本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2023年01月信息安全管理體系基礎(chǔ)答案及解析單選題（共40題，共80分）1.在信息安全技術(shù)中，涉及信息系統(tǒng)災(zāi)難恢復(fù)，其中“恢復(fù)點(diǎn)目標(biāo)”指（）。A.災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求B.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能項(xiàng)恢復(fù)的范圍C.災(zāi)難發(fā)生后，關(guān)鍵數(shù)據(jù)能被復(fù)原的范圍D.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間答案：A解析：在信息安全技術(shù)中，涉及信息系統(tǒng)災(zāi)難恢復(fù)，其中“恢復(fù)點(diǎn)目標(biāo)”（RecoveryPointObjective，RPO）指的是災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求。因此，選項(xiàng)A“災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求”是正確的。選項(xiàng)B“災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能項(xiàng)恢復(fù)的范圍”是恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective，RTO）的定義，與題目不符。選項(xiàng)C“災(zāi)難發(fā)生后，關(guān)鍵數(shù)據(jù)能被復(fù)原的范圍”和選項(xiàng)D“災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間”都與恢復(fù)點(diǎn)目標(biāo)（RPO）的定義不符。2.關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是（）。A.指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B.指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C.指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D.指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用答案：A解析：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步”要求指的是關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。這一要求旨在確保在關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)過程中，安全技術(shù)措施能夠得到充分的規(guī)劃和實(shí)施，以保障網(wǎng)絡(luò)安全。因此，選項(xiàng)A“指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”是正確的說法。選項(xiàng)B、C、D均不符合這一法律規(guī)定。3.根據(jù)GB/T22080-2016的要求，內(nèi)部審核是為了確保信息安全管理體系（）。A.實(shí)現(xiàn)和維護(hù)的符合性B.實(shí)現(xiàn)和維護(hù)的適宜性C.適宜的實(shí)現(xiàn)和維護(hù)D.有效的實(shí)現(xiàn)和維護(hù)答案：D解析：根據(jù)GB/T22080-2016的要求，內(nèi)部審核是為了確保信息安全管理體系的有效實(shí)現(xiàn)和維護(hù)。內(nèi)部審核是一種評(píng)估信息安全管理體系是否符合組織策略、程序和標(biāo)準(zhǔn)的過程，其目的是驗(yàn)證體系的有效性。因此，正確答案是D選項(xiàng)，即“有效的實(shí)現(xiàn)和維護(hù)”。其他選項(xiàng)A、B、C均不符合該標(biāo)準(zhǔn)的要求。4.國(guó)家秘密的保密期限應(yīng)為：（）A.絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B.絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C.絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D.絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年答案：A解析：根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》的規(guī)定，國(guó)家秘密的保密期限，除另有規(guī)定外，絕密級(jí)不超過三十年，機(jī)密級(jí)不超過二十年，秘密級(jí)不超過十年。因此，選項(xiàng)A“絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年”是正確的。其他選項(xiàng)B、C、D中的描述與法律規(guī)定不符，因此是錯(cuò)誤的。5.GB/T29246標(biāo)準(zhǔn)由（）提出并歸口。A.SC27B.SAC/TC261C.SC40D.SAC/TC260答案：D解析：根據(jù)題目給出的信息，我們需要確定GB/T29246標(biāo)準(zhǔn)是由哪個(gè)組織提出并歸口的。在給出的選項(xiàng)中，ASC27、SAC/TC261、SC40都不是標(biāo)準(zhǔn)提出和歸口的組織，而SAC/TC260是符合題目描述的選項(xiàng)。因此，正確答案是D，即SAC/TC260。6.根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級(jí)。A.3B.6C.5D.4答案：C解析：根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為5個(gè)等級(jí)，分別為：第一級(jí)，自主保護(hù)級(jí)；第二級(jí)，指導(dǎo)保護(hù)級(jí)；第三級(jí)，監(jiān)督保護(hù)級(jí)；第四級(jí)，強(qiáng)制保護(hù)級(jí)；第五級(jí)，專控保護(hù)級(jí)。因此，正確答案為C，即5個(gè)等級(jí)。7.有關(guān)信息安全管理，風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法，主要的優(yōu)勢(shì)在于它確保（）。A.不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會(huì)被實(shí)施B.對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源C.對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D.信息資產(chǎn)過度的保護(hù)答案：C解析：基線方法通?；陬A(yù)設(shè)的、固定的保護(hù)級(jí)別，不考慮資產(chǎn)的實(shí)際價(jià)值或風(fēng)險(xiǎn)。而風(fēng)險(xiǎn)評(píng)估方法則根據(jù)資產(chǎn)的實(shí)際價(jià)值和潛在風(fēng)險(xiǎn)來確定適當(dāng)?shù)谋Ｗo(hù)級(jí)別。這種方法能夠確保對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)，而不是過度或不足的保護(hù)。因此，與基線方法相比，風(fēng)險(xiǎn)評(píng)估方法的主要優(yōu)勢(shì)在于它能夠確保對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)。8.根據(jù)GB/T22080-2016，應(yīng)按照既定的備份策略，對(duì)（）進(jìn)行備份，并定期測(cè)試。A.信息、軟件和系統(tǒng)鏡像B.信息、軟件和數(shù)據(jù)鏡像C.數(shù)據(jù)、信息和軟件D.數(shù)據(jù)、信息和系統(tǒng)鏡像答案：A解析：題目中提到“應(yīng)按照既定的備份策略，對(duì)（）進(jìn)行備份，并定期測(cè)試。”根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，信息安全管理體系（ISMS）要求組織制定并實(shí)施數(shù)據(jù)備份策略，以防止數(shù)據(jù)丟失。