本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2018年03月基礎(chǔ)知識（改考前）答案及解析單選題（共50題，共50分）1.安全標(biāo)簽是一種訪問控制機(jī)制，它適用于下列哪一種訪問控制策略？（）A.基本角色的策略B.基于身份的策略C.用戶向?qū)У牟呗訢.強(qiáng)制性訪問控制策略答案：D解析：安全標(biāo)簽是一種訪問控制機(jī)制，它適用于強(qiáng)制性訪問控制策略。強(qiáng)制性訪問控制策略是一種基于安全標(biāo)簽的訪問控制策略，它要求系統(tǒng)對主體和客體進(jìn)行強(qiáng)制性的安全級別標(biāo)識，并基于這些標(biāo)識來決定主體是否能夠訪問客體。因此，選項(xiàng)D“強(qiáng)制性訪問控制策略”是正確答案。其他選項(xiàng)如基本角色的策略、基于身份的策略和用戶向?qū)У牟呗耘c安全標(biāo)簽的訪問控制機(jī)制不直接相關(guān)。2.保密性是指（）。A.根據(jù)授權(quán)實(shí)體的要求可訪問的特性B.信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C.保護(hù)信息準(zhǔn)確和完整的特性D.以上都不對答案：B解析：保密性是指信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性。這是信息安全領(lǐng)域中的一個(gè)重要概念，旨在確保信息僅被授權(quán)的人員或?qū)嶓w訪問和使用，防止未經(jīng)授權(quán)的人員獲取或泄露敏感信息。因此，選項(xiàng)B“信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性”是保密性的定義。其他選項(xiàng)與保密性的定義不符，所以答案為B。3.文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ.對適宜性和有效性的評審和批準(zhǔn)B.對充分性和有效性的測量和批準(zhǔn)C.對適宜性和充分性的測量和批準(zhǔn)D.對適宜性和充分性的評審和批準(zhǔn)答案：D解析：在文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)脑u審和批準(zhǔn)，以確保文件化信息的適宜性和充分性。這是為了確保文件化信息能夠滿足組織的需求，并且具有足夠的詳細(xì)性和準(zhǔn)確性。選項(xiàng)D中的“對適宜性和充分性的評審和批準(zhǔn)”與這一要求相符，因此是正確答案。其他選項(xiàng)如“對適宜性和有效性的評審和批準(zhǔn)”、“對充分性和有效性的測量和批準(zhǔn)”以及“對適宜性和充分性的測量和批準(zhǔn)”都不完全符合文件化信息創(chuàng)建和更新時(shí)的要求。4.不屬于公司信息資產(chǎn)的是（）。A.客戶信息B.公司放置在IDC機(jī)房的服務(wù)器C.保潔服務(wù)D.以上都不對答案：C解析：保潔服務(wù)不屬于公司信息資產(chǎn)。公司信息資產(chǎn)通常指的是與公司業(yè)務(wù)運(yùn)營、數(shù)據(jù)管理和技術(shù)基礎(chǔ)設(shè)施等相關(guān)的資產(chǎn)，如客戶信息、服務(wù)器、網(wǎng)絡(luò)設(shè)備、軟件系統(tǒng)等。而保潔服務(wù)是公司為了維護(hù)辦公環(huán)境而雇傭的服務(wù)，與公司的主要業(yè)務(wù)和數(shù)據(jù)管理無直接關(guān)聯(lián)，因此不屬于公司信息資產(chǎn)。5.從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A.計(jì)算機(jī)舞弊B.欺騙或脅迫C.計(jì)算機(jī)偷竊D.計(jì)算機(jī)破壞答案：B解析：社交工程是一種利用社會(huì)互動(dòng)和欺騙手段獲取敏感信息或執(zhí)行惡意行為的技術(shù)。從給出的選項(xiàng)中，只有“欺騙或脅迫”與社交工程直接相關(guān)。計(jì)算機(jī)舞弊、計(jì)算機(jī)偷竊和計(jì)算機(jī)破壞雖然與計(jì)算機(jī)安全有關(guān)，但它們并不直接涉及社交工程。因此，正確答案是“欺騙或脅迫”。6.殘余風(fēng)險(xiǎn)是指（）。A.風(fēng)險(xiǎn)評估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B.風(fēng)險(xiǎn)評估后，對以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C.風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D.風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低答案：D解析：殘余風(fēng)險(xiǎn)是指風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低。在風(fēng)險(xiǎn)評估和處置過程中，盡管已經(jīng)采取了措施來降低風(fēng)險(xiǎn)，但可能仍然會(huì)存在一些未被完全消除的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)就是殘余風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)的大小不一定比可接受的風(fēng)險(xiǎn)低，因此選項(xiàng)D是正確的。選項(xiàng)A、B描述的是以往活動(dòng)的遺留風(fēng)險(xiǎn)，與題目要求的“風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)”不符；選項(xiàng)C中“比可接受風(fēng)險(xiǎn)低”的表述與題目要求的“不一定比可接受風(fēng)險(xiǎn)低”不符。7.在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）。A.要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時(shí)候開始，如何測量結(jié)果B.要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何測量結(jié)果C.要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何評價(jià)結(jié)果D.要做什么，有什么可用資源，由誰執(zhí)行，什么時(shí)候開始，如何評價(jià)結(jié)果答案：C解析：信息安全目標(biāo)的規(guī)劃過程中，組織需要確定：要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，以及如何評價(jià)結(jié)果。這個(gè)答案符合信息安全管理的常規(guī)要求，確保了對目標(biāo)、資源、責(zé)任、時(shí)間表和評估的全面考慮。其他選項(xiàng)要么信息不全（如A和D選項(xiàng)），要么用詞不準(zhǔn)確（如B選項(xiàng)中的“什么時(shí)候開始”與“什么時(shí)候完成”存在時(shí)間上的重復(fù)）。因此，C選項(xiàng)最為貼切。8.當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，審核組長可以（）。A.宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B.向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧〤.宜布取消末次會(huì)議D.以上各項(xiàng)都不可以答案：B解析：根據(jù)題目中的描述，當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，審核組長應(yīng)該向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧?。因此，選項(xiàng)B是正確的。選項(xiàng)A宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)并不是審核組長的職責(zé)，選項(xiàng)C宣布取消末次會(huì)議也沒有明確說明，選項(xiàng)D表示以上各項(xiàng)都不可以，與題目要求不符。因此，正確答案是B。9.風(fēng)險(xiǎn)處置計(jì)劃，應(yīng)（）。A.獲得風(fēng)險(xiǎn)貴任人的批準(zhǔn)，同時(shí)獲得對殘余風(fēng)險(xiǎn)的批準(zhǔn)B.獲得最高管理者的批準(zhǔn)，同時(shí)獲得對殘余風(fēng)險(xiǎn)的批準(zhǔn)C.獲得風(fēng)險(xiǎn)部門負(fù)貴人的批準(zhǔn)，同時(shí)獲得對殘余風(fēng)險(xiǎn)的批準(zhǔn)D.獲得管理者代表的批準(zhǔn)，同時(shí)獲得對殘余風(fēng)險(xiǎn)的批準(zhǔn)答案：A解析：風(fēng)險(xiǎn)處置計(jì)劃應(yīng)獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)，同時(shí)獲得對殘余風(fēng)險(xiǎn)的批準(zhǔn)。這是因?yàn)轱L(fēng)險(xiǎn)責(zé)任人通常對風(fēng)險(xiǎn)有深入的了解，能夠評估處置計(jì)劃的合理性和可行性，并決定是否批準(zhǔn)。同時(shí)，對殘余風(fēng)險(xiǎn)的批準(zhǔn)意味著在采取處置措施后，還需要對可能存在的殘余風(fēng)險(xiǎn)進(jìn)行評估和批準(zhǔn)，以確保風(fēng)險(xiǎn)得到全面管理和控制。因此，選項(xiàng)A“獲得風(fēng)險(xiǎn)貴任人的批準(zhǔn)，同時(shí)獲得對殘余風(fēng)險(xiǎn)的批準(zhǔn)”是正確的選擇。10.GB/T22080-2016標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于（）。A.資產(chǎn)的價(jià)格B.資產(chǎn)對于業(yè)務(wù)的敏感度C.資產(chǎn)的折損率D.以上全部答案：B解析：本題考察的是GB/T22080-2016標(biāo)準(zhǔn)中關(guān)于資產(chǎn)價(jià)值的定義。在GB/T22080-2016標(biāo)準(zhǔn)中，資產(chǎn)的價(jià)值主要取決于資產(chǎn)對于業(yè)務(wù)的敏感度。這是因?yàn)橘Y產(chǎn)的敏感度直接決定了其在業(yè)務(wù)中的重要性和價(jià)值。因此，選項(xiàng)B“資產(chǎn)對于業(yè)務(wù)的敏感度”是正確答案。而選項(xiàng)A“資產(chǎn)的價(jià)格”和選項(xiàng)C“資產(chǎn)的折損率”雖然也是資產(chǎn)價(jià)值的相關(guān)因素，但并不是該標(biāo)準(zhǔn)所指的資產(chǎn)價(jià)值的主要決定因素。因此，選項(xiàng)D“以上全部”是不正確的。11.虛擬專用網(wǎng)（VPN）的數(shù)據(jù)保密性，是通過什么實(shí)現(xiàn)的？（）A.安全接口層（SSL,SecureSocketsLayer）B.風(fēng)險(xiǎn)隧道技術(shù)（Tunnelling）C.數(shù)字簽名D.風(fēng)險(xiǎn)釣魚答案：B解析：虛擬專用網(wǎng)（VPN）的數(shù)據(jù)保密性是通過風(fēng)險(xiǎn)隧道技術(shù)（Tunneling）實(shí)現(xiàn)的。VPN利用隧道技術(shù)將數(shù)據(jù)包封裝在一個(gè)公共網(wǎng)絡(luò)協(xié)議中，并通過加密技術(shù)保護(hù)數(shù)據(jù)在傳輸過程中的安全，從而確保數(shù)據(jù)在公共網(wǎng)絡(luò)中的保密性。