本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2019年05月基礎(chǔ)知識(shí)（改考前）答案及解析單選題（共50題，共50分）1.下列中哪個(gè)活動(dòng)是組織發(fā)生重大變更后一定要開展的活動(dòng)？（）A.對(duì)組織的信息安全管理體系進(jìn)行變更B.執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估C.開展內(nèi)部審核D.開展管理評(píng)審答案：B解析：組織發(fā)生重大變更后，一定要開展的活動(dòng)是執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。這是因?yàn)樾畔踩L(fēng)險(xiǎn)評(píng)估是組織在發(fā)生重大變更后，為了確保信息安全，需要對(duì)新的系統(tǒng)、流程或策略進(jìn)行全面的評(píng)估，以確保其不會(huì)對(duì)組織的信息安全產(chǎn)生負(fù)面影響。執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估有助于組織及時(shí)識(shí)別潛在的安全風(fēng)險(xiǎn)，并采取相應(yīng)的措施來降低這些風(fēng)險(xiǎn)。選項(xiàng)A對(duì)組織的信息安全管理體系進(jìn)行變更，雖然是對(duì)信息安全管理體系的一種更新，但它不是組織發(fā)生重大變更后一定要開展的活動(dòng)。選項(xiàng)C開展內(nèi)部審核，雖然是對(duì)組織內(nèi)部的一種檢查，但它并不是專門針對(duì)重大變更后的活動(dòng)。選項(xiàng)D開展管理評(píng)審，是對(duì)組織整體運(yùn)營狀況的一種評(píng)估，雖然重要，但并不是專門針對(duì)重大變更后的活動(dòng)。因此，執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估是組織發(fā)生重大變更后一定要開展的活動(dòng)。2.對(duì)于外部方提供的軟件包以下說法正確的是（）。A.組織的人員可隨時(shí)對(duì)具進(jìn)行適用性調(diào)整B.應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性C.應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D.以上都不對(duì)答案：C解析：本題考察的是對(duì)外部方提供的軟件包的管理和使用的理解。A選項(xiàng)提到組織的人員可隨時(shí)對(duì)其進(jìn)行適用性調(diào)整，這意味著軟件包的調(diào)整是隨意的，沒有受到任何限制，這與軟件包的保密性和完整性保護(hù)相違背，因此A選項(xiàng)錯(cuò)誤。B選項(xiàng)提到應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性，雖然強(qiáng)調(diào)了保密性，但并未提及完整性和可用性，因此B選項(xiàng)不全面，錯(cuò)誤。C選項(xiàng)提到應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性，這既考慮了保密性，也考慮了軟件包的完整性和可用性，是一個(gè)全面的考慮，因此C選項(xiàng)正確。D選項(xiàng)表示以上都不對(duì)，由于我們已經(jīng)分析了A、B選項(xiàng)的錯(cuò)誤，并且C選項(xiàng)是正確的，因此D選項(xiàng)也是錯(cuò)誤的。綜上所述，正確答案是C選項(xiàng)。3.從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A.計(jì)算機(jī)舞弊B.欺騙或脅迫C.計(jì)算機(jī)偷竊D.計(jì)算機(jī)破壞答案：B解析：社交工程是一種利用社會(huì)互動(dòng)和欺騙手段獲取敏感信息或執(zhí)行惡意行為的技術(shù)。從給出的選項(xiàng)中，只有“欺騙或脅迫”與社交工程直接相關(guān)。計(jì)算機(jī)舞弊、計(jì)算機(jī)偷竊和計(jì)算機(jī)破壞雖然與計(jì)算機(jī)安全有關(guān)，但它們并不直接涉及社交工程。因此，正確答案是“欺騙或脅迫”。4.在我國《信息安全等級(jí)保護(hù)管理辦法》中將信息系統(tǒng)的安全等級(jí)分為（）級(jí)。A.3B.4C.5D.6答案：C解析：《信息安全等級(jí)保護(hù)管理辦法》將信息系統(tǒng)的安全等級(jí)分為5級(jí)，從第一級(jí)到第五級(jí)，安全保護(hù)能力逐步增強(qiáng)。因此，正確答案為C。5.控制影響信息安全的變更，包括（）。A.組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B.組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C.組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D.組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更答案：B解析：信息安全變更控制是指對(duì)組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更的控制，以確保這些變更不會(huì)對(duì)信息安全產(chǎn)生不利影響。根據(jù)題目給出的選項(xiàng)，我們可以逐一分析：A選項(xiàng)提到“組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更”，其中的“業(yè)務(wù)活動(dòng)”可能是一個(gè)不太明確或涵蓋范圍太廣的術(shù)語，它可能包括多種與業(yè)務(wù)相關(guān)的活動(dòng)，不一定特指與信息安全直接相關(guān)的業(yè)務(wù)過程。B選項(xiàng)“組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更”更明確地指出了與信息安全變更控制相關(guān)的要素。其中，“業(yè)務(wù)過程”通常指的是與特定業(yè)務(wù)目標(biāo)相關(guān)的流程或步驟，這些流程或步驟可能涉及到信息處理設(shè)施和系統(tǒng)的變更，從而影響到信息安全。C選項(xiàng)與B選項(xiàng)非常相似，只是將“業(yè)務(wù)過程”替換為“信息及處理”，這個(gè)替換可能導(dǎo)致含義上的不明確或混淆，因?yàn)椤靶畔⒓疤幚怼笨赡芎w的范圍過于寬泛，不夠具體。D選項(xiàng)提到“組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更”，與A選項(xiàng)類似，“業(yè)務(wù)活動(dòng)”這一術(shù)語可能不夠明確和具體。綜上所述，B選項(xiàng)“組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更”是最符合信息安全變更控制要求的描述。因此，正確答案是B。6.以下描述不正確的是（）。A.防范惡意和移動(dòng)代碼的目標(biāo)是保護(hù)軟件和信息的完整性B.糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C.風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理的整個(gè)過程稱為風(fēng)險(xiǎn)管理D.控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響答案：D解析：A選項(xiàng)描述“防范惡意和移動(dòng)代碼的目標(biāo)是保護(hù)軟件和信息的完整性”是正確的，這是網(wǎng)絡(luò)安全中常見的一個(gè)目標(biāo)，目的是防止惡意代碼對(duì)軟件和信息的破壞。B選項(xiàng)描述“糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生”也是正確的，糾正措施就是為了解決已出現(xiàn)的問題，防止類似問題再次發(fā)生。C選項(xiàng)描述“風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理的整個(gè)過程稱為風(fēng)險(xiǎn)管理”是正確的，這是風(fēng)險(xiǎn)管理的基本流程。而D選項(xiàng)“控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響”是不正確的?？刂拼胧┎粌H可以降低安全事件發(fā)生的可能性，還可以降低安全事件的潛在影響，例如，通過加密技術(shù)可以降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，同時(shí)也可以減少數(shù)據(jù)泄露帶來的潛在損失。因此，D選項(xiàng)描述不正確。7.《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中規(guī)定，第二階段審核（）進(jìn)行。A.在客戶組織的場(chǎng)所B.在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式C.以遠(yuǎn)程視頻的形式D.以上都對(duì)答案：A解析：《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》中明確規(guī)定了第二階段審核應(yīng)在客戶組織的場(chǎng)所進(jìn)行。因此，選項(xiàng)A“在客戶組織的場(chǎng)所”是正確的。其他選項(xiàng)如“在認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)訪問的形式”、“以遠(yuǎn)程視頻的形式”或“以上都對(duì)”均不符合規(guī)定。8.確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程其所用，是指（）。A.完整性B.可用性C.機(jī)密性D.抗抵賴性答案：C解析：確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程其所用，是指機(jī)密性。機(jī)密性是指信息不被未授權(quán)用戶訪問，即保證信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程。因此，正確答案為C，即機(jī)密性。9.下列哪個(gè)文檔化信息不是GB/T22080-2016/ISO/IEC27001:2013要求必須有的？（）A.信息安全方針B.信息安全目標(biāo)C.風(fēng)險(xiǎn)評(píng)估過程記錄D.溝通記錄答案：D解析：根據(jù)題目中給出的信息，GB/T22080-2016/ISO/IEC27001:2013是一個(gè)信息安全管理體系的標(biāo)準(zhǔn)。對(duì)于標(biāo)準(zhǔn)中要求的文檔化信息，我們可以逐項(xiàng)考慮：A.