本資料由小槳備考整理，僅供學習參考，非官方發(fā)布2021年05月信息安全管理體系基礎答案及解析單選題（共40題，共80分）1.信息安全風險評估的基本要素包括（）。A.資產(chǎn)、可能性、影響B(tài).資產(chǎn)、脆弱性、威脅C.可能性、資產(chǎn)、脆弱性D.脆弱性、威脅、后果答案：B解析：信息安全風險評估的基本要素包括資產(chǎn)、脆弱性和威脅。資產(chǎn)是指組織或系統(tǒng)中需要保護的信息資源，脆弱性是指資產(chǎn)易受攻擊或威脅的程度，威脅是指可能引發(fā)安全事件的外部因素。因此，選項B“資產(chǎn)、脆弱性、威脅”是正確的。選項A中的“可能性”并不是信息安全風險評估的基本要素，選項C和D中的排列順序也不正確。2.在ISO組織框架中，負貴ISO/IEC27000系列標準編制工作的技術委員會是（）。A.ISO/IECJTC1SC27B.ISO/IECJTC1SC40C.ISO/IECT27D.ISO/IECTC40答案：A解析：ISO/IEC27000系列標準是由ISO/IECJTC1SC27負責編制的，所以選項A是正確的。而選項B、C、D分別是錯誤的技術委員會名稱。因此，答案為A。3.當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行（）以確保對組織的運行和安全沒有負面影響。A.隔離和遷移B.評審和測試C.評審和隔離D.驗證和確認答案：B解析：當操作系統(tǒng)發(fā)生變更時，為了確保對組織的運行和安全沒有負面影響，應該對業(yè)務的關鍵應用進行評審和測試。評審是為了評估變更對應用的影響，測試是為了驗證變更后的應用是否滿足要求，并且沒有發(fā)現(xiàn)新的問題。因此，選項B“評審和測試”是正確答案。選項A“隔離和遷移”通常用于將關鍵應用與系統(tǒng)變更隔離開來，以便進行單獨的測試，但這并不是變更后確保對組織的運行和安全沒有負面影響的關鍵步驟。選項C“評審和隔離”和選項D“驗證和確認”也不符合題意。4.下列關于DMZ區(qū)的說法錯誤的是（）。A.DMZ可以訪問內(nèi)部網(wǎng)絡B.通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等C.內(nèi)部網(wǎng)絡可以無限制地訪問外部網(wǎng)絡以及DMZD.有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作答案：A解析：A選項表示“DMZ可以訪問內(nèi)部網(wǎng)絡”，這是錯誤的。DMZ（DemilitarizedZone，非軍事化區(qū)）通常被設置為一個位于內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的隔離區(qū)域，它包含允許來自互聯(lián)網(wǎng)的通信可進行的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等。然而，DMZ通常不直接訪問內(nèi)部網(wǎng)絡，以防止外部攻擊者利用DMZ的設備訪問內(nèi)部網(wǎng)絡。B選項表示“通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進行的設備”，這是正確的。DMZ的主要目的是允許外部網(wǎng)絡訪問某些設備，同時保護內(nèi)部網(wǎng)絡不受外部攻擊。C選項表示“內(nèi)部網(wǎng)絡可以無限制地訪問外部網(wǎng)絡以及DMZ”，這也是錯誤的。通常，內(nèi)部網(wǎng)絡對外部網(wǎng)絡和DMZ的訪問是受限制的，以防止內(nèi)部網(wǎng)絡被外部攻擊者利用。D選項表示“有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作”，這是正確的。NAT（NetworkAddressTranslation，網(wǎng)絡地址轉(zhuǎn)換）是一種將私有網(wǎng)絡地址轉(zhuǎn)換為公共網(wǎng)絡地址的技術，用于在多個設備之間共享一個公共IP地址。在有兩個DMZ的防火墻環(huán)境中，主防火墻可能會采用NAT方式工作，以實現(xiàn)地址轉(zhuǎn)換和訪問控制。因此，A選項“DMZ可以訪問內(nèi)部網(wǎng)絡”是錯誤的。5.信息安全管理中，關于脆弱性，以下說法正確的是（）。A.組織使用的開源軟件不須考慮其技術脆弱性B.軟件開發(fā)人員為方便維護留的后門是脆弱性的一種C.識別資產(chǎn)脆弱性時應考慮資產(chǎn)的固有特性，不包括當前安全控制措施D.使信息系統(tǒng)與網(wǎng)絡物理隔離可杜絕其脆弱性被威脅利用的機會答案：B解析：在信息安全管理中，關于脆弱性的理解是：A選項提到“組織使用的開源軟件不須考慮其技術脆弱性”，這是錯誤的，因為開源軟件同樣可能存在技術脆弱性，需要對其進行評估和管理。C選項“識別資產(chǎn)脆弱性時應考慮資產(chǎn)的固有特性，不包括當前安全控制措施”也是錯誤的，因為識別資產(chǎn)脆弱性時，不僅需要考慮資產(chǎn)的固有特性，還需要考慮當前的安全控制措施，因為安全控制措施可以降低脆弱性。D選項“使信息系統(tǒng)與網(wǎng)絡物理隔離可杜絕其脆弱性被威脅利用的機會”也是錯誤的，因為即使信息系統(tǒng)與網(wǎng)絡物理隔離，仍然可能存在其他途徑的威脅，因此不能杜絕其脆弱性被威脅利用的機會。因此，正確答案是B選項，即“軟件開發(fā)人員為方便維護留的后門是脆弱性的一種”。6.