在這個(gè)策略中，應(yīng)該明確需要備份的對(duì)象，定期測(cè)試備份的完整性，并確保在發(fā)生問題時(shí)能夠恢復(fù)數(shù)據(jù)。根據(jù)GB/T22080-2016，對(duì)信息、軟件和系統(tǒng)鏡像進(jìn)行備份是符合標(biāo)準(zhǔn)的。因此，選項(xiàng)A“信息、軟件和系統(tǒng)鏡像”是正確的答案。選項(xiàng)B“信息、軟件和數(shù)據(jù)鏡像”和選項(xiàng)C“數(shù)據(jù)、信息和軟件”都沒有明確提到“系統(tǒng)鏡像”，不符合標(biāo)準(zhǔn)的要求。選項(xiàng)D“數(shù)據(jù)、信息和系統(tǒng)鏡像”雖然提到了“系統(tǒng)鏡像”，但“數(shù)據(jù)”和“信息”的描述過于寬泛，不如選項(xiàng)A明確。9.公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開機(jī)密碼少于6位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須6位及以上，那么下列選項(xiàng)中哪一項(xiàng)不是釷對(duì)該問題的糾正措施？（）A.要求員工立即改正B.對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C.通過域控進(jìn)行強(qiáng)制管理D.對(duì)所有員工進(jìn)行意識(shí)教育答案：A解析：公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開機(jī)密碼少于6位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須6位及以上。針對(duì)這個(gè)問題，我們可以分析以下四個(gè)選項(xiàng)：A.要求員工立即改正-這個(gè)選項(xiàng)雖然看似是一個(gè)糾正措施，但實(shí)際上它更像是一個(gè)結(jié)果，而不是一個(gè)糾正措施。糾正措施應(yīng)該是為了預(yù)防或解決問題而采取的行動(dòng)，而“要求員工立即改正”更像是在問題被發(fā)現(xiàn)后的一種反應(yīng)，而不是為了預(yù)防或解決問題而采取的行動(dòng)。B.對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)-這個(gè)選項(xiàng)是一個(gè)有效的糾正措施。通過培訓(xùn)，員工可以學(xué)習(xí)到如何設(shè)置符合公司規(guī)定的密碼，從而避免類似問題的再次發(fā)生。C.通過域控進(jìn)行強(qiáng)制管理-這個(gè)選項(xiàng)也是一個(gè)有效的糾正措施。通過域控進(jìn)行強(qiáng)制管理，可以確保所有員工的計(jì)算機(jī)密碼都符合公司的規(guī)定，從而避免不符合規(guī)定的密碼被使用。D.對(duì)所有員工進(jìn)行意識(shí)教育-這個(gè)選項(xiàng)也是一個(gè)有效的糾正措施。通過意識(shí)教育，可以提高員工對(duì)密碼安全性的認(rèn)識(shí)，使他們更加重視密碼的設(shè)置，從而避免類似問題的發(fā)生。綜上所述，選項(xiàng)A更像是一個(gè)結(jié)果，而不是一個(gè)糾正措施。因此，不是針對(duì)該問題的糾正措施的是A.要求員工立即改正。10.為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過（）。A.服務(wù)水平目標(biāo)（SLO）B.恢復(fù)點(diǎn)目標(biāo)（RPO）C.恢復(fù)時(shí)間目標(biāo)（RTO）D.最長(zhǎng)可接受終端時(shí)間（MAO）答案：B解析：為了達(dá)到組織災(zāi)難恢復(fù)的要求，需要明確恢復(fù)點(diǎn)目標(biāo)（RPO）?；謴?fù)點(diǎn)目標(biāo)（RPO）是指數(shù)據(jù)丟失的最大可接受量，即在災(zāi)難發(fā)生后，恢復(fù)到特定數(shù)據(jù)狀態(tài)所需的最長(zhǎng)時(shí)間。為了保證數(shù)據(jù)的安全性和完整性，備份時(shí)間間隔不能超過恢復(fù)點(diǎn)目標(biāo)（RPO）。因此，選項(xiàng)B“恢復(fù)點(diǎn)目標(biāo)（RPO）”是正確答案。11.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，信息安全控制措施不包括（）。A.安全策略B.物理和環(huán)境安全C.訪問控制D.安全范圍答案：D解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，信息安全控制措施主要包括安全策略、物理和環(huán)境安全、訪問控制等。而選項(xiàng)D“安全范圍”并不屬于信息安全控制措施的內(nèi)容。因此，正確答案為D。12.ISMS關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議的（）系統(tǒng)。A.測(cè)量B.報(bào)告C.傳遞D.評(píng)價(jià)答案：A解析：ISMS（信息安全管理體系）的關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議的測(cè)量系統(tǒng)。評(píng)價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議需要量化指標(biāo)和數(shù)據(jù)進(jìn)行支持，因此需要一個(gè)測(cè)量系統(tǒng)來收集、分析和報(bào)告這些數(shù)據(jù)，以便對(duì)信息安全管理的執(zhí)行情況進(jìn)行評(píng)估和改進(jìn)。報(bào)告、傳遞和評(píng)價(jià)雖然都是信息安全管理體系中的重要環(huán)節(jié)，但都不是專門用于評(píng)價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議的系統(tǒng)。因此，答案為A，即測(cè)量系統(tǒng)。13.殘余風(fēng)險(xiǎn)是指（）。A.風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B.風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C.風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D.風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低答案：D解析：殘余風(fēng)險(xiǎn)是指風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低。在風(fēng)險(xiǎn)評(píng)估和處置過程中，盡管已經(jīng)采取了措施來降低風(fēng)險(xiǎn)，但可能仍然會(huì)存在一些未被完全消除的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)就是殘余風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)的大小不一定比可接受的風(fēng)險(xiǎn)低，因此選項(xiàng)D是正確的。選項(xiàng)A、B描述的是以往活動(dòng)的遺留風(fēng)險(xiǎn)，與題目要求的“風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)”不符；選項(xiàng)C中“比可接受風(fēng)險(xiǎn)低”的表述與題目要求的“不一定比可接受風(fēng)險(xiǎn)低”不符。14.保密性是指（）。A.根據(jù)授權(quán)實(shí)體的要求可訪問的特性B.信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C.保護(hù)信息準(zhǔn)確和完整的特性D.以上都不對(duì)答案：B解析：保密性是指信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性。這是信息安全領(lǐng)域中的一個(gè)重要概念，旨在確保信息僅被授權(quán)的人員或?qū)嶓w訪問和使用，防止未經(jīng)授權(quán)的人員獲取或泄露敏感信息。因此，選項(xiàng)B“信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性”是保密性的定義。其他選項(xiàng)與保密性的定義不符，所以答案為B。