信息安全方針-這是組織關(guān)于信息安全的基本方針和原則，對(duì)于建立和維護(hù)信息安全管理體系至關(guān)重要，因此是必需的。B.信息安全目標(biāo)-組織為了實(shí)現(xiàn)信息安全方針而設(shè)定的具體目標(biāo)，也是信息安全管理體系的核心組成部分，因此也是必需的。C.風(fēng)險(xiǎn)評(píng)估過程記錄-風(fēng)險(xiǎn)評(píng)估是信息安全管理體系中的關(guān)鍵過程，用于識(shí)別潛在的安全威脅和脆弱性，并記錄評(píng)估過程和結(jié)果，以便后續(xù)改進(jìn)和監(jiān)控，因此也是必需的。D.溝通記錄-雖然溝通在信息安全管理體系中非常重要，但題目中并未明確指出GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)明確要求必須有溝通記錄。在標(biāo)準(zhǔn)中，可能更側(cè)重于信息安全方針、目標(biāo)和風(fēng)險(xiǎn)評(píng)估過程的記錄，而不是具體的溝通記錄。綜上所述，溝通記錄不是GB/T22080-2016/ISO/IEC27001:2013要求必須有的文檔化信息。因此，答案為D。10.《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)。A.2年B.3年C.4年D.5年答案：D解析：根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》的規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)的時(shí)間期限為5年。因此，正確答案為D選項(xiàng)，即5年。11.下列不屬于公司信息資產(chǎn)的有（）。A.客戶信息B.被放置在IDC機(jī)房的服務(wù)器C.個(gè)人使用的電腦D.審核記錄答案：D解析：公司信息資產(chǎn)通常指的是與公司業(yè)務(wù)、運(yùn)營或管理相關(guān)的信息。A選項(xiàng)“客戶信息”是公司的重要信息資產(chǎn)，因?yàn)樗婕暗娇蛻舻年P(guān)系和交易。B選項(xiàng)“被放置在IDC機(jī)房的服務(wù)器”也是公司的信息資產(chǎn)，因?yàn)樗鎯?chǔ)和處理公司的數(shù)據(jù)和應(yīng)用程序。C選項(xiàng)“個(gè)人使用的電腦”雖然可能由員工個(gè)人所有，但如果用于公司的工作，也可能包含公司的信息資產(chǎn)。而D選項(xiàng)“審核記錄”雖然可能包含公司的信息，但它本身并不是公司的信息資產(chǎn)，而是公司管理和運(yùn)營過程中產(chǎn)生的記錄。因此，D選項(xiàng)“審核記錄”不屬于公司信息資產(chǎn)。12.組織通過哪些措施來確保員工和合同方意識(shí)到并履行其信息安全職責(zé)？（）A.審查，任用條款和條件B.管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)C.任用終止或變更的責(zé)任D.以上都不對(duì)答案：B解析：為了確保員工和合同方意識(shí)到并履行其信息安全職責(zé)，組織應(yīng)該采取一系列措施。首先，組織應(yīng)該明確管理責(zé)任，明確信息安全負(fù)責(zé)人，并賦予其相應(yīng)的權(quán)限和責(zé)任。其次，組織應(yīng)該進(jìn)行信息安全意識(shí)教育和培訓(xùn)，確保員工和合同方了解信息安全的重要性，掌握相關(guān)的知識(shí)和技能。任用條款和條件以及任用終止或變更的責(zé)任雖然與信息安全有關(guān)，但并不是確保員工和合同方意識(shí)到并履行其信息安全職責(zé)的主要措施。因此，正確答案是B，即管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)。13.安全區(qū)域通常的防護(hù)措施有（）。A.公司前臺(tái)的電腦顯示器背對(duì)來訪者B.進(jìn)出公司的訪客須在門衛(wèi)處進(jìn)行登記C.重點(diǎn)機(jī)房安裝有門禁系統(tǒng)D.以上全部答案：D解析：安全區(qū)域通常的防護(hù)措施包括前臺(tái)的電腦顯示器背對(duì)來訪者、進(jìn)出公司的訪客須在門衛(wèi)處進(jìn)行登記以及重點(diǎn)機(jī)房安裝有門禁系統(tǒng)。這些都是為了保護(hù)公司的重要資產(chǎn)和敏感信息，確保只有授權(quán)人員能夠訪問和操作。因此，選項(xiàng)D“以上全部”是正確的答案。14.關(guān)于《中華人民共和國保密法》，以下說法正確的是（）。A.該法的目的是為了保守國家秘密而定B.該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C.該法適用于所有組織對(duì)其敏感信息的保護(hù)D.國家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)答案：A解析：《中華人民共和國保密法》的目的是為了保守國家秘密，維護(hù)國家安全和利益，保障改革開放和社會(huì)主義建設(shè)事業(yè)的順利進(jìn)行。因此，選項(xiàng)A“該法的目的是為了保守國家秘密而定”是正確的。選項(xiàng)B“該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系”是不正確的。保密法和ISO/IEC27001是兩種不同的標(biāo)準(zhǔn)體系，各自有各自的目的和應(yīng)用范圍，不能相互替代。選項(xiàng)C“該法適用于所有組織對(duì)其敏感信息的保護(hù)”也是不正確的。保密法主要是針對(duì)國家秘密的保護(hù)，而非所有組織的敏感信息。選項(xiàng)D“國家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)”也是不準(zhǔn)確的。根據(jù)保密法，國家秘密的密級(jí)分為絕密、機(jī)密、秘密三級(jí)，但是并不是由組織自主定級(jí)、自主保護(hù)，而是由有關(guān)機(jī)關(guān)、單位確定。綜上所述，只有選項(xiàng)A是正確的。15.組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A.確定B.制定C.落實(shí)D.確保答案：A解析：題目中要求組織應(yīng)對(duì)與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)進(jìn)行確定。因此，正確答案為“確定”。制定、落實(shí)和確保都不符合題目要求，因?yàn)樗鼈儧]有明確指出組織應(yīng)對(duì)外部和內(nèi)部事項(xiàng)進(jìn)行確定。因此，選項(xiàng)A“確定”是正確答案。16.構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）。A.人、財(cái)、物B.技術(shù)、管理和操作C.資產(chǎn)、威脅和弱點(diǎn)D.資產(chǎn)、可能性和嚴(yán)重性答案：C解析：構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素包括資產(chǎn)、威脅和弱點(diǎn)。資產(chǎn)是指可能被攻擊或利用的目標(biāo)，如企業(yè)的數(shù)據(jù)、系統(tǒng)或設(shè)施等；威脅是指可能對(duì)資產(chǎn)造成損害或破壞的因素，如黑客攻擊、自然災(zāi)害等；弱點(diǎn)是指資產(chǎn)或系統(tǒng)中存在的安全漏洞或缺陷，這些弱點(diǎn)可能被威脅利用。因此，選項(xiàng)C“資產(chǎn)、威脅和弱點(diǎn)”是構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素。而選項(xiàng)A“人、財(cái)、物”不是構(gòu)成風(fēng)險(xiǎn)的直接因素，選項(xiàng)B“技術(shù)、管理和操作”雖然與風(fēng)險(xiǎn)有關(guān)，但不是關(guān)鍵因素，選項(xiàng)D“資產(chǎn)、可能性和嚴(yán)重性”中的“可能性和嚴(yán)重性”也不是構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素。因此，正確答案是C。17.關(guān)于訪問控制策略，以下不正確的是（）。A.須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時(shí)間和訪問類型B.對(duì)于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限C.物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策略D.物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致答案：B解析：訪問控制策略是確保系統(tǒng)安全的關(guān)鍵措施，它規(guī)定了哪些主體可以對(duì)哪些客體進(jìn)行何種類型的訪問。針對(duì)題目中的選項(xiàng)，我們可以逐一分析：A選項(xiàng)提到“須考慮被訪問客體的敏感性分類、訪問主體的授權(quán)方式、時(shí)間和訪問類型”。這是訪問控制策略中常見的考慮因素，因?yàn)榭腕w的敏感性分類決定了訪問控制策略的嚴(yán)格程度，而訪問主體的授權(quán)方式、時(shí)間和訪問類型則決定了主體可以訪問的權(quán)限和條件。B選項(xiàng)提到“對(duì)于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限”。這是不正確的，因?yàn)橐淮涡再x予全任務(wù)權(quán)限可能導(dǎo)致未經(jīng)授權(quán)的用戶或系統(tǒng)訪問敏感信息或執(zhí)行敏感操作，從而引發(fā)安全風(fēng)險(xiǎn)。在實(shí)際應(yīng)用中，應(yīng)該根據(jù)任務(wù)的重要性和緊急程度，對(duì)訪問權(quán)限進(jìn)行精細(xì)控制，確保只有經(jīng)過授權(quán)的主體才能訪問相應(yīng)的客體。C選項(xiàng)提到“物理區(qū)域的管理規(guī)定須遵從物理區(qū)域的訪問控制策略”。這是正確的，因?yàn)槲锢韰^(qū)域的訪問控制策略是確保物理安全的重要措施，它規(guī)定了哪些人員可以進(jìn)入哪些區(qū)域，以及進(jìn)入?yún)^(qū)域需要滿足的條件。D選項(xiàng)提到“物理區(qū)域訪問控制策略應(yīng)與其中的資產(chǎn)敏感性一致”。這也是正確的，因?yàn)槲锢韰^(qū)域的資產(chǎn)敏感性決定了訪問控制策略的嚴(yán)格程度。例如，高敏感性的區(qū)域可能需要更嚴(yán)格的訪問控制，包括門禁控制、視頻監(jiān)控等。綜上所述，B選項(xiàng)“對(duì)于多任務(wù)訪問，一次性賦予全任務(wù)權(quán)限”是不正確的，因?yàn)樗赡軐?dǎo)致安全風(fēng)險(xiǎn)。