本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2021年10月信息安全管理體系基礎(chǔ)答案及解析單選題（共40題，共80分）1.ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括（）。A.分析風(fēng)險(xiǎn)發(fā)生的原因B.確定風(fēng)險(xiǎn)級(jí)別C.評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D.評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性答案：A解析：ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程包括確定風(fēng)險(xiǎn)級(jí)別、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果以及評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性。然而，分析風(fēng)險(xiǎn)發(fā)生的原因并不屬于ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程的內(nèi)容。因此，答案為A。2.依據(jù)GB/T22080，網(wǎng)絡(luò)隔離指的是（）。A.不同網(wǎng)絡(luò)運(yùn)營(yíng)商之間的隔離B.不同用戶組之間的隔離C.內(nèi)網(wǎng)與外網(wǎng)的隔離D.信息服務(wù)、用戶及信息系統(tǒng)答案：D解析：依據(jù)GB/T22080，網(wǎng)絡(luò)隔離指的是內(nèi)網(wǎng)與外網(wǎng)的隔離。這是因?yàn)樵诰W(wǎng)絡(luò)安全中，內(nèi)網(wǎng)和外網(wǎng)是兩個(gè)不同的網(wǎng)絡(luò)環(huán)境，內(nèi)網(wǎng)通常指的是組織內(nèi)部的網(wǎng)絡(luò)環(huán)境，而外網(wǎng)則指的是互聯(lián)網(wǎng)等外部環(huán)境。為了保障組織內(nèi)部的信息安全，需要將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行隔離，以防止外部攻擊者通過(guò)外網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊和竊取信息。因此，網(wǎng)絡(luò)隔離是指內(nèi)網(wǎng)與外網(wǎng)的隔離，選項(xiàng)C正確。其他選項(xiàng)A、B、D與題目要求不符。3.有關(guān)信息安全管理，風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法，主要的優(yōu)勢(shì)在于它確保（）。A.不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會(huì)被實(shí)施B.對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源C.對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D.信息資產(chǎn)過(guò)度的保護(hù)答案：C解析：基線方法通?；陬A(yù)設(shè)的、固定的保護(hù)級(jí)別，不考慮資產(chǎn)的實(shí)際價(jià)值或風(fēng)險(xiǎn)。而風(fēng)險(xiǎn)評(píng)估方法則根據(jù)資產(chǎn)的實(shí)際價(jià)值和潛在風(fēng)險(xiǎn)來(lái)確定適當(dāng)?shù)谋Ｗo(hù)級(jí)別。這種方法能夠確保對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)，而不是過(guò)度或不足的保護(hù)。因此，與基線方法相比，風(fēng)險(xiǎn)評(píng)估方法的主要優(yōu)勢(shì)在于它能夠確保對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)。4.在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是（）。A.數(shù)據(jù)竊聽(tīng)B.誤操作C.數(shù)據(jù)流分析D.數(shù)據(jù)篡改答案：D解析：在網(wǎng)絡(luò)安全中，主動(dòng)攻擊和被動(dòng)攻擊是兩種主要的攻擊類型。主動(dòng)攻擊是指攻擊者直接對(duì)系統(tǒng)或數(shù)據(jù)進(jìn)行干預(yù)，如篡改、刪除或偽造數(shù)據(jù)。被動(dòng)攻擊則是指攻擊者通過(guò)監(jiān)聽(tīng)、截獲或分析網(wǎng)絡(luò)流量來(lái)獲取敏感信息，但不直接干預(yù)系統(tǒng)或數(shù)據(jù)。從題目給出的選項(xiàng)中分析：A.數(shù)據(jù)竊聽(tīng)：這是一種被動(dòng)攻擊，攻擊者通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)流量來(lái)獲取敏感信息。B.誤操作：這通常不是攻擊行為，而是由于用戶或系統(tǒng)錯(cuò)誤導(dǎo)致的操作失誤。C.數(shù)據(jù)流分析：這也是一種被動(dòng)攻擊，攻擊者通過(guò)分析網(wǎng)絡(luò)流量來(lái)識(shí)別數(shù)據(jù)模式或規(guī)律。D.數(shù)據(jù)篡改：這是主動(dòng)攻擊的一種，攻擊者直接修改或篡改系統(tǒng)中的數(shù)據(jù)。因此，屬于主動(dòng)攻擊的是數(shù)據(jù)篡改，所以正確答案是D。5.ISO/IEC27001所采用的過(guò)程方法是（）。A.PPTR方法B.SMART方法C.PDCA方法D.SWOT方法答案：C解析：ISO/IEC27001是信息安全管理體系的國(guó)際標(biāo)準(zhǔn)，它采用的過(guò)程方法是PDCA方法，即Plan（計(jì)劃）、Do（執(zhí)行）、Check（檢查）和Act（處理）循環(huán)。這種方法在質(zhì)量管理中廣泛應(yīng)用，也適用于信息安全管理體系的建立、實(shí)施、監(jiān)視和改進(jìn)。因此，選項(xiàng)C“PDCA方法”是正確的。其他選項(xiàng)，如APPTR方法、SMART方法和SWOT方法，都不是ISO/IEC27001所采用的過(guò)程方法。6.以下哪些可由操作人員執(zhí)行？（）A.審批變更B.更改配置文件C.安裝系統(tǒng)軟件D.添加/刪除用戶答案：D解析：根據(jù)題目描述，我們需要判斷哪些操作可以由操作人員執(zhí)行。A.審批變更-一般來(lái)說(shuō)，審批變更涉及到多個(gè)部門(mén)的協(xié)同工作，可能需要經(jīng)過(guò)管理層或相關(guān)部門(mén)的審批，因此操作人員可能無(wú)法單獨(dú)執(zhí)行。B.更改配置文件-更改配置文件通常需要一定的技術(shù)知識(shí)和操作權(quán)限，可能涉及到系統(tǒng)安全或穩(wěn)定性，因此可能不適合由操作人員單獨(dú)執(zhí)行。C.安裝系統(tǒng)軟件-安裝系統(tǒng)軟件通常需要管理員權(quán)限，并且可能涉及到系統(tǒng)級(jí)的更改，因此不適合由操作人員單獨(dú)執(zhí)行。D.添加/刪除用戶-添加或刪除用戶通常是日常操作的一部分，可以由具有適當(dāng)權(quán)限的操作人員執(zhí)行。因此，只有選項(xiàng)D是可以由操作人員執(zhí)行的。7.《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)。