因此，選項(xiàng)B“風(fēng)險(xiǎn)隧道技術(shù)（Tunneling）”是正確的答案。選項(xiàng)A“安全接口層（SSL，SecureSocketsLayer）”雖然也涉及到加密技術(shù)，但主要是用于網(wǎng)絡(luò)應(yīng)用層的安全傳輸，不是VPN數(shù)據(jù)保密性的主要實(shí)現(xiàn)方式。選項(xiàng)C“數(shù)字簽名”主要用于驗(yàn)證數(shù)據(jù)的完整性和來源，與VPN的數(shù)據(jù)保密性無直接關(guān)系。選項(xiàng)D“風(fēng)險(xiǎn)釣魚”與VPN的數(shù)據(jù)保密性無關(guān)，是一個(gè)錯(cuò)誤選項(xiàng)。12.關(guān)于《中華人民共和國保密法》，以下說法正確的是（）。A.該法的目的是為了保守國家秘密而定B.該法的執(zhí)行可替代以IS0/EC27001為依據(jù)的信息安全管理體系C.該法適用于所有組織對其敏感信息的保護(hù)D.國家秘密分為秘密、機(jī)密、絕密三級，由組織自主定級、自主保護(hù)答案：A解析：《中華人民共和國保密法》的主要目的是保守國家秘密，A選項(xiàng)正確。該法并沒有提到可以替代以ISO/EC27001為依據(jù)的信息安全管理體系，B選項(xiàng)錯(cuò)誤。該法主要適用于國家機(jī)關(guān)和涉及國家秘密的單位，并不適用于所有組織對其敏感信息的保護(hù)，C選項(xiàng)錯(cuò)誤。國家秘密分為絕密、機(jī)密、秘密三級，由有關(guān)機(jī)關(guān)、單位確定，并非由組織自主定級、自主保護(hù)，D選項(xiàng)錯(cuò)誤。因此，正確答案為A。13.關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是（）。A.指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B.指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C.指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D.指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用答案：A解析：《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求指的是關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。這一要求旨在確保在關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)過程中，安全技術(shù)措施能夠得到充分的規(guī)劃和實(shí)施，以保障網(wǎng)絡(luò)安全。因此，選項(xiàng)A“指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”是正確的說法。選項(xiàng)B、C、D均不符合這一法律規(guī)定。14.對于交接區(qū)域的信息安全管理，以下說法正確的是（）。A.對于進(jìn)入組織的設(shè)備設(shè)施予以檢查驗(yàn)證，對于離開組織的設(shè)備設(shè)施則不必驗(yàn)跡B.對于離開組織的設(shè)備設(shè)施予以檢查驗(yàn)證，對于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C.對于進(jìn)入和離開組織的設(shè)備設(shè)施均須檢查驗(yàn)證D.對于進(jìn)入和離開組織的設(shè)備設(shè)施，驗(yàn)證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗(yàn)證答案：C解析：交接區(qū)域的信息安全管理，對于進(jìn)入和離開組織的設(shè)備設(shè)施均須檢查驗(yàn)證。這是確保組織信息安全的重要措施之一。對于進(jìn)入組織的設(shè)備設(shè)施，檢查驗(yàn)證可以確保設(shè)備設(shè)施的安全性，防止未經(jīng)授權(quán)的設(shè)備進(jìn)入組織；對于離開組織的設(shè)備設(shè)施，檢查驗(yàn)證可以確保設(shè)備設(shè)施中不含有敏感信息，防止信息泄露。因此，選項(xiàng)C“對于進(jìn)入和離開組織的設(shè)備設(shè)施均須檢查驗(yàn)證”是正確的。選項(xiàng)A和B只涉及了進(jìn)入或離開組織的設(shè)備設(shè)施，沒有涵蓋兩者，因此不正確。選項(xiàng)D提出驗(yàn)證攜帶者身份信息，但這并不能替代對設(shè)備設(shè)施的驗(yàn)證，因此也不正確。15.依據(jù)GB/T22080/ISO/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）。A.沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)B.對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、P等多種手段鏈接C.對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D.以上都對答案：C解析：依據(jù)GB/T22080/ISO/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，對于允許訪問的網(wǎng)絡(luò)服務(wù)，應(yīng)按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)。因此，選項(xiàng)C是正確的。選項(xiàng)A沒有陳述為禁止訪問的網(wǎng)絡(luò)服務(wù)，視為允許訪問的網(wǎng)絡(luò)服務(wù)，這一說法本身并不完整，因?yàn)樵L問控制策略可能包括更詳細(xì)的規(guī)則。選項(xiàng)B對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過無線、P等多種手段鏈接，這同樣是一個(gè)不完整的陳述，因?yàn)樵L問控制策略可能涉及訪問手段的具體限制或要求。選項(xiàng)D以上都對，由于A和B都存在錯(cuò)誤，因此D選項(xiàng)也是錯(cuò)誤的。16.組織應(yīng)（）。A.定義和使用安全邊界來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B.識別和使用安全邊界來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C.識別和控制安全邊界來保擴(kuò)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D.定義和控制安全邊界來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域答案：A解析：根據(jù)題目中的描述，組織應(yīng)該“定義和使用安全邊界來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域”。選項(xiàng)A“定義和使用安全邊界來保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域”與題目描述最為接近，因此是正確答案。其他選項(xiàng)如B、C、D要么缺少了“定義”這一關(guān)鍵動(dòng)作，要么使用了不準(zhǔn)確的詞匯，如“保擴(kuò)”而不是“保護(hù)”，因此都不是正確答案。17.關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是（）。A.對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B.對于三級以上信息系統(tǒng)，已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書門C.對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術(shù)人員須無犯罪記錄D.對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒有故意留有或設(shè)置漏洞答案：B解析：根據(jù)題目描述，我們需要判斷關(guān)于信息安全產(chǎn)品使用的正確說法。A選項(xiàng)提到“對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)”。這個(gè)選項(xiàng)過于絕對，沒有考慮到不同信息系統(tǒng)可能存在的差異和特殊性，因此A選項(xiàng)不正確。B選項(xiàng)說“對于三級以上信息系統(tǒng)，已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書”。這個(gè)選項(xiàng)符合信息安全產(chǎn)品的使用規(guī)定，對于三級以上的信息系統(tǒng)，如果信息安全產(chǎn)品已經(jīng)列入認(rèn)證目錄，那么應(yīng)該取得相應(yīng)的認(rèn)證證書。因此B選項(xiàng)是正確的。C選項(xiàng)提到“對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術(shù)人員須無犯罪記錄”。這個(gè)選項(xiàng)與信息安全產(chǎn)品的使用規(guī)定不符，信息安全產(chǎn)品的使用與研制人員是否有犯罪記錄沒有直接關(guān)系。因此C選項(xiàng)不正確。D選項(xiàng)說“對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒有故意留有或設(shè)置漏洞”。這個(gè)選項(xiàng)雖然與信息安全產(chǎn)品的使用有關(guān)，但題目中并沒有提到研制單位需要聲明沒有故意留有或設(shè)置漏洞，因此D選項(xiàng)不正確。綜上所述，只有B選項(xiàng)符合題目中的信息安全產(chǎn)品使用的規(guī)定。18.關(guān)于容量管理，以下說法不正確的是（）。A.根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制B.針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級C.對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報(bào)警的干擾D.依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃答案：C解析：對于選項(xiàng)C，“對于關(guān)鍵業(yè)務(wù)，通過放寬閾值以避免或減少報(bào)警的干擾”這一說法是不正確的。容量管理的核心目標(biāo)之一是確保系統(tǒng)性能的穩(wěn)定和資源的合理分配。如果對于關(guān)鍵業(yè)務(wù)放寬閾值，可能會(huì)導(dǎo)致系統(tǒng)性能下降，資源分配不合理，甚至可能引發(fā)報(bào)警干擾，影響業(yè)務(wù)的正常運(yùn)行。因此，選項(xiàng)C的說法是不正確的。選項(xiàng)A“根據(jù)業(yè)務(wù)對系統(tǒng)性能的需求，設(shè)置閾值和監(jiān)視調(diào)整機(jī)制”是正確的。這符合容量管理的基本原則，根據(jù)業(yè)務(wù)需求設(shè)置合適的閾值，并設(shè)置監(jiān)視和調(diào)整機(jī)制來確保系統(tǒng)性能。選項(xiàng)B“針對業(yè)務(wù)關(guān)鍵性，設(shè)置資源占用的優(yōu)先級”也是正確的。