因此，正確答案是B。18.組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)。A.組織環(huán)境和相關(guān)方要求B.戰(zhàn)略和意思C.戰(zhàn)略和方針D.職能和層次答案：D解析：題目問的是“組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)?！保覀冃枰獜慕o定的選項(xiàng)中選擇正確的答案。選項(xiàng)A“組織環(huán)境和相關(guān)方要求”雖然與組織的運(yùn)作有關(guān)，但它更多地關(guān)注組織的外部環(huán)境，而不是直接涉及信息安全目標(biāo)的建立。選項(xiàng)B“戰(zhàn)略和意思”中的“意思”一詞可能是個(gè)輸入錯(cuò)誤，因?yàn)橥ǔＮ覀冋f的是“戰(zhàn)略和方針”。即使如此，這個(gè)選項(xiàng)也沒有明確指向信息安全目標(biāo)的建立。選項(xiàng)C“戰(zhàn)略和方針”雖然與組織的整體戰(zhàn)略有關(guān)，但它并沒有特指信息安全目標(biāo)。選項(xiàng)D“職能和層次”則直接關(guān)聯(lián)到信息安全目標(biāo)的建立。信息安全通常被視為一個(gè)特定的職能領(lǐng)域，其目標(biāo)需要在組織的不同職能和層次上明確和建立。因此，根據(jù)題目要求，最符合的答案應(yīng)該是選項(xiàng)D“職能和層次”。然而，題目給出的標(biāo)準(zhǔn)答案卻是C，這可能是一個(gè)錯(cuò)誤，正確答案應(yīng)該是D。19.風(fēng)險(xiǎn)評(píng)價(jià)是指（）。A.系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和評(píng)估風(fēng)險(xiǎn)B.將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C.指導(dǎo)和控制個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D.以上都對(duì)答案：B解析：風(fēng)險(xiǎn)評(píng)價(jià)是指將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程。選項(xiàng)A“系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和評(píng)估風(fēng)險(xiǎn)”是風(fēng)險(xiǎn)識(shí)別的內(nèi)容，選項(xiàng)C“指導(dǎo)和控制個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)”是風(fēng)險(xiǎn)管理的目的，選項(xiàng)D“以上都對(duì)”顯然是不正確的。因此，正確答案是B。20.關(guān)于防范惡意軟件，以下說法正確的是（）。A.物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B.安裝入侵探測(cè)系統(tǒng)即可防范惡意軟件C.建立白名單即可防范惡意軟件D.建立探測(cè)、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件答案：D解析：對(duì)于防范惡意軟件，我們需要考慮的是一個(gè)全面、多層次的策略。物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接確實(shí)可以作為一種措施，但這樣會(huì)使系統(tǒng)變得孤立，不利于信息的流通和更新。同樣，安裝入侵探測(cè)系統(tǒng)雖然能及時(shí)發(fā)現(xiàn)潛在的攻擊，但并不能完全阻止惡意軟件的入侵。建立白名單雖然可以限制某些軟件的運(yùn)行，但惡意軟件往往具有偽裝性，難以完全識(shí)別。因此，最全面的防范策略應(yīng)該是建立探測(cè)、預(yù)防和恢復(fù)機(jī)制，這樣既能及時(shí)發(fā)現(xiàn)惡意軟件的入侵，又能采取措施進(jìn)行預(yù)防和恢復(fù)，從而最大程度地保護(hù)系統(tǒng)的安全。所以，正確答案是D選項(xiàng)：建立探測(cè)、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件。21.創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ.對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B.對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C.對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D.對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)答案：D解析：創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適宜的評(píng)審和批準(zhǔn)。根據(jù)質(zhì)量管理原則和標(biāo)準(zhǔn)，確保文件化信息的適宜性和充分性是非常重要的。適宜的評(píng)審可以確保文件化信息的準(zhǔn)確性、相關(guān)性和適用性，而批準(zhǔn)則可以確保文件化信息被正式接受并用于組織的過程和活動(dòng)中。因此，選項(xiàng)D“對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)”是正確答案。其他選項(xiàng)如“對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)”、“對(duì)充分性和有效性的測(cè)量和批準(zhǔn)”以及“對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)”在描述上不夠準(zhǔn)確或存在遺漏，因此不是正確答案。22.為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過（）。A.服務(wù)水平目標(biāo)(SLO)B.恢復(fù)點(diǎn)目標(biāo)(RPO)C.恢復(fù)時(shí)間目標(biāo)(RTO)D.最長可接受終端時(shí)間(MAO)答案：B解析：為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過恢復(fù)點(diǎn)目標(biāo)（RPO）?；謴?fù)點(diǎn)目標(biāo)（RPO）是指可以容忍的最大數(shù)據(jù)丟失量，即系統(tǒng)發(fā)生故障后，通過備份和恢復(fù)操作，數(shù)據(jù)丟失的最大可接受量。因此，為了保證數(shù)據(jù)的完整性和連續(xù)性，備份時(shí)間間隔不能超過RPO，以確保在災(zāi)難發(fā)生時(shí)能夠恢復(fù)到最近的一次備份狀態(tài)，從而最大程度地減少數(shù)據(jù)丟失。23.關(guān)于系統(tǒng)運(yùn)行日志，以下說法正確的是（）。A.系統(tǒng)管理員負(fù)責(zé)對(duì)日志信息進(jìn)行編輯、保存B.日志信息文件的保存應(yīng)納入容量管理C.日志管理即系統(tǒng)審計(jì)日志管理D.組織的安全策略應(yīng)決定系統(tǒng)管理員的活動(dòng)是否有記入日志答案：B解析：根據(jù)題目，我們需要找出關(guān)于系統(tǒng)運(yùn)行日志的正確說法。A選項(xiàng)提到“系統(tǒng)管理員負(fù)責(zé)對(duì)日志信息進(jìn)行編輯、保存”，但系統(tǒng)管理員的職責(zé)通常不包括編輯日志信息，他們通常負(fù)責(zé)日志的生成、收集、存儲(chǔ)和管理，而不是編輯。所以A選項(xiàng)不正確。B選項(xiàng)說“日志信息文件的保存應(yīng)納入容量管理”，這是正確的。日志信息文件的保存需要考慮到存儲(chǔ)空間和容量，以確保日志的完整性和可用性，同時(shí)避免存儲(chǔ)空間不足的問題。C選項(xiàng)提到“日志管理即系統(tǒng)審計(jì)日志管理”，這過于狹隘。日志管理不僅限于系統(tǒng)審計(jì)日志，還包括其他類型的日志，如操作日志、系統(tǒng)日志等。因此，C選項(xiàng)不正確。D選項(xiàng)說“組織的安全策略應(yīng)決定系統(tǒng)管理員的活動(dòng)是否有記入日志”，雖然安全策略確實(shí)對(duì)日志管理有重要影響，但它并不直接決定系統(tǒng)管理員的活動(dòng)是否記入日志。系統(tǒng)管理員的活動(dòng)是否記入日志通常是由日志管理策略或相關(guān)規(guī)定決定的。因此，D選項(xiàng)也不正確。綜上所述，正確答案是B選項(xiàng)：“日志信息文件的保存應(yīng)納入容量管理”。24.關(guān)于信息安全連續(xù)性，以下說法正確的是（）。A.信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B.信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C.信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D.信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定答案：B解析：信息安全連續(xù)性是指組織在遭受信息安全事件后，能夠迅速恢復(fù)其關(guān)鍵業(yè)務(wù)功能的能力。它是組織業(yè)務(wù)連續(xù)性的一個(gè)重要組成部分，旨在確保在信息安全事件發(fā)生時(shí)，組織的業(yè)務(wù)能夠持續(xù)、穩(wěn)定地運(yùn)行。因此，選項(xiàng)B“信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分”是正確的說法。選項(xiàng)A將信息安全連續(xù)性簡(jiǎn)單地等同于IT設(shè)備運(yùn)行的連續(xù)性，這是一個(gè)狹隘的理解。選項(xiàng)C中的“信息處理設(shè)施的冗余”與服務(wù)器互備有關(guān)，但它并不能等同于信息安全連續(xù)性的全部含義。選項(xiàng)D則錯(cuò)誤地認(rèn)為信息安全連續(xù)性指標(biāo)完全由IT系統(tǒng)的性能決定，忽略了其他影響信息安全連續(xù)性的因素。25.組織應(yīng)（）。A.采取過程的規(guī)程安全處置不需要的介質(zhì)B.采取文件的規(guī)程安全處置不需要的介質(zhì)C.采取正式的規(guī)程安全處置不需要的介質(zhì)D.采取制度的規(guī)程安全處置不需要的介質(zhì)答案：C解析：題目中要求組織應(yīng)“采取過程的規(guī)程安全處置不需要的介質(zhì)”，根據(jù)常識(shí)和安全管理的要求，組織應(yīng)該采取正式的規(guī)程來安全處置不需要的介質(zhì)，以保證整個(gè)處置過程的安全和有效性。