公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么下列選項中哪一項不是針對該問題的糾正措施？（）A.要求員工立即改正B.對員工進行優(yōu)質(zhì)口令設置方法的培訓C.通過域鮑行強制管理D.對所有員工進行意識教育答案：A解析：根據(jù)題目描述，公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，而公司文件規(guī)定員工計算機密碼必須6位及以上。針對這一問題，我們需要找到一種糾正措施。A選項要求員工立即改正，這更像是一種應急措施，而不是糾正措施。因為即使員工立即改正，如果他們沒有意識到問題的嚴重性，很可能再次犯同樣的錯誤。B選項對員工進行優(yōu)質(zhì)口令設置方法的培訓，這是一種有效的糾正措施。通過培訓，員工可以學習到如何設置符合規(guī)定的密碼，從而避免類似問題的再次發(fā)生。C選項通過域鮋行強制管理，也是一種有效的糾正措施。通過域管理，可以強制要求所有員工設置符合規(guī)定的密碼，從而確保公司文件的規(guī)定得到執(zhí)行。D選項對所有員工進行意識教育，同樣是一種有效的糾正措施。通過意識教育，員工可以認識到設置符合規(guī)定的密碼的重要性，從而自覺遵守公司文件的規(guī)定。因此，A選項要求員工立即改正更像是一種應急措施，而不是糾正措施，所以正確答案是A。7.下面哪個不是《中華人民共和國密碼法》中密碼的分類？（）A.核心'密碼B.普通密碼C.國家密碼D.商用密碼答案：C解析：《中華人民共和國密碼法》中規(guī)定的密碼分類包括核心密碼、普通密碼和商用密碼。國家密碼并不是該法規(guī)定的密碼分類之一，因此選項C“國家密碼”不是《中華人民共和國密碼法》中密碼的分類。8.《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督對秘密、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A.半年B.1年C.1.5年D.2年答案：D解析：《信息安全等級保護管理辦法》規(guī)定，應加強涉密信息系統(tǒng)運行中的保密監(jiān)督，對秘密、機密級信息系統(tǒng)每2年至少進行一次保密檢查或系統(tǒng)測評。因此，正確答案為D，即“2年”。9.ISMS不一定必須保留的文件化信息有（）。A.適用性聲明B.信息安全風酬估過程記錄C.管理評審結果D.重要業(yè)務系統(tǒng)操佛南答案：D解析：ISMS（信息安全管理體系）通常要求保留一系列文件化信息，以確保信息安全管理的有效性和合規(guī)性。然而，并非所有與信息安全相關的文件都需要被保留為文件化信息。在給出的選項中，A、B、C都是ISMS中通常要求保留的文件化信息，如適用性聲明、信息安全風險評估過程記錄和管理評審結果。而D選項“重要業(yè)務系統(tǒng)操作”則不一定需要作為文件化信息保留。因此，答案為D。10.訪問控制是確保對資產(chǎn)的訪問，是基于（）要求進行授權和限制的手段。A.用戶權限B.可給予哪些主體訪問權C.可被用戶訪問的資源D.系統(tǒng)是否遭受人侵答案：B解析：訪問控制是確保對資產(chǎn)的訪問，是基于可給予哪些主體訪問權的要求進行授權和限制的手段。因此，選項B“可給予哪些主體訪問權”是正確答案。選項A“用戶權限”是訪問控制的其中一個方面，但不是基于這個要求進行的授權和限制。選項C“可被用戶訪問的資源”描述了資源，而不是授權和限制的主體。選項D“系統(tǒng)是否遭受人侵”與訪問控制無關。11.依據(jù)GB/T22080/ISO/1EC27001，信息分類方案的目的是（）。A.劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)，以便于應用大數(shù)據(jù)技術對其分析B.確保信息按照其對組織的重要程度受到適當水平的保護C.劃分信息載體的不同介質(zhì)以便于儲存和處理，如紙張、光盤、磁盤D.劃分信息載體所屬的職能以便于明確管理責任答案：B解析：在GB/T22080/ISO/1EC27001中，信息分類方案的主要目的是確保信息按照其對組織的重要程度受到適當水平的保護。選項A涉及的是信息的數(shù)據(jù)類型，而不是分類方案的目的；選項C關于信息載體的不同介質(zhì)，也不是分類方案的核心目的；選項D關于信息載體所屬的職能，與分類方案的目的不直接相關。因此，正確答案是B，即確保信息按照其對組織的重要程度受到適當水平的保護。12.關于《中華人民共和國保密法》，以下說法正確的是（）。A.該法的目的是為了保守國家秘密而定B.該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C.該法適用于所有組枷其敏瞧息的阱D.國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護答案：A解析：《中華人民共和國保密法》的立法目的是為了保守國家秘密，維護國家安全和利益，保障改革開放和社會主義建設事業(yè)的順利進行。所以A選項“該法的目的是為了保守國家秘密而定”是正確的。B選項“該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系”是不正確的。ISO/IEC27001是一個國際信息安全管理體系標準，而《中華人民共和國保密法》是我國的保密法律，兩者屬于不同的法律標準，不可相互替代。C選項“該法適用于所有組枷其敏瞧息的阱”存在表述錯誤，該法適用于一切國家機關、武裝力量、政黨、社會團體、企業(yè)事業(yè)單位和公民。它針對的是國家秘密，而不是所有組織的敏感信息。