在資源有限的情況下，根據(jù)業(yè)務(wù)的關(guān)鍵性設(shè)置資源占用的優(yōu)先級是確保關(guān)鍵業(yè)務(wù)得到足夠資源的重要手段。選項(xiàng)D“依據(jù)資源使用趨勢數(shù)據(jù)進(jìn)行容量規(guī)劃”是正確的。通過分析資源使用趨勢數(shù)據(jù)，可以更好地預(yù)測未來的資源需求，從而進(jìn)行更加準(zhǔn)確和有效的容量規(guī)劃。19.若通過桌面系統(tǒng)對終端實(shí)行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）。A.靜態(tài)B.動(dòng)態(tài)C.均可D.靜態(tài)達(dá)到50%以上即可答案：A解析：若要通過桌面系統(tǒng)對終端實(shí)行IP、MAC綁定，那么網(wǎng)絡(luò)IP地址分配方式應(yīng)為靜態(tài)。因?yàn)殪o態(tài)IP地址分配方式下，每個(gè)終端都有一個(gè)固定的IP地址，這樣可以確保終端的IP地址和MAC地址一一對應(yīng)，從而實(shí)現(xiàn)對終端的綁定。動(dòng)態(tài)IP地址分配方式下，終端的IP地址是動(dòng)態(tài)分配的，不利于實(shí)現(xiàn)IP和MAC的綁定。因此，正確答案是A，靜態(tài)。20.國家秘密的保密期限應(yīng)為（）。A.絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B.絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C.絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D.絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年答案：A解析：《中華人民共和國保守國家秘密法》第十五條明確規(guī)定：“國家秘密的保密期限，除另有規(guī)定外，絕密級不超過三十年，機(jī)密級不超過二十年，秘密級不超過十年。”因此，選項(xiàng)A“絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年”是正確的。其他選項(xiàng)B、C、D均不符合法律規(guī)定。21.關(guān)于信息安全管理中的“脆弱性”，以下正確的是（）。A.脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B.網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C.允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D.以上全部答案：C解析：在信息安全管理中，“脆弱性”是指系統(tǒng)、產(chǎn)品或服務(wù)中存在的可能被威脅利用，從而導(dǎo)致安全事件發(fā)生的弱點(diǎn)。A選項(xiàng)錯(cuò)誤，脆弱性不是威脅的一種，而是可以被威脅利用的因素；B選項(xiàng)錯(cuò)誤，“釣魚”軟件的存在是威脅，而不是網(wǎng)絡(luò)的脆弱性；C選項(xiàng)正確，允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性，因?yàn)檫@樣的口令容易被猜測或破解；D選項(xiàng)錯(cuò)誤，因?yàn)锳和B選項(xiàng)都是錯(cuò)誤的，所以D選項(xiàng)“以上全部”也是錯(cuò)誤的。因此，正確答案是C。22.組織確定的信息安全管理體系范圍應(yīng)（）。A.形成文件化信息并可用B.形成記錄并可用C.形成文件和記錄并可用D.形成程序化信息并可用答案：A解析：根據(jù)題目要求，組織確定的信息安全管理體系范圍應(yīng)該形成文件化信息并可用。文件化信息是指將信息安全管理體系的范圍、目標(biāo)、策略、流程等以書面形式記錄下來，以便于查閱、理解和執(zhí)行。因此，選項(xiàng)A“形成文件化信息并可用”符合題目要求。選項(xiàng)B“形成記錄并可用”雖然也提到了“可用”，但并未明確指出是“文件化信息”，因此不夠準(zhǔn)確。選項(xiàng)C“形成文件和記錄并可用”和選項(xiàng)D“形成程序化信息并可用”都包含了“可用”，但也沒有明確指出是“文件化信息”，因此也不符合題目要求。23.管理者應(yīng)（）。A.制定ISMS方針B.制定ISMS目標(biāo)和計(jì)劃C.實(shí)施ISMS內(nèi)部審核D.確保ISMS管理評審的執(zhí)行答案：A解析：ISMS是信息安全管理體系（InformationSecurityManagementSystem）的縮寫。在信息安全管理體系中，制定ISMS方針是管理者的首要任務(wù)。ISMS方針是組織信息安全管理的總體方向和原則，它明確了組織對信息安全的承諾和期望，并為信息安全管理體系的建立、實(shí)施和改進(jìn)提供了指導(dǎo)。因此，管理者應(yīng)制定ISMS方針，以確保組織信息安全管理體系的有效運(yùn)行。選項(xiàng)A“制定ISMS方針”是正確答案。選項(xiàng)B“制定ISMS目標(biāo)和計(jì)劃”雖然也是ISMS中重要的一環(huán)，但它并不是管理者的首要任務(wù)，而是根據(jù)ISMS方針來制定的。選項(xiàng)C“實(shí)施ISMS內(nèi)部審核”和選項(xiàng)D“確保ISMS管理評審的執(zhí)行”都是ISMS實(shí)施和監(jiān)控階段的活動(dòng)，也不是管理者的首要任務(wù)。24.涉及運(yùn)行系統(tǒng)驗(yàn)證的肅計(jì)腰求和活動(dòng)，應(yīng)（）。A.謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷B.謹(jǐn)慎地加以規(guī)并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)C.謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷D.謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過程的連續(xù)答案：A解析：題目中詢問的是涉及運(yùn)行系統(tǒng)驗(yàn)證的計(jì)劃和活動(dòng)應(yīng)該如何進(jìn)行。選項(xiàng)A提到“謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的中斷”，這符合運(yùn)行系統(tǒng)驗(yàn)證的一般原則。在進(jìn)行此類驗(yàn)證時(shí)，確實(shí)需要謹(jǐn)慎規(guī)劃，并確保獲得必要的批準(zhǔn)，以減少對業(yè)務(wù)過程的干擾。選項(xiàng)B提到“最大化保持業(yè)務(wù)過程的連續(xù)”，這與驗(yàn)證的目的可能相悖，因?yàn)轵?yàn)證活動(dòng)本身可能會(huì)對業(yè)務(wù)過程造成一定的中斷。選項(xiàng)C和D中的“實(shí)施”一詞不如“規(guī)劃”準(zhǔn)確，因?yàn)椤皩?shí)施”通常指的是已經(jīng)獲得批準(zhǔn)并開始執(zhí)行的活動(dòng)，而“規(guī)劃”則更側(cè)重于在活動(dòng)開始之前進(jìn)行的設(shè)計(jì)和安排。因此，A選項(xiàng)最符合題目要求。25.《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行。A.在客戶組織的場所B.在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式C.以遠(yuǎn)程視頻的形式D.以上都對答案：A解析：《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中明確規(guī)定了第二階段審核應(yīng)在客戶組織的場所進(jìn)行。因此，選項(xiàng)A“在客戶組織的場所”是正確的。其他選項(xiàng)如“在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式”、“以遠(yuǎn)程視頻的形式”或“以上都對”均不符合規(guī)定。26.口令管理系統(tǒng)應(yīng)該是（），并確保優(yōu)質(zhì)的口令。A.唯一式B.交互式C.專人管理式D.A+B+C答案：B解析：在口令管理系統(tǒng)中，交互式是最合適的選項(xiàng)。交互式系統(tǒng)允許用戶定期更改其口令，并設(shè)置口令的復(fù)雜性和長度要求，以確?？诹畹陌踩?。唯一式雖然強(qiáng)調(diào)每個(gè)用戶應(yīng)有一個(gè)獨(dú)特的口令，但不一定保證用戶定期更改口令或設(shè)置復(fù)雜的口令，因此不如交互式系統(tǒng)安全。專人管理式意味著口令由專人管理，可能存在安全風(fēng)險(xiǎn)，如口令泄露或被濫用。因此，最佳選擇是交互式口令管理系統(tǒng)，確保用戶定期更改復(fù)雜且獨(dú)特的口令，從而提高系統(tǒng)的安全性。27.下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響？（）A.電力線路調(diào)節(jié)器B.電力浪涌保護(hù)設(shè)備C.備用的電力供應(yīng)D.可中斷的電力供應(yīng)答案：D解析：為了保護(hù)計(jì)算機(jī)不受短期停電影響，我們需要一種能在電力中斷時(shí)提供持續(xù)供電的設(shè)備。在給出的選項(xiàng)中，備用的電力供應(yīng)（C選項(xiàng)）正好符合這一需求。它可以在主電源中斷時(shí)自動(dòng)切換到備用電源，確保計(jì)算機(jī)的持續(xù)供電。其他選項(xiàng)如電力線路調(diào)節(jié)器（A選項(xiàng)）主要用于調(diào)節(jié)電壓和頻率，電力浪涌保護(hù)設(shè)備（B選項(xiàng)）用于防止電壓波動(dòng)和浪涌對設(shè)備造成損害，可中斷的電力供應(yīng)（D選項(xiàng)）則意味著在特定情況下可以中斷電力供應(yīng)，都不符合保護(hù)計(jì)算機(jī)免受短期停電影響的需求。因此，正確答案是C選項(xiàng)，即備用的電力供應(yīng)。28.測量控制措施的有效性以驗(yàn)證安全要求是否被滿足是（）的活動(dòng)。A.ISMS建立階段B.ISMS實(shí)施和運(yùn)行階段C.ISMS監(jiān)視和評審階段D.ISMS保持和改進(jìn)階段答案：C解析：在信息安全管理體系（ISMS）中，監(jiān)視和評審階段的主要任務(wù)是測量控制措施的有效性，以驗(yàn)證安全要求是否被滿足。這是通過定期評審安全控制措施的效果、收集安全相關(guān)信息、識別潛在的安全威脅和風(fēng)險(xiǎn)，以及評估安全事件的影響來實(shí)現(xiàn)的。因此，正確答案是C，即ISMS監(jiān)視和評審階段。29.容災(zāi)的目的和實(shí)質(zhì)是（）。A.數(shù)據(jù)備份B.系統(tǒng)的C.業(yè)務(wù)連續(xù)性管理D.防止數(shù)據(jù)被破壞答案：C解析：容災(zāi)的目的是確保在發(fā)生災(zāi)難性事件時(shí)，系統(tǒng)能夠繼續(xù)運(yùn)行，保持業(yè)務(wù)連續(xù)性。實(shí)質(zhì)上是業(yè)務(wù)連續(xù)性管理，即確保在災(zāi)難發(fā)生時(shí)，系統(tǒng)能夠迅速恢復(fù)，保持業(yè)務(wù)運(yùn)行不受影響。因此，選項(xiàng)C“業(yè)務(wù)連續(xù)性管理”是正確答案。選項(xiàng)A“數(shù)據(jù)備份”雖然與容災(zāi)有關(guān)，但只是容災(zāi)的一個(gè)方面，不是容災(zāi)的目的和實(shí)質(zhì)。選項(xiàng)B“系統(tǒng)的”和選項(xiàng)D“防止數(shù)據(jù)被破壞”與容災(zāi)的目的和實(shí)質(zhì)不符。