15.風(fēng)險(xiǎn)識(shí)別過程中需要識(shí)別的方面包括：資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、（）。A.識(shí)別可能性和影響B(tài).識(shí)別脆弱性和識(shí)別后果C.識(shí)別脆弱性和可能性D.識(shí)別脆弱性和影響答案：B解析：風(fēng)險(xiǎn)識(shí)別過程包括識(shí)別潛在風(fēng)險(xiǎn)的各種方面。從選項(xiàng)中可以看出，題目給出了資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施三個(gè)識(shí)別方向，根據(jù)風(fēng)險(xiǎn)管理的通用知識(shí)，風(fēng)險(xiǎn)識(shí)別還應(yīng)包括識(shí)別脆弱性和識(shí)別后果。因此，正確答案為B選項(xiàng)，即“識(shí)別脆弱性和識(shí)別后果”。16.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定：對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在（）向當(dāng)?shù)乜h級(jí)以上人民政府公安機(jī)關(guān)報(bào)告。A.8小時(shí)內(nèi)B.12小時(shí)內(nèi)C.24小時(shí)內(nèi)D.48小時(shí)內(nèi)答案：C解析：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在24小時(shí)內(nèi)向當(dāng)?shù)乜h級(jí)以上人民政府公安機(jī)關(guān)報(bào)告。因此，正確答案為C選項(xiàng)，即24小時(shí)內(nèi)。17.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，應(yīng)按計(jì)劃的時(shí)間間隔或在重大變化發(fā)生時(shí)，對(duì)對(duì)組織的信息安全管理方法及其實(shí)現(xiàn)進(jìn)行的（）。A.內(nèi)部評(píng)審B.第三方評(píng)審C.系統(tǒng)評(píng)審D.獨(dú)立評(píng)審答案：D解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，組織的信息安全管理方法及其實(shí)現(xiàn)應(yīng)該按計(jì)劃的時(shí)間間隔或在重大變化發(fā)生時(shí)進(jìn)行獨(dú)立評(píng)審。獨(dú)立評(píng)審是一種獨(dú)立的、不受組織內(nèi)部干擾的評(píng)審方式，能夠更客觀地評(píng)估組織的信息安全管理方法及其實(shí)現(xiàn)的有效性、符合性和適宜性。因此，答案為D，即獨(dú)立評(píng)審。18.當(dāng)組織聲稱滿足GB/T22080-2016標(biāo)準(zhǔn)時(shí)，審核中下列哪些章節(jié)不能刪減（）。A.4-7和9-10B.4-10C.4-10和附錄AD.1-10答案：B解析：本題考查的是GB/T22080-2016標(biāo)準(zhǔn)中哪些章節(jié)不能刪減。根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的規(guī)定，審核中不能刪減的章節(jié)包括4-10。因此，選項(xiàng)B“4-10”是正確的答案。選項(xiàng)A“4-7和9-10”中包含了可刪減的章節(jié)9-10，不符合題目要求；選項(xiàng)C“4-10和附錄A”中包含了附錄A，附錄不是標(biāo)準(zhǔn)的正式內(nèi)容，也不能刪減；選項(xiàng)D“1-10”包括了所有章節(jié)，顯然不是正確答案。因此，正確答案是B。19.關(guān)于散布圖，以下說法正確的是：（）A.是描述特性值分布區(qū)間的圖B.是描述一對(duì)變量關(guān)系的圖C.是描述特性隨時(shí)間變化趨勢(shì)的圖D.是描述變量類別分布的圖答案：B解析：散布圖是用來描述一對(duì)變量關(guān)系的圖，它可以揭示兩個(gè)變量之間的相關(guān)關(guān)系，幫助我們判斷變量之間的關(guān)系是否為線性關(guān)系，從而為進(jìn)一步的統(tǒng)計(jì)分析提供依據(jù)。因此，正確選項(xiàng)是B。選項(xiàng)A描述的是特性值分布區(qū)間的圖，選項(xiàng)C描述的是特性隨時(shí)間變化趨勢(shì)的圖，選項(xiàng)D描述的是變量類別分布的圖，這些描述都不符合散布圖的定義和用途。20.ISMS不一定必須保留的文件化信息有（）。A.適用性聲明B.信息安全風(fēng)險(xiǎn)評(píng)估過程記錄C.管理評(píng)審結(jié)果D.重要業(yè)務(wù)系統(tǒng)操作指南答案：D解析：在信息安全管理體系（ISMS）中，文件化信息指的是形成文件的信息及其承載媒體，通常包括信息安全策略、程序、指南、記錄等。對(duì)于是否必須保留的文件化信息，我們需要根據(jù)具體的ISMS標(biāo)準(zhǔn)或指南來確定。A選項(xiàng)“適用性聲明”通常是描述組織如何確保ISMS與組織的業(yè)務(wù)需求相匹配的聲明，對(duì)于確保ISMS的有效性和適用性非常重要，因此通常建議保留。B選項(xiàng)“信息安全風(fēng)險(xiǎn)評(píng)估過程記錄”是信息安全風(fēng)險(xiǎn)評(píng)估過程的證據(jù)，對(duì)于驗(yàn)證組織的風(fēng)險(xiǎn)管理活動(dòng)是否有效非常關(guān)鍵，因此通常也是建議保留的。C選項(xiàng)“管理評(píng)審結(jié)果”是組織對(duì)其ISMS的評(píng)審結(jié)果，用于確定ISMS是否持續(xù)滿足組織的需求和預(yù)期，也是建議保留的重要文件化信息。而D選項(xiàng)“重要業(yè)務(wù)系統(tǒng)操作指南”雖然對(duì)于指導(dǎo)員工正確操作重要業(yè)務(wù)系統(tǒng)非常重要，但它并不是ISMS必須保留的文件化信息。ISMS關(guān)注的是信息安全管理體系本身，而操作指南可能涉及具體的業(yè)務(wù)操作，雖然與信息安全有關(guān)，但不屬于ISMS必須保留的文件化信息。因此，正確答案是D選項(xiàng)“重要業(yè)務(wù)系統(tǒng)操作指南”。21.依據(jù)GB/T22080，信息的標(biāo)記應(yīng)表明：（）A.相關(guān)供應(yīng)商信息、日期、資產(chǎn)序列號(hào)B.其敏感性和關(guān)鍵性的類別和等級(jí)C.所屬部門和批準(zhǔn)人D.信息的性質(zhì)，如軟件、文檔答案：B解析：依據(jù)GB/T22080，信息的標(biāo)記應(yīng)表明其敏感性和關(guān)鍵性的類別和等級(jí)。這是因?yàn)槊舾行院完P(guān)鍵性對(duì)于信息的安全性和保密性至關(guān)重要。了解信息的敏感性和關(guān)鍵性可以幫助組織采取適當(dāng)?shù)拇胧﹣肀Ｗo(hù)信息，防止信息泄露或被未經(jīng)授權(quán)的人員訪問。因此，選項(xiàng)B“其敏感性和關(guān)鍵性的類別和等級(jí)”是正確的答案。22.對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）。A.認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動(dòng)B.其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力C.認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書都符合要求D.認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力答案：B解析：對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)會(huì)證明其具備在特定范圍內(nèi)按照標(biāo)準(zhǔn)從事認(rèn)證活動(dòng)的能力。選項(xiàng)A只描述了認(rèn)證機(jī)構(gòu)能夠開展認(rèn)證活動(dòng)，沒有提到特定范圍和標(biāo)準(zhǔn)，不夠準(zhǔn)確。選項(xiàng)C只涉及認(rèn)證證書，沒有涉及到認(rèn)證機(jī)構(gòu)的能力，與題意不符。選項(xiàng)D雖然提到了認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力，但沒有明確提到是在特定范圍內(nèi)按照標(biāo)準(zhǔn)，所以也不是最準(zhǔn)確的答案。