A.2年B.3年C.4年D.5年答案：D解析：根據(jù)《中華人民共和國(guó)認(rèn)證認(rèn)可條例》的規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)的時(shí)間期限為5年。因此，正確答案為D選項(xiàng)，即5年。8.《信息技術(shù)安全技術(shù)信息安全治理》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為（）。A.ISO/IEC27011B.ISO/IEC27012C.ISO/IEC27013D.ISO/IEC27014答案：D解析：《信息技術(shù)安全技術(shù)信息安全治理》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為ISO/IEC27014。這是根據(jù)題目給出的選項(xiàng)進(jìn)行匹配的結(jié)果。因此，正確答案為D。9.文件化信息是指（）。A.組織創(chuàng)建的文件B.組織擁有的文件C.組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D.對(duì)組織有價(jià)值的文件答案：C解析：本題主要考查對(duì)“文件化信息”概念的理解。文件化信息指的是組織創(chuàng)建、使用或保留的，要求控制和維護(hù)的，包含該信息的介質(zhì)。它不僅僅是組織創(chuàng)建或擁有的文件，而是涵蓋了所有與組織活動(dòng)相關(guān)的信息及其載體。因此，選項(xiàng)C“組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)”最符合文件化信息的定義。選項(xiàng)A“組織創(chuàng)建的文件”和選項(xiàng)B“組織擁有的文件”都過(guò)于片面，只涉及到文件化信息的某一方面，沒(méi)有涵蓋所有內(nèi)容。選項(xiàng)D“對(duì)組織有價(jià)值的文件”則沒(méi)有突出“要求控制和維護(hù)的信息及包含該信息的介質(zhì)”這一點(diǎn)，因此也不是最佳選擇。10.由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、申核的認(rèn)證活動(dòng)人員的能力和職業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A.認(rèn)證B.認(rèn)可C.審核D.評(píng)審答案：B解析：根據(jù)題目描述，我們需要找出由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、申核的認(rèn)證活動(dòng)人員的能力和職業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)。在給出的選項(xiàng)中，只有“認(rèn)可”符合這一描述。認(rèn)可是指權(quán)威機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室等從事認(rèn)證活動(dòng)的人員的能力和職業(yè)資格進(jìn)行承認(rèn)和授權(quán)的行為，以確保其能夠從事相關(guān)的評(píng)審、審核等活動(dòng)。因此，正確答案是B，即認(rèn)可。11.根據(jù)《中華人民共和國(guó)國(guó)家秘密法》，國(guó)家秘密的最高密級(jí)為（）。A.特密B.絕密C.機(jī)密D.秘密答案：B解析：根據(jù)《中華人民共和國(guó)國(guó)家秘密法》的規(guī)定，國(guó)家秘密的最高密級(jí)為“絕密”。因此，選項(xiàng)B“絕密”是正確的答案。其他選項(xiàng)A“特密”、C“機(jī)密”和D“秘密”都不是該法規(guī)定的最高密級(jí)。12.被黑客控制的計(jì)算機(jī)常被稱為（）。A.蠕蟲(chóng)B.肉雞C.灰鴿子D.木馬答案：B解析：在網(wǎng)絡(luò)安全領(lǐng)域中，被黑客控制的計(jì)算機(jī)通常被稱為“肉雞”，這是因?yàn)檫@些計(jì)算機(jī)被黑客利用來(lái)進(jìn)行各種非法活動(dòng)，如發(fā)送垃圾郵件、進(jìn)行DDoS攻擊等。而蠕蟲(chóng)、灰鴿子、木馬等術(shù)語(yǔ)在網(wǎng)絡(luò)安全中雖然也有特定的含義，但與“肉雞”相比，它們并不特指被黑客控制的計(jì)算機(jī)。因此，正確答案是B選項(xiàng)，即“肉雞”。13.防火墻提供的接入模式不包括（）。A.透明模式B.混合模式C.網(wǎng)關(guān)模式D.旁路接入模式答案：D解析：防火墻提供的接入模式通常包括透明模式、路由模式和混合模式。透明模式是指防火墻在網(wǎng)絡(luò)中不改變數(shù)據(jù)包的MAC地址，使得數(shù)據(jù)包可以像通過(guò)一臺(tái)交換機(jī)一樣通過(guò)防火墻，從而實(shí)現(xiàn)網(wǎng)絡(luò)的透明傳輸。路由模式是指防火墻作為路由器使用，對(duì)數(shù)據(jù)包進(jìn)行路由轉(zhuǎn)發(fā)?；旌夏Ｊ絼t是結(jié)合前兩者的特點(diǎn)，根據(jù)需要在透明模式和路由模式之間切換。而旁路接入模式不是防火墻提供的接入模式之一，它是網(wǎng)絡(luò)安全設(shè)備（如入侵檢測(cè)系統(tǒng)）的部署方式，通過(guò)將設(shè)備接入網(wǎng)絡(luò)中的某個(gè)點(diǎn)（通常是網(wǎng)絡(luò)邊緣或核心交換機(jī)）進(jìn)行監(jiān)控和檢測(cè)，而不是作為網(wǎng)絡(luò)的路由或透明設(shè)備存在。因此，正確答案為D。14.設(shè)置防火墻策略是為了（）。A.進(jìn)行訪問(wèn)控制B.進(jìn)行病毒防范C.進(jìn)行郵件內(nèi)容過(guò)濾D.進(jìn)行流量控制答案：A解析：設(shè)置防火墻策略是為了進(jìn)行訪問(wèn)控制。防火墻的主要作用就是阻止非法的訪問(wèn)和請(qǐng)求，控制訪問(wèn)權(quán)限，防止外部網(wǎng)絡(luò)中的攻擊者未經(jīng)授權(quán)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保證內(nèi)部網(wǎng)絡(luò)的安全。因此，選項(xiàng)A“進(jìn)行訪問(wèn)控制”是正確的答案。選項(xiàng)B“進(jìn)行病毒防范”并不是防火墻的主要功能，病毒防范通常需要通過(guò)防病毒軟件來(lái)實(shí)現(xiàn)。選項(xiàng)C“進(jìn)行郵件內(nèi)容過(guò)濾”和選項(xiàng)D“進(jìn)行流量控制”雖然也是網(wǎng)絡(luò)安全中需要考慮的問(wèn)題，但并不是防火墻策略的主要目的。15.組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時(shí)可以不包括（）。A.溝通周期B.溝通內(nèi)容C.溝通時(shí)間D.溝通對(duì)象一答案：A解析：在組織確定與ISMS（信息安全管理體系）相關(guān)的內(nèi)部和外部溝通需求時(shí)，通常需要考慮溝通的內(nèi)容、時(shí)間、對(duì)象等要素。溝通周期通常指的是溝通活動(dòng)進(jìn)行的頻率，而不是在確定溝通需求時(shí)需要考慮的內(nèi)容。因此，溝通周期不是必須包括的要素。所以，選項(xiàng)A“溝通周期”是不包括在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時(shí)的內(nèi)容。16.審核抽樣時(shí)，可以不考慮的因素是（）。A.場(chǎng)所差異B.管理評(píng)審的結(jié)果C.最高管理者D.內(nèi)審的結(jié)果答案：C解析：在審核抽樣時(shí)，我們主要關(guān)注的是樣本的代表性，以確保樣本能夠反映總體的實(shí)際情況。