因此，正確選項(xiàng)為C，“采取正式的規(guī)程安全處置不需要的介質(zhì)”。選項(xiàng)A、B、D與題目要求不符，不符合常識(shí)和安全管理的規(guī)定，因此可以排除。26.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B.認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C.認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D.認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期答案：B解析：在信息安全管理體系認(rèn)證中，審核組的結(jié)論是基于對(duì)組織的信息安全管理體系（ISMS）的評(píng)估。認(rèn)證決定人員作為審核過程的最終決策者，其職責(zé)是確保審核過程的公正性和準(zhǔn)確性。如果審核組的結(jié)論是基于不充分或不準(zhǔn)確的信息，認(rèn)證決定人員有權(quán)推翻該結(jié)論，無論是正面還是負(fù)面。因此，選項(xiàng)A“認(rèn)證決定人員不宜推翻審核組的正面結(jié)論”是不準(zhǔn)確的。對(duì)于選項(xiàng)C和D，雖然內(nèi)部審核和管理評(píng)審是信息安全管理體系中的重要環(huán)節(jié)，但認(rèn)證機(jī)構(gòu)并不一定要對(duì)客戶的ISMS進(jìn)行至少一次完整的內(nèi)部審核，也不一定要遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期。認(rèn)證機(jī)構(gòu)有自己的審核標(biāo)準(zhǔn)和程序，可以根據(jù)實(shí)際情況進(jìn)行調(diào)整。因此，選項(xiàng)C和D都不正確。綜上所述，正確的選項(xiàng)是B，即“認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論”。27.管理體系是實(shí)現(xiàn)組織的方針、（）、指南和相關(guān)資源的框架。A.目標(biāo)B.規(guī)程C.文件D.記錄答案：B解析：管理體系是一個(gè)框架，它為實(shí)現(xiàn)組織的方針、規(guī)程、指南和相關(guān)資源提供了結(jié)構(gòu)。選項(xiàng)A“目標(biāo)”是管理體系所追求的結(jié)果，但并不是管理體系本身的結(jié)構(gòu)；選項(xiàng)C“文件”和選項(xiàng)D“記錄”都是管理體系中可能包含的部分，但它們并不是管理體系的核心結(jié)構(gòu)。因此，選項(xiàng)B“規(guī)程”是最符合題目描述的，它代表了管理體系中為實(shí)現(xiàn)特定目標(biāo)而規(guī)定的一系列步驟和程序。28.信息安全管理中，支持性基礎(chǔ)設(shè)施指（）。A.供電、通信設(shè)施B.消防、防雷設(shè)施C.空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D.以上全部答案：D解析：信息安全管理中，支持性基礎(chǔ)設(shè)施包括供電、通信設(shè)施、消防、防雷設(shè)施、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)等等，這些設(shè)施對(duì)于信息安全保障有著至關(guān)重要的作用。因此，選項(xiàng)D“以上全部”是正確的答案。供電、通信設(shè)施、消防、防雷設(shè)施等是確保信息安全的基礎(chǔ)設(shè)施，而空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)雖然不是直接的安全設(shè)施，但它們的正常運(yùn)行對(duì)于保障信息安全環(huán)境同樣重要。29.計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類隱藏在（）上蓄意破壞的搗亂程序。A.內(nèi)存B.軟盤C.存儲(chǔ)介質(zhì)D.網(wǎng)絡(luò)答案：C解析：計(jì)算機(jī)病毒是隱藏在存儲(chǔ)介質(zhì)上的一種特殊程序，它能夠復(fù)制自身并感染其他程序，從而導(dǎo)致計(jì)算機(jī)系統(tǒng)出現(xiàn)各種問題，如數(shù)據(jù)丟失、程序崩潰等。內(nèi)存、軟盤和網(wǎng)絡(luò)都是計(jì)算機(jī)系統(tǒng)中的重要組成部分，但計(jì)算機(jī)病毒主要隱藏在存儲(chǔ)介質(zhì)上，因此正確答案為C。內(nèi)存中的數(shù)據(jù)只是臨時(shí)的，不會(huì)長時(shí)間存儲(chǔ)，軟盤雖然可以存儲(chǔ)數(shù)據(jù)，但并不是計(jì)算機(jī)病毒的主要傳播途徑，而網(wǎng)絡(luò)雖然可以傳播病毒，但并不是病毒本身存儲(chǔ)的地方。因此，選項(xiàng)A、B、D都不正確。30.依據(jù)GB/T22080/ISO/IEC27001建立資產(chǎn)清單即（）。A.列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性B.完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)負(fù)責(zé)人C.資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高D.A+B答案：A解析：在GB/T22080/ISO/IEC27001中，建立資產(chǎn)清單是為了列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性。這是信息安全管理體系中的一項(xiàng)重要活動(dòng)，用于識(shí)別和記錄組織內(nèi)的所有資產(chǎn)，并評(píng)估其對(duì)業(yè)務(wù)的重要性。因此，選項(xiàng)A“列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性”是正確的。選項(xiàng)B“完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)負(fù)責(zé)人”雖然與資產(chǎn)清單有關(guān)，但并不完全符合GB/T22080/ISO/IEC27001的標(biāo)準(zhǔn)要求。選項(xiàng)C“資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高”與資產(chǎn)清單的建立沒有直接關(guān)系，資產(chǎn)的重要性并不完全取決于其價(jià)格。選項(xiàng)D“A+B”是選項(xiàng)A和B的組合，但B并不符合標(biāo)準(zhǔn)，因此D也是錯(cuò)誤的。31.以下哪項(xiàng)不屬于脆弱性范疇？（）A.黑客攻擊B.操作系統(tǒng)漏洞C.應(yīng)用程序BUGD.人員的不良操作習(xí)慣答案：A解析：根據(jù)題目描述，我們需要找出不屬于脆弱性范疇的選項(xiàng)。A選項(xiàng)“黑客攻擊”是一種攻擊行為，而不是脆弱性本身。黑客攻擊是利用系統(tǒng)或應(yīng)用程序的漏洞來進(jìn)行的，但它本身并不是漏洞或脆弱性。B選項(xiàng)“操作系統(tǒng)漏洞”是系統(tǒng)本身存在的缺陷，可以被攻擊者利用，因此屬于脆弱性范疇。C選項(xiàng)“應(yīng)用程序BUG”是應(yīng)用程序中存在的缺陷，也可能被攻擊者利用，因此也屬于脆弱性范疇。D選項(xiàng)“人員的不良操作習(xí)慣”可能導(dǎo)致系統(tǒng)或應(yīng)用程序被誤用或?yàn)E用，從而增加被攻擊的風(fēng)險(xiǎn)，因此也屬于脆弱性范疇。綜上所述，A選項(xiàng)“黑客攻擊”不屬于脆弱性范疇，因此正確答案為A。32.計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指（）。A.用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B.按安全加固要求設(shè)計(jì)的專用計(jì)算機(jī)C.安裝了專用安全協(xié)議的專用計(jì)算機(jī)D.特定用途（如高保密）專用的計(jì)算機(jī)軟件和硬件產(chǎn)品答案：A解析：計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品。這是根據(jù)題目中的描述，對(duì)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的定義進(jìn)行解讀。因此，選項(xiàng)A“用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品”是正確的答案。其他選項(xiàng)如按安全加固要求設(shè)計(jì)的專用計(jì)算機(jī)、安裝了專用安全協(xié)議的專用計(jì)算機(jī)、特定用途（如高保密）專用的計(jì)算機(jī)軟件和硬件產(chǎn)品，雖然與計(jì)算機(jī)信息系統(tǒng)安全有關(guān)，但并不是專用產(chǎn)品的定義。33.下列說法不正確的是（）。A.殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)B.體系文件應(yīng)能夠顯示出所選擇的;C.所有的信息安全活動(dòng)都必須記錄D.管理評(píng)審至少每年進(jìn)行一次答案：A解析：A選項(xiàng)提到“殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)”，但題目中并未明確提及殘余風(fēng)險(xiǎn)需要獲得管理者的批準(zhǔn)，因此A選項(xiàng)不正確。B選項(xiàng)“體系文件應(yīng)能夠顯示出所選擇的”沒有明確的錯(cuò)誤，可能是指體系文件應(yīng)能夠明確顯示出所選擇的安全措施或策略。C選項(xiàng)“所有的信息安全活動(dòng)都必須記錄”也是正確的，因?yàn)橛涗浶畔踩顒?dòng)有助于審計(jì)和跟蹤，確保信息安全。D選項(xiàng)“管理評(píng)審至少每年進(jìn)行一次”也是正確的，因?yàn)槎ㄆ诘墓芾碓u(píng)審有助于確保信息安全體系的持續(xù)有效性和改進(jìn)。因此，不正確的說法是A選項(xiàng)。34.密碼技術(shù)不適用于控制下列哪種風(fēng)險(xiǎn)（）。A.數(shù)據(jù)在傳輸中被竊取的風(fēng)險(xiǎn)B.數(shù)據(jù)在傳輸中被篡改的風(fēng)險(xiǎn)C.數(shù)據(jù)在傳輸中被損壞的風(fēng)險(xiǎn)D.數(shù)據(jù)被非授權(quán)訪問的風(fēng)險(xiǎn)答案：C解析：密碼技術(shù)是一種通過加密和解密來保護(hù)數(shù)據(jù)的方法，它可以防止數(shù)據(jù)在傳輸過程中被竊取或篡改，以及防止數(shù)據(jù)被非授權(quán)訪問。然而，密碼技術(shù)并不能保證數(shù)據(jù)在傳輸過程中不被損壞。