因此，正確答案是B，即其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力。23.根據(jù)ISO/IEC27001中規(guī)定，在決定進(jìn)行第二階段審核之前，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具有（）。A.所需審核組能力的要求B.客戶組織的準(zhǔn)備程度C.所需能力的審核組成員D.客戶組織的場(chǎng)所分布答案：C解析：根據(jù)ISO/IEC27001中的規(guī)定，認(rèn)證機(jī)構(gòu)在決定進(jìn)行第二階段審核之前，需要審查第一階段的審核報(bào)告。這是為了確保第二階段審核的有效性，并基于第一階段的審核結(jié)果來選擇合適的審核組成員。因此，認(rèn)證機(jī)構(gòu)應(yīng)為第二階段選擇具有所需能力的審核組成員，以確保審核的準(zhǔn)確性和有效性。選項(xiàng)A、B、D雖然都是重要的考慮因素，但并不是決定第二階段審核前需要審查第一階段審核報(bào)告的主要原因。因此，正確答案為C，即“所需能力的審核組成員”。24.《信息安全等級(jí)保護(hù)管理辦法》規(guī)定的5級(jí)是信息系統(tǒng)受到破壞后會(huì)對(duì)（）造成嚴(yán)重?fù)p害。A.國(guó)家安全B.公共利益C.公民、法人和其他組織的合法權(quán)益D.社會(huì)秩序答案：A解析：根據(jù)《信息安全等級(jí)保護(hù)管理辦法》的規(guī)定，信息系統(tǒng)的安全等級(jí)保護(hù)級(jí)別分為5級(jí)，其中第五級(jí)（專控保護(hù)級(jí)）表示信息系統(tǒng)受到破壞后會(huì)對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。因此，選項(xiàng)A“國(guó)家安全”是正確的答案。其他選項(xiàng)如“公共利益”、“公民、法人和其他組織的合法權(quán)益”和“社會(huì)秩序”雖然都是重要的，但在此情境下并不是最符合規(guī)定的選項(xiàng)。25.有關(guān)數(shù)據(jù)中心機(jī)房中，支持性基礎(chǔ)設(shè)施不包括（）。A.空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)B.消防、防雷設(shè)施C.網(wǎng)絡(luò)設(shè)備D.供電、通信設(shè)施答案：C解析：在數(shù)據(jù)中心機(jī)房中，支持性基礎(chǔ)設(shè)施通常指的是為確保機(jī)房設(shè)備正常運(yùn)行和人員安全所需的各項(xiàng)設(shè)施。選項(xiàng)中A、B、D所述內(nèi)容均屬于支持性基礎(chǔ)設(shè)施，如空調(diào)及新風(fēng)系統(tǒng)用于維持機(jī)房?jī)?nèi)的適宜環(huán)境，水氣暖供應(yīng)系統(tǒng)提供必要的能源，消防、防雷設(shè)施確保人員和設(shè)備的安全，供電、通信設(shè)施則是機(jī)房運(yùn)行的基礎(chǔ)。而選項(xiàng)C“網(wǎng)絡(luò)設(shè)備”不屬于支持性基礎(chǔ)設(shè)施，而是機(jī)房?jī)?nèi)部運(yùn)行的核心設(shè)備，因此正確答案為C。26.TCP/IP協(xié)議層次結(jié)構(gòu)由（）。A.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D.其他選項(xiàng)均不正確答案：C解析：TCP/IP協(xié)議層次結(jié)構(gòu)包括網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。這個(gè)協(xié)議層次結(jié)構(gòu)被廣泛應(yīng)用于互聯(lián)網(wǎng)和計(jì)算機(jī)網(wǎng)絡(luò)中，它定義了在不同層之間通信的方式和標(biāo)準(zhǔn)。其中，網(wǎng)絡(luò)接口層負(fù)責(zé)將數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)上，網(wǎng)絡(luò)層負(fù)責(zé)數(shù)據(jù)包在網(wǎng)絡(luò)中的路由和傳輸，傳輸層負(fù)責(zé)數(shù)據(jù)在源和目的節(jié)點(diǎn)之間的傳輸，應(yīng)用層負(fù)責(zé)處理應(yīng)用程序之間的通信。因此，選項(xiàng)C“網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成”是正確的。27.被黑客控制的計(jì)算機(jī)常被稱為（）。A.蠕蟲B.肉雞C.灰鴿子D.木馬答案：B解析：在網(wǎng)絡(luò)安全領(lǐng)域中，被黑客控制的計(jì)算機(jī)通常被稱為“肉雞”，這是因?yàn)檫@些計(jì)算機(jī)被黑客利用來進(jìn)行各種非法活動(dòng)，如發(fā)送垃圾郵件、進(jìn)行DDoS攻擊等。而蠕蟲、灰鴿子、木馬等術(shù)語在網(wǎng)絡(luò)安全中雖然也有特定的含義，但與“肉雞”相比，它們并不特指被黑客控制的計(jì)算機(jī)。因此，正確答案是B選項(xiàng)，即“肉雞”。28.形成ISMS審核發(fā)現(xiàn)時(shí)，不需要考慮的是（）。A.所實(shí)施控制措施與適用性聲明的符合性B.適用性聲明的完備性和適宜性C.所實(shí)施控制措施的時(shí)效性D.所實(shí)施控制措施的有效性答案：C解析：在形成ISMS（信息安全管理體系）審核發(fā)現(xiàn)時(shí)，我們需要考慮控制措施與適用性聲明的符合性、適用性聲明的完備性和適宜性以及所實(shí)施控制措施的有效性。然而，所實(shí)施控制措施的時(shí)效性并不是審核發(fā)現(xiàn)時(shí)需要考慮的因素。因此，選項(xiàng)C“所實(shí)施控制措施的時(shí)效性”是不需要考慮的。29.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)系統(tǒng)獲取、開發(fā)和維護(hù)過程中的安全問題，以下描述錯(cuò)誤的是（）。A.運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)將帶來很大的安全風(fēng)險(xiǎn)B.系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理C.系統(tǒng)的獲取、開發(fā)和維護(hù)過程中的安全問題，不僅僅是考慮提供一個(gè)安全的開發(fā)環(huán)境，同時(shí)還要考慮開發(fā)出安全的系統(tǒng)D.系統(tǒng)的開發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好答案：B解析：在GB/T22080-2016標(biāo)準(zhǔn)中，控制措施要求系統(tǒng)獲取、開發(fā)和維護(hù)過程中的安全問題。針對(duì)選項(xiàng)B，它提到“系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理”。然而，加密技術(shù)的應(yīng)用并不僅僅是選擇密碼算法，密鑰的管理同樣至關(guān)重要。一個(gè)安全的加密系統(tǒng)需要同時(shí)考慮密碼算法和密鑰的管理。因此，選項(xiàng)B的描述是錯(cuò)誤的。對(duì)于選項(xiàng)A，運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)確實(shí)會(huì)帶來很大的安全風(fēng)險(xiǎn)，因?yàn)闇y(cè)試過程中可能引發(fā)數(shù)據(jù)泄露或系統(tǒng)崩潰等問題。選項(xiàng)C強(qiáng)調(diào)了在系統(tǒng)獲取、開發(fā)和維護(hù)過程中，不僅要提供一個(gè)安全的開發(fā)環(huán)境，還要確保開發(fā)出安全的系統(tǒng)，這是符合標(biāo)準(zhǔn)要求的。選項(xiàng)D指出系統(tǒng)的開發(fā)設(shè)計(jì)應(yīng)盡早考慮系統(tǒng)的安全需求，這也是符合標(biāo)準(zhǔn)的建議。綜上所述，選項(xiàng)B的描述是錯(cuò)誤的。30.A公司財(cái)務(wù)管理數(shù)據(jù)只能提供給授權(quán)的用戶，安全管理采取措施確保不能被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉，這樣就可以確保數(shù)據(jù)的哪個(gè)方面的安全性得到保障（）。A.保密性B.完整性C.可用性D.