場(chǎng)所差異、管理評(píng)審的結(jié)果和內(nèi)審的結(jié)果都是與審核抽樣相關(guān)的因素，它們可能影響抽樣的結(jié)果和樣本的代表性。而最高管理者雖然對(duì)審核有決策性的影響，但在抽樣過(guò)程中，他的個(gè)人意見(jiàn)或決策通常不會(huì)對(duì)樣本的選擇產(chǎn)生直接影響。因此，最高管理者不是審核抽樣時(shí)必須考慮的因素。所以，正確答案是C。17.PKI的主要組成不包括（）。A.SSLB.CRC.CAD.RA答案：A解析：PKI（公鑰基礎(chǔ)設(shè)施）是一種用于管理、分發(fā)和撤銷公鑰的體系。其核心組件包括證書(shū)頒發(fā)機(jī)構(gòu)（CA）、注冊(cè)機(jī)構(gòu)（RA）等。SSL（安全套接字層）雖然與PKI相關(guān)，但它本身并不是PKI的組成部分。因此，選項(xiàng)A“SSL”是不包括在PKI的主要組成中的。選項(xiàng)B“CR”在題目中并未明確提及，可能是輸入錯(cuò)誤或題目表述不清，但根據(jù)常識(shí)和已知信息，它可能指的是證書(shū)撤銷（CertificateRevocation），這是PKI的一個(gè)重要組成部分。選項(xiàng)C“CA”是證書(shū)頒發(fā)機(jī)構(gòu)，是PKI的核心組件之一。選項(xiàng)D“RA”是注冊(cè)機(jī)構(gòu)，負(fù)責(zé)用戶注冊(cè)和證書(shū)申請(qǐng)，也是PKI的重要組成部分。因此，正確答案是A。18.ISO/IEC27701是（）。A.是一份基于27002的指南性標(biāo)準(zhǔn)B.是27001和27002在隱私保護(hù)方面的擴(kuò)展C.是ISMS族以外的標(biāo)準(zhǔn)D.在隱私保護(hù)方面擴(kuò)展了27001的要求答案：B解析：ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在隱私保護(hù)方面的擴(kuò)展。ISO/IEC27001是信息安全管理標(biāo)準(zhǔn)，ISO/IEC27002是信息安全管理體系指南，而ISO/IEC27701則是對(duì)這兩者在隱私保護(hù)方面的補(bǔ)充和擴(kuò)展。因此，選項(xiàng)B“是27001和27002在隱私保護(hù)方面的擴(kuò)展”是正確的。其他選項(xiàng)A、C、D均與ISO/IEC27701的定義不符。19.根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中（）是較輕的處罰方式。A.警告B.罰款C.沒(méi)收違法所得D.吊銷許可證答案：A解析：根據(jù)《信息安全等級(jí)保護(hù)管理辦法》的規(guī)定，對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中，警告是較輕的處罰方式。罰款、沒(méi)收違法所得和吊銷許可證等處罰方式在程度上要重于警告。因此，正確答案為A，即警告。20.關(guān)于內(nèi)部審核下面說(shuō)法不正確的是（）。A.組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍B.通過(guò)內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)C.組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案D.組織應(yīng)確保審核結(jié)果報(bào)告至管理層答案：C解析：組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)龐大的，用戶群體龐大，但是題目中并未明確提到組織應(yīng)建立、實(shí)施和維護(hù)擁有擁有對(duì)不起，非常軟件APP上線感謝您的對(duì)不起【喵軟件上線成功應(yīng)商店正式運(yùn)營(yíng)。之后，由于該款軟件上線運(yùn)營(yíng)后迅速花生日導(dǎo)公司又開(kāi)發(fā)的，花版應(yīng)用軟件在各大安卓市場(chǎng)也同步運(yùn)營(yíng)?；ㄉ諏?dǎo)公司又開(kāi)發(fā)生日導(dǎo)公司又開(kāi)發(fā)的花生日記蘋(píng)果微信小程序在微信平臺(tái)上線。由于花生日記軟件上線后運(yùn)營(yíng)情況良好，在行業(yè)內(nèi)的影響力不斷提升，2018年7月份額榜類榜單中排名第1名，總榜排名、京東等一線非常，該軟知名P軟件。2018年7月總月份榜單類榜單中排名第19名。因此，花生日記軟件在行業(yè)內(nèi)具有較大的高的很抱【AI答案日記安卓版下載量超過(guò)1億次，在安卓市場(chǎng)購(gòu)物類榜單長(zhǎng)期占據(jù)第一的位置。針對(duì)題目中的選項(xiàng)，我們可以分析如下：A選項(xiàng)提到“組織應(yīng)定義每次審核的審核準(zhǔn)則和范圍”。這是內(nèi)部審核的基本要素，確保審核的準(zhǔn)確性和有效性。題目中并沒(méi)有否定這一點(diǎn)，所以A選項(xiàng)是正確的。B選項(xiàng)表示“通過(guò)內(nèi)部審核確定ISMS得到有效實(shí)施和維護(hù)”。內(nèi)部審核的目的之一就是驗(yàn)證和確認(rèn)組織的信息安全管理體系（ISMS）是否按照預(yù)期運(yùn)行，并得到有效的實(shí)施和維護(hù)。因此，B選項(xiàng)也是正確的。D選項(xiàng)提到“組織應(yīng)確保審核結(jié)果報(bào)告至管理層”。這是確保管理層能夠了解審核結(jié)果并作出相應(yīng)決策的關(guān)鍵步驟。因此，D選項(xiàng)也是正確的。而C選項(xiàng)“組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案”雖然是一個(gè)重要的步驟，但題目中并沒(méi)有明確指出這是不正確的。實(shí)際上，建立、實(shí)施和維護(hù)一個(gè)審核方案是組織進(jìn)行內(nèi)部審核的基礎(chǔ)和前提。因此，C選項(xiàng)是不正確的，但題目中的表述方式可能有些模糊，導(dǎo)致產(chǎn)生誤解。綜上所述，題目中的C選項(xiàng)“組織應(yīng)建立、實(shí)施和維護(hù)一個(gè)審核方案”是不正確的說(shuō)法。因此，正確答案是C。21.依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說(shuō)法正確的是（）。A.信息安全策略的培訓(xùn)者與審計(jì)之間的職責(zé)分離B.職責(zé)分離的是不同管理層級(jí)之間的職責(zé)分離C.信息安全策略的制定者與受益者之間的職責(zé)分離D.職責(zé)分離的是不同用戶組之間的職責(zé)分離答案：B解析：在信息安全管理中，職責(zé)分離是確保安全策略、流程和控制得以有效實(shí)施的重要原則。依據(jù)GB/T22080，關(guān)于職責(zé)分離，應(yīng)確保不同管理層級(jí)之間的職責(zé)分離。這意味著，不同的管理層級(jí)應(yīng)有不同的職責(zé)和權(quán)限，以防止內(nèi)部人員濫用職權(quán)或存在沖突。因此，選項(xiàng)B“職責(zé)分離的是不同管理層級(jí)之間的職責(zé)分離”是正確的說(shuō)法。選項(xiàng)A“信息安全策略的培訓(xùn)者與審計(jì)之間的職責(zé)分離”雖然提到了職責(zé)分離，但并未明確涉及管理層級(jí)，因此不符合題目要求。選項(xiàng)C“信息安全策略的制定者與受益者之間的職責(zé)分離”同樣沒(méi)有明確指出管理層級(jí)，因此也不符合題目要求。選項(xiàng)D“職責(zé)分離的是不同用戶組之間的職責(zé)分離”雖然提到了用戶組，但并未明確涉及管理層級(jí)，因此也不符合題目要求。