(guān)因素，包括審核組的建議，但不應(yīng)僅僅基于審核組的負(fù)面建議做出決定。因此，認(rèn)證決定人員不宜推翻審核組的負(fù)面建議，故選項B正確。選項A、C、D的說法均不符合信息安全管理體系認(rèn)證的一般原則和實踐。40.表示客體安全級別并描述客體敏感性的一組信息，是（）。A.敏感性標(biāo)記，是可信計算機基中強制訪問控制決策的依據(jù)B.關(guān)鍵性標(biāo)記，是可信目計算機基中強制訪問控制決策的依據(jù)C.關(guān)鍵性等級標(biāo)記，是信息資產(chǎn)分類分級的依據(jù)D.敏感性標(biāo)記，是表明訪問者安全權(quán)限級別答案：A解析：根據(jù)題目描述，需要找到表示客體安全級別并描述客體敏感性的一組信息。選項A表示敏感性標(biāo)記是可信計算機基中強制訪問控制決策的依據(jù)，這符合題目要求。選項B的關(guān)鍵性標(biāo)記并不是描述客體敏感性的信息，選項C的關(guān)鍵性等級標(biāo)記雖然與客體敏感性有關(guān)，但描述不夠準(zhǔn)確，選項D的敏感性標(biāo)記描述的是訪問者安全權(quán)限級別，與題目要求不符。因此，正確答案是A。多選題（共5題，共5分）41.審核計劃中應(yīng)涵蓋（）。A.本次及其后續(xù)審核的時間安排B.審核準(zhǔn)則C.審核組成員及分工D.審核的日程安排答案：BCD解析：審核計劃是用于規(guī)劃和管理審核過程的重要文件，其應(yīng)包含與審核相關(guān)的關(guān)鍵信息。從提供的選項來看：A選項“本次及其后續(xù)審核的時間安排”雖然是審核計劃中可能涉及的一個方面，但僅是一個具體的時間表，而非審核計劃的核心內(nèi)容。B選項“審核準(zhǔn)則”是審核計劃中必須明確的內(nèi)容，它規(guī)定了審核的依據(jù)和標(biāo)準(zhǔn)。C選項“審核組成員及分工”是審核計劃中的關(guān)鍵部分，明確了審核團隊的組成和各自的任務(wù)。D選項“審核的日程安排”是審核計劃中的另一個重要方面，它詳細(xì)規(guī)劃了審核的日程和流程。綜上所述，審核計劃應(yīng)涵蓋B、C、D三個選項，即審核準(zhǔn)則、審核組成員及分工和審核的日程安排。因此，正確答案為BCD。42.（）是ISMS關(guān)鍵成功因素。A.用于評價信息安全管理執(zhí)行情況和改進(jìn)反饋建議的測量系統(tǒng)B.信息安全方針。目標(biāo)和與目標(biāo)保持一致的活動C.有效的業(yè)務(wù)連續(xù)性管理方法D.有效的信息安全事件管理過程答案：ABCD解析：ISMS（信息安全管理體系）的關(guān)鍵成功因素包括多個方面。首先，A選項提到的“用于評價信息安全管理執(zhí)行情況和改進(jìn)反饋建議的測量系統(tǒng)”是確保體系持續(xù)改進(jìn)和符合標(biāo)準(zhǔn)的關(guān)鍵。其次，B選項提到的“信息安全方針、目標(biāo)和與目標(biāo)保持一致的活動”確保了體系的方向和目標(biāo)清晰明確。再者，C選項中的“有效的業(yè)務(wù)連續(xù)性管理方法”能夠應(yīng)對可能的信息安全事件，保障業(yè)務(wù)的連續(xù)性。最后，D選項的“有效的信息安全事件管理過程”能夠迅速、有效地應(yīng)對和處理信息安全事件，減少其對業(yè)務(wù)的影響。因此，這四個選項都是ISMS的關(guān)鍵成功因素。43.以下做法正確的是（）A.使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B.為強化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C.員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)