穩(wěn)定性答案：A解析：題目描述了一個(gè)公司財(cái)務(wù)管理數(shù)據(jù)只能提供給授權(quán)的用戶，并且采取了安全管理措施來確保數(shù)據(jù)不會(huì)被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉。這種措施的主要目的是確保數(shù)據(jù)不被未經(jīng)授權(quán)的人員獲取，從而保護(hù)數(shù)據(jù)的保密性。因此，正確答案是A，即保密性。31.按照PDCA思路進(jìn)行審核，是指（）。A.按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核B.按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核C.按照受審核區(qū)域活動(dòng)的PDCA過程進(jìn)行審核D.按照檢查表策劃的PDCA進(jìn)行審核答案：C解析：PDCA循環(huán)是質(zhì)量管理中的一個(gè)重要工具，包括計(jì)劃（Plan）、執(zhí)行（Do）、檢查（Check）和行動(dòng)（Act）四個(gè)階段。按照PDCA思路進(jìn)行審核，意味著審核應(yīng)該按照被審核區(qū)域活動(dòng)的PDCA過程進(jìn)行，這樣可以確保審核的完整性和系統(tǒng)性。選項(xiàng)A、B和D都沒有明確指出按照被審核區(qū)域活動(dòng)的PDCA過程進(jìn)行審核，只有選項(xiàng)C明確提到了這一點(diǎn)，因此選項(xiàng)C是正確的。32.某數(shù)據(jù)中心申請(qǐng)ISMS認(rèn)證的范圍為“IDC基礎(chǔ)設(shè)施服務(wù)的提供”，對(duì)此以下說法正確的是（）。A.A.8可以刪減B.A.12可以刪減C.A.14可以刪減D.以上都對(duì)答案：C解析：根據(jù)題目中的描述，數(shù)據(jù)中心申請(qǐng)ISMS認(rèn)證的范圍為“IDC基礎(chǔ)設(shè)施服務(wù)的提供”。ISMS認(rèn)證通常要求涵蓋組織的信息安全管理體系的各個(gè)方面，包括策略、過程、技術(shù)和人員等。對(duì)于題目中的選項(xiàng)，A.8、A.12和A.14是否可以刪減，需要具體參考ISMS認(rèn)證的相關(guān)標(biāo)準(zhǔn)和規(guī)范。由于題目沒有提供具體的標(biāo)準(zhǔn)和規(guī)范內(nèi)容，無法直接判斷哪個(gè)選項(xiàng)是正確的。因此，需要更多的背景信息或上下文來確定正確答案。在沒有更多信息的情況下，無法確定A.8、A.12和A.14是否可以刪減，因此選項(xiàng)D“以上都對(duì)”顯然是不正確的。唯一可以確定的是，如果題目中有關(guān)于這些條款是否可以刪減的明確標(biāo)準(zhǔn)或規(guī)定，那么選項(xiàng)C“A.14可以刪減”可能是正確的。因此，正確答案是C。然而，需要注意的是，這個(gè)答案是基于題目中的信息和常識(shí)推測(cè)得出的，并不一定準(zhǔn)確，因?yàn)槿狈唧w的背景信息。33.下列說法不正確的是（）。A.殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B.適用性聲明需要包含必要的控制及其選擇的合理性說明C.所有的信息安全活動(dòng)都必須有記錄D.組織控制下的員工應(yīng)了解信息安全方針答案：C解析：A選項(xiàng)提到“殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)”，這是正確的，因?yàn)闅堄囡L(fēng)險(xiǎn)是指即使采取了控制措施后仍然存在的風(fēng)險(xiǎn)，需要得到相關(guān)責(zé)任人的審批。B選項(xiàng)提到“適用性聲明需要包含必要的控制及其選擇的合理性說明”，這也是正確的，適用性聲明是對(duì)控制措施適用性的聲明，其中必須包含對(duì)控制措施及其選擇的合理性說明。D選項(xiàng)表示“組織控制下的員工應(yīng)了解信息安全方針”，這也是正確的，因?yàn)閱T工了解信息安全方針是確保信息安全的重要前提。而C選項(xiàng)“所有的信息安全活動(dòng)都必須有記錄”是不正確的。雖然信息安全活動(dòng)應(yīng)該盡可能地進(jìn)行記錄，但并不是所有的信息安全活動(dòng)都需要有記錄。有些活動(dòng)可能由于各種原因（如涉及敏感信息或?qū)崟r(shí)處理等）而不適合或無法進(jìn)行記錄。因此，C選項(xiàng)是不正確的。34.關(guān)于信息安全“連續(xù)性”，以下說法正確的是：（）A.信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性B.信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分C.信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備D.信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定答案：B解析：信息安全連續(xù)性應(yīng)該是指信息系統(tǒng)的持續(xù)運(yùn)行和保障業(yè)務(wù)連續(xù)性的一種能力。它是組織業(yè)務(wù)連續(xù)性的重要組成部分，而不僅僅是IT設(shè)備運(yùn)行的連續(xù)性。因此，選項(xiàng)B“信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分”是正確的。選項(xiàng)A“信息安全連續(xù)性即IT設(shè)備運(yùn)行的連續(xù)性”過于狹隘，沒有涵蓋業(yè)務(wù)連續(xù)性的更廣泛含義。選項(xiàng)C“信息處理設(shè)施的冗余即指兩個(gè)或多個(gè)服務(wù)器互備”雖然涉及到冗余，但并未涉及到信息安全連續(xù)性的整體概念。選項(xiàng)D“信息安全連續(xù)性指標(biāo)由IT系統(tǒng)的性能決定”過于片面，信息安全連續(xù)性還包括其他因素，如人員、流程等。35.A公司的機(jī)房有一扇臨街的窗戶，下列風(fēng)險(xiǎn)描述中哪個(gè)風(fēng)險(xiǎn)與該種情況無關(guān)？（）A.機(jī)房設(shè)備面臨被盜的風(fēng)險(xiǎn)B.機(jī)房設(shè)備面臨受破壞的風(fēng)險(xiǎn)C.機(jī)房設(shè)備面臨灰塵的風(fēng)險(xiǎn)D.機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)答案：D解析：題目描述的是A公司的機(jī)房有一扇臨街的窗戶，我們需要找出與這種情況無關(guān)的風(fēng)險(xiǎn)。A選項(xiàng)提到機(jī)房設(shè)備面臨被盜的風(fēng)險(xiǎn)，這是合理的，因?yàn)榕R街的窗戶可能給不法分子提供了進(jìn)入機(jī)房的機(jī)會(huì)，從而盜取設(shè)備。B選項(xiàng)提到機(jī)房設(shè)備面臨受破壞的風(fēng)險(xiǎn)，這也是可能的，因?yàn)榕R街的窗戶可能受到外部因素（如天氣、人為破壞等）的影響，導(dǎo)致設(shè)備受損。C選項(xiàng)提到機(jī)房設(shè)備面臨灰塵的風(fēng)險(xiǎn)，這也是相關(guān)的。臨街的窗戶可能會(huì)讓灰塵進(jìn)入機(jī)房，對(duì)設(shè)備造成損害。D選項(xiàng)提到機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)，這與臨街的窗戶關(guān)系不大。人員誤入通常指的是非授權(quán)人員進(jìn)入機(jī)房，而臨街的窗戶雖然可能給外部人員提供進(jìn)入的機(jī)會(huì)，但并不直接導(dǎo)致人員誤入。人員誤入的風(fēng)險(xiǎn)更多地與機(jī)房的門禁系統(tǒng)、標(biāo)識(shí)等安全措施有關(guān)。因此，與臨街的窗戶情況無關(guān)的風(fēng)險(xiǎn)是D選項(xiàng)，即機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)。36.信息安全管理體系標(biāo)準(zhǔn)族中關(guān)于信息安全管理體系建設(shè)指南的標(biāo)準(zhǔn)是（）。A.ISO/IEC27003B.ISO/IEC27004C.ISO/IEC27005D.ISO/IEC27002答案：A解析：信息安全管理體系標(biāo)準(zhǔn)族中，關(guān)于信息安全管理體系建設(shè)指南的標(biāo)準(zhǔn)是ISO/IEC27003。