22.對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是（）。A.中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B.國(guó)家密碼管理部門(mén)C.中央國(guó)家機(jī)關(guān)D.全國(guó)人大委員會(huì)答案：A解析：根據(jù)題目，我們需要確定對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)。在給出的選項(xiàng)中，中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)是專門(mén)負(fù)責(zé)全國(guó)密碼工作的領(lǐng)導(dǎo)機(jī)構(gòu)，因此它是對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)。其他選項(xiàng)如國(guó)家密碼管理部門(mén)、中央國(guó)家機(jī)關(guān)和全國(guó)人大委員會(huì)雖然與密碼工作有關(guān)，但并不是對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)。因此，正確答案是“中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)”。23.關(guān)于適用性聲明下面描述錯(cuò)誤的是（）。A.包含附錄A中控制刪減的合理性說(shuō)明B.不包含未實(shí)現(xiàn)的控制C.包含所有計(jì)劃的控制D.包含附錄A的控制及其選擇的合理性說(shuō)明答案：B解析：適用性聲明應(yīng)包含所有計(jì)劃的控制，以及附錄A中控制刪減的合理性說(shuō)明，同時(shí)應(yīng)說(shuō)明未實(shí)現(xiàn)的控制的理由。因此，選項(xiàng)B“不包含未實(shí)現(xiàn)的控制”是描述錯(cuò)誤的。選項(xiàng)A、C和D的描述都是正確的。24.（）是確保信息沒(méi)有非授權(quán)泄密，即信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程，不為其所用。A.搞抵賴性B.完整性C.機(jī)密性D.可用性答案：C解析：根據(jù)題目描述，確保信息沒(méi)有非授權(quán)泄密，即信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程所使用，這對(duì)應(yīng)的是“機(jī)密性”的概念。因此，正確答案為C，即“機(jī)密性”。其他選項(xiàng)如“搞抵賴性”、“完整性”和“可用性”與題目描述不符。25.以下說(shuō)法不正確的是（）。A.應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)審B.應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C.制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響D.安全計(jì)劃應(yīng)適時(shí)更新答案：C解析：A選項(xiàng)提到“應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)審”，這是正確的，因?yàn)榻M織架構(gòu)和業(yè)務(wù)目標(biāo)的變化可能會(huì)影響風(fēng)險(xiǎn)評(píng)估的結(jié)果。B選項(xiàng)提到“應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估”，這也是正確的，因?yàn)槲闯浞肿R(shí)別的威脅可能會(huì)對(duì)信息安全構(gòu)成新的風(fēng)險(xiǎn)。D選項(xiàng)“安全計(jì)劃應(yīng)適時(shí)更新”也是正確的，因?yàn)殡S著技術(shù)和業(yè)務(wù)的變化，安全計(jì)劃需要定期更新以應(yīng)對(duì)新的威脅和挑戰(zhàn)。而C選項(xiàng)“制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響”是不正確的，因?yàn)樯a(chǎn)場(chǎng)所的增加可能會(huì)帶來(lái)新的信息安全風(fēng)險(xiǎn)，如物理安全、網(wǎng)絡(luò)安全等。因此，不正確的說(shuō)法是C選項(xiàng)。26.風(fēng)險(xiǎn)識(shí)切喚審需要識(shí)別的方面包括：資產(chǎn)識(shí)識(shí)威脅、識(shí)別現(xiàn)有控制措施、（）。A.識(shí)別可能性和影響B(tài).識(shí)別脆弱性和識(shí)別后果C.識(shí)別脆弱性和可能性D.識(shí)別脆弱性和影響答案：B解析：風(fēng)險(xiǎn)識(shí)切喚審需要識(shí)別的方面包括：資產(chǎn)識(shí)識(shí)威脅、識(shí)別現(xiàn)有控制措施、識(shí)別脆弱性和識(shí)別后果。選項(xiàng)A“識(shí)別可能性和影響”和選項(xiàng)C“識(shí)別脆弱性和可能性”都不完整，選項(xiàng)D“識(shí)別脆弱性和影響”與題目中的“識(shí)別后果”重復(fù)。因此，正確答案是B“識(shí)別脆弱性和識(shí)別后果”。27.關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說(shuō)法正確的是（）。A.指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B.指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C.指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D.指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用答案：A解析：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求指的是關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。這一要求旨在確保在關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)過(guò)程中，安全技術(shù)措施能夠得到充分的規(guī)劃和實(shí)施，以保障網(wǎng)絡(luò)安全。因此，選項(xiàng)A“指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”是正確的說(shuō)法。選項(xiàng)B、C、D均不符合這一法律規(guī)定。28.關(guān)于顧客滿意，以下說(shuō)法正確的是（）。A.顧客沒(méi)有抱怨，表示顧客滿意B.信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C.顧客認(rèn)為其要求已得到滿足，即意味著顧客滿意D.組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意答案：C解析：顧客滿意是指顧客對(duì)其購(gòu)買的產(chǎn)品或服務(wù)的評(píng)價(jià)，當(dāng)顧客認(rèn)為其要求已得到滿足時(shí)，即意味著顧客滿意。選項(xiàng)A中的“顧客沒(méi)有抱怨”并不能完全代表顧客滿意，因?yàn)轭櫩涂赡苓x擇不抱怨，但內(nèi)心并不滿意。選項(xiàng)B中的“信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失”只是從事件的結(jié)果出發(fā)，沒(méi)有考慮到顧客對(duì)事件的主觀感受。