30.關(guān)于信息安全策略，下列說法正確的是（）。A.信息安全策略可以分為上層策略和下層策略B.信息安全方針是信息安全策略的上層部分C.信息安全策略必須在體系建設(shè)之初確定并發(fā)布D.信息安全策略需要定期或在重大變化時(shí)進(jìn)行評審答案：D解析：信息安全策略是一個(gè)重要的概念，它涉及到如何保護(hù)組織的信息資產(chǎn)。對于給出的選項(xiàng)，我們可以逐一分析：A選項(xiàng)提到信息安全策略可以分為上層策略和下層策略。然而，這個(gè)選項(xiàng)并沒有在題目中明確提及，因此我們不能確定其正確性。B選項(xiàng)說信息安全方針是信息安全策略的上層部分。同樣，這個(gè)選項(xiàng)也沒有在題目中明確提及，所以我們不能確認(rèn)其準(zhǔn)確性。C選項(xiàng)提到信息安全策略必須在體系建設(shè)之初確定并發(fā)布。雖然在實(shí)際操作中，信息安全策略的確需要在體系建設(shè)之初進(jìn)行規(guī)劃，但題目中并沒有明確提到必須在體系建設(shè)之初確定并發(fā)布，因此這個(gè)選項(xiàng)也不能確定為正確。D選項(xiàng)說信息安全策略需要定期或在重大變化時(shí)進(jìn)行評審。這是信息安全策略管理中的一個(gè)重要環(huán)節(jié)，因?yàn)殡S著組織的發(fā)展和外部環(huán)境的變化，信息安全策略可能需要進(jìn)行調(diào)整。因此，定期或在重大變化時(shí)進(jìn)行評審是確保信息安全策略有效性的關(guān)鍵。綜上所述，正確答案是D選項(xiàng)。31.主動(dòng)式射頻識別卡(RFID)存在哪一種弱點(diǎn)？（）A.會(huì)話被劫持B.被竊聽C.存在惡意代碼D.被網(wǎng)絡(luò)釣魚攻擊答案：B解析：主動(dòng)式射頻識別卡（RFID）是一種無線通信技術(shù)，用于非接觸式地識別目標(biāo)并交換數(shù)據(jù)。在RFID系統(tǒng)中，數(shù)據(jù)是在射頻場中以無線方式自動(dòng)進(jìn)行傳輸?shù)?。因此，RFID系統(tǒng)存在被竊聽的風(fēng)險(xiǎn)，即未經(jīng)授權(quán)的第三方可能能夠接收到傳輸?shù)臄?shù)據(jù)。這種被竊聽的情況就是RFID系統(tǒng)的一個(gè)主要弱點(diǎn)。選項(xiàng)A“會(huì)話被劫持”通常指的是在已經(jīng)建立的通信會(huì)話過程中，攻擊者通過某種手段接管會(huì)話，假冒合法用戶進(jìn)行操作。這雖然也是信息安全領(lǐng)域的一個(gè)問題，但與RFID系統(tǒng)的直接弱點(diǎn)不直接相關(guān)。選項(xiàng)C“存在惡意代碼”指的是在RFID標(biāo)簽或閱讀器中植入的惡意軟件，這雖然是一個(gè)潛在的安全問題，但并不是RFID系統(tǒng)本身的主要弱點(diǎn)。選項(xiàng)D“被網(wǎng)絡(luò)釣魚攻擊”是指通過偽造合法網(wǎng)站或應(yīng)用程序來誘騙用戶輸入敏感信息，如用戶名和密碼。這同樣與RFID系統(tǒng)的直接弱點(diǎn)不直接相關(guān)。因此，RFID系統(tǒng)的主要弱點(diǎn)是B選項(xiàng)“被竊聽”。32.審核證據(jù)是指（）。A.與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B.在審核過程中收集到的所有記錄、事實(shí)陳述或其他信息C.一組方針、程序或要求D.以上都不對答案：A解析：審核證據(jù)是指與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息。審核證據(jù)是審核過程中的重要依據(jù)，用于支持審核發(fā)現(xiàn)和審核結(jié)論。因此，選項(xiàng)A“與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息”是正確的答案。選項(xiàng)B“在審核過程中收集到的所有記錄、事實(shí)陳述或其他信息”過于寬泛，沒有強(qiáng)調(diào)與審核準(zhǔn)則的相關(guān)性；選項(xiàng)C“一組方針、程序或要求”與審核證據(jù)的定義不符；選項(xiàng)D“以上都不對”顯然是不正確的。33.審核發(fā)現(xiàn)是指（）。A.審核中觀察到的事實(shí)B.審核的不符合項(xiàng)C.審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價(jià)的結(jié)果D.審核中的觀察項(xiàng)答案：C解析：審核發(fā)現(xiàn)是指審核中收集到的審核證據(jù)對照審核準(zhǔn)則評價(jià)的結(jié)果。審核發(fā)現(xiàn)是通過收集審核證據(jù)，并對照審核準(zhǔn)則進(jìn)行評價(jià)，從而得出的結(jié)果。A選項(xiàng)“審核中觀察到的事實(shí)”只是審核過程中觀察到的情況，不一定是審核發(fā)現(xiàn)；B選項(xiàng)“審核的不符合項(xiàng)”只是審核發(fā)現(xiàn)的一種形式，不是審核發(fā)現(xiàn)的定義；D選項(xiàng)“審核中的觀察項(xiàng)”同樣只是審核過程中的觀察，不是審核發(fā)現(xiàn)。因此，正確答案是C選項(xiàng)。34.在安全模式下殺毒最主要的理由是（）。A.安全模式下查殺病速度快B.安全模式下查殺比較徹底C.安全模式下查殺不連通網(wǎng)絡(luò)D.安全模式下查殺不容易死機(jī)答案：B解析：安全模式下殺毒最主要的理由是安全模式下查殺比較徹底。在安全模式下，操作系統(tǒng)只加載最基本的驅(qū)動(dòng)程序和服務(wù)，其他非必要的程序和服務(wù)都會(huì)被禁止運(yùn)行，這樣可以減少病毒和惡意軟件的干擾，使得殺毒軟件能夠更徹底地檢測和清除病毒。因此，選擇B選項(xiàng)“安全模式下查殺比較徹底”是正確的。其他選項(xiàng)A、C、D都與安全模式下殺毒的主要原因不符。35.為信息系統(tǒng)用戶注冊時(shí)，以下正確的是（）。A.按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)B.組共享用戶ID按組任務(wù)的最大權(quán)限注冊C.預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性D.避免頻繁變更用戶訪問權(quán)答案：A解析：在為用戶注冊信息系統(tǒng)時(shí)，確保訪問權(quán)限的適當(dāng)和合理分配至關(guān)重要。根據(jù)提供的選項(xiàng)：A.按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)-這是一個(gè)合理的做法，因?yàn)樗_保每個(gè)用戶根據(jù)其職責(zé)或業(yè)務(wù)角色獲得適當(dāng)?shù)脑L問權(quán)限，從而增加了系統(tǒng)的安全性和效率。B.組共享用戶ID按組任務(wù)的最大權(quán)限注冊-這可能導(dǎo)致權(quán)限過大，因?yàn)檎麄€(gè)組可能擁有超出其實(shí)際需要的權(quán)限，增加了誤操作或不當(dāng)訪問的風(fēng)險(xiǎn)。C.預(yù)設(shè)固定用戶ID并留有冗余，以保障可用性-這種做法可能會(huì)導(dǎo)致資源的浪費(fèi)和安全性問題，因?yàn)檫^多的冗余ID可能會(huì)成為潛在的安全隱患。D.避免頻繁變更用戶訪問權(quán)-這確實(shí)是一個(gè)重要的考慮因素，但并不能直接關(guān)聯(lián)到用戶注冊時(shí)的正確做法，它更多的是關(guān)于訪問權(quán)限管理的長期策略。因此，選項(xiàng)A"按用戶的職能或業(yè)務(wù)角色設(shè)定訪問權(quán)"是最合適的。36.桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強(qiáng)制策略，下級管理員是否可以修改、刪除（）。A.下級管理員無權(quán)修改，不可刪除B.下級管理員無權(quán)修改，可以刪除C.下級管理員可以修改，可以刪除D.下級管理員可以修改，不可刪除答案：A解析：在桌面系統(tǒng)級聯(lián)狀態(tài)下，上級服務(wù)器制定的強(qiáng)制策略通常具有較高的優(yōu)先級和權(quán)限控制。下級管理員作為從屬角色，其權(quán)限和操作能力受到上級服務(wù)器策略的限制。通常，上級服務(wù)器制定的強(qiáng)制策略是為了確保系統(tǒng)安全、穩(wěn)定或符合特定要求，因此下級管理員無權(quán)修改或刪除這些策略。這是為了防止下級管理員隨意更改上級的策略，從而破壞系統(tǒng)的穩(wěn)定性和安全性。因此，正確答案是A，即下級管理員無權(quán)修改，不可刪除。37.下列哪項(xiàng)對于審核報(bào)告的描述是錯(cuò)誤的？（）A.主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B.在對審核記錄匯總整理和信息安全管理體系評價(jià)以后，由審核組長起草形成C.正式的審核報(bào)告由組長將報(bào)告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D.以上都不對答案：A解析：本題考查的是對審核報(bào)告的描述。A選項(xiàng)提到“主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致”，這是不正確的。審核報(bào)告的內(nèi)容并不應(yīng)與末次會(huì)議的內(nèi)容完全一致。末次會(huì)議是審核過程中的一個(gè)環(huán)節(jié)，而審核報(bào)告是對整個(gè)審核過程的總結(jié)和評價(jià)，它們的內(nèi)容應(yīng)有所不同。B選項(xiàng)描述“在對審核記錄匯總整理和信息安全管理體系評價(jià)以后，由審核組長起草形成”，這是正確的。審核報(bào)告是在對審核記錄進(jìn)行匯總整理，并對信息安全管理體系進(jìn)行評價(jià)后，由審核組長起草形成的。C選項(xiàng)提到“正式的審核報(bào)告由組長將報(bào)告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方”，這也是正確的。審核報(bào)告完成后，通常由審核組長將其交給認(rèn)證/審核機(jī)構(gòu)進(jìn)行審核，然后委托方將報(bào)告的副本轉(zhuǎn)給受審核方。D選項(xiàng)的“以上都不對”是不正確的，因?yàn)锳選項(xiàng)描述是錯(cuò)誤的。因此，錯(cuò)誤的描述是A選項(xiàng)，即“主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致”。38.一家投資顧問商定期向客戶發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件，如何保證客六收到資料沒有被修改（）。A.電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B.電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C.電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D.電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件答案：C解析：為了保證客戶收到的電子郵件沒有被修改，我們可以采用數(shù)字簽名技術(shù)。數(shù)字簽名是由發(fā)送方使用私鑰對消息進(jìn)行加密處理，得到簽名，然后將消息和簽名一起發(fā)送給接收方。接收方使用發(fā)送方的公鑰對簽名進(jìn)行解密，如果消息沒有被修改，解密后的簽名應(yīng)該與原始簽名一致。