因此，選項(xiàng)C“數(shù)據(jù)在傳輸中被損壞的風(fēng)險(xiǎn)”是不適用于密碼技術(shù)控制的。其他選項(xiàng)A、B和D都是可以通過密碼技術(shù)來控制的。35.系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A.恢復(fù)全部程序B.恢復(fù)網(wǎng)絡(luò)設(shè)置C.恢復(fù)所有數(shù)據(jù)D.恢復(fù)整個(gè)系統(tǒng)答案：D解析：系統(tǒng)備份與普通數(shù)據(jù)備份的主要區(qū)別在于，系統(tǒng)備份不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息。這意味著系統(tǒng)備份包括了系統(tǒng)所需的所有關(guān)鍵元素，以便在需要時(shí)能夠恢復(fù)整個(gè)系統(tǒng)。因此，選項(xiàng)D“恢復(fù)整個(gè)系統(tǒng)”是正確的答案。選項(xiàng)A“恢復(fù)全部程序”雖然涉及到了應(yīng)用程序，但不如“恢復(fù)整個(gè)系統(tǒng)”全面；選項(xiàng)B“恢復(fù)網(wǎng)絡(luò)設(shè)置”只是系統(tǒng)的一部分；選項(xiàng)C“恢復(fù)所有數(shù)據(jù)”雖然提到了數(shù)據(jù)，但沒有涵蓋到系統(tǒng)備份中包括的所有其他信息。36.信息安全管理體系的設(shè)計(jì)應(yīng)考慮（）。A.組織的戰(zhàn)略B.組織的目標(biāo)和需求C.組織的業(yè)務(wù)過程性質(zhì)D.以上全部答案：D解析：在設(shè)計(jì)信息安全管理體系時(shí)，需要考慮的因素應(yīng)當(dāng)與組織的整體戰(zhàn)略、目標(biāo)和需求密切相關(guān)。組織的戰(zhàn)略方向決定了信息安全管理體系的方向和目標(biāo)，組織的目標(biāo)和需求則直接影響了信息安全管理體系的具體實(shí)施和效果。此外，組織的業(yè)務(wù)過程性質(zhì)也會(huì)對(duì)信息安全管理體系的設(shè)計(jì)產(chǎn)生影響，因?yàn)椴煌臉I(yè)務(wù)過程可能需要不同的信息安全保障措施。因此，選項(xiàng)D“以上全部”是正確的選擇。37.在考慮網(wǎng)絡(luò)安全策略時(shí)，應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個(gè)方面提出相應(yīng)的對(duì)策？（）A.硬件和軟件B.技術(shù)和制度C.管理員和用戶D.物理安全和軟件缺陷答案：B解析：在考慮網(wǎng)絡(luò)安全策略時(shí)，應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從技術(shù)和制度兩個(gè)方面提出相應(yīng)的對(duì)策。技術(shù)和制度都是網(wǎng)絡(luò)安全的重要組成部分，技術(shù)方面包括防火墻、入侵檢測(cè)、加密技術(shù)等，制度方面包括安全策略、安全審計(jì)、安全事件響應(yīng)等。因此，選項(xiàng)B“技術(shù)和制度”是正確答案。選項(xiàng)A“硬件和軟件”只是構(gòu)成網(wǎng)絡(luò)安全的一部分，選項(xiàng)C“管理員和用戶”雖然與網(wǎng)絡(luò)安全有關(guān)，但不是網(wǎng)絡(luò)安全策略的主要方面，選項(xiàng)D“物理安全和軟件缺陷”也不全面，因此都不符合題意。38.為確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理，下列控制措施哪個(gè)不是必須的？（）A.建立信息安全事件管理的責(zé)任B.建立信息安全事件管理規(guī)程C.對(duì)信息安全事件進(jìn)行響應(yīng)D.在組織內(nèi)通報(bào)信息安全事件答案：D解析：為確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理，建立信息安全事件管理的責(zé)任、建立信息安全事件管理規(guī)程以及對(duì)信息安全事件進(jìn)行響應(yīng)都是必要的控制措施。然而，選項(xiàng)D“在組織內(nèi)通報(bào)信息安全事件”并不是必須的。雖然通報(bào)信息安全事件有助于提高員工對(duì)信息安全事件的意識(shí)，但它并不是確保一致和有效管理信息安全事件所必需的核心控制措施。因此，答案為D。39.數(shù)字簽名可以有效對(duì)付哪一類信息安全風(fēng)險(xiǎn)？（）A.非授權(quán)的閱讀B.盜竊C.非授權(quán)的復(fù)制D.篡改答案：D解析：數(shù)字簽名是一種用于驗(yàn)證信息完整性和來源的技術(shù)。它可以確保信息在傳輸過程中沒有被篡改，并且能夠確認(rèn)信息的發(fā)送者。因此，數(shù)字簽名可以有效對(duì)付信息安全風(fēng)險(xiǎn)中的篡改。選項(xiàng)A、B、C分別對(duì)應(yīng)非授權(quán)的閱讀、盜竊和非授權(quán)的復(fù)制，這些風(fēng)險(xiǎn)雖然也是信息安全中需要防范的，但數(shù)字簽名并不能直接解決這些問題。因此，正確答案是D，即篡改。40.下列那些事情是審核員不必要做的？（）A.對(duì)接觸到的客戶信息進(jìn)行保密B.客觀公正的給出審核結(jié)論C.關(guān)注客戶的喜好D.盡量使用客戶熟悉的表達(dá)方式答案：C解析：本題考察的是審核員不必要做的事情。審核員的核心職責(zé)是確保審核的公正性和準(zhǔn)確性，以及保護(hù)客戶的信息安全。A選項(xiàng)提到“對(duì)接觸到的客戶信息進(jìn)行保密”，這是審核員的基本職責(zé)之一，他們需要確?？蛻舻男畔踩乐剐畔⑿孤?，因此A選項(xiàng)是審核員需要做的。B選項(xiàng)提到“客觀公正的給出審核結(jié)論”，這也是審核員的核心職責(zé)，他們需要基于事實(shí)和數(shù)據(jù)，給出客觀、公正的審核結(jié)論，因此B選項(xiàng)是審核員需要做的。C選項(xiàng)提到“關(guān)注客戶的喜好”，這并不是審核員的核心職責(zé)。審核員的主要任務(wù)是進(jìn)行客觀、公正的審核，而不是關(guān)注客戶的個(gè)人喜好。因此，C選項(xiàng)是審核員不必要做的。D選項(xiàng)提到“盡量使用客戶熟悉的表達(dá)方式”，雖然這有助于與客戶更好地溝通，但并不是審核員的核心職責(zé)。審核員的主要任務(wù)是確保審核的準(zhǔn)確性和公正性，而不是關(guān)注如何與客戶溝通。因此，D選項(xiàng)也是審核員不必要做的。綜上所述，選項(xiàng)C和D都是審核員不必要做的事情，但題目只要求選擇一個(gè)，因此正確答案是C。41.在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）。A.要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時(shí)候開始，如何測(cè)量結(jié)果B.要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C.要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D.要做什么，有什么可用資源，由誰執(zhí)行，什么時(shí)候開始，如何評(píng)價(jià)結(jié)果答案：C解析：信息安全目標(biāo)的規(guī)劃過程中，組織需要確定：要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，以及如何評(píng)價(jià)結(jié)果。這個(gè)答案符合信息安全管理的常規(guī)要求，確保了對(duì)目標(biāo)、資源、責(zé)任、時(shí)間表和評(píng)估的全面考慮。其他選項(xiàng)要么信息不全（如A和D選項(xiàng)），要么用詞不準(zhǔn)確（如B選項(xiàng)中的“什么時(shí)候開始”與“什么時(shí)候完成”存在時(shí)間上的重復(fù)）。因此，C選項(xiàng)最為貼切。42.下列哪個(gè)措施不是用來防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A.物理入口控制B.開發(fā)、測(cè)試和運(yùn)行環(huán)境的分離C.物理安全邊界D.在安全區(qū)域工作答案：B解析：防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問的措施包括物理入口控制、物理安全邊界以及在安全區(qū)域工作等。而開發(fā)、測(cè)試和運(yùn)行環(huán)境的分離主要是為了提高軟件質(zhì)量和降低安全風(fēng)險(xiǎn)，確保不同環(huán)境之間的數(shù)據(jù)隔離，而不是直接用于防止未授權(quán)訪問。因此，選項(xiàng)B不是用來防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問的措施。43.容量管理的對(duì)象包括（）。A.信息系統(tǒng)內(nèi)存B.辦公室空間和基礎(chǔ)設(shè)施C.人力資源D.以上全部答案：D解析：容量管理是對(duì)組織或系統(tǒng)所需資源（如內(nèi)存、辦公室空間、基礎(chǔ)設(shè)施和人力資源）的總量進(jìn)行規(guī)劃、控制和優(yōu)化的過程。因此，容量管理的對(duì)象包括信息系統(tǒng)內(nèi)存、辦公室空間和基礎(chǔ)設(shè)施以及人力資源，即選項(xiàng)D“以上全部”是正確的。44.信息分類方案的目的是（）。A.劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B.劃分信息載體所屬的職能以便于明確管理責(zé)任C.劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D.劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析答案：C解析：信息分類方案的目的是劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則。選項(xiàng)A、B、D雖然都是信息分類的一部分，但不是信息分類方案的主要目的。選項(xiàng)A是信息載體介質(zhì)的分類，選項(xiàng)B是信息載體職能的分類，選項(xiàng)D是信息數(shù)據(jù)類型的分類，這些分類雖然有助于信息的存儲(chǔ)、處理和管理，但不是信息分類方案的核心目的。因此，正確答案是C。45.以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）。A.認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B.認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定C.監(jiān)督審核可以與其他管理體系的審核相結(jié)合D.