ISO/IEC27003為信息安全管理體系提供了實(shí)踐指南，旨在幫助組織建立、實(shí)施、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系。因此，正確答案是A。37.GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于（）。A.資產(chǎn)的價(jià)格B.資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度C.資產(chǎn)的折損率D.資產(chǎn)對(duì)于技術(shù)的實(shí)現(xiàn)程度答案：B解析：根據(jù)GB/T22080標(biāo)準(zhǔn)，資產(chǎn)的價(jià)值取決于資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度。這是因?yàn)橘Y產(chǎn)對(duì)于業(yè)務(wù)的重要性決定了其在業(yè)務(wù)運(yùn)營(yíng)中的價(jià)值。資產(chǎn)的價(jià)格、折損率以及對(duì)于技術(shù)的實(shí)現(xiàn)程度雖然都是評(píng)估資產(chǎn)價(jià)值的重要因素，但在該標(biāo)準(zhǔn)中，資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度被認(rèn)為是決定資產(chǎn)價(jià)值的核心因素。因此，正確答案為B。38.A公司進(jìn)行風(fēng)險(xiǎn)評(píng)估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患，為了處置這個(gè)風(fēng)險(xiǎn)，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）。A.風(fēng)險(xiǎn)接受B.風(fēng)險(xiǎn)規(guī)避C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩答案：B解析：風(fēng)險(xiǎn)規(guī)避是指通過避免潛在風(fēng)險(xiǎn)的活動(dòng)或決策來消除風(fēng)險(xiǎn)。在這個(gè)問題中，公司發(fā)現(xiàn)無線網(wǎng)絡(luò)存在大的安全隱患，為了處置這個(gè)風(fēng)險(xiǎn)，公司決定不再提供無線網(wǎng)絡(luò)用于辦公，這是一種避免風(fēng)險(xiǎn)的行為，因此屬于風(fēng)險(xiǎn)規(guī)避。所以，正確答案是B，即風(fēng)險(xiǎn)規(guī)避。39.《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)的安全保護(hù)等級(jí)分為（）級(jí)。A.五級(jí)B.四級(jí)C.二級(jí)D.三級(jí)答案：A解析：《信息安全等級(jí)保護(hù)管理辦法》中，信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)，分別是第一級(jí)（自主保護(hù)）、第二級(jí)（指導(dǎo)保護(hù)）、第三級(jí)（監(jiān)督保護(hù)）、第四級(jí)（強(qiáng)制保護(hù)）和第五級(jí)（?？乇Ｗo(hù)）。所以，本題的正確答案是A，即五級(jí)。40.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)附錄A有（）安全域。A.18個(gè)B.16個(gè)C.15個(gè)D.14個(gè)答案：D解析：根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)附錄A，安全域的數(shù)量是14個(gè)，因此正確答案為D。在信息安全管理體系中，安全域是指具有相同或相似的安全需求、受相同或相似安全威脅的資產(chǎn)集合。GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)附錄A詳細(xì)描述了這些安全域，并給出了每個(gè)安全域的定義和范圍。因此，了解這些安全域?qū)τ诮⒂行У男畔踩芾眢w系至關(guān)重要。多選題（共15題，共30分）41.管理評(píng)審的輸出包括（）。A.管理評(píng)審報(bào)造B.持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定C.管理評(píng)審會(huì)議紀(jì)要D.變更信息的安全管理體系任何需求答案：BD解析：管理評(píng)審的輸出是管理評(píng)審活動(dòng)結(jié)束后，由最高管理者或其授權(quán)人員根據(jù)評(píng)審輸入信息，經(jīng)過系統(tǒng)的評(píng)審活動(dòng)，作出的關(guān)于安全管理體系及其過程的有效性和效率等方面的綜合評(píng)價(jià)結(jié)論。根據(jù)管理評(píng)審的通常做法，管理評(píng)審的輸出至少應(yīng)包括對(duì)持續(xù)改進(jìn)機(jī)會(huì)、管理體系變更的需要、資源需求等作出的相關(guān)決定。所以，持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定和變更信息的安全管理體系任何需求都屬于管理評(píng)審的輸出。因此，正確答案為B、D。而選項(xiàng)A“管理評(píng)審報(bào)造”和C“管理評(píng)審會(huì)議紀(jì)要”都不是管理評(píng)審輸出的正確選項(xiàng)。A選項(xiàng)中“報(bào)造”顯然不是專業(yè)術(shù)語，可能是輸入錯(cuò)誤；C選項(xiàng)中的“管理評(píng)審會(huì)議紀(jì)要”雖然與管理評(píng)審有關(guān)，但它并不是管理評(píng)審的輸出，而是管理評(píng)審過程中的一種記錄或文件。42.風(fēng)險(xiǎn)處置的可選措施包括（）。A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩答案：CD解析：題目要求列出風(fēng)險(xiǎn)處置的可選措施。風(fēng)險(xiǎn)處置通常包括風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)減緩兩種策略。風(fēng)險(xiǎn)轉(zhuǎn)移是將風(fēng)險(xiǎn)從一個(gè)實(shí)體轉(zhuǎn)移到另一個(gè)實(shí)體，例如通過保險(xiǎn)或合同將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方。風(fēng)險(xiǎn)減緩則是通過采取措施來降低風(fēng)險(xiǎn)的可能性或影響，例如改進(jìn)安全措施或增加備份系統(tǒng)。因此，正確答案是風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)減緩，即選項(xiàng)C和D。選項(xiàng)A風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)管理的第一步，涉及識(shí)別和記錄潛在的風(fēng)險(xiǎn)，但不屬于風(fēng)險(xiǎn)處置措施。選項(xiàng)B風(fēng)險(xiǎn)分析是對(duì)風(fēng)險(xiǎn)進(jìn)行定量或定性評(píng)估的過程，也不屬于風(fēng)險(xiǎn)處置措施。43.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A.建設(shè)B.運(yùn)營(yíng)C.維護(hù)D.使用答案：ABCD解析：根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定，該法適用于在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)、使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。因此，選項(xiàng)A、B、C、D都是正確的。44.依據(jù)GB/T22080，建立風(fēng)險(xiǎn)評(píng)估過程，包括（）。A.明確風(fēng)險(xiǎn)評(píng)估的職責(zé)B.定義風(fēng)險(xiǎn)接收準(zhǔn)則C.定義風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則D.編寫風(fēng)險(xiǎn)評(píng)估程序答案：BC解析：在依據(jù)GB/T22080建立風(fēng)險(xiǎn)評(píng)估過程時(shí)，根據(jù)題目中的選項(xiàng)，我們需要判斷哪些內(nèi)容是風(fēng)險(xiǎn)評(píng)估過程應(yīng)包括的部分。