因此，選項(xiàng)C“電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件”是正確的。選項(xiàng)A“電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值”雖然可以驗(yàn)證郵件的完整性，但不能保證郵件沒有被修改，因?yàn)楣粽呖梢孕薷泥]件并重新計(jì)算HASH值。選項(xiàng)B“電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值”同樣不能保證郵件的完整性，因?yàn)楣粽呖梢垣@取公鑰并解密HASH值。選項(xiàng)D“電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件”不能保證郵件的完整性，因?yàn)楣粽呖梢垣@取私鑰并解密郵件。39.下面哪一種功能不是防火墻的主要功能？（）A.協(xié)議過濾B.應(yīng)用網(wǎng)關(guān)C.擴(kuò)展的日態(tài)記錄能力D.包交換答案：D解析：防火墻的主要功能包括協(xié)議過濾、應(yīng)用網(wǎng)關(guān)和擴(kuò)展的日志記錄能力。包交換不是防火墻的主要功能，而是網(wǎng)絡(luò)交換機(jī)或路由器的基本功能，用于在網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)。因此，選項(xiàng)D“包交換”不是防火墻的主要功能。40.風(fēng)險(xiǎn)責(zé)任人是指（）。A.具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓wB.實(shí)施風(fēng)險(xiǎn)評估的組織的法人C.實(shí)施風(fēng)險(xiǎn)評估的項(xiàng)目負(fù)責(zé)人或項(xiàng)歸任務(wù)責(zé)任人D.信息及信息處理設(shè)施的使用者答案：A解析：風(fēng)險(xiǎn)責(zé)任人的定義是指具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓w。這個(gè)定義明確指出了風(fēng)險(xiǎn)責(zé)任人的核心職責(zé)和角色，即管理和控制風(fēng)險(xiǎn)。因此，選項(xiàng)A“具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓w”是正確的答案。其他選項(xiàng)要么與風(fēng)險(xiǎn)責(zé)任人的定義不符，要么表述不夠準(zhǔn)確。例如，選項(xiàng)B“實(shí)施風(fēng)險(xiǎn)評估的組織的法人”過于寬泛，沒有明確指出法人具體在風(fēng)險(xiǎn)管理中的職責(zé)；選項(xiàng)C“實(shí)施風(fēng)險(xiǎn)評估的項(xiàng)目負(fù)責(zé)人或項(xiàng)歸任務(wù)責(zé)任人”只是涉及到風(fēng)險(xiǎn)評估，沒有涉及到風(fēng)險(xiǎn)的管理和控制；選項(xiàng)D“信息及信息處理設(shè)施的使用者”與風(fēng)險(xiǎn)管理的直接關(guān)聯(lián)不明顯。因此，正確答案是A。41.以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1.4條款要求的情況是（）。A.認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B.認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C.認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D.以生全部答案：D解析：本題考察的是對GB/T22080-2016標(biāo)準(zhǔn)A18.1.4條款的理解。首先，我們分析每個(gè)選項(xiàng)：A選項(xiàng)提到“認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)”，這個(gè)選項(xiàng)只涉及員工，沒有涉及到其他相關(guān)方，因此不符合A18.1.4條款的要求。B選項(xiàng)提到“認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)”，這個(gè)選項(xiàng)雖然涉及到了顧客，但是范圍仍然局限在“認(rèn)證范圍內(nèi)”，不符合A18.1.4條款要求的“所有相關(guān)方”。C選項(xiàng)提到“認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)”，這個(gè)選項(xiàng)雖然提到了“相關(guān)方”，但是仍然局限在“認(rèn)證范圍內(nèi)”，不符合A18.1.4條款要求的“所有相關(guān)方”。D選項(xiàng)提到“所有相關(guān)方的個(gè)人隱私數(shù)據(jù)得到保護(hù)”，這個(gè)選項(xiàng)符合A18.1.4條款的要求，因?yàn)樗w了“所有相關(guān)方”，而不僅僅是“認(rèn)證范圍內(nèi)”的相關(guān)方。因此，正確答案是D選項(xiàng)：“所有相關(guān)方的個(gè)人隱私數(shù)據(jù)得到保護(hù)”。42.下哪個(gè)選項(xiàng)不是ISMS第一階段審核的目的（）。A.獲取對組織信息安全管理體系的了解和認(rèn)識B.了解客戶組織的審核準(zhǔn)備狀態(tài)C.為計(jì)劃二階段審核提供重點(diǎn)D.確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求答案：D解析：ISMS（信息安全管理體系）第一階段審核的主要目的是獲取對組織信息安全管理體系的了解和認(rèn)識，了解客戶組織的審核準(zhǔn)備狀態(tài)，以及為計(jì)劃二階段審核提供重點(diǎn)。這三個(gè)目的都是為了更好地進(jìn)行后續(xù)的審核工作。而選項(xiàng)D“確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求”是二階段審核的目的，而不是一階段審核的目的。因此，選項(xiàng)D不是ISMS第一階段審核的目的。43.組織應(yīng)按照本標(biāo)準(zhǔn)的要求（）信息安全管理體系。A.策劃、實(shí)現(xiàn)、監(jiān)視、和持續(xù)改進(jìn)B.建立、實(shí)施、監(jiān)視、和持續(xù)改進(jìn)C.建立、實(shí)現(xiàn)、維護(hù)、和持續(xù)改進(jìn)D.策劃、實(shí)施、維護(hù)、和持續(xù)改進(jìn)答案：C解析：本題考察信息安全管理體系的策劃、實(shí)施、監(jiān)視和持續(xù)改進(jìn)過程。根據(jù)題目中的描述，組織應(yīng)按照標(biāo)準(zhǔn)的要求建立、實(shí)現(xiàn)、監(jiān)視、和持續(xù)改進(jìn)信息安全管理體系。選項(xiàng)A中的“策劃”在信息安全管理體系中通常被理解為“建立”，所以A選項(xiàng)不夠準(zhǔn)確。選項(xiàng)B中的“建立”雖然與信息安全管理體系相關(guān)，但缺少了“實(shí)現(xiàn)”這一重要環(huán)節(jié)。選項(xiàng)D中的“策劃”同樣被理解為“建立”，并且缺少了“監(jiān)視”這一環(huán)節(jié)。因此，最符合題目要求的選項(xiàng)是C，即“建立、實(shí)現(xiàn)、維護(hù)、和持續(xù)改進(jìn)”。這里的“維護(hù)”可以理解為對信息安全管理體系的持續(xù)改進(jìn)，與題目中的“持續(xù)改進(jìn)”相符。44.依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）。A.知識產(chǎn)權(quán)保護(hù)B.公司信息保護(hù)C.個(gè)人隱私的保護(hù)D.以上都對答案：D解析：題目問的是符合GB/T22080-2016標(biāo)準(zhǔn)的符合性要求包括哪些。根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是關(guān)于信息安全管理體系的要求，它涵蓋了多個(gè)方面的保護(hù)，包括知識產(chǎn)權(quán)保護(hù)、公司信息保護(hù)和個(gè)人隱私的保護(hù)等。因此，選項(xiàng)D“以上都對”是正確的。45.依據(jù)《中華入民共和國網(wǎng)絡(luò)安全法》，以下正確的是（）。A.檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個(gè)月B.檢測記錄網(wǎng)纟名運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12個(gè)月C.檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)紿日志保存不得少于6個(gè)月D.重要數(shù)據(jù)備份保存不得少于12個(gè)月，網(wǎng)絡(luò)日志保存不得少于6個(gè)月答案：C解析：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定，檢測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于6個(gè)月。因此，選項(xiàng)C是正確的。其他選項(xiàng)A、B和D中的時(shí)間長度與法律規(guī)定不符，因此是錯(cuò)誤的。46.在根據(jù)組織規(guī)模確定基本申核時(shí)問的前提下，下列咖一條屬于増加審核時(shí)間的要素（）。A.其產(chǎn)品/過程無風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B.客戶的認(rèn)證準(zhǔn)備C.僅涉及單一的活動(dòng)過程D.具有高風(fēng)險(xiǎn)的產(chǎn)品或過程答案：D解析：在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下，增加審核時(shí)間的要素通常與產(chǎn)品或過程的復(fù)雜性和風(fēng)險(xiǎn)性有關(guān)。選項(xiàng)A提到“其產(chǎn)品/過程無風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)”，這實(shí)際上暗示了風(fēng)險(xiǎn)較低，因此不太可能需要增加審核時(shí)間。選項(xiàng)B“客戶的認(rèn)證準(zhǔn)備”雖然可能影響審核的進(jìn)度，但不一定直接導(dǎo)致審核時(shí)間的增加。選項(xiàng)C“僅涉及單一的活動(dòng)過程”同樣暗示了產(chǎn)品或過程的簡單性，因此不太可能需要增加審核時(shí)間。而選項(xiàng)D“具有高風(fēng)險(xiǎn)的產(chǎn)品或過程”則明確指出了風(fēng)險(xiǎn)性，這通常意味著需要更多的時(shí)間來確保審核的準(zhǔn)確性和全面性，因此是增加審核時(shí)間的要素。因此，正確答案是D。47.以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）。A.認(rèn)證機(jī)構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B.認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來指定C.監(jiān)督審核可以與其他管理體系的審核相結(jié)合D.認(rèn)證機(jī)構(gòu)應(yīng)對認(rèn)證證書的使用進(jìn)行監(jiān)督答案：B解析：本題考查的是認(rèn)證機(jī)構(gòu)的監(jiān)督要求。