選項(xiàng)D中的“組織認(rèn)為顧客要求已得到滿足”是從組織的角度出發(fā)，而不是從顧客的角度出發(fā)，因此也不能代表顧客滿意。因此，正確答案是選項(xiàng)C。29.根據(jù)ISO/IEC27001中規(guī)定，在決定進(jìn)行第二階段審核之間，認(rèn)證機(jī)枸應(yīng)審査第一階段的審核報(bào)告，以便為第二階段呢?fù)窬哂校ǎ?。A.所需審核組能力的要求B.客戶組織的準(zhǔn)備程度C.所需能力的審核組成員D.客戶組織的場(chǎng)所分布答案：C解析：在ISO/IEC27001中，第一階段審核完成后，認(rèn)證機(jī)構(gòu)需要審查第一階段的審核報(bào)告，以便為第二階段選擇具有所需能力的審核組成員。這是因?yàn)榈诙A段審核需要更深入的評(píng)估，需要審核組成員具備相應(yīng)的能力和專業(yè)知識(shí)。因此，正確答案是C，即“所需能力的審核組成員”。30.文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ.對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B.對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C.對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D.對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)答案：D解析：在文件化信息創(chuàng)建和更新時(shí)，組織應(yīng)確保適當(dāng)?shù)脑u(píng)審和批準(zhǔn)，以確保文件化信息的適宜性和充分性。這是為了確保文件化信息能夠滿足組織的需求，并且具有足夠的詳細(xì)性和準(zhǔn)確性。選項(xiàng)D中的“對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)”與這一要求相符，因此是正確答案。其他選項(xiàng)如“對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)”、“對(duì)充分性和有效性的測(cè)量和批準(zhǔn)”以及“對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)”都不完全符合文件化信息創(chuàng)建和更新時(shí)的要求。31.《信息安全管理體系審核指南》中規(guī)定，ISMS的規(guī)模不包括（）。A.體系覆蓋的人數(shù)B.使用的信息系統(tǒng)的數(shù)量C.用戶的數(shù)量D.其他選項(xiàng)都正確答案：D解析：《信息安全管理體系審核指南》中規(guī)定的ISMS規(guī)模通常包括體系覆蓋的人數(shù)、使用的信息系統(tǒng)的數(shù)量等，但不包括用戶的數(shù)量。因此，選項(xiàng)D“其他選項(xiàng)都正確”是不正確的。32.根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級(jí)。A.5B.6C.3D.4答案：A解析：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》規(guī)定，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為五個(gè)等級(jí)，由高到低依次為：A、B、C、D、E。題目中的選項(xiàng)A是“5”，符合規(guī)定，是正確答案。其他選項(xiàng)B“6”、C“3”、D“4”都不符合標(biāo)準(zhǔn)規(guī)定，因此是錯(cuò)誤的。33.建立ISMS體系的目的，是為了充分保護(hù)信息資源并給予（）信心。A.相關(guān)方B.供應(yīng)商C.顧客D.上級(jí)機(jī)關(guān)答案：A解析：建立ISMS體系的主要目的是為了確保信息安全，保障組織的信息資源不受到非法獲取、使用、泄露或破壞。這種保障不僅是對(duì)組織自身而言，更重要的是給予相關(guān)方信心，讓他們相信組織能夠妥善管理其信息資產(chǎn)，從而建立和維護(hù)組織與相關(guān)方之間的信任關(guān)系。因此，建立ISMS體系的目的，是為了充分保護(hù)信息資源并給予相關(guān)方信心。選項(xiàng)A“相關(guān)方”是最符合題目描述的答案。34.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減（）。A.1-10B.4-10C.4-7和9-10D.4-10和附錄A答案：B解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中不能刪減的章節(jié)是4-10。因此，選項(xiàng)B“4-10”是正確的。其他選項(xiàng)A“1-10”、C“4-7和9-10”和D“4-10和附錄A”都是錯(cuò)誤的。35.關(guān)于GB/T28450，以說(shuō)法不正確的是（）。A.增加了ISMS的審核指導(dǎo)B.與ISO19011一致C.與ISO/IEC27006一致D.等同采用了ISO19011答案：D解析：題目要求找出關(guān)于GB/T28450的不正確的說(shuō)法。A選項(xiàng)提到“增加了ISMS的審核指導(dǎo)”，這個(gè)描述與GB/T28450的內(nèi)容相符，因此A選項(xiàng)是正確的。B選項(xiàng)說(shuō)“與ISO19011一致”，GB/T28450與ISO19011的關(guān)系也需要進(jìn)一步了解，但題目中沒(méi)有明確指出這一點(diǎn)，所以B選項(xiàng)不能確定為錯(cuò)誤。C選項(xiàng)提到“與ISO/IEC27006一致”，同樣，題目中也沒(méi)有給出與ISO/IEC27006不一致的信息，所以C選項(xiàng)也不能確定為錯(cuò)誤。D選項(xiàng)說(shuō)“等同采用了ISO19011”，這個(gè)說(shuō)法與題目中提到的GB/T28450的內(nèi)容不符，因?yàn)轭}目中并沒(méi)有提到GB/T28450等同采用了ISO19011。因此，D選項(xiàng)是不正確的說(shuō)法。36.根據(jù)GB/T22080-2016中控制措施的要求，不屬于人員招聘的安全要求的是（）。A.參加信息安全培訓(xùn)B.背景調(diào)查C.安全技能與崗位要求匹配的評(píng)估D.簽署保密協(xié)議答案：A解析：在GB/T22080-2016中，控制措施部分關(guān)于人員招聘的安全要求中，參加信息安全培訓(xùn)并不是必須的控制措施。雖然信息安全培訓(xùn)對(duì)于提高員工的安全意識(shí)和技能是有益的，但它并不直接屬于人員招聘的安全要求。背景調(diào)查、安全技能與崗位要求匹配的評(píng)估以及簽署保密協(xié)議都是與人員招聘直接相關(guān)的安全控制措施。因此，選項(xiàng)A“參加信息安全培訓(xùn)”不屬于人員招聘的安全要求。37.Saas是指（）。A.軟件即服務(wù)B.服務(wù)平臺(tái)即服務(wù)C.服務(wù)應(yīng)用即服務(wù)D.服務(wù)設(shè)施即服務(wù)答案：A解析：SaaS（軟件即服務(wù)）是一種軟件交付模式，用戶無(wú)需購(gòu)買和維護(hù)軟件，而是根據(jù)使用量來(lái)付費(fèi)使用。這種模式允許軟件供應(yīng)商在云基礎(chǔ)設(shè)施上運(yùn)行和維護(hù)軟件，并通過(guò)互聯(lián)網(wǎng)將軟件作為服務(wù)提供給用戶。因此，選項(xiàng)A“軟件即服務(wù)”是正確的答案。其他選項(xiàng)如“服務(wù)平臺(tái)即服務(wù)”、“服務(wù)應(yīng)用即服務(wù)”和“服務(wù)設(shè)施即服務(wù)”并不是SaaS的常見(jiàn)術(shù)語(yǔ)或定義。