D選項“國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護”也是不正確的。根據(jù)《中華人民共和國保密法》，國家秘密分為絕密、機密、秘密三級，而不是秘密、機密、絕密。同時，國家秘密的定級和保密工作由國家保密行政管理部門主管，而不是由組織自主定級、自主保護。13.依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關于網(wǎng)絡服務的訪問控制策略，以下正確的是（）。A.網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機B.應關閉服務器上不需要的網(wǎng)絡服務C.可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制D.可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制答案：B解析：根據(jù)GB/T22080/ISO/IEC27001中的控制措施要求，針對網(wǎng)絡服務的訪問控制策略，我們來看每一個選項：A選項提到網(wǎng)絡管理員可以通過telnet在家里遠程登錄、維護核心交換機。然而，telnet是一種明文傳輸協(xié)議，這意味著所有傳輸?shù)臄?shù)據(jù)都是明文，容易被截獲和破解。因此，使用telnet進行遠程登錄和維護是不安全的，不符合訪問控制策略的要求。B選項建議應關閉服務器上不需要的網(wǎng)絡服務。這是正確的，因為關閉不需要的網(wǎng)絡服務可以減少潛在的安全風險，提高系統(tǒng)的安全性。C選項提到可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制。雖然防病毒產(chǎn)品可以幫助檢測和清除病毒，但它并不能直接實現(xiàn)對內(nèi)部用戶的網(wǎng)絡訪問控制。訪問控制通常涉及到身份認證、授權和審計等方面，而防病毒產(chǎn)品主要關注于病毒檢測和清除。D選項提到可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡的訪問控制。雖然防火墻可以幫助控制網(wǎng)絡訪問，但它通常用于控制外部用戶訪問內(nèi)部網(wǎng)絡，而不是內(nèi)部用戶訪問外部網(wǎng)絡。綜上所述，只有B選項符合GB/T22080/ISO/IEC27001中的控制措施要求，因此正確答案是B。14.《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在（）向當?shù)乜h級以上人民政府公安機關報告。A.8小時內(nèi)B.12小時內(nèi)C.24小時內(nèi)D.48小時內(nèi)答案：C解析：《計算機信息系統(tǒng)安全保護條例》規(guī)定，對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在24小時內(nèi)向當?shù)乜h級以上人民政府公安機關報告。因此，正確答案為C選項，即24小時內(nèi)。15.ISMS關鍵成功因素之一是用于評價信息安全管理執(zhí)行情赫口改進反饋建議的（）系統(tǒng)。A.測量B.報告C.傳遞D.評價答案：A解析：題目中提到“用于評價信息安全管理執(zhí)行情赫口改進反饋建議的（）系統(tǒng)”，而選項A“測量”恰好符合這一描述。測量系統(tǒng)可以用于評價信息安全管理執(zhí)行的情況，并根據(jù)反饋進行改進。因此，正確答案是A。16.關于投訴處理過程的設計，以下說法正確的是（）。A.投訴處理過程應易于所有岫者使用B.投訴處理過程應易于所有投訴響應者使用C.投訴處理過程應易于所有投訴處理者使用D.投訴處理過程應易于為投訴處理付費的投訴者使用答案：A解析：在處理投訴時，應該考慮投訴過程的易用性，以便所有的利益相關者都可以使用。這包括了那些可能會發(fā)起投訴的人（投訴者），以及處理投訴的相關人員。A選項表示“投訴處理過程應易于所有岫者使用”，這里的“岫者”可能是輸入錯誤，應該是“用戶”或“相關者”。但即使如此，這個選項仍然傳達了投訴處理過程應該易于使用，這包括了所有可能涉及的人員。B選項“投訴處理過程應易于所有投訴響應者使用”只考慮了處理投訴的人員，沒有考慮到發(fā)起投訴的投訴者。C選項“投訴處理過程應易于所有投訴處理者使用”也只是考慮了處理投訴的人員，沒有包括所有的利益相關者。D選項“投訴處理過程應易于為投訴處理付費的投訴者使用”過于具體，并且提到了“付費”，這與一般的投訴處理過程不相關。綜上所述，最符合普遍性和全面性的描述是A選項“投訴處理過程應易于所有岫者使用”（或者說“投訴處理過程應易于所有相關者使用”），因此正確答案應為A。17.《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為（）。A.ISO/IEC27002B.ISO/IEC27003C.[SO/IEC27004D.ISO/IEC27005答案：B解析：《信息技術安全技術信息安全管理體系實施指南》對應的國際標準號為ISO/IEC27003。因此，正確答案為B。18.下列（）不是創(chuàng)建和維護測量要執(zhí)行的活動。A.開展測量活動B.識別當前支持信息需求的安全實踐C.開發(fā)和更新測量D.建立測量文檔并確定實施優(yōu)先級答案：D解析：在創(chuàng)建和維護測量的過程中，我們需要開展測量活動、識別當前支持信息需求的安全實踐以及開發(fā)和更新測量。