認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督答案：B解析：根據(jù)給出的信息，題目詢問關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求的錯(cuò)誤表述。選項(xiàng)A表示認(rèn)證機(jī)構(gòu)能夠針對(duì)客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性，這符合監(jiān)督的一般要求。選項(xiàng)C提到監(jiān)督審核可以與其他管理體系的審核相結(jié)合，也是合理的監(jiān)督策略。選項(xiàng)D指出認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書的使用進(jìn)行監(jiān)督，這也是認(rèn)證機(jī)構(gòu)的基本職責(zé)。而選項(xiàng)B表示認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來制定，這與監(jiān)督的定義和實(shí)際操作不符，因?yàn)楸O(jiān)督方案通常是由認(rèn)證機(jī)構(gòu)獨(dú)立制定，而不是與客戶共同制定。因此，選項(xiàng)B表述錯(cuò)誤，是正確答案。46.相關(guān)方的要求可以包括（）。A.標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B.法律、標(biāo)準(zhǔn)要求和合同義務(wù)C.法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)D.法律、法規(guī)要求和合同義務(wù)答案：D解析：根據(jù)題干描述，題目詢問相關(guān)方的要求可能包括哪些。題目給出的選項(xiàng)中，A、B、C三個(gè)選項(xiàng)都包含了“標(biāo)準(zhǔn)”這一要求，但在通常的法律語境下，“標(biāo)準(zhǔn)”并不等同于“法規(guī)”，因此A、B、C三個(gè)選項(xiàng)都存在表述不準(zhǔn)確的問題。而D選項(xiàng)“法律、法規(guī)要求和合同義務(wù)”則準(zhǔn)確地涵蓋了相關(guān)方可能提出的要求，其中“法律”和“法規(guī)”屬于法律規(guī)范的范疇，而“合同義務(wù)”則是雙方約定的法律義務(wù)。因此，正確答案是D選項(xiàng)。47.下列哪項(xiàng)不是監(jiān)督審核的目的？（）A.驗(yàn)證認(rèn)證通過的ISMS是否得以持續(xù)實(shí)現(xiàn)B.驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化C.確認(rèn)是否持續(xù)符合認(rèn)證要求D.做出是否換發(fā)證書的決定答案：D解析：監(jiān)督審核的目的是驗(yàn)證認(rèn)證通過的ISMS是否得以持續(xù)實(shí)現(xiàn)，驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化，以及確認(rèn)是否持續(xù)符合認(rèn)證要求。而做出是否換發(fā)證書的決定并不是監(jiān)督審核的目的，而是認(rèn)證機(jī)構(gòu)根據(jù)審核結(jié)果和組織的持續(xù)符合性來決定的。因此，選項(xiàng)D不是監(jiān)督審核的目的。48.依據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下說法正確的是（）。A.對(duì)于進(jìn)入組織的設(shè)備和資產(chǎn)須驗(yàn)證其是否符合安全策略，對(duì)于離開組織的設(shè)備設(shè)施則不須驗(yàn)證B.對(duì)于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證其合格證，對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C.對(duì)于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證相關(guān)授權(quán)信息D.對(duì)于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗(yàn)證攜帶者身份信息，可替代對(duì)設(shè)備設(shè)施的驗(yàn)證答案：C解析：首先，我們需要了解GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中對(duì)于設(shè)備和資產(chǎn)的管理要求。該標(biāo)準(zhǔn)強(qiáng)調(diào)了在組織內(nèi)部和外部的設(shè)備與資產(chǎn)管理中的安全策略。針對(duì)A選項(xiàng)，它提到“對(duì)于進(jìn)入組織的設(shè)備和資產(chǎn)須驗(yàn)證其是否符合安全策略，對(duì)于離開組織的設(shè)備設(shè)施則不須驗(yàn)證”。這個(gè)說法與標(biāo)準(zhǔn)中對(duì)于設(shè)備與資產(chǎn)在組織內(nèi)外都應(yīng)受到驗(yàn)證的原則不符，因此A選項(xiàng)不正確。對(duì)于B選項(xiàng)，它說“對(duì)于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證其合格證，對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證”。這個(gè)描述同樣與標(biāo)準(zhǔn)中的原則不符，因?yàn)闊o論是進(jìn)入還是離開組織的設(shè)備與資產(chǎn)，都應(yīng)受到驗(yàn)證。所以B選項(xiàng)也是不正確的。再來看D選項(xiàng)，它提出“對(duì)于進(jìn)入和離開組織的設(shè)備和資產(chǎn)，驗(yàn)證攜帶者身份信息，可替代對(duì)設(shè)備設(shè)施的驗(yàn)證”。雖然驗(yàn)證攜帶者身份信息是一種安全措施，但它并不能完全替代對(duì)設(shè)備設(shè)施的驗(yàn)證。因此，D選項(xiàng)也不符合標(biāo)準(zhǔn)的原則。最后，C選項(xiàng)提到“對(duì)于離開組織的設(shè)備和資產(chǎn)須驗(yàn)證相關(guān)授權(quán)信息”。這完全符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中關(guān)于設(shè)備與資產(chǎn)管理的要求，因?yàn)闊o論設(shè)備是進(jìn)入還是離開組織，都應(yīng)受到適當(dāng)?shù)尿?yàn)證，以確保其符合安全策略。因此，C選項(xiàng)是正確的。49.信息安全管理體系是用來確定（）。A.組織的管理效率B.產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C.信息安全管理體系滿足審核準(zhǔn)則的程度D.信息安全手冊(cè)與標(biāo)準(zhǔn)的符合程度答案：C解析：信息安全管理體系是用來確定信息安全管理體系滿足審核準(zhǔn)則的程度。信息安全管理體系是一個(gè)組織為了管理信息安全而建立的一套體系，其目標(biāo)是確保組織的信息資產(chǎn)得到充分的保護(hù)，防止信息泄露、丟失或被未經(jīng)授權(quán)的人員訪問。信息安全管理體系的審核準(zhǔn)則通常包括一系列的標(biāo)準(zhǔn)和規(guī)范，如ISO27001等，這些準(zhǔn)則用于評(píng)估組織的信息安全管理體系是否達(dá)到了預(yù)期的要求。因此，信息安全管理體系是用來確定信息安全管理體系滿足審核準(zhǔn)則的程度。其他選項(xiàng)A、B、D均與信息安全管理體系的核心目標(biāo)不符。50.應(yīng)定期評(píng)審信息系統(tǒng)與組織的（）的符合性。A.信息安全目標(biāo)和標(biāo)準(zhǔn)B.信息安全方針和策略C.信息安全策略和制度D.信息安全策略和標(biāo)準(zhǔn)答案：D解析：根據(jù)題目，我們需要確定定期評(píng)審信息系統(tǒng)與組織的哪一項(xiàng)的符合性。選項(xiàng)A提到的是信息安全目標(biāo)和標(biāo)準(zhǔn)，但題目中并沒有明確提到“目標(biāo)”，因此A選項(xiàng)不太符合題意。選項(xiàng)B提到的是信息安全方針和策略，雖然方針和策略很重要，但題目中并沒有特別強(qiáng)調(diào)“方針”，因此B選項(xiàng)也不是最佳答案。選項(xiàng)C提到的是信息安全策略和制度，雖然策略和制度都很重要，但題目中并沒有特別強(qiáng)調(diào)“制度”，因此C選項(xiàng)也不是最佳答案。而選項(xiàng)D提到的是信息安全策略和標(biāo)準(zhǔn)，這與題目中提到的“符合性”和“信息系統(tǒng)”都有直接的關(guān)系，因此D選項(xiàng)是最符合題意的答案。因此，正確答案是D。多選題（共20題，共20分）51.最高管理層應(yīng)通過（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A.確保將信息安全管理體系要求整合到組織過程中B.確保信息安全管理體系所需資源可用C.確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)D.確保信息安全管理體系達(dá)到預(yù)期結(jié)果答案：ABD解析：根據(jù)題目，最高管理層應(yīng)證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。選項(xiàng)A提到“確保將信息安全管理體系要求整合到組織過程中”，這體現(xiàn)了最高管理層對(duì)信息安全管理體系的領(lǐng)導(dǎo)和整合；選項(xiàng)B提到“確保信息安全管理體系所需資源可用”，這同樣體現(xiàn)了最高管理層對(duì)信息安全管理體系的支持和資源保障；選項(xiàng)D提到“確保信息安全管理體系達(dá)到預(yù)期結(jié)果”，這也符合最高管理層對(duì)信息安全管理體系的承諾和期望。因此，選項(xiàng)A、B和D都是正確的。選項(xiàng)C“確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)”雖然與信息安全管理體系的有效性有關(guān)，但并未直接體現(xiàn)最高管理層的領(lǐng)導(dǎo)和承諾，因此不是最佳答案。52.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12.3.1條款要求（）。A.設(shè)定備份策略B.定期測(cè)試備份介質(zhì)C.定期備份D.定期測(cè)試信息和軟件答案：ABD解析：根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中A12.3.1條款，要求組織“應(yīng)建立、實(shí)施和維護(hù)一個(gè)備份和恢復(fù)策略，包括定期測(cè)試備份介質(zhì)、恢復(fù)過程和備份數(shù)據(jù)的有效性”。