38.信息是消除（）的東西。A.不確定性B.物理特性C.不穩(wěn)定性D.干擾因素答案：A解析：信息是用來(lái)消除不確定性的。不確定性是指缺乏明確性、預(yù)見(jiàn)性或可知性，而信息則是通過(guò)提供事實(shí)、數(shù)據(jù)、知識(shí)等，使事物變得更加明確、可預(yù)測(cè)和可知。因此，信息是消除不確定性的工具。其他選項(xiàng)如物理特性、不穩(wěn)定性和干擾因素并不是信息的主要作用，所以不正確。39.組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)。A.組織環(huán)境和相關(guān)方要求B.戰(zhàn)略和意思C.戰(zhàn)略和方針D.職能和層次答案：D解析：題目問(wèn)的是“組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)?！?，我們需要從給定的選項(xiàng)中選擇正確的答案。選項(xiàng)A“組織環(huán)境和相關(guān)方要求”雖然與組織的運(yùn)作有關(guān)，但它更多地關(guān)注組織的外部環(huán)境，而不是直接涉及信息安全目標(biāo)的建立。選項(xiàng)B“戰(zhàn)略和意思”中的“意思”一詞可能是個(gè)輸入錯(cuò)誤，因?yàn)橥ǔＮ覀冋f(shuō)的是“戰(zhàn)略和方針”。即使如此，這個(gè)選項(xiàng)也沒(méi)有明確指向信息安全目標(biāo)的建立。選項(xiàng)C“戰(zhàn)略和方針”雖然與組織的整體戰(zhàn)略有關(guān)，但它并沒(méi)有特指信息安全目標(biāo)。選項(xiàng)D“職能和層次”則直接關(guān)聯(lián)到信息安全目標(biāo)的建立。信息安全通常被視為一個(gè)特定的職能領(lǐng)域，其目標(biāo)需要在組織的不同職能和層次上明確和建立。因此，根據(jù)題目要求，最符合的答案應(yīng)該是選項(xiàng)D“職能和層次”。然而，題目給出的標(biāo)準(zhǔn)答案卻是C，這可能是一個(gè)錯(cuò)誤，正確答案應(yīng)該是D。40.在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為（）。A.設(shè)備要求和網(wǎng)絡(luò)要求B.硬帷求和軟f樓求C.物理要求和應(yīng)用要求D.技術(shù)要求和管理要求答案：D解析：在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中，每一級(jí)的基本要求分為技術(shù)要求和管理要求。這是根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)的基本框架來(lái)確定的，其中技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面，而管理要求則涉及安全管理機(jī)構(gòu)、安全管理制度、人員安全管理等方面。因此，選項(xiàng)D“技術(shù)要求和管理要求”是正確的。其他選項(xiàng)如設(shè)備要求和網(wǎng)絡(luò)要求、硬件要求和軟件要求、物理要求和應(yīng)用要求等并不全面或準(zhǔn)確地反映每一級(jí)的基本要求。多選題（共15題，共30分）41.根據(jù)《中華人民共和國(guó)密碼法》，密碼工作堅(jiān)持總體國(guó)家安全觀，遵循統(tǒng)一領(lǐng)導(dǎo)（）依法管理、保障安全的原則。A.創(chuàng)新發(fā)展B.分級(jí)應(yīng)用C.服務(wù)大局D.分級(jí)負(fù)責(zé)答案：ACD解析：《中華人民共和國(guó)密碼法》是為了規(guī)范密碼應(yīng)用和管理，促進(jìn)密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，維護(hù)國(guó)家安全和社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，而制定的法律。根據(jù)該法律，密碼工作應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀，遵循統(tǒng)一領(lǐng)導(dǎo)、創(chuàng)新發(fā)展、依法管理、保障安全的原則。因此，選項(xiàng)A“創(chuàng)新發(fā)展”、選項(xiàng)C“依法管理”和選項(xiàng)D“保障安全”都是正確的，而選項(xiàng)B“分級(jí)應(yīng)用”并不在列出的原則中。所以，正確答案為ACD。42.最高管理層應(yīng)建立信息安全方針，方針應(yīng)（）。A.對(duì)相關(guān)方可用B.包括對(duì)持續(xù)改進(jìn)ISMS的承諾C.包括信息安全目標(biāo)D.與組織意圖相適宜答案：ABCD解析：信息安全方針應(yīng)：對(duì)相關(guān)方可用；包括對(duì)持續(xù)改進(jìn)ISMS的承諾；包括信息安全目標(biāo)；與組織意圖相適宜。這些選項(xiàng)都是信息安全方針應(yīng)包含的內(nèi)容，因此都是正確的選擇。最高管理層應(yīng)確保信息安全方針與組織的整體業(yè)務(wù)目標(biāo)相一致，并且能夠得到相關(guān)方的理解和支持。同時(shí)，信息安全方針還應(yīng)明確組織對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾，以及具體的信息安全目標(biāo)。因此，選項(xiàng)A、B、C和D都是正確的。43.下列哪些屬于網(wǎng)絡(luò)攻擊事件（）。A.釣魚(yú)攻擊B.后門(mén)攻擊事件C.社會(huì)工程攻擊D.DOS攻擊答案：ABCD解析：題目詢問(wèn)哪些屬于網(wǎng)絡(luò)攻擊事件，A選項(xiàng)釣魚(yú)攻擊是一種利用電子郵件和網(wǎng)站進(jìn)行詐騙的網(wǎng)絡(luò)攻擊手段；B選項(xiàng)后門(mén)攻擊事件是指攻擊者利用系統(tǒng)或應(yīng)用程序的漏洞，繞過(guò)安全機(jī)制，獲得對(duì)系統(tǒng)的非法訪問(wèn)權(quán)限；C選項(xiàng)社會(huì)工程攻擊是通過(guò)欺騙、誘導(dǎo)等手段獲取敏感信息或執(zhí)行惡意操作；D選項(xiàng)DOS攻擊是通過(guò)向目標(biāo)系統(tǒng)發(fā)送大量請(qǐng)求，耗盡其資源，使其無(wú)法正常工作。因此，A、B、C、D選項(xiàng)均屬于網(wǎng)絡(luò)攻擊事件。44.依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評(píng)申的信息安全策略包括（）。A.信息備份策略B.訪問(wèn)控制策略C.信息傳輸策略D.密鑰管理策略答案：ABCD解析：《GB/T22080-2008信息安全技術(shù)信息系統(tǒng)安全管理要求》是信息安全領(lǐng)域的重要標(biāo)準(zhǔn)，它規(guī)定了信息安全管理的要求，包括安全策略、安全組織、人員安全管理、資產(chǎn)安全、訪問(wèn)控制、通信安全管理、系統(tǒng)開(kāi)發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理以及符合性管理等多個(gè)方面。其中，信息安全策略是信息安全管理的基礎(chǔ)，它規(guī)定了組織應(yīng)如何管理信息安全，確保信息的機(jī)密性、完整性和可用性。依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括信息備份策略、訪問(wèn)控制策略、信息傳輸策略和密鑰管理策略。因此，選項(xiàng)A、B、C和D都是正確的答案。