而建立測量文檔并確定實施優(yōu)先級并不是創(chuàng)建和維護測量要執(zhí)行的活動，因此，選項D“建立測量文檔并確定實施優(yōu)先級”不是創(chuàng)建和維護測量要執(zhí)行的活動。19.ISMS文件評審需考慮（）。A.收集信息，以準備審核活動和適當?shù)墓ぷ魑募﨎.請受審核方文件與標準的符合性，并提出改進意見C.確以受審核方文件與標準的符合性，并提出改進意見D.雙方就ISMS文件框架交換不同意見答案：A解析：題目要求選擇ISMS文件評審需要考慮的內(nèi)容。選項A提到“收集信息，以準備審核活動和適當?shù)墓ぷ魑募保@符合ISMS文件評審的基本步驟，即首先需要收集足夠的信息，以便進行后續(xù)的審核活動，并準備相應的工作文件。選項B和C都提到了“請受審核方文件與標準的符合性，并提出改進意見”，但選項B表述不明確，而選項C中的“確以”可能是筆誤，應為“確認”。選項D提到“雙方就ISMS文件框架交換不同意見”，這更像是審核過程中的一個環(huán)節(jié)，而不是文件評審需要考慮的內(nèi)容。因此，正確答案是A。20.信息安全的機密性是指（）。A.保證信息不被其他人使用B.信息不被未授權的個人實體或過程利用或知悉的特性C.根撼受權實體的要求可訪問的特性D.保護信，息準確和完整的特性答案：B解析：信息安全中的機密性是指信息不被未授權的個人實體或過程利用或知悉的特性。因此，選項B“信息不被未授權的個人實體或過程利用或知悉的特性”是正確答案。其他選項與機密性的定義不符。A選項“保證信息不被其他人使用”沒有明確授權的概念，C選項“根據(jù)授權實體的要求可訪問的特性”涉及到了授權，但并未明確表達不被未授權的個人或過程利用或知悉，D選項“保護信息準確和完整的特性”與機密性無直接關系。21.根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行（）。A.國家經(jīng)營B.地方經(jīng)營C.許可制度D.備案制度答案：C解析：《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行許可制度。因此，正確答案為C選項，即“許可制度”。其他選項A、B、D均不符合該法規(guī)的規(guī)定。22.根據(jù)GB/T22080-2016中控制措施的要求，關于技術脆弱性管理，以下說法正確的是（）。A.技術脆弱性應單獨管理，與事件管理沒有關聯(lián)B.了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C.針對技術脆弱性的補丁安裝應按變更管理進行控制D.及時安裝針對技術脆弱性的所有補丁是應對脆弱性相關風險的最佳途徑答案：C解析：根據(jù)GB/T22080-2016中控制措施的要求，關于技術脆弱性管理，說法正確的是C.針對技術脆弱性的補丁安裝應按變更管理進行控制。A選項錯誤，技術脆弱性管理應與事件管理相關聯(lián)，因為技術脆弱性可能導致事件，而事件管理是對這些事件進行響應和處理的過程。B選項錯誤，了解某技術脆弱性的公眾范圍越廣，該脆弱性對于組織的風險不一定越小。公眾范圍廣泛意味著更多的潛在攻擊者可能知道并利用該脆弱性，從而增加組織的風險。D選項錯誤，及時安裝針對技術脆弱性的所有補丁并不一定是應對脆弱性相關風險的最佳途徑。雖然補丁安裝是減少脆弱性的重要步驟，但還需要考慮其他因素，如補丁的兼容性、安全性以及組織的實際情況。因此，正確答案是C選項，即針對技術脆弱性的補丁安裝應按變更管理進行控制。23.對保密文件復印件張數(shù)核對是確保保密文件的（）。A.保密性B.完整性C.可用性D.連續(xù)性答案：B解析：保密文件復印件張數(shù)核對是確保保密文件的完整性。保密文件的完整性是指文件內(nèi)容的完整性和準確性，復印件張數(shù)核對可以確保復印件與原件內(nèi)容一致，從而保障文件的完整性。保密性、可用性和連續(xù)性雖然也是保密文件需要考慮的因素，但與復印件張數(shù)核對直接相關的主要是完整性。因此，答案為B，即完整性。24.《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統(tǒng)造成物理破壞而導致的信息安全事件。A.人為因素B.自然災唯C.不可抗力D.網(wǎng)絡故障答案：C解析：《信息安全技術信息安全事件分類分級指南》中的災害性事件是由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。因此，正確答案為C，即不可抗力。其他選項如人為因素、自然災唯、網(wǎng)絡故障都不是災害性事件的主要原因。25.關于顧客滿意，以下說法正確的是（）。A.顧客沒有抱怨，表示顧客滿意B.信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C.顧客認為其要求已得到滿足，即意味著顧客滿意D.組織認為顧客要求已得到滿足，即意味著顧客滿答案：C解析：根據(jù)顧客滿意的定義，顧客滿意是指顧客對其接受的產(chǎn)品或服務的評價超過其預期的一種心理狀態(tài)。其中，顧客對其要求已得到滿足是顧客滿意的一個基本表現(xiàn)。因此，選項C“顧客認為其要求已得到滿足，即意味著顧客滿意”是正確的說法。對于其他選項：A.顧客沒有抱怨，表示顧客滿意。這個說法并不準確，因為顧客沒有抱怨并不代表顧客一定滿意，可能是顧客沒有注意到產(chǎn)品或服務的問題，或者顧客對問題的容忍度較高。B.信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意。