A.明確風(fēng)險(xiǎn)評(píng)估的職責(zé)：這個(gè)選項(xiàng)涉及的是風(fēng)險(xiǎn)評(píng)估過程中的人員分配和職責(zé)明確，雖然重要，但不是建立風(fēng)險(xiǎn)評(píng)估過程的直接內(nèi)容。B.定義風(fēng)險(xiǎn)接收準(zhǔn)則：這是風(fēng)險(xiǎn)評(píng)估過程中的關(guān)鍵部分，它定義了組織愿意接受的風(fēng)險(xiǎn)水平，為評(píng)估風(fēng)險(xiǎn)提供了參考標(biāo)準(zhǔn)。C.定義風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則：這部分定義了如何實(shí)施風(fēng)險(xiǎn)評(píng)估，包括評(píng)估的方法、步驟和工具等，是風(fēng)險(xiǎn)評(píng)估過程的核心。D.編寫風(fēng)險(xiǎn)評(píng)估程序：雖然編寫程序是風(fēng)險(xiǎn)評(píng)估過程的一部分，但它更多地是實(shí)施準(zhǔn)則的具體化，而不是建立風(fēng)險(xiǎn)評(píng)估過程的直接內(nèi)容。綜上所述，依據(jù)GB/T22080建立風(fēng)險(xiǎn)評(píng)估過程應(yīng)包括B.定義風(fēng)險(xiǎn)接收準(zhǔn)則和C.定義風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則。因此，答案選B和C。45.含有高等級(jí)敏感信息的設(shè)備的處置可采?。ǎ.采取使原始信息不可獲取的技術(shù)破壞或刪除B.多次的安全寫覆蓋C.徹底摧毀D.格式化處理答案：ABC解析：根據(jù)題目，需要選擇適合處置含有高等級(jí)敏感信息的設(shè)備的措施。敏感信息的高等級(jí)意味著信息的重要性和敏感性非常高，需要采取強(qiáng)有力的措施確保信息不被泄露或被不當(dāng)獲取。A選項(xiàng)提到“采取使原始信息不可獲取的技術(shù)破壞或刪除”，這種技術(shù)破壞或刪除的方式能夠確保原始信息無法被獲取，從而達(dá)到保護(hù)敏感信息的目的。B選項(xiàng)“多次的安全寫覆蓋”也是一種有效的措施。通過多次的安全寫覆蓋，可以覆蓋原有的敏感信息，使其無法被恢復(fù)，從而保護(hù)敏感信息的安全。C選項(xiàng)“徹底摧毀”也是一種選擇。徹底摧毀設(shè)備可以確保設(shè)備上的敏感信息無法被任何人獲取，從而達(dá)到保護(hù)敏感信息的目的。D選項(xiàng)“格式化處理”雖然可以清除設(shè)備上的部分信息，但不一定能夠確保敏感信息被完全清除，因此不是最佳的選擇。綜上所述，A、B和C選項(xiàng)都是適合處置含有高等級(jí)敏感信息的設(shè)備的措施，因此正確答案是A、B和C。46.可被視為可靠的電子簽名，須同時(shí)符合以下條件（）。A.簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)B.簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制C.簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)D.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有答案：ABCD解析：根據(jù)《電子簽名法》的規(guī)定，可被視為可靠的電子簽名須符合以下四個(gè)條件：A.簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)這是為了保證簽名的不可篡改性，確保簽名在簽署后不會(huì)被非法修改。B.簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制這確保了簽名的唯一性和責(zé)任歸屬，只有電子簽名人能夠制作并使用其電子簽名。C.簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)這保證了數(shù)據(jù)電文在簽署后的完整性，任何對(duì)數(shù)據(jù)電文內(nèi)容和形式的改動(dòng)都能夠被發(fā)現(xiàn)。D.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有這確保了電子簽名制作數(shù)據(jù)的專屬性，只有電子簽名人能夠使用其電子簽名制作數(shù)據(jù)進(jìn)行簽名。因此，選項(xiàng)A、B、C和D都是可靠的電子簽名所必須滿足的條件。47.組織在風(fēng)險(xiǎn)處置過程中所選的控制措施需（）。A.將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移C.在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)D.規(guī)避風(fēng)險(xiǎn)答案：BCD解析：在風(fēng)險(xiǎn)處置過程中，組織需要選擇適當(dāng)?shù)目刂拼胧﹣響?yīng)對(duì)風(fēng)險(xiǎn)。這些控制措施可以是降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)或規(guī)避風(fēng)險(xiǎn)。對(duì)于A選項(xiàng)“將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別”，這過于絕對(duì)，因?yàn)橛行╋L(fēng)險(xiǎn)可能無法完全降低，或者降低風(fēng)險(xiǎn)的成本可能過高。對(duì)于B選項(xiàng)“可以將風(fēng)險(xiǎn)轉(zhuǎn)移”，這是風(fēng)險(xiǎn)處置的一種有效方式，例如通過購買保險(xiǎn)來轉(zhuǎn)移財(cái)務(wù)風(fēng)險(xiǎn)。對(duì)于C選項(xiàng)“在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)”，這是組織在評(píng)估風(fēng)險(xiǎn)后，根據(jù)自身的承受能力和策略，有意識(shí)地接受某些風(fēng)險(xiǎn)。對(duì)于D選項(xiàng)“規(guī)避風(fēng)險(xiǎn)”，這也是風(fēng)險(xiǎn)處置的一種方式，特別是在風(fēng)險(xiǎn)過大或無法有效管理的情況下。因此，選項(xiàng)B、C和D都是正確的。48.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)設(shè)備安全的相關(guān)行為，適當(dāng)?shù)氖牵ǎ?。A.保護(hù)設(shè)備不受電力故障及其他電力異常影響B(tài).應(yīng)保護(hù)設(shè)備降低來自環(huán)境的威脅及災(zāi)害C.設(shè)備報(bào)廢前將信息安全清除D.保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電源與通訊纜線，以防止竊聽或破壞答案：ABCD解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)設(shè)備安全的相關(guān)行為，適當(dāng)?shù)挠校篈.保護(hù)設(shè)備不受電力故障及其他電力異常影響-這是確保設(shè)備在電力故障或異常情況下能夠正常運(yùn)行，避免設(shè)備損壞或數(shù)據(jù)丟失的重要措施。B.應(yīng)保護(hù)設(shè)備降低來自環(huán)境的威脅及災(zāi)害-這涉及到設(shè)備的環(huán)境適應(yīng)性，確保設(shè)備在惡劣環(huán)境下能夠穩(wěn)定運(yùn)行，減少因自然災(zāi)害或環(huán)境因素導(dǎo)致的設(shè)備故障。C.設(shè)備報(bào)廢前將信息安全清除-這是確保設(shè)備報(bào)廢后，其中的敏感信息不會(huì)被泄露或?yàn)E用，保護(hù)信息安全的重要步驟。D.保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電源與通訊纜線，以防止竊聽或破壞-這是確保數(shù)據(jù)傳輸和通訊安全的關(guān)鍵措施，防止數(shù)據(jù)被非法竊取或破壞。因此，選項(xiàng)A、B、C和D都是適當(dāng)?shù)脑O(shè)備安全相關(guān)行為。49.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于（）。A.指導(dǎo)組織建立信息安全管理體系B.為組織建立信息安全管理體系提供控制措施的實(shí)施指南C.