45.風(fēng)險(xiǎn)處置包括（）。A.風(fēng)險(xiǎn)降低B.風(fēng)險(xiǎn)計(jì)劃C.風(fēng)險(xiǎn)控制D.風(fēng)險(xiǎn)轉(zhuǎn)移答案：AD解析：風(fēng)險(xiǎn)處置主要包括風(fēng)險(xiǎn)降低和風(fēng)險(xiǎn)轉(zhuǎn)移兩種方式。風(fēng)險(xiǎn)降低是指采取措施來(lái)減小風(fēng)險(xiǎn)的發(fā)生概率或減小風(fēng)險(xiǎn)可能造成的損失，如通過(guò)制定安全措施、進(jìn)行培訓(xùn)等；風(fēng)險(xiǎn)轉(zhuǎn)移是指將風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如通過(guò)購(gòu)買保險(xiǎn)將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司。選項(xiàng)B風(fēng)險(xiǎn)計(jì)劃和選項(xiàng)C風(fēng)險(xiǎn)控制并不屬于風(fēng)險(xiǎn)處置的直接方式，而是風(fēng)險(xiǎn)管理中的重要環(huán)節(jié)，因此不應(yīng)選。因此，正確答案為A和D。46.認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)測(cè)，以確保審核組至少具備（）。A.管理體系的知識(shí)B.ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)C.與受審核話動(dòng)相關(guān)的技術(shù)知識(shí)D.信息安全的知識(shí)答案：ABCD解析：根據(jù)題目描述，認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員的背景經(jīng)驗(yàn)，以確保審核組至少具備與管理體系相關(guān)的知識(shí)、ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)、與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)以及信息安全的知識(shí)。因此，選項(xiàng)A、B、C和D都是正確的答案。這些知識(shí)點(diǎn)對(duì)于審核組來(lái)說(shuō)非常重要，因?yàn)樗鼈兛梢詭椭鷮徍私M更好地理解和評(píng)估受審核題：認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員的背景經(jīng)驗(yàn)，以確保審核組至少具備（）。A管理體系的知識(shí)BISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)C與受審核話動(dòng)相關(guān)的技術(shù)知識(shí)D信息安全的知識(shí)答案：A,B,?題：認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員的背景經(jīng)驗(yàn)，以確保審核組至少具備（）。A管理體系的知識(shí)BISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)C與受審核話動(dòng)相關(guān)的技術(shù)知識(shí)D信息安全的知識(shí)答案：A,B,C,D解析：認(rèn)證機(jī)構(gòu)在驗(yàn)證審核組成員的背景經(jīng)驗(yàn)時(shí)，需要確保審核組至少具備與管理體系相關(guān)的知識(shí)、ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)、與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)以及信息安全的知識(shí)。這些都是確保審核組成員具備足夠的專業(yè)知識(shí)和技能，能夠有效地進(jìn)行審核工作的關(guān)鍵要素。因此，選項(xiàng)A、B、C和D都是正確的答案。在審核過(guò)程中，審核組成員需要理解管理體系的運(yùn)作方式，以便能夠評(píng)估其是否符合相關(guān)標(biāo)準(zhǔn)和要求；他們還需要了解ISMS的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)，以便能夠評(píng)估其有效性；同時(shí)，他們還需要具備與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)，以便能夠理解受審核對(duì)象的運(yùn)作方式；最后，信息安全的知識(shí)也是必不可少的，因?yàn)閷徍诉^(guò)程中可能會(huì)涉及到各種信息安全問(wèn)題。因此，選擇A、B、C和D都是確保審核組成員具備足夠?qū)I(yè)知識(shí)和技能的關(guān)鍵要素。47.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)辦理備案手續(xù)。A.省B.自治區(qū)C.直轄市D.特別行政區(qū)答案：ABC解析：根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定，從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向主辦單位所在地的省、自治區(qū)、直轄市電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)辦理備案手續(xù)。因此，正確選項(xiàng)為A省，B自治區(qū)，C直轄市。特別行政區(qū)并不在此列，故D選項(xiàng)不正確。48.按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）。A.局域網(wǎng)B.城域網(wǎng)C.廣域網(wǎng)D.區(qū)域網(wǎng)答案：ABC解析：在計(jì)算機(jī)網(wǎng)絡(luò)的分類中，根據(jù)覆蓋的地理范圍，網(wǎng)絡(luò)可以被劃分為局域網(wǎng)（LocalAreaNetwork，LAN）、城域網(wǎng)（MetropolitanAreaNetwork，MAN）和廣域網(wǎng)（WideAreaNetwork，WAN）。局域網(wǎng)通常覆蓋一個(gè)較小的地理區(qū)域，如辦公室或建筑物。城域網(wǎng)則覆蓋一個(gè)城市或更大的區(qū)域。廣域網(wǎng)則覆蓋更廣泛的地理范圍，如一個(gè)國(guó)家或多個(gè)國(guó)家。因此，選項(xiàng)A、B和C都是正確的。選項(xiàng)D“區(qū)域網(wǎng)”并不是計(jì)算機(jī)網(wǎng)絡(luò)按覆蓋地理范圍的標(biāo)準(zhǔn)分類之一，因此是錯(cuò)誤的。49.操作系統(tǒng)的基本功能有（）。A.存儲(chǔ)管理B.文件管理C.設(shè)備管理D.處理器管理答案：ABCD解析：操作系統(tǒng)的基本功能通常包括存儲(chǔ)管理、文件管理、設(shè)備管理和處理器管理。存儲(chǔ)管理涉及對(duì)主存儲(chǔ)器的管理，如分配、回收和交換等。文件管理則涉及對(duì)文件和目錄的創(chuàng)建、刪除、修改和訪問(wèn)等。設(shè)備管理涉及對(duì)輸入/輸出設(shè)備的控制和管理。處理器管理則涉及對(duì)中央處理器（CPU）的調(diào)度、分配和回收等。因此，選項(xiàng)A、B、C和D都是操作系統(tǒng)的基本功能。50.移動(dòng)設(shè)備策略宜考慮（）。A.移動(dòng)設(shè)備注冊(cè)B.惡意軟件防范C.訪問(wèn)控制D.物理保護(hù)要求答案：ABCD解析：移動(dòng)設(shè)備策略涉及到移動(dòng)設(shè)備的各個(gè)方面，以確保設(shè)備的安全性和管理的有效性。