這個說法也不準確，因為信息安全事件沒有給顧客造成實質(zhì)性的損失，只能說明顧客在信息安全方面沒有受到直接的經(jīng)濟損失，但并不能代表顧客對整體的產(chǎn)品或服務滿意。D.組織認為顧客要求已得到滿足，即意味著顧客滿意。這個說法同樣不準確，因為顧客滿意是顧客自己的主觀感受，而不是組織的主觀判斷。組織認為顧客要求已得到滿足，并不代表顧客真的滿意。因此，正確答案是C選項。26.（）對于信息安全管理負有責任。A.高級管理層B.安全管理員C.IT管理員D.所有與信息系統(tǒng)有關人員答案：D解析：信息安全管理的責任應該由所有與信息系統(tǒng)有關的人員共同承擔，而不是僅由某一特定人員或部門負責。高級管理層、安全管理員和IT管理員雖然都在信息安全管理中扮演著重要角色，但他們不能獨自承擔全部責任。因此，正確答案是“所有與信息系統(tǒng)有關人員”。27.形成ISMS審核發(fā)現(xiàn)時不需要考慮的是（）。A.所實施控制措施與適用性聲明的符合性B.適用性聲明的完備性和適宜性C.所實施控制措施的時效性D.所實施控制措施的有效性答案：C解析：ISMS審核發(fā)現(xiàn)的形成主要關注所實施的控制措施與適用性聲明的符合性、適用性聲明的完備性和適宜性以及所實施控制措施的有效性。而所實施控制措施的時效性并不在考慮范圍內(nèi)，因為審核關注的是當前控制措施的狀態(tài)和效果，而不是它們何時開始實施。因此，選項C“所實施控制措施的時效性”是形成ISMS審核發(fā)現(xiàn)時不需要考慮的因素。28.關于信息系統(tǒng)登錄口令的管理，以下做法不正確的是（）。A.必要時，使用密碼技術、生物識別等替代口令B.用提示信息告知用戶輸入的口令是否正確C.明確告知用戶應遵從的優(yōu)質(zhì)口令策略D.使用互動式管理確保用戶使用優(yōu)質(zhì)口令答案：B解析：根據(jù)題目中的選項，我們需要判斷哪一項關于信息系統(tǒng)登錄口令的管理是不正確的。A選項提到“必要時，使用密碼技術、生物識別等替代口令”，這是正確的，因為使用更安全的身份驗證方式可以提高系統(tǒng)的安全性。C選項“明確告知用戶應遵從的優(yōu)質(zhì)口令策略”也是正確的，因為這可以幫助用戶生成更難以被猜測的口令。D選項“使用互動式管理確保用戶使用優(yōu)質(zhì)口令”也是合理的，互動式管理可以幫助確保用戶遵循優(yōu)質(zhì)口令策略。而B選項“用提示信息告知用戶輸入的口令是否正確”是不正確的，因為這會暴露用戶輸入的口令是否正確，從而增加了口令被猜測的風險。因此，不正確的做法是B選項。29.信息安全目標應（）。A.可測量B.與信息安全方針一致C.適當時，對相關方可用D.定期更新答案：B解析：信息安全目標應與信息安全方針一致，以確保信息安全工作能夠按照預定的方向和目標進行?？蓽y量、適當時對相關方可用和定期更新都是信息安全目標實現(xiàn)過程中需要考慮的因素，但它們不是信息安全目標本身。因此，正確答案為B。30.完整性是指（）。A.根據(jù)授權實體的要求可訪問的特性B.信息不被未授權的個人、實體或過程利用或知悉的特性C.保護資產(chǎn)準確和完整的特性D.保護資產(chǎn)保密和可用的特性答案：C解析：完整性是指保護資產(chǎn)準確和完整的特性，它確保數(shù)據(jù)在傳輸和存儲過程中沒有被篡改或損壞，從而保持其準確性和完整性。選項A“根據(jù)授權實體的要求可訪問的特性”描述的是訪問控制的概念，與完整性無關；選項B“信息不被未授權的個人、實體或過程利用或知悉的特性”描述的是保密性；選項D“保護資產(chǎn)保密和可用的特性”描述的是可用性和保密性，均與完整性的定義不符。因此，正確答案是C。31.風險偏好是組織尋求或保留風險的（）。A.行動B.計劃C.意愿D.批復答案：C解析：風險偏好是組織在決策過程中對于風險的態(tài)度，它決定了組織在面臨風險時是否愿意尋求或保留風險。因此，風險偏好是組織尋求或保留風險的意愿，選項C“意愿”最符合題意。其他選項如行動、計劃和批復雖然與風險有關，但都不直接描述組織對于風險的態(tài)度，因此不是最佳答案。32.下面哪個不是典型的軟件開發(fā)模型？（）A.變換型B.漸增型C.瀑布型D.結構型答案：D解析：題目詢問的是哪個不是典型的軟件開發(fā)模型。選項中，A變換型、B漸增型、C瀑布型都是軟件開發(fā)中常見的模型。而D結構型并不是典型的軟件開發(fā)模型，它更多地用于描述軟件系統(tǒng)的結構或組織方式，而不是軟件開發(fā)的過程或方法。因此，D選項不是典型的軟件開發(fā)模型。33.組織應（）與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力。A.確定B.制定C.落實D.確保答案：A解析：在信息安全管理體系中，組織需要確定與其意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的因素。因此，選項A“確定”是正確答案。其他選項如制定、落實、確保都不符合題意。34.組織的風險責任人不可以是（）。A.組織的某個部門B.某個系統(tǒng)C.風險轉(zhuǎn)移到組織D.組織的某個虛擬小組負責人答案：C解析：風險責任人在組織中的定義通常指的是對特定風險負有管理責任的個體或團隊。在選項中，A、B和D分別描述了組織中的部門、系統(tǒng)和虛擬小組負責人，這些都可以是風險的責任人。然而，選項C“風險轉(zhuǎn)移到組織”并不符合風險責任人的定義。風險轉(zhuǎn)移是將風險從一個實體轉(zhuǎn)移到另一個實體，但這并不意味著轉(zhuǎn)移后的實體就是風險的責任人。因此，正確答案是C。35.GB/T29246標準為組織和個人提供（）。A.