其中，A選項(xiàng)“設(shè)定備份策略”是建立備份和恢復(fù)策略的一部分，B選項(xiàng)“定期測(cè)試備份介質(zhì)”是確保備份介質(zhì)的有效性，D選項(xiàng)“定期測(cè)試信息和軟件”與“定期測(cè)試備份介質(zhì)”有相似之處，可能指的是定期測(cè)試備份的數(shù)據(jù)或軟件，以確保其可用性和完整性。C選項(xiàng)“定期備份”雖然與備份策略相關(guān)，但并未明確在A12.3.1條款中提及。因此，正確答案為A、B和D。53.不符合項(xiàng)報(bào)告應(yīng)包括（）。A.不符合事實(shí)的描述B.不符合的標(biāo)準(zhǔn)條款及內(nèi)容C.不符合的原因D.不符合的性質(zhì)答案：ABD解析：不符合項(xiàng)報(bào)告通常用于描述和記錄審核或檢查過程中發(fā)現(xiàn)的不符合標(biāo)準(zhǔn)或規(guī)定的情況。在描述不符合項(xiàng)時(shí)，報(bào)告應(yīng)包含以下內(nèi)容：A不符合事實(shí)的描述：這是不符合項(xiàng)的核心內(nèi)容，描述了實(shí)際發(fā)現(xiàn)的問題或情況。B不符合的標(biāo)準(zhǔn)條款及內(nèi)容：這是對(duì)于不符合項(xiàng)所依據(jù)的標(biāo)準(zhǔn)或規(guī)定的引用，明確指出是哪些條款或內(nèi)容不符合。D不符合的性質(zhì)：這是對(duì)不符合項(xiàng)性質(zhì)的描述，例如嚴(yán)重性、偶然性或系統(tǒng)性等。而C不符合的原因通常不是不符合項(xiàng)報(bào)告的核心內(nèi)容，原因的分析和解釋可以在報(bào)告的其他部分進(jìn)行。因此，C選項(xiàng)不符合題目要求。54.某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）。A.行車監(jiān)控系統(tǒng)B.行車路線信息C.押運(yùn)人員個(gè)人信息D.押運(yùn)人員用槍支答案：ABCD解析：根據(jù)題目描述，某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，需要列出資產(chǎn)清單。對(duì)于金融資產(chǎn)武裝押運(yùn)服務(wù)公司來說，其資產(chǎn)清單應(yīng)包括與金融資產(chǎn)安全、押運(yùn)相關(guān)的信息。A選項(xiàng)“行車監(jiān)控系統(tǒng)”是押運(yùn)過程中用于監(jiān)控行車狀態(tài)的系統(tǒng)，對(duì)于保障金融資產(chǎn)安全至關(guān)重要，因此應(yīng)列入資產(chǎn)清單。B選項(xiàng)“行車路線信息”是押運(yùn)過程中需要保密的關(guān)鍵信息，一旦泄露可能導(dǎo)致金融資產(chǎn)的安全受到威脅，因此也應(yīng)列入資產(chǎn)清單。C選項(xiàng)“押運(yùn)人員個(gè)人信息”是押運(yùn)人員的個(gè)人隱私信息，對(duì)于保障押運(yùn)人員的權(quán)益和金融資產(chǎn)的安全都具有重要意義，因此也應(yīng)列入資產(chǎn)清單。D選項(xiàng)“押運(yùn)人員用槍支”是押運(yùn)人員執(zhí)行任務(wù)的必備工具，對(duì)于保障金融資產(chǎn)安全至關(guān)重要，因此也應(yīng)列入資產(chǎn)清單。綜上所述，A、B、C、D選項(xiàng)都應(yīng)列入資產(chǎn)清單中。55.常規(guī)控制圖主要用于區(qū)分（）。A.過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B.過程能力的大小C.過程加工的不合格品率D.過程中存在偶然波動(dòng)還是異常波動(dòng)答案：ABCD解析：常規(guī)控制圖是一種用于統(tǒng)計(jì)過程控制的工具，主要用于監(jiān)控生產(chǎn)過程中的質(zhì)量特性。它可以用來區(qū)分過程的穩(wěn)態(tài)和非穩(wěn)態(tài)，以及過程能力的大小。此外，控制圖還可以用來監(jiān)控不合格品率，并區(qū)分過程中的偶然波動(dòng)和異常波動(dòng)。因此，選項(xiàng)A、B、C和D都是正確的。56.對(duì)于審核發(fā)現(xiàn)（）。A.審核組應(yīng)根據(jù)需要，在審核的適當(dāng)階段共同評(píng)審審核發(fā)現(xiàn)B.根據(jù)審核計(jì)劃和檢查表要求只需記錄每個(gè)不符合審核發(fā)現(xiàn)的審核證據(jù)C.應(yīng)與受審核方一起審不符合的審核發(fā)現(xiàn)，以確認(rèn)審核證據(jù)的準(zhǔn)確性，并得到受審核方的理解D.包括正面的和負(fù)面的發(fā)現(xiàn)答案：ACD解析：根據(jù)審核的常規(guī)流程，審核組在審核過程中，確實(shí)需要根據(jù)需要，在適當(dāng)?shù)碾A段共同評(píng)審審核發(fā)現(xiàn)，以確保審核的準(zhǔn)確性和全面性。同時(shí)，對(duì)于不符合審核要求的發(fā)現(xiàn)，審核組應(yīng)與受審核方一起進(jìn)行審查，以確認(rèn)審核證據(jù)的準(zhǔn)確性，并確保受審核方對(duì)審核結(jié)果的理解。此外，審核發(fā)現(xiàn)應(yīng)包括正面的和負(fù)面的發(fā)現(xiàn)，以全面反映被審核方的實(shí)際情況。因此，選項(xiàng)A、C和D都是正確的。選項(xiàng)B只提到了記錄審核證據(jù)，但沒有涉及審核發(fā)現(xiàn)的評(píng)審和與受審核方的共同審查，因此是不全面的。57.在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮（）。A.基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)B.為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C.使用的安全區(qū)域宜上鎖并定期予以評(píng)審D.經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)答案：AB解析：在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮兩個(gè)原則。首先，基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)，這樣可以確保員工了解安全區(qū)域的存在，并避免不必要的干擾或誤操作。其次，為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作，這樣可以確保安全區(qū)域內(nèi)的活動(dòng)受到適當(dāng)?shù)谋O(jiān)督和管理，減少潛在的安全風(fēng)險(xiǎn)。因此，選項(xiàng)A和B是正確的。選項(xiàng)C“使用的安全區(qū)域宜上鎖并定期予以評(píng)審”雖然也是安全區(qū)域工作規(guī)程中可能考慮的因素，但不是題干中特別強(qiáng)調(diào)的內(nèi)容，因此不是最佳答案。選項(xiàng)D“經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)”與安全區(qū)域工作規(guī)程沒有直接關(guān)系，因此也不是正確答案。58.為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A.分發(fā)，訪問，檢索和使用B.存儲(chǔ)和保護(hù)，包括保持可讀性C.控制變更(例如版本控制)D.保留和處理答案：ABCD解析：文件化信息的管理是組織日常運(yùn)營中的重要環(huán)節(jié)，它涉及到信息的分發(fā)、訪問、檢索和使用，存儲(chǔ)和保護(hù)，控制變更以及保留和處理等多個(gè)方面。這些活動(dòng)對(duì)于確保文件化信息的完整性、可用性和安全性至關(guān)重要。因此，選項(xiàng)A、B、C和D都是組織在控制文件化信息時(shí)可能需要強(qiáng)調(diào)的活動(dòng)。59.關(guān)于按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）。A.網(wǎng)絡(luò)關(guān)鍵設(shè)備B.網(wǎng)絡(luò)安全專用產(chǎn)品C.銷售前D.投入運(yùn)行后答案：ABC解析：根據(jù)題目中的描述，我們需要找出符合“按照相關(guān)國家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證”的選項(xiàng)。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由有關(guān)部門、機(jī)構(gòu)進(jìn)行安全合格認(rèn)證。因此，選項(xiàng)A網(wǎng)絡(luò)關(guān)鍵設(shè)備、B網(wǎng)絡(luò)安全專用產(chǎn)品是正確的。另外，這些設(shè)備在銷售前需要進(jìn)行安全合格認(rèn)證，因此選項(xiàng)C銷售前也是正確的。至于選項(xiàng)D投入運(yùn)行后，題目中并沒有明確提到是強(qiáng)制要求，因此不正確。60.信息安全管理體系審核應(yīng)樽循的原則包括（）。A.誠實(shí)守信B.保密性C.基于風(fēng)險(xiǎn)D.基于事實(shí)的決策方法答案：ABC解析：信息安全管理體系審核的原則包括誠實(shí)守信、保密性和基于風(fēng)險(xiǎn)。誠實(shí)守信是審核過程中應(yīng)遵守的基本原則，確保審核的公正性和可信度；保密性是保護(hù)被審核組織的信息安全，防止信息泄露；基于風(fēng)險(xiǎn)意味著審核應(yīng)基于風(fēng)險(xiǎn)進(jìn)行，關(guān)注高風(fēng)險(xiǎn)領(lǐng)域和環(huán)節(jié)，確保審核的針對(duì)性和有效性。基于事實(shí)的決策方法雖然與信息安全管理體系審核有關(guān)，但不是審核應(yīng)樽循的原則，因此不應(yīng)選入。因此，正確答案為ABC。61.關(guān)于個(gè)人信息安全的基本原則，以下正確的是（）。A.目的明確原則B.最少夠用原則C.同意和選擇原則D.公開透明原則答案：ABCD解析：個(gè)人信息安全的基本原則包括目的明確原則、最少夠用原則、同意和選擇原則以及公開透明原則。這些原則共同構(gòu)成了保護(hù)個(gè)人信息安全的基礎(chǔ)，確保個(gè)人信息的合法、正當(dāng)、必要使用，并保障個(gè)人的知情權(quán)和選擇權(quán)。因此，選項(xiàng)A、B、C和D都是正確的。62.下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A.具有固定的辦公場(chǎng)所和必備設(shè)施B.注冊(cè)資本不得少于人民幣600萬元C.具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D.