A選項(xiàng)提到認(rèn)證機(jī)構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性，這是正確的，因?yàn)檎J(rèn)證機(jī)構(gòu)需要確保監(jiān)督方案的有效性。B選項(xiàng)提到認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來指定，這是錯(cuò)誤的。實(shí)際上，監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)獨(dú)立制定，而不是與客戶共同制定。C選項(xiàng)提到監(jiān)督審核可以與其他管理體系的審核相結(jié)合，這是正確的，因?yàn)檫@樣可以提高審核效率，減少重復(fù)工作。D選項(xiàng)提到認(rèn)證機(jī)構(gòu)應(yīng)對認(rèn)證證書的使用進(jìn)行監(jiān)督，這也是正確的，因?yàn)檎J(rèn)證機(jī)構(gòu)需要確?？蛻舭凑照J(rèn)證要求使用證書。綜上所述，B選項(xiàng)表述錯(cuò)誤，因此正確答案為B。48.最高管理層應(yīng)通過（）活動(dòng)，證實(shí)對信息安全管理體系的領(lǐng)導(dǎo)和承諾。A.組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B.確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C.領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D.溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)路方向一致答案：B解析：從題目給出的選項(xiàng)中，我們可以看到“組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致”、“確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致”、“領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致”和“溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)路方向一致”。其中，“領(lǐng)導(dǎo)”通常指的是最高管理層，而“確?！焙汀敖ⅰ备嗟嘏c過程相關(guān)，而不是與最高管理層的直接活動(dòng)相關(guān)。而“溝通”雖然重要，但在此情境下，它更多地是領(lǐng)導(dǎo)活動(dòng)的一部分，而不是領(lǐng)導(dǎo)活動(dòng)本身。因此，最符合題目要求的選項(xiàng)是“確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致”，即選項(xiàng)B。這個(gè)選項(xiàng)明確指出了最高管理層應(yīng)確保信息安全策略和信息安全目標(biāo)的建立，并與組織的戰(zhàn)略方向保持一致，這體現(xiàn)了最高管理層對信息安全管理體系的領(lǐng)導(dǎo)和承諾。49.可用性是指（）。A.根據(jù)授權(quán)實(shí)的要求可訪問和利用的特性B.信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性C.保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D.反映事物真實(shí)情況的程度答案：A解析：可用性是指根據(jù)授權(quán)實(shí)的要求可訪問和利用的特性。這一定義明確指出了可用性是基于授權(quán)實(shí)體的需求，允許其訪問和利用。這與選項(xiàng)A的描述相符，因此選擇A。其他選項(xiàng)的含義與可用性的定義不符，例如，選項(xiàng)B關(guān)于信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性描述的是保密性；選項(xiàng)C關(guān)于保護(hù)資產(chǎn)的準(zhǔn)確和完整性的特性描述的是完整性；選項(xiàng)D關(guān)于反映事物真實(shí)情況的程度的描述與可用性沒有直接關(guān)系。50.信息安全事態(tài)、事件和事故的關(guān)系是指（）。A.事態(tài)一定是事件，事件一定是事故B.事件一定是事故，事故一定是事態(tài)C.事態(tài)一定是事故，事故一定是事件D.事故一定是事件，事件一定是事態(tài)答案：D解析：信息安全事態(tài)、事件和事故是信息安全領(lǐng)域中用來描述不同嚴(yán)重程度的概念。首先，我們要理解這三個(gè)概念的含義：*事態(tài)：是指某種信息安全狀況或狀態(tài)，可能正常也可能異常。例如，一個(gè)系統(tǒng)正在運(yùn)行，這就是一個(gè)事態(tài)。*事件：是指已經(jīng)發(fā)生并對信息安全造成了一定影響或潛在影響的情況。事件通常比事態(tài)更嚴(yán)重，因?yàn)樗呀?jīng)導(dǎo)致了某種變化。*事故：是指信息安全領(lǐng)域中發(fā)生了嚴(yán)重的問題或故障，通常伴隨著數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴(yán)重后果。從上述定義可以看出，事態(tài)、事件和事故是逐步升級的關(guān)系。事態(tài)可能發(fā)展為事件，事件可能進(jìn)一步升級為事故。但反過來，事故不一定是事件，事件也不一定是事態(tài)。因此，正確答案是D選項(xiàng)：“事故一定是事件，事件一定是事態(tài)”。多選題（共20題，共20分）51.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度。A.新聞、岀版B.醫(yī)療、保健C.知識類D.教育類答案：ABD解析：根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定，互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營性和非經(jīng)營性兩類。對于新聞、出版、醫(yī)療保健、藥品和醫(yī)療器械等關(guān)系國家利益和社會(huì)公共利益的系統(tǒng)使用的互聯(lián)網(wǎng)信息服務(wù)，以及生產(chǎn)、銷售或者提供有毒有害的信息內(nèi)容等破壞國家和社會(huì)公共利益、危害信息安全的互聯(lián)網(wǎng)信息服務(wù)，實(shí)行許可制度。也就是說，這些類別的互聯(lián)網(wǎng)信息服務(wù)需要主管部門審核通過后才能提供。因此，選項(xiàng)A新聞、出版，選項(xiàng)B醫(yī)療、保健，選項(xiàng)D教育類，都是需要進(jìn)行主管部門審核的互聯(lián)網(wǎng)信息服務(wù)類別。選項(xiàng)C知識類并沒有明確規(guī)定需要主管部門審核，因此不正確。52.對于信息安全方針，（）是GB/T22080-2016標(biāo)準(zhǔn)要求的。A.信息安全方針應(yīng)形成文件B.信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C.信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D.信息安全方針應(yīng)定期實(shí)施評審答案：ABC解析：對于信息安全方針，GB/T22080-2016標(biāo)準(zhǔn)要求的包括：A.信息安全方針應(yīng)形成文件-這意味著信息安全方針需要以文件的形式進(jìn)行記錄，確保所有相關(guān)人員都能明確了解。B.信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方-信息安全方針的發(fā)布需要得到管理層的批準(zhǔn)，并且需要確保所有相關(guān)員工和外部合作方都了解這一方針。C.信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義-信息安全方針中需要明確信息安全管理的職責(zé)，包括一般和特定的職責(zé)。D.信息安全方針應(yīng)定期實(shí)施評審-這項(xiàng)描述并不是GB/T22080-2016標(biāo)準(zhǔn)要求的。信息安全方針需要定期評審，但這并不是該標(biāo)準(zhǔn)明確要求的。綜上所述，選項(xiàng)A、B、C是正確的。53.關(guān)于“信息安全連續(xù)性”，以下正確的做法包括（）。A.人員、設(shè)備、設(shè)施、場所等的冗余配置餐藍(lán)B.定期或?qū)崟r(shí)進(jìn)行數(shù)據(jù)備份C.考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)D.有保障信息安全連續(xù)性水平的過程和程序文件答案：ABCD解析：信息安全連續(xù)性是確保在發(fā)生信息安全事件時(shí)，組織能夠持續(xù)提供關(guān)鍵業(yè)務(wù)功能的能力。以下是對各個(gè)選項(xiàng)的分析：A.人員、設(shè)備、設(shè)施、場所等的冗余配置：冗余配置是確保在發(fā)生故障或?yàn)?zāi)難時(shí)，有備用的資源可以迅速接管，從而維持業(yè)務(wù)的連續(xù)性。這是信息安全連續(xù)性的重要保障措施。B.定期或?qū)崟r(shí)進(jìn)行數(shù)據(jù)備份：數(shù)據(jù)備份是防止數(shù)據(jù)丟失的關(guān)鍵手段。定期或?qū)崟r(shí)備份可以確保在數(shù)據(jù)被意外刪除或損壞時(shí)，能夠迅速恢復(fù)數(shù)據(jù)，從而保障業(yè)務(wù)的連續(xù)性。C.考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)：在信息安全事件發(fā)生時(shí)，組織需要優(yōu)先恢復(fù)關(guān)鍵業(yè)務(wù)功能。根據(jù)業(yè)務(wù)的關(guān)鍵性確定恢復(fù)的優(yōu)先順序和目標(biāo)，可以確保在最短的時(shí)間內(nèi)恢復(fù)關(guān)鍵業(yè)務(wù)功能。D.有保障信息安全連續(xù)性水平的過程和程序文件：明確的過程和程序文件是確保信息安全連續(xù)性實(shí)施的關(guān)鍵。這些文件詳細(xì)描述了如何在發(fā)生信息安全事件時(shí)，迅速、有效地恢復(fù)業(yè)務(wù)功能，從而保障信息安全連續(xù)性。綜上所述，選項(xiàng)A、B、C和D都是關(guān)于信息安全連續(xù)性的正確做法。54.《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）。A.維護(hù)網(wǎng)絡(luò)空間主權(quán)B.維護(hù)國家安全C.維護(hù)社會(huì)公共利益D.保護(hù)公民、法人和其他組織的合法權(quán)益答案：ABCD解析：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第一條的規(guī)定，該法的宗旨是“為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展，制定本法?！币虼?，該法的宗旨涵蓋了維護(hù)網(wǎng)絡(luò)空間主權(quán)、維護(hù)國家安全、維護(hù)社會(huì)公共利益和保護(hù)公民、法人和其他組織的合法權(quán)益。所以，選項(xiàng)A、B、C、D都是正確的。55.對于組織在風(fēng)險(xiǎn)處置過程中所選的控制措施，以下說法正確的是（）。A.將所有風(fēng)險(xiǎn)都必須被降低至可接受的級別B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移C.在滿足公司策略和方針條件，有意識、客觀地接受風(fēng)險(xiǎn)D.規(guī)避風(fēng)險(xiǎn)答案：BD解析：在風(fēng)險(xiǎn)處置過程中，組織可以選擇的控制措施有多種。