建立信息安全管理體系的基礎信息B.信息安全管理體系的介紹C.ISMS標準族已發(fā)布標準的個紹D.ISMS標準族中使用的所有術語和定義答案：B解析：題目中詢問的是GB/T29246標準為組織和個人提供什么。根據(jù)給出的選項，我們可以逐一分析：A.建立信息安全管理體系的基礎信息-這個選項沒有直接提到GB/T29246標準，因此可以排除。B.信息安全管理體系的介紹-GB/T29246是信息安全管理體系標準族（ISMS標準族）的一部分，因此該標準很可能為組織和個人提供信息安全管理體系的相關介紹。C.ISMS標準族已發(fā)布標準的個紹-這個選項提到了ISMS標準族，但題目中并未明確詢問關于已發(fā)布標準的信息，因此可以排除。D.ISMS標準族中使用的所有術語和定義-這個選項雖然與ISMS標準族有關，但題目中并未明確詢問關于術語和定義的信息，因此可以排除。綜上所述，GB/T29246標準很可能為組織和個人提供信息安全管理體系的相關介紹，因此正確答案是B。36.下列不一定要進行風險評估的是（）。A.發(fā)布新的法律法規(guī)B.ISMS最高管理者人員變更C.ISMS范圍內(nèi)的網(wǎng)絡采用新的網(wǎng)絡架構D.計劃的時間間隔答案：B解析：風險評估是信息安全管理體系（ISMS）中的一個重要環(huán)節(jié)，用于識別和評估潛在的安全風險。A選項“發(fā)布新的法律法規(guī)”可能帶來新的合規(guī)要求，需要進行風險評估。C選項“ISMS范圍內(nèi)的網(wǎng)絡采用新的網(wǎng)絡架構”可能引入新的安全風險，也需要進行風險評估。D選項“計劃的時間間隔”可能是指定期進行風險評估的時間間隔，這本身就需要進行風險評估。而B選項“ISMS最高管理者人員變更”雖然涉及到管理層的變動，但并不一定直接帶來新的安全風險，因此不一定需要進行風險評估。所以，正確答案是B。37.《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？（）A.2019B.2017C.2016D.2018答案：D解析：《互聯(lián)網(wǎng)信息服務管理辦法》現(xiàn)行有效的版本是2011年修訂的版本，于2011年7月1日起施行，因此，題目中給出的選項中，只有2018年發(fā)布的版本是現(xiàn)行有效的。因此，正確答案為D。38.根據(jù)GB/T22080-2016標準的要求，組織（）實施風險評估。A.應按計劃的時間間隔或當重大變更提出或發(fā)生時B.應按計劃的時間間隔且當重大變更提出或發(fā)生時C.只需在重大變更發(fā)生時D.只需按計劃的時間間隔答案：A解析：根據(jù)GB/T22080-2016標準的要求，組織“應按計劃的時間間隔或當重大變更提出或發(fā)生時”實施風險評估。所以選項A是正確的。選項B表述為“按計劃的時間間隔且當重大變更提出或發(fā)生時”，但原標準并未使用“且”這樣的連接詞，所以B錯誤。選項C和D都只涉及到了重大變更或時間間隔的其中一個條件，沒有涵蓋標準要求的兩個條件，所以也是錯誤的。39.按照PDCA思路進行審核，是指（）。A.按照認可規(guī)范中規(guī)定的PDCA流程進行審核B.按照認證機構的PDCA跡進行審核C.按照受審核區(qū)域活動的PDCA過程進行審核D.按照檢査表策劃的PDCA進行審核答案：C解析：PDCA是Plan（計劃）、Do（執(zhí)行）、Check（檢查）和Act（處理）的首字母縮寫，它是質(zhì)量管理中常用的一個循環(huán)模式。在審核中，PDCA通常指的是審核員按照被審核對象的活動過程進行，即首先了解并計劃審核，然后執(zhí)行審核，接著檢查審核結果，最后根據(jù)檢查結果進行處理。所以，按照PDCA思路進行審核，指的是按照受審核區(qū)域活動的PDCA過程進行審核，即選項C。其他選項A、B、D與PDCA的直接應用不吻合。40.ISMS文件的多少和詳細程度取決于（）。A.組織的規(guī)模和活動的類型B.過程及魅互作用的復雜疊C.人員的能力D.以上都對答案：D解析：ISMS文件的多少和詳細程度取決于組織的規(guī)模和活動的類型、過程及相互作用的復雜程度以及人員的能力。因此，選項D“以上都對”是正確的。具體來說，組織的規(guī)模越大，活動類型越復雜，過程相互作用越復雜，以及人員能力越高，ISMS文件就需要越詳細，數(shù)量也可能越多。因此，選項A、B、C都是影響ISMS文件多少和詳細程度的重要因素。多選題（共15題，共30分）41.常規(guī)控制圖主要用于區(qū)分（）。A.過程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B.過程能力的大小C.過程加工的不合格品率D.過程中存在偶然波動還是異常波動答案：ABCD解析：常規(guī)控制圖是一種用于統(tǒng)計過程控制的工具，主要用于監(jiān)控生產(chǎn)過程中的質(zhì)量特性。它可以用來區(qū)分過程的穩(wěn)態(tài)和非穩(wěn)態(tài)，以及過程能力的大小。此外，控制圖還可以用來監(jiān)控不合格品率，并區(qū)分過程中的偶然波動和異常波動。因此，選項A、B、C和D都是正確的。42.下列哪些是SSL支持的內(nèi)容類型？（）A.changcipherspecB.alertC.handshakleD.applicationdata答案：ABCD解析：SSL（SecureSocketsLayer）是一種安全協(xié)議，用于在網(wǎng)絡上提供安全通信。它支持多種內(nèi)容類型，包括：A.ChangeCipherSpec：這是SSL握手過程中用于通知對方即將更改加密規(guī)范的消息。