移動(dòng)設(shè)備注冊(cè)是確保設(shè)備能夠被有效管理和控制的基礎(chǔ)；惡意軟件防范是保護(hù)設(shè)備免受惡意軟件攻擊的關(guān)鍵；訪問(wèn)控制是限制對(duì)敏感數(shù)據(jù)的訪問(wèn)，確保數(shù)據(jù)的安全；物理保護(hù)要求則是確保設(shè)備在物理層面上得到保護(hù)，避免丟失或被盜。因此，移動(dòng)設(shè)備策略宜考慮移動(dòng)設(shè)備注冊(cè)、惡意軟件防范、訪問(wèn)控制和物理保護(hù)要求。51.管理評(píng)審的輸出包括（）。A.管理評(píng)審報(bào)告B.持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定C.管理評(píng)審會(huì)議紀(jì)要D.變更信息的安全管理體系任何需求答案：BD解析：管理評(píng)審是組織對(duì)其自身的安全管理體系進(jìn)行定期和系統(tǒng)的評(píng)價(jià)，以確保其持續(xù)適用、充分和有效，并識(shí)別改進(jìn)的機(jī)會(huì)。管理評(píng)審的輸出應(yīng)該包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定，以及可能需要對(duì)安全管理體系進(jìn)行變更的信息和任何需求。管理評(píng)審報(bào)告和會(huì)議紀(jì)要雖然可能是管理評(píng)審過(guò)程中生成的重要文檔，但它們不是管理評(píng)審的直接輸出。因此，選項(xiàng)A“管理評(píng)審報(bào)告”和選項(xiàng)C“管理評(píng)審會(huì)議紀(jì)要”不符合題意。52.根據(jù)ISO/IEC27000，以下說(shuō)法正確的是（）。A.ISMS族包含闡述要求的標(biāo)準(zhǔn)B.ISMS族包含闡述通用概述的標(biāo)準(zhǔn)C.ISMS族包含特定行業(yè)概述的標(biāo)準(zhǔn)D.ISMS族包含闡述ISMS概述和詞匯的標(biāo)準(zhǔn)答案：ACD解析：根據(jù)ISO/IEC27000，信息安全管理標(biāo)準(zhǔn)（ISMS）族包含闡述要求的標(biāo)準(zhǔn)、特定行業(yè)概述的標(biāo)準(zhǔn)以及闡述ISMS概述和詞匯的標(biāo)準(zhǔn)。因此，選項(xiàng)A、C和D是正確的。選項(xiàng)B“ISMS族包含闡述通用概述的標(biāo)準(zhǔn)”并不符合ISO/IEC27000的描述。所以，正確答案是A、C和D。53.信息安全管理中，以下屬于“按需知悉（need-to-know）”原則的是（）。A.根據(jù)工作需要僅獲得最小的知悉權(quán)限B.工作人員僅需要滿牡作路所囑的信息C.工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍D.得到管理者批準(zhǔn)的信息是可訪問(wèn)的信息答案：ABC解析：“按需知悉（need-to-know）”原則指的是在信息安全管理中，員工或用戶僅應(yīng)獲得完成工作所需的最小、最必要的信息。這一原則強(qiáng)調(diào)最小化原則，即僅提供完成工作所需的最少信息。A選項(xiàng)“根據(jù)工作需要僅獲得最小的知悉權(quán)限”符合按需知悉原則，強(qiáng)調(diào)員工僅應(yīng)獲得完成工作所需的最小權(quán)限。B選項(xiàng)“工作人員僅需要滿足工作所需要的信息”同樣符合按需知悉原則，說(shuō)明員工只需要知道完成工作所需的信息，而不是更多的。C選項(xiàng)“工作人員在滿足工作任務(wù)所需要的信息，僅在必要時(shí)才可擴(kuò)大范圍”也符合按需知悉原則，表明員工在滿足工作需求的前提下，只有在必要時(shí)才能擴(kuò)大信息知悉范圍。D選項(xiàng)“得到管理者批準(zhǔn)的信息是可訪問(wèn)的信息”并不直接涉及按需知悉原則，它更多地是關(guān)于信息訪問(wèn)的授權(quán)問(wèn)題，而不是關(guān)于信息知悉的最小化原則。綜上所述，A、B、C選項(xiàng)均符合“按需知悉（need-to-know）”原則，因此應(yīng)選A、B、C。54.ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過(guò)程要形成文件化的信息？（）A.信息安全方針B.信息安全風(fēng)險(xiǎn)處置過(guò)程C.溝通記錄D.信息安全目標(biāo)答案：ABD解析：ISO/IEC27001標(biāo)準(zhǔn)要求形成文件化的信息的過(guò)程包括信息安全方針、信息安全風(fēng)險(xiǎn)處置過(guò)程和信息安全目標(biāo)。這些過(guò)程需要被明確記錄、管理和維護(hù)，以確保組織的信息安全得到充分的保障。因此，選項(xiàng)A、B和D是正確的。選項(xiàng)C“溝通記錄”不是ISO/IEC27001標(biāo)準(zhǔn)要求的必須形成文件化的信息的過(guò)程，所以是不正確的。55.關(guān)于目標(biāo)，下列說(shuō)法正確的是（）。A.目標(biāo)是要實(shí)現(xiàn)的結(jié)果B.目標(biāo)可以是戰(zhàn)略性的、戰(zhàn)術(shù)性的或操作性的C.目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則D.目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品答案：ABCD解析：這道題目考察的是對(duì)目標(biāo)的理解。A選項(xiàng)提到“目標(biāo)是要實(shí)現(xiàn)的結(jié)果”，這是正確的。目標(biāo)通常是我們希望達(dá)到的結(jié)果或成就。B選項(xiàng)說(shuō)“目標(biāo)可以是戰(zhàn)略性的、戰(zhàn)術(shù)性的或操作性的”，這也是正確的。戰(zhàn)略性目標(biāo)通常涉及長(zhǎng)期規(guī)劃和發(fā)展，戰(zhàn)術(shù)性目標(biāo)關(guān)注中期實(shí)施和策略，而操作性目標(biāo)則關(guān)注具體的日常行動(dòng)和步驟。C選項(xiàng)提到“目標(biāo)可以采用不同方式進(jìn)行表示，例如：操作準(zhǔn)則”，這也是正確的。目標(biāo)可以用不同的方式來(lái)表達(dá)，包括具體的操作準(zhǔn)則、指標(biāo)或度量標(biāo)準(zhǔn)。D選項(xiàng)說(shuō)“目標(biāo)可以是不同層次的，例如組織、項(xiàng)目和產(chǎn)品”，這也是正確的。目標(biāo)可以存在于不同的層次，從整個(gè)組織的戰(zhàn)略目標(biāo)到特定項(xiàng)目或產(chǎn)品的具體目標(biāo)。因此，所有選項(xiàng)A、B、C和D都是正確的。判斷題（共10題，共10分）56.ISO/IEC27018是用樂(lè)對(duì)云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)（）。A.正確B.錯(cuò)誤答案：A解析：ISO/IEC27018是云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。ISO/IEC27018是ISO（國(guó)際標(biāo)準(zhǔn)化組織）和IEC（國(guó)際電工委員會(huì)）聯(lián)合發(fā)布的關(guān)于公共云隱私保護(hù)的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供了關(guān)于如何保護(hù)云環(huán)境中個(gè)人信息的指南，包括數(shù)據(jù)收集、存儲(chǔ)、處理、傳輸和刪除等各個(gè)階段的隱