審核員實(shí)施審核的依據(jù)D.評(píng)估組織建立信息安全管理體系提供控制措施的實(shí)施指南答案：AC解析：GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)主要用于指導(dǎo)組織建立信息安全管理體系，并為審核員實(shí)施審核提供依據(jù)。因此，選項(xiàng)A“指導(dǎo)組織建立信息安全管理體系”和選項(xiàng)C“審核員實(shí)施審核的依據(jù)”是正確的。選項(xiàng)B“為組織建立信息安全管理體系提供控制措施的實(shí)施指南”和選項(xiàng)D“評(píng)估組織建立信息安全管理體系提供控制措施的實(shí)施指南”不是該標(biāo)準(zhǔn)的主要用途，因此是錯(cuò)誤的。50.設(shè)計(jì)一個(gè)信息安全風(fēng)險(xiǎn)管理工具，應(yīng)包括如下模塊（）。A.資產(chǎn)識(shí)別與分析B.漏洞識(shí)別與分析C.風(fēng)險(xiǎn)趨勢(shì)分析D.信息安全事件管理流程答案：ABCD解析：信息安全風(fēng)險(xiǎn)管理工具應(yīng)該包含資產(chǎn)識(shí)別與分析、漏洞識(shí)別與分析、風(fēng)險(xiǎn)趨勢(shì)分析和信息安全事件管理流程等模塊。資產(chǎn)識(shí)別與分析模塊用于識(shí)別和評(píng)估組織的信息資產(chǎn)，包括硬件、軟件、數(shù)據(jù)等；漏洞識(shí)別與分析模塊用于發(fā)現(xiàn)和評(píng)估系統(tǒng)中存在的安全漏洞，以便及時(shí)采取修復(fù)措施；風(fēng)險(xiǎn)趨勢(shì)分析模塊用于分析信息安全風(fēng)險(xiǎn)的變化趨勢(shì)，幫助決策者制定有效的風(fēng)險(xiǎn)管理策略；信息安全事件管理流程模塊用于規(guī)范信息安全事件的響應(yīng)和處理流程，確保在發(fā)生安全事件時(shí)能夠迅速、有效地應(yīng)對(duì)。因此，選項(xiàng)A、B、C、D都是信息安全風(fēng)險(xiǎn)管理工具應(yīng)該包含的模塊。51.依據(jù)GB/Z20986，確定為嚴(yán)重的系統(tǒng)損失的情況包括（）A.系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力B.系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞C.恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需代價(jià)較大D.恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件所需付出的代價(jià)對(duì)于事發(fā)組織是可承受的答案：BD解析：首先，我們來分析題目中的選項(xiàng)：A.系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力-這個(gè)描述的是系統(tǒng)癱瘓的嚴(yán)重程度，但題目要求的是依據(jù)GB/Z20986確定為嚴(yán)重的系統(tǒng)損失的情況，所以我們需要查看GB/Z20986中的相關(guān)規(guī)定。B.系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞-這個(gè)選項(xiàng)直接涉及到了系統(tǒng)數(shù)據(jù)的安全性問題，是符合GB/Z20986對(duì)嚴(yán)重系統(tǒng)損失的定義的。C.恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需代價(jià)較大-這個(gè)選項(xiàng)描述的是恢復(fù)系統(tǒng)所需的代價(jià)，但題目要求的是嚴(yán)重的系統(tǒng)損失，所以我們需要查看是否這個(gè)代價(jià)大到被認(rèn)為是嚴(yán)重的損失。D.恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件所需付出的代價(jià)對(duì)于事發(fā)組織是可承受的-這個(gè)選項(xiàng)描述的是代價(jià)的可承受性，與嚴(yán)重的系統(tǒng)損失的定義不符。綜上，根據(jù)題目要求和GB/Z20986的規(guī)定，確定為嚴(yán)重的系統(tǒng)損失的情況包括系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞。因此，正確答案是B。52.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)（）類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度。A.新聞、出版B.醫(yī)療、保健C.知識(shí)類D.教育類答案：ABD解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》是為了規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動(dòng)，促進(jìn)互聯(lián)網(wǎng)信息服務(wù)健康有序發(fā)展，維護(hù)國(guó)家安全和社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益而制定的法規(guī)。根據(jù)該法規(guī)，互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營(yíng)性和非經(jīng)營(yíng)性兩類。對(duì)于新聞、出版、醫(yī)療保健、藥品和醫(yī)療器械等關(guān)系國(guó)家利益和社會(huì)公共利益的系統(tǒng)使用的互聯(lián)網(wǎng)信息服務(wù)，以及生產(chǎn)建設(shè)經(jīng)營(yíng)單位使用并形成向社會(huì)公眾提供互聯(lián)網(wǎng)信息服務(wù)的系統(tǒng)，需要經(jīng)主管部門或者主管單位審核同意后，才能由互聯(lián)網(wǎng)信息服務(wù)提供者開展相關(guān)服務(wù)。因此，新聞、出版、醫(yī)療、保健、教育類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度。53.根據(jù)GB/T28450，審核方案應(yīng)考慮的內(nèi)容包括（）。A.體系覆蓋的場(chǎng)所B.體系覆蓋的人數(shù)C.特權(quán)用戶的數(shù)量D.IT平臺(tái)的數(shù)量答案：ABCD解析：根據(jù)GB/T28450的規(guī)定，審核方案應(yīng)考慮的內(nèi)容應(yīng)包括體系覆蓋的場(chǎng)所、體系覆蓋的人數(shù)、特權(quán)用戶的數(shù)量以及IT平臺(tái)的數(shù)量。這些要素都是審核方案制定時(shí)需要考慮的關(guān)鍵因素，它們直接影響審核的范圍、深度和效果。因此，選項(xiàng)A、B、C和D都是正確的。54.ISO/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)？（）A.要求類B.應(yīng)用類C.指南類D.術(shù)語類答案：ACD解析：ISO/IEC27000系列標(biāo)準(zhǔn)主要包括要求類、指南類和術(shù)語類。這些標(biāo)準(zhǔn)在信息安全管理體系（ISMS）的建立、實(shí)施、監(jiān)視、評(píng)審、改進(jìn)以及提供信息安全保證等方面提供了指導(dǎo)。其中，要求類標(biāo)準(zhǔn)定義了組織需要滿足的信息安全控制要求；指南類標(biāo)準(zhǔn)提供了如何實(shí)施這些控制要求的建議；術(shù)語類標(biāo)準(zhǔn)則定義了信息安全領(lǐng)域的相關(guān)術(shù)語。因此，選項(xiàng)A、C和D是正確的。選項(xiàng)B“應(yīng)用類”并不在ISO/IEC27000系列標(biāo)準(zhǔn)的主要分類中。55.信息安全管理體系審核范圍的確定，需要考慮（）。A.業(yè)務(wù)范圍和邊界B.組織的范圍和邊界C.物理范圍和邊界D.資產(chǎn)范圍和邊界答案：ABCD解析：在信息安全管理體系審核中，審核范圍的確定需要考慮多個(gè)方面。首先，需要考慮組織的業(yè)務(wù)范圍和邊界，以確定組織在信息安全方面的職責(zé)和義務(wù)。其次，組織的范圍和邊界也是重要的考慮因素，包括組織的規(guī)模、部門、人員等，以確保審核的全面性和準(zhǔn)確性。此外，物理范圍也是需要考慮的，這包括組織的物理設(shè)施、網(wǎng)絡(luò)架構(gòu)、設(shè)備等，以確保信息安全管理體系的有