B.Alert：用于通知對方在SSL/TLS連接中發(fā)生的錯誤或警告。C.Handshake：這是SSL握手過程，用于建立安全連接。D.ApplicationData：這是SSL/TLS連接上傳輸?shù)膽贸绦驍?shù)據(jù)。因此，A、B、C和D都是SSL支持的內(nèi)容類型。43.GBT28450審核方案管理的內(nèi)容包括（）。A.信息安全風險管理要求B.ISMS的復雜度C.是否存在相似場所D.ISMS的規(guī)模答案：ABCD解析：GBT28450是信息安全管理體系標準，它涉及到審核方案管理的內(nèi)容。在信息安全管理體系（ISMS）中，審核方案管理的內(nèi)容主要包括信息安全風險管理要求、ISMS的復雜度和ISMS的規(guī)模。題目中給出的選項A、B和D與這些信息直接相關。選項C“是否存在相似場所”與GBT28450審核方案管理的內(nèi)容沒有直接關系，因此不應選。因此，正確答案為A、B和D。44.ISO/IEC27000系列標準主要包括哪幾類標準？（）A.要求類B.應用類C.指南類D.術語類答案：ACD解析：ISO/IEC27000系列標準主要包括要求類、指南類和術語類。這些標準在信息安全管理體系（ISMS）的建立、實施、監(jiān)視、評審、改進以及提供信息安全保證等方面提供了指導。其中，要求類標準定義了組織需要滿足的信息安全控制要求；指南類標準提供了如何實施這些控制要求的建議；術語類標準則定義了信息安全領域的相關術語。因此，選項A、C和D是正確的。選項B“應用類”并不在ISO/IEC27000系列標準的主要分類中。45.信息安全風險分析包括（）。A.分析風險發(fā)生的原因B.確定風險級別C.評估識別的風險發(fā)生后，可能導致的潛在后果D.評估所識別的風險實際發(fā)生的可能性答案：BCD解析：信息安全風險分析是一個全面的過程，它涉及確定風險的級別、評估風險可能導致的潛在后果，以及評估風險實際發(fā)生的可能性。這三個方面構成了信息安全風險分析的核心內(nèi)容。A選項“分析風險發(fā)生的原因”雖然重要，但在信息安全風險分析過程中，更重要的是評估風險的實際影響和可能性，而不是僅僅分析風險發(fā)生的原因。因此，A選項并不符合信息安全風險分析的核心內(nèi)容。B選項“確定風險級別”是信息安全風險分析的一個重要步驟，它幫助我們對風險進行分類，以便更好地管理和應對。C選項“評估識別的風險發(fā)生后，可能導致的潛在后果”是評估風險的重要部分，它幫助我們了解風險可能帶來的負面影響，從而制定有效的應對措施。D選項“評估所識別的風險實際發(fā)生的可能性”是信息安全風險分析的關鍵部分，它幫助我們了解風險的實際發(fā)生概率，從而制定更為精確的風險應對策略。46.信息安全管理中，支持性基礎設施指（）。A.供電、通信頗B.消防、防雷設施C.空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)D.網(wǎng)絡設備答案：ABC解析：在信息安全管理中，支持性基礎設施指的是那些為信息系統(tǒng)提供基本運行環(huán)境和保障措施的基礎設施。供電、通信、消防、防雷設施、空調(diào)及新風系統(tǒng)、水氣暖供應系統(tǒng)等都是支持性基礎設施的重要組成部分。這些設施能夠確保信息系統(tǒng)的穩(wěn)定運行，防止因供電中斷、通信故障、火災、雷電等意外情況導致的信息安全問題。因此，選項A、B、C都是正確的。選項D“網(wǎng)絡設備”雖然也是信息系統(tǒng)的重要組成部分，但它并不屬于支持性基礎設施的范疇。47.《中華人民共和國網(wǎng)絡安全法》是為了保障網(wǎng)絡安全，（）。A.維護網(wǎng)絡空間主權B.維護國家安全C.維護社會公共利益D.保護公民、法人和其他組織的合法權益答案：ABCD解析：《中華人民共和國網(wǎng)絡安全法》是為了保障網(wǎng)絡安全，維護網(wǎng)絡空間主權、國家安全、社會公共利益，保護公民、法人和其他組織的合法權益。因此，選項A、B、C和D都是正確的。48.信息安全是保證信息的（），另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性。A.可用性B.機密性C.完備性D.完整性答案：ABD解析：信息安全是指確保信息的機密性、完整性和可用性。機密性是指信息不被未經(jīng)授權的人員獲取，完整性是指信息在傳輸或存儲過程中不被篡改或破壞，可用性是指信息可以被授權人員合法、及時地使用。所以，題目中給出的選項中，A、B、D都是正確的，而C選項“完備性”并不是信息安全的主要特性。因此，正確答案為A、B、D。49.網(wǎng)絡常見的拓撲形式有（）。A.星型B.環(huán)型C.總線D.樹型答案：ABCD解析：網(wǎng)絡拓撲結構是指網(wǎng)絡中的計算機和通信設備的布置方式。星型拓撲、環(huán)型拓撲、總線拓撲和樹型拓撲是常見的網(wǎng)絡拓撲形式。星型拓撲以中央節(jié)點為中心，把各節(jié)點連接起來；環(huán)型拓撲中節(jié)點形成一個閉合環(huán)；總線拓撲中所有計算機共享一條總線進行通信；樹型拓撲可以看作是星型拓撲的擴展，它像樹一樣分層。因此，選項A、B、C和D都是網(wǎng)絡常見的拓撲形式。50.訪問控制包括（）。A.網(wǎng)絡和網(wǎng)絡服務的訪問控制B.邏輯訪問控制C.用戶訪問控制D.物理訪問控制答案：BD解析：訪問控制是信息安全領域的一個重要概念，它涉及到對系統(tǒng)資源（如文件、目錄、設備、網(wǎng)絡服務等）的訪問權限的管理。