具有符合認(rèn)證認(rèn)可要求的管理制度答案：ACD解析：《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件包括具有固定的辦公場(chǎng)所和必備設(shè)施（選項(xiàng)A），具有符合認(rèn)證認(rèn)可要求的管理制度（選項(xiàng)D），以及具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員（選項(xiàng)C）。選項(xiàng)B“注冊(cè)資本不得少于人民幣600萬元”并非《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件，因此不選。因此，正確答案為ACD。63.組織在風(fēng)險(xiǎn)處置過程中所選的控制措施需（）。A.將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移C.在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)D.規(guī)避風(fēng)險(xiǎn)答案：BCD解析：在風(fēng)險(xiǎn)處置過程中，組織需要選擇適當(dāng)?shù)目刂拼胧﹣響?yīng)對(duì)風(fēng)險(xiǎn)。這些控制措施可以是降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)或規(guī)避風(fēng)險(xiǎn)。對(duì)于A選項(xiàng)“將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別”，這過于絕對(duì)，因?yàn)橛行╋L(fēng)險(xiǎn)可能無法完全降低，或者降低風(fēng)險(xiǎn)的成本可能過高。對(duì)于B選項(xiàng)“可以將風(fēng)險(xiǎn)轉(zhuǎn)移”，這是風(fēng)險(xiǎn)處置的一種有效方式，例如通過購買保險(xiǎn)來轉(zhuǎn)移財(cái)務(wù)風(fēng)險(xiǎn)。對(duì)于C選項(xiàng)“在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)”，這是組織在評(píng)估風(fēng)險(xiǎn)后，根據(jù)自身的承受能力和策略，有意識(shí)地接受某些風(fēng)險(xiǎn)。對(duì)于D選項(xiàng)“規(guī)避風(fēng)險(xiǎn)”，這也是風(fēng)險(xiǎn)處置的一種方式，特別是在風(fēng)險(xiǎn)過大或無法有效管理的情況下。因此，選項(xiàng)B、C和D都是正確的。64.關(guān)于審核委托方，以下說法正確的（）。A.認(rèn)證審核的委托方即受審核方B.受審核方是第一方審核的委托方C.受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D.組織對(duì)其外包服務(wù)提供方的審核是第二方審核答案：BCD解析：根據(jù)題目要求，我們需要找出關(guān)于審核委托方的正確說法。首先，選項(xiàng)A"認(rèn)證審核的委托方即受審核方"這一說法并不準(zhǔn)確。在審核中，委托方通常是指要求進(jìn)行審核的一方，而受審核方是被審核的一方。認(rèn)證審核的委托方通常是由第三方認(rèn)證機(jī)構(gòu)來執(zhí)行，而不是受審核方本身。因此，A選項(xiàng)錯(cuò)誤。接著，選項(xiàng)B"受審核方是第一方審核的委托方"是正確的。第一方審核通常是指組織內(nèi)部進(jìn)行的審核，這種情況下，受審核方通常是審核的對(duì)象，同時(shí)也是審核的委托方，因?yàn)樗麄冏约阂髮?duì)自己進(jìn)行審核。然后，選項(xiàng)C"受審核方的行政上級(jí)作為委托方時(shí)是第二方審核"也是正確的。第二方審核通常是指客戶或組織的上級(jí)對(duì)供應(yīng)商或下級(jí)進(jìn)行的審核。在這種情況下，受審核方的行政上級(jí)作為委托方，對(duì)受審核方進(jìn)行審核。最后，選項(xiàng)D"組織對(duì)其外包服務(wù)提供方的審核是第二方審核"也是正確的。組織對(duì)其外包服務(wù)提供方的審核通常是由組織作為委托方，對(duì)外包服務(wù)提供方進(jìn)行審核，以確保外包服務(wù)的質(zhì)量、安全等要求得到滿足。綜上所述，正確的選項(xiàng)是B、C和D。65.投訴處理過程應(yīng)包括（）。A.投訴受理、跟蹤和告知B.投訴初發(fā)評(píng)事投訴調(diào)查C.投訴響應(yīng)溝通決定D.投訴終止答案：ABCD解析：在處理投訴的過程中，確保全面和有效的處理是關(guān)鍵。投訴受理是整個(gè)過程的第一步，確保投訴被正式接收并登記。接著，對(duì)投訴進(jìn)行調(diào)查，了解事件的來龍去脈，確保處理是基于準(zhǔn)確的信息。在調(diào)查過程中，與投訴者進(jìn)行溝通，了解他們的訴求和期望，并作出相應(yīng)的決定。最后，告知投訴者處理結(jié)果，確保他們了解整個(gè)處理過程。因此，投訴處理過程應(yīng)包括投訴受理、跟蹤和告知，投訴初發(fā)評(píng)事投訴調(diào)查，投訴響應(yīng)溝通決定，以及投訴終止。66.信息安全管理中，以下屬于“按需知悉（need-to-know）”原則的是（）。A.根據(jù)工作需要僅獲得最小的知悉權(quán)限B.工作人員僅需要滿足工作任務(wù)所需要的信息C.工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍。D.組織業(yè)務(wù)范圍是可訪問的信息答案：ABC解析：“按需知悉（need-to-know）”原則指的是在信息安全管理中，員工或用戶僅應(yīng)獲得完成工作所需的最小、最必要的信息。A選項(xiàng)“根據(jù)工作需要僅獲得最小的知悉權(quán)限”符合按需知悉原則，因?yàn)樗鼜?qiáng)調(diào)了僅獲取完成工作所需的最小權(quán)限。B選項(xiàng)“工作人員僅需要滿足工作任務(wù)所需要的信息”也符合按需知悉原則，因?yàn)樗赋鰡T工只需要知道完成工作任務(wù)所需的信息。C選項(xiàng)“工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍”同樣符合按需知悉原則，因?yàn)樗鞔_了在必要時(shí)才擴(kuò)大知悉范圍。D選項(xiàng)“組織業(yè)務(wù)范圍是可訪問的信息”并不直接對(duì)應(yīng)按需知悉原則，因?yàn)樗鼪]有明確指出知悉權(quán)限或信息獲取的最小化。因此，正確答案為A、B、C。67.某游戲開發(fā)公司按客戶的設(shè)計(jì)資料構(gòu)建游戲場(chǎng)景和任務(wù)的基礎(chǔ)要素模塊，為方便各項(xiàng)目組討論，公司創(chuàng)建了一個(gè)sharefolder，在此文件夾中又為對(duì)應(yīng)不同客戶的項(xiàng)目組創(chuàng)建了項(xiàng)目數(shù)據(jù)子文件夾以下做法正確的是（）。A.各項(xiàng)目人員訪問該sharefolder需要得到授權(quán)B.獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C.IT人員與各項(xiàng)目負(fù)責(zé)人共同定期評(píng)審sharefolder訪問權(quán)D.IT人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動(dòng)是容量管理，游戲開發(fā)人員不參與答案：AC解析：對(duì)于選項(xiàng)A，考慮到sharefolder中存儲(chǔ)的是公司為客戶構(gòu)建的游戲場(chǎng)景和任務(wù)的基礎(chǔ)要素模塊，這些數(shù)據(jù)可能包含公司的商業(yè)機(jī)密或客戶的敏感信息。因此，為了確保數(shù)據(jù)的安全性和保密性，各項(xiàng)目人員訪問該sharefolder需要得到授權(quán)，這是合理的。對(duì)于選項(xiàng)B，雖然獲得sharefolder訪問權(quán)者可以訪問該文件夾，但題目中明確指出sharefolder下還有項(xiàng)目數(shù)據(jù)子文件夾，這些子文件夾可能是對(duì)應(yīng)不同客戶的項(xiàng)目數(shù)據(jù)，不是所有獲得sharefolder訪問權(quán)者都有權(quán)限訪問所有子文件夾。因此，該選項(xiàng)是不準(zhǔn)確的。對(duì)于選項(xiàng)C，由于sharefolder中存儲(chǔ)的數(shù)據(jù)對(duì)于游戲開發(fā)公司非常重要，IT人員與各項(xiàng)目負(fù)責(zé)人共同定期評(píng)審sharefolder訪問權(quán)可以確保只有經(jīng)過授權(quán)的人員能夠訪問，從而保障數(shù)據(jù)的安全性。對(duì)于選項(xiàng)D，雖然IT人員可能會(huì)進(jìn)行容量管理活動(dòng)，如不定期刪除sharefolder數(shù)據(jù)以釋放容量，但這與游戲開發(fā)人員是否參與沒有直接關(guān)系。刪除數(shù)據(jù)是為了釋放容量，確保系統(tǒng)正常運(yùn)行，但這并不意味著游戲開發(fā)人員不參與。因此，該選項(xiàng)的表述是不準(zhǔn)確的。68.信息安全管理體系范圍和邊界的確定依據(jù)包括（）。A.業(yè)務(wù)B.組織C.物理D.資產(chǎn)和技術(shù)答案：ABCD解析：信息安全管理體系（ISMS）的范圍和邊界的確定依據(jù)通常涉及多個(gè)方面。業(yè)務(wù)方面，需要考慮組織在信息安全方面的需求和期望，以及業(yè)務(wù)活動(dòng)對(duì)信息安全的影響。組織方面，需要考慮組織結(jié)構(gòu)、職責(zé)劃分、管理策略等因素，以確定信息安全管理體系的適用范圍。物理方面，需要考慮組織的物理環(huán)境，如辦公地點(diǎn)、數(shù)據(jù)中心、網(wǎng)絡(luò)設(shè)施等，以確定這些物理環(huán)境對(duì)信息安全管理體系的影響。資產(chǎn)和技術(shù)方面，需要考慮組織的信息資產(chǎn)和技術(shù)系統(tǒng)，如硬件設(shè)備、軟件應(yīng)用、網(wǎng)絡(luò)架構(gòu)等，以確定這些資產(chǎn)和技術(shù)對(duì)信息安全管理體系的要求。因此，信息安全管理體系范圍和邊界的確定依據(jù)包括業(yè)務(wù)、組織、物理、資產(chǎn)和技術(shù)，所以答案為ABCD。69.以下屬于信息安全管理體系審核的證據(jù)是（）。A.信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B.信息系統(tǒng)的閾值列表C.數(shù)據(jù)恢復(fù)測(cè)試的日志D.信息系統(tǒng)漏洞測(cè)試分析報(bào)告答案：ABCD解析：信息安全管理體系審核的證據(jù)應(yīng)當(dāng)能夠證明信息安全管理體系的有效性和符合