A選項(xiàng)提到“將所有風(fēng)險(xiǎn)都必須被降低至可接受的級別”，這過于絕對。實(shí)際上，組織可以根據(jù)風(fēng)險(xiǎn)的性質(zhì)、影響程度以及成本效益等因素，選擇接受、降低或轉(zhuǎn)移風(fēng)險(xiǎn)，而不是將所有風(fēng)險(xiǎn)都降低至可接受的級別。B選項(xiàng)“可以將風(fēng)險(xiǎn)轉(zhuǎn)移”是正確的。風(fēng)險(xiǎn)轉(zhuǎn)移是風(fēng)險(xiǎn)處置的一種策略，通過購買保險(xiǎn)、外包等方式將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方。C選項(xiàng)“在滿足公司策略和方針條件，有意識、客觀地接受風(fēng)險(xiǎn)”雖然提到了接受風(fēng)險(xiǎn)，但并未明確說明這是風(fēng)險(xiǎn)處置的一種控制措施，因此不是最佳選項(xiàng)。D選項(xiàng)“規(guī)避風(fēng)險(xiǎn)”也是風(fēng)險(xiǎn)處置的一種策略。通過避免或停止可能導(dǎo)致風(fēng)險(xiǎn)的活動(dòng)，組織可以規(guī)避風(fēng)險(xiǎn)。綜上所述，B和D選項(xiàng)是正確的。56.關(guān)于“不可否認(rèn)性”，以下說法正確的是（）。A.數(shù)字簽名是實(shí)現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段B.身份認(rèn)證是實(shí)現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)C.數(shù)字時(shí)間截是“不可否認(rèn)性”的關(guān)鍵屬性D.具有證實(shí)一個(gè)聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性答案：ABCD解析：A選項(xiàng)正確，數(shù)字簽名是實(shí)現(xiàn)“不可否認(rèn)性”的有效技術(shù)手段。數(shù)字簽名能夠確保信息在傳輸過程中的完整性和來源的可靠性，防止信息被篡改或偽造，從而實(shí)現(xiàn)不可否認(rèn)性。B選項(xiàng)正確，身份認(rèn)證是實(shí)現(xiàn)“不可否認(rèn)性”的重要環(huán)節(jié)。身份認(rèn)證是確認(rèn)用戶身份的過程，通過驗(yàn)證用戶的身份，確保用戶行為的真實(shí)性和合法性，從而實(shí)現(xiàn)不可否認(rèn)性。C選項(xiàng)正確，數(shù)字時(shí)間戳是“不可否認(rèn)性”的關(guān)鍵屬性。數(shù)字時(shí)間戳能夠記錄信息生成或發(fā)送的時(shí)間，確保信息的時(shí)間順序和真實(shí)性，防止信息被篡改或偽造，從而實(shí)現(xiàn)不可否認(rèn)性。D選項(xiàng)正確，具有證實(shí)一個(gè)聲稱的事態(tài)或行為的發(fā)生及其源起者的能力即不可否認(rèn)性。不可否認(rèn)性是指能夠證實(shí)一個(gè)聲稱的事態(tài)或行為的發(fā)生及其源起者的能力，確保信息來源的可靠性和真實(shí)性，防止信息被篡改或偽造。因此，A、B、C、D選項(xiàng)都是正確的。57.常規(guī)控制圖主要用于區(qū)分（）。A.過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B.過程能力的大小C.過程加工的不合格品率D.過程中存在偶然波動(dòng)還是異常波動(dòng)答案：ABCD解析：常規(guī)控制圖是一種用于統(tǒng)計(jì)過程控制的工具，主要用于監(jiān)控生產(chǎn)過程中的質(zhì)量特性。它可以用來區(qū)分過程的穩(wěn)態(tài)和非穩(wěn)態(tài)，以及過程能力的大小。此外，控制圖還可以用來監(jiān)控不合格品率，并區(qū)分過程中的偶然波動(dòng)和異常波動(dòng)。因此，選項(xiàng)A、B、C和D都是正確的。58.關(guān)于按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）。A.網(wǎng)絡(luò)關(guān)鍵設(shè)備B.網(wǎng)絡(luò)安全專用產(chǎn)品C.銷售前D.投入運(yùn)行后答案：ABC解析：根據(jù)題目中的描述，我們需要找出符合“按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證”的選項(xiàng)。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由有關(guān)部門、機(jī)構(gòu)進(jìn)行安全合格認(rèn)證。因此，選項(xiàng)A網(wǎng)絡(luò)關(guān)鍵設(shè)備、B網(wǎng)絡(luò)安全專用產(chǎn)品是正確的。另外，這些設(shè)備在銷售前需要進(jìn)行安全合格認(rèn)證，因此選項(xiàng)C銷售前也是正確的。至于選項(xiàng)D投入運(yùn)行后，題目中并沒有明確提到是強(qiáng)制要求，因此不正確。59.風(fēng)險(xiǎn)評估過程中威脅的分類一般應(yīng)包括（）。A.軟硬件故障、物理環(huán)境影響B(tài).無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C.網(wǎng)絡(luò)攻擊、物理攻擊D.泄密、篡改、抵賴答案：ABCD解析：風(fēng)險(xiǎn)評估過程中威脅的分類通常包括多種可能的風(fēng)險(xiǎn)來源。在給出的選項(xiàng)中，A選項(xiàng)“軟硬件故障、物理環(huán)境影響”涵蓋了技術(shù)層面的威脅；B選項(xiàng)“無作為或操作失誤、管理不到位、越權(quán)或?yàn)E用”涉及了人為操作和管理層面的威脅；C選項(xiàng)“網(wǎng)絡(luò)攻擊、物理攻擊”則是對系統(tǒng)的直接攻擊；D選項(xiàng)“泄密、篡改、抵賴”則涉及到信息安全和數(shù)據(jù)完整性的威脅。因此，這四個(gè)選項(xiàng)都全面地涵蓋了風(fēng)險(xiǎn)評估過程中可能面臨的威脅分類。60.當(dāng)滿足（）時(shí)，可考慮使用基于抽樣的方法對多場所進(jìn)行審核。A.所有的場所在相同信息安全管理體系中，這些場所被集中管理和審核B.所有的場所在相同信息安全管理體系中，這些場所被分別管理和審核C.所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D.所有場所包括在客戶組織的信息安全管理體系管理評審方案中答案：ACD解析：根據(jù)題目，當(dāng)滿足以下條件時(shí)，可考慮使用基于抽樣的方法對多場所進(jìn)行審核：A.所有的場所在相同信息安全管理體系中，這些場所被集中管理和審核。這是基于抽樣的方法進(jìn)行多場所審核的前提之一，即所有的場所都納入了一個(gè)統(tǒng)一的信息安全管理體系，并且這些場所被集中管理和審核，這樣可以確保抽樣的代表性和有效性。B.所有的場所在相同信息安全管理體系中，這些場所被分別管理和審核。這個(gè)選項(xiàng)與基于抽樣的方法相悖，因?yàn)榉謩e管理和審核意味著每個(gè)場所都是獨(dú)立的，無法確保抽樣的代表性。C.所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中。這意味著所有場所都被納入了審核計(jì)劃，這是抽樣審核的基礎(chǔ)，因?yàn)橹挥性谡w范圍內(nèi)進(jìn)行審核，才能確保抽樣的代表性。D.所有場所包括在客戶組織的信息安全管理體系管理評審方案中。管理評審方案通常是對整個(gè)信息安全管理體系的評估，包括所有場所，因此這也是基于抽樣的方法進(jìn)行多場所審核的前提之一。綜上所述，選項(xiàng)A、C和D都符合基于抽樣的方法對多場所進(jìn)行審核的條件，因此選擇ACD。61.以下（）活動(dòng)是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容。A.實(shí)施培訓(xùn)和意識教育計(jì)劃B.實(shí)施ISMS內(nèi)部審核C.實(shí)施ISMS管理評審D.釆取糾正措施答案：BC解析：在ISMS監(jiān)視預(yù)評審階段，主要的任務(wù)是確保組織已經(jīng)建立了合適的ISMS，并且正在有效地運(yùn)行。預(yù)評審階段需要完成的活動(dòng)應(yīng)該與確保ISMS的有效性和持續(xù)改進(jìn)相關(guān)。選項(xiàng)A“實(shí)施培訓(xùn)和意識教育計(jì)劃”通常是在ISMS建立階段完成的活動(dòng)，用于確保員工了解組織的信息安全政策、流程以及他們各自在信息安全中的角色和責(zé)任。雖然這很重要，但與ISMS監(jiān)視預(yù)評審階段的核心任務(wù)不太相關(guān)。選項(xiàng)B“實(shí)施ISMS內(nèi)部審核”是監(jiān)視預(yù)評審階段需要完成的活動(dòng)。內(nèi)部審核是組織對其自身ISMS的獨(dú)立評估，旨在確認(rèn)其符合組織的信息安全策略、流程以及適用的法律和標(biāo)準(zhǔn)。內(nèi)部審核是監(jiān)視和改進(jìn)ISMS的重要部分。選項(xiàng)C“實(shí)施ISMS管理評審”同樣是在監(jiān)視預(yù)評審階段需要完成的活動(dòng)。管理評審是組織高層對ISMS的定期評估，以確保其持續(xù)滿足組織的需求，并考慮任何外部變化（如新的法律要求、技術(shù)進(jìn)步等）。管理評審是確保ISMS適應(yīng)組織變化和外部環(huán)境的關(guān)鍵步驟。選項(xiàng)D“采取糾正措施”通常是在發(fā)現(xiàn)不符合項(xiàng)或問題時(shí)采取的行動(dòng)，而不是在監(jiān)視預(yù)評審階段的主要活動(dòng)。糾正措施是在內(nèi)部審核、管理評審或其他監(jiān)視和測量活動(dòng)之后采取的行動(dòng)，用于解決發(fā)現(xiàn)的問題或不符合項(xiàng)。綜上所述，選項(xiàng)B“實(shí)施ISMS內(nèi)部審核”和選項(xiàng)C“實(shí)施ISMS管理評審”是ISMS監(jiān)視預(yù)評審階段需要完成的活動(dòng)。62.某金融服務(wù)公司為其個(gè)人注冊會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）。A.公司使用微信群會(huì)議，對申請借貸的會(huì)員背景資料、借貸額度等進(jìn)行討論評審B.公司使用微信群發(fā)布公司內(nèi)部投資策略文件C.公司要求所有員工簽署NDA，不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D.公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會(huì)議上付論的信息答案：AB解析：對于選項(xiàng)A，金融服務(wù)公司在微信群會(huì)議中對申請借貸的會(huì)員背景資料、借貸額度等進(jìn)行討論評審，這一做法是不恰當(dāng)?shù)?。根?jù)金融行業(yè)的規(guī)定和法規(guī)，對于會(huì)員的敏感信息，如背景資料和借貸額度，應(yīng)該進(jìn)行嚴(yán)格的保密，并遵循特定的審核流程。在微信群中公開討論這些敏感信息，不僅違反了保密原則，還可能泄露會(huì)員的個(gè)人信息，給會(huì)員帶來潛在的風(fēng)險(xiǎn)。對于選項(xiàng)B，公司使用微信群發(fā)布公司內(nèi)部投資策略文件，這一做法同樣是不恰當(dāng)?shù)?。投資策略文件通常包含公司的商業(yè)機(jī)密和敏感信息，這些信息對于公司的運(yùn)營和競爭地位至關(guān)重要。