在給出的選項中，A選項“網(wǎng)絡和網(wǎng)絡服務的訪問控制”和D選項“物理訪問控制”是訪問控制的兩個方面。其中，網(wǎng)絡和網(wǎng)絡服務的訪問控制涉及對網(wǎng)絡資源（如數(shù)據(jù)庫、文件服務器、電子郵件服務器等）的訪問權限的管理，而物理訪問控制則涉及對物理設備（如服務器、數(shù)據(jù)中心、辦公區(qū)域等）的訪問權限的管理。B選項“邏輯訪問控制”和C選項“用戶訪問控制”在給出的選項中并未明確提及，因此不應選。因此，正確答案是A和D。51.《互聯(lián)網(wǎng)信息服務管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度。A.新聞出版B.醫(yī)療、保健C.知識類D.教育類答案：ABD解析：根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》的規(guī)定，互聯(lián)網(wǎng)信息服務分為經(jīng)營性和非經(jīng)營性兩類。對于新聞、出版、醫(yī)療保健、藥品和醫(yī)療器械等關系國家利益和社會公共利益的系統(tǒng)使用的互聯(lián)網(wǎng)信息服務，實行主管部門審核制度。因此，選項A“新聞出版”和選項B“醫(yī)療、保健”是需要主管部門審核的互聯(lián)網(wǎng)信息服務類別。選項C“知識類”和選項D“教育類”并未明確說明需要主管部門審核，因此不應選。52.以下（）活動是ISMS建立階段應完成的內(nèi)容。A.確定ISMS的范圍和邊界B.確定ISMS方針C.確定風險評估方法和實施D.實施體系文件培訓答案：ABC解析：在ISMS（信息安全管理體系）建立階段，需要完成一系列關鍵活動以確保體系的有效性和完整性。根據(jù)給出的選項：A.確定ISMS的范圍和邊界：這是建立ISMS的首要步驟，需要明確體系適用的范圍以及與其他管理體系的邊界。B.確定ISMS方針：這涉及到制定信息安全管理的目標和原則，確保組織內(nèi)的所有成員都了解并遵循這些方針。C.確定風險評估方法和實施：風險評估是ISMS的核心部分，需要確定合適的方法并實施，以識別潛在的安全威脅和脆弱性。D.實施體系文件培訓：雖然培訓是ISMS運行階段的重要活動，但在建立階段，主要是完成上述三個關鍵活動，而不是立即進行體系文件的培訓。因此，正確答案是ABC。53.在開展信息安全績效和ISMS有效，性評價時，組織應確定（）。A.監(jiān)視、測量、分析和評價的過程B.適用的監(jiān)視、測量、分析和評價的方法C.需要被監(jiān)祈廂測量的內(nèi)容D.監(jiān)視、測量、分析和評價的執(zhí)行人員答案：BCD解析：根據(jù)題目描述，組織在開展信息安全績效和ISMS有效性評價時，需要確定監(jiān)視、測量、分析和評價的過程。這個過程涉及幾個關鍵要素，包括適用的方法、需要被監(jiān)視和測量的內(nèi)容以及執(zhí)行人員。A選項“監(jiān)視、測量、分析和評價的過程”雖然是一個重要的概念，但它本身并不是一個具體的確定項，而是一個更廣泛的概念框架。因此，它不應該被單獨選擇作為答案。B選項“適用的監(jiān)視、測量、分析和評價的方法”指的是具體的、可以用來進行信息安全績效和ISMS有效性評價的技術或工具。這是評價過程中不可或缺的一部分。C選項“需要被監(jiān)視和測量的內(nèi)容”指的是組織需要關注的具體信息安全績效指標或ISMS有效性指標。明確了這些指標，組織才能有針對性地進行監(jiān)視和測量。D選項“監(jiān)視、測量、分析和評價的執(zhí)行人員”指的是負責執(zhí)行整個評價過程的人員。明確了執(zhí)行人員，可以確保評價過程的順利進行。綜上所述，B、C和D選項都是組織在開展信息安全績效和ISMS有效性評價時需要確定的要素，因此它們都是正確答案。54.依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）。A.涉及到一個或多個地市的大部分地區(qū)B.威脅到國家安全C.擾亂社會秩序D.對經(jīng)濟建設有重大負面影響答案：ABD解析：重大社會影響的情況依據(jù)GB/Z20986標準，包括涉及到一個或多個地市的大部分地區(qū)、威脅到國家安全以及對經(jīng)濟建設有重大負面影響。這些情況都可能對社會產(chǎn)生廣泛而深遠的影響，因此被確定為重大社會影響的情況。選項C“擾亂社會秩序”并未在GB/Z20986標準中明確列為重大社會影響的情況，因此不應選。55.管理評審是為了確保信息安全管理體系持續(xù)的（）。A.適宜性B.充分性C.有效性D.可靠性答案：ABC解析：管理評審是組織對其信息安全管理體系的定期評價，目的是確保該體系持續(xù)滿足組織的要求，適應外部環(huán)境的變化，并有效實施和保持。因此，管理評審需要確保信息安全管理體系的適宜性、充分性和有效性。適宜性指的是體系是否適合組織的業(yè)務需求和外部環(huán)境；充分性指的是體系是否具備足夠的資源和能力來實施和保持信息安全；有效性指的是體系是否能夠有效地實現(xiàn)預期的信息安全目標。因此，選項A、B和C都是正確的。選項D“可靠性”通常用于描述系統(tǒng)或產(chǎn)品在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定功能的能力，與管理評審的目的不直接相關，因此不應選。判斷題（共10題，共10分）56.較低的恢復時間目標會有更長的中斷時間（）。A.正確B.錯誤答案：B解析：恢復時間目標（RTO）是指系統(tǒng)或應用恢復所需的最大可接受時間。較低的恢復