在微信群中發(fā)布這些文件，可能會(huì)導(dǎo)致文件內(nèi)容的泄露，損害公司的利益。選項(xiàng)C要求所有員工簽署NDA，不得泄露會(huì)員背景及具體借貸項(xiàng)目信息，這一做法是正確的。簽署保密協(xié)議（NDA）是保護(hù)公司機(jī)密信息的一種常見做法，能夠確保員工不會(huì)泄露敏感信息。選項(xiàng)D要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會(huì)議上付論的信息，這一做法也是正確的。微信群會(huì)議上的討論內(nèi)容可能包含公司的機(jī)密信息或敏感數(shù)據(jù)，禁止員工將這些信息轉(zhuǎn)發(fā)到朋友圈，有助于保護(hù)公司的商業(yè)機(jī)密。63.信息安全管理體系審核組的能力包括（）。A.信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B.有關(guān)有形和無形資產(chǎn)及其影響分折的知識C.風(fēng)險(xiǎn)管理過程和方法的知識D.信息安全管理體系的控制措施及其實(shí)施的知識人答案：ABCD解析：信息安全管理體系審核組需要具備全面的信息安全知識，以便能夠準(zhǔn)確評估組織的信息安全管理體系。這些能力包括信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識，以便在發(fā)生信息安全事件時(shí)能夠迅速有效地應(yīng)對；有關(guān)有形和無形資產(chǎn)及其影響分析的知識，以便能夠評估各種資產(chǎn)對信息安全的影響；風(fēng)險(xiǎn)管理過程和方法的知識，以便能夠識別、評估和管理信息安全風(fēng)險(xiǎn)；以及信息安全管理體系的控制措施及其實(shí)施的知識，以便能夠了解如何實(shí)施和維護(hù)信息安全控制措施。因此，選項(xiàng)A、B、C和D都是信息安全管理體系審核組所需具備的能力。64.以下（）活動(dòng)是ISMS建立階段應(yīng)完成的內(nèi)容。A.確定ISMS的范圍和邊界B.確定ISMS方針C.確定風(fēng)險(xiǎn)評估方法和實(shí)施D.實(shí)施體系文件培訓(xùn)答案：ABC解析：在ISMS（信息安全管理體系）建立階段，需要完成一系列關(guān)鍵活動(dòng)以確保體系的有效性和完整性。根據(jù)給出的選項(xiàng)：A.確定ISMS的范圍和邊界：這是建立ISMS的首要步驟，需要明確體系適用的范圍以及與其他管理體系的邊界。B.確定ISMS方針：這涉及到制定信息安全管理的目標(biāo)和原則，確保組織內(nèi)的所有成員都了解并遵循這些方針。C.確定風(fēng)險(xiǎn)評估方法和實(shí)施：風(fēng)險(xiǎn)評估是ISMS的核心部分，需要確定合適的方法并實(shí)施，以識別潛在的安全威脅和脆弱性。D.實(shí)施體系文件培訓(xùn)：雖然培訓(xùn)是ISMS運(yùn)行階段的重要活動(dòng)，但在建立階段，主要是完成上述三個(gè)關(guān)鍵活動(dòng)，而不是立即進(jìn)行體系文件的培訓(xùn)。因此，正確答案是ABC。65.以下說法不正確的是（）。A.顧客不投訴表示顧客滿意了B.監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進(jìn)行分析和評價(jià)C.顧客滿意測評只能通過第三方機(jī)構(gòu)來實(shí)施D.顧客不投訴并不意味著顧客滿意了答案：ACD解析：A選項(xiàng)說“顧客不投訴表示顧客滿意了”，這個(gè)觀點(diǎn)不正確。顧客不投訴并不總是意味著他們滿意，有時(shí)候他們可能只是沒有發(fā)現(xiàn)問題或者覺得問題不重要，所以選擇不投訴。因此，不能僅憑顧客不投訴就斷定他們滿意。B選項(xiàng)說“監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進(jìn)行分析和評價(jià)”，這是正確的。發(fā)調(diào)查問卷是一種常用的方法，通過收集和分析顧客的意見和反饋，可以了解他們的滿意度，從而找出需要改進(jìn)的地方。C選項(xiàng)說“顧客滿意測評只能通過第三方機(jī)構(gòu)來實(shí)施”，這個(gè)觀點(diǎn)不正確。顧客滿意測評可以由企業(yè)自己實(shí)施，也可以委托第三方機(jī)構(gòu)進(jìn)行。第三方機(jī)構(gòu)通常具有更專業(yè)的知識和經(jīng)驗(yàn)，但企業(yè)也可以根據(jù)自己的需要和能力自行進(jìn)行測評。D選項(xiàng)說“顧客不投訴并不意味著顧客滿意了”，這個(gè)觀點(diǎn)與A選項(xiàng)重復(fù)，因此也是不正確的。綜上所述，不正確的選項(xiàng)是A、C和D。66.信息安全管理體系審核應(yīng)遵循的原則包括（）。A.誠實(shí)守信B.保密性C.基于風(fēng)險(xiǎn)D.基于事實(shí)的決策方法答案：BC解析：信息安全管理體系審核是確保組織信息安全管理體系有效運(yùn)行和持續(xù)改進(jìn)的重要環(huán)節(jié)。在審核過程中，需要遵循一系列原則以確保審核的公正性、客觀性和有效性。選項(xiàng)A“誠實(shí)守信”雖然是一個(gè)重要的職業(yè)道德原則，但在信息安全管理體系審核中并不是直接相關(guān)的原則。審核員應(yīng)遵守職業(yè)道德，但這一選項(xiàng)更偏向于一般性的道德準(zhǔn)則。選項(xiàng)B“保密性”是信息安全管理體系審核的核心原則之一。保密性是確保審核過程中獲取的敏感信息安全不被泄露，保障組織信息安全的重要保障。選項(xiàng)C“基于風(fēng)險(xiǎn)”是信息安全管理體系審核的基本原則之一?；陲L(fēng)險(xiǎn)的審核方法強(qiáng)調(diào)對組織面臨的信息安全風(fēng)險(xiǎn)的評估和管理，確保審核能夠針對組織最關(guān)鍵的信息安全領(lǐng)域進(jìn)行。選項(xiàng)D“基于事實(shí)的決策方法”雖然是一個(gè)重要的決策原則，但在信息安全管理體系審核中并不是直接相關(guān)的原則。雖然審核員需要基于事實(shí)進(jìn)行決策，但這更偏向于審核過程中的具體操作方法，而不是審核應(yīng)遵循的基本原則。綜上所述，信息安全管理體系審核應(yīng)遵循的原則包括保密性和基于風(fēng)險(xiǎn)。因此，正確答案為B和C。67.評價(jià)信息安全風(fēng)險(xiǎn)，包括（）。A.將風(fēng)險(xiǎn)分析的結(jié)果與信息安全風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較B.確定風(fēng)險(xiǎn)的控制措施C.為風(fēng)險(xiǎn)處置排序以分析風(fēng)險(xiǎn)的優(yōu)先級D.計(jì)算風(fēng)險(xiǎn)大小答案：AC解析：評價(jià)信息安全風(fēng)險(xiǎn)通常涉及多個(gè)步驟，其中將風(fēng)險(xiǎn)分析的結(jié)果與信息安全風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較，以及為風(fēng)險(xiǎn)處置排序以分析風(fēng)險(xiǎn)的優(yōu)先級，是評價(jià)信息安全風(fēng)險(xiǎn)的重要步驟。A選項(xiàng)涉及將風(fēng)險(xiǎn)分析的結(jié)果與準(zhǔn)則進(jìn)行比較，有助于確定風(fēng)險(xiǎn)是否可接受或需要進(jìn)一步的控制措施。C選項(xiàng)涉及對風(fēng)險(xiǎn)進(jìn)行排序，以便優(yōu)先處理那些對組織影響最大的風(fēng)險(xiǎn)。B選項(xiàng)“確定風(fēng)險(xiǎn)的控制措施”和D選項(xiàng)“計(jì)算風(fēng)險(xiǎn)大小”雖然與信息安全風(fēng)險(xiǎn)有關(guān)，但它們不是評價(jià)信息安全風(fēng)險(xiǎn)的核心步驟，而是風(fēng)險(xiǎn)處理的一部分。因此，正確答案為A和C。68.以下做法正確的是（）。A.使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時(shí)，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B.為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C.員工調(diào)換項(xiàng)目組時(shí)，其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D.信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致答案：AC解析：選項(xiàng)A提到使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時(shí)，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理。這是正確的，因?yàn)橹苯邮褂蒙a(chǎn)數(shù)據(jù)可能會(huì)導(dǎo)致數(shù)據(jù)泄露或違反數(shù)據(jù)保護(hù)政策。脫敏處理是一種保護(hù)敏感數(shù)據(jù)的方法，確保在測試或開發(fā)環(huán)境中使用數(shù)據(jù)時(shí)不會(huì)泄露敏感信息。選項(xiàng)B提到為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)。這一選項(xiàng)可能引發(fā)爭議，因?yàn)槭褂谜鎸?shí)業(yè)務(wù)案例和數(shù)據(jù)可能會(huì)涉及到數(shù)據(jù)保護(hù)和隱私問題。雖然真實(shí)案例和數(shù)據(jù)可能有助于培訓(xùn)效果，但必須在遵守相關(guān)法規(guī)的前提下進(jìn)行。選項(xiàng)C提到員工調(diào)換項(xiàng)目組時(shí)，其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用。這是正確的，因?yàn)閱T工從一個(gè)項(xiàng)目組轉(zhuǎn)到另一個(gè)項(xiàng)目組時(shí)，應(yīng)該確保他們帶走的數(shù)據(jù)不會(huì)包含敏感或?qū)Ｓ行畔ⅲ员苊鈹?shù)據(jù)泄露或侵犯知識產(chǎn)權(quán)。選項(xiàng)D提到信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致。這一選項(xiàng)與數(shù)據(jù)保護(hù)或隱私?jīng)]有直接關(guān)系，因此不是本題考查的重點(diǎn)。綜上所述，選項(xiàng)A和C是正確的。69.在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是（）。A.盜取、暴露、變更資產(chǎn)的行為B.破壞、或使資產(chǎn)失去預(yù)期功能的行為C.訪問、使用資產(chǎn)的行為D.監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為答案：ABCD解析：信息安全“攻擊”通常指的是未經(jīng)授權(quán)對信息系統(tǒng)進(jìn)行的有害行為。根據(jù)給出的選項(xiàng)，我們可以逐一分析：A.盜取、暴露、變更資產(chǎn)的行為-這屬于對資產(chǎn)的不當(dāng)操作，未經(jīng)授權(quán)獲取、更改或暴露資產(chǎn)，是信息安全攻擊的一種。B.破壞、或使資產(chǎn)失去預(yù)期功能的行為-這也是一種未經(jīng)授權(quán)對資產(chǎn)的有害行為，導(dǎo)致資產(chǎn)無法正常工作或功能受損。C.訪問、使用資產(chǎn)的行為-在未經(jīng)授權(quán)的情況下訪問和