本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2023年05月信息安全管理體系基礎(chǔ)答案及解析單選題（共40題，共80分）1.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，信息安全管理體系通過風(fēng)險(xiǎn)管理過程來保持信息的保密性、完整性和可用性，并為相關(guān)方樹立（）信心。A.信息安全得到充分管理B.風(fēng)險(xiǎn)得到適當(dāng)管理C.風(fēng)險(xiǎn)得到充分管理D.信息安全得到適當(dāng)管理答案：C解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，信息安全管理體系通過風(fēng)險(xiǎn)管理過程來保持信息的保密性、完整性和可用性，并為相關(guān)方樹立信心。在給出的選項(xiàng)中，只有“風(fēng)險(xiǎn)得到充分管理”與這一要求相符。因此，正確答案為C。2.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，下列選項(xiàng)不屬于最高管理層用來證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾的活動(dòng)？（）A.確保信息安全組織職責(zé)分離B.促進(jìn)持續(xù)改進(jìn)C.確保建立了信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D.確保將信息安全管理體系要求整合到組織過程中答案：A解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，最高管理層用來證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾的活動(dòng)包括確保信息安全策略和信息安全目標(biāo)與組織戰(zhàn)略方向一致，以及確保將信息安全管理體系要求整合到組織過程中。而確保信息安全組織職責(zé)分離并不是最高管理層用來證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾的活動(dòng)。因此，選項(xiàng)A不屬于最高管理層用來證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾的活動(dòng)，故選A。3.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，在理解組織及其環(huán)境時(shí)，組織應(yīng)確定（）。A.與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理能力的外部和內(nèi)部事項(xiàng)B.與信息安全方針相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理能力的內(nèi)部和外部事項(xiàng)C.與其戰(zhàn)略相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的內(nèi)部和外部事項(xiàng)D.與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的內(nèi)部和外部事項(xiàng)答案：D解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，在理解組織及其環(huán)境時(shí)，組織應(yīng)確定與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的內(nèi)部和外部事項(xiàng)。因此，正確答案為D。A選項(xiàng)提到的是“與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理能力的外部和內(nèi)部事項(xiàng)”，而B選項(xiàng)提到的是“與信息安全方針相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理能力的內(nèi)部和外部事項(xiàng)”，這兩個(gè)選項(xiàng)都沒有明確提到“信息安全管理體系預(yù)期結(jié)果能力”，因此可以排除。C選項(xiàng)提到的是“與其戰(zhàn)略相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的內(nèi)部和外部事項(xiàng)”，雖然提到了“信息安全管理體系預(yù)期結(jié)果能力”，但是與題目中的“組織及其環(huán)境”不太匹配，因此也可以排除。因此，正確答案是D選項(xiàng)，即“與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的內(nèi)部和外部事項(xiàng)”。4.對(duì)于信息安全方針，（）是GB/T22080-2016標(biāo)準(zhǔn)所要求的。A.信息安全方針應(yīng)形成文件化信息并可用B.信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C.信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D.信息安全方針是建立信息安全工作的總方向和原則，不可變更答案：A解析：對(duì)于信息安全方針，GB/T22080-2016標(biāo)準(zhǔn)所要求的是“信息安全方針應(yīng)形成文件化信息并可用”。根據(jù)標(biāo)準(zhǔn)的要求，信息安全方針應(yīng)形成明確的文件化信息，并且這些信息應(yīng)易于獲取和使用。這有助于確保組織內(nèi)的所有成員都能了解并遵循統(tǒng)一的信息安全方針。因此，選項(xiàng)A“信息安全方針應(yīng)形成文件化信息并可用”是符合GB/T22080-2016標(biāo)準(zhǔn)要求的。選項(xiàng)B“信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露”雖然強(qiáng)調(diào)了信息安全方針的保密性，但并未直接涉及文件化信息的要求；選項(xiàng)C“信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義”雖然提到了職責(zé)的定義，但并未明確提到文件化信息的要求；選項(xiàng)D“信息安全方針是建立信息安全工作的總方向和原則，不可變更”強(qiáng)調(diào)了信息安全方針的重要性，但也沒有涉及文件化信息的要求。因此，正確答案是A。5.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，信息安全管理體系最高管理層確保信息安全管理達(dá)到（）。A.預(yù)期效果B.顧客滿意C.法規(guī)要求D.法律要求答案：A解析：信息安全管理體系最高管理層需要確保信息安全管理達(dá)到“預(yù)期效果”。這是因?yàn)轭A(yù)期效果是信息安全管理體系的核心目標(biāo)，管理層應(yīng)確保體系能夠按照預(yù)定的目標(biāo)進(jìn)行運(yùn)作，從而確保信息安全的有效性和可持續(xù)性。而顧客滿意、法規(guī)要求和法律要求雖然都是信息安全管理體系需要考慮的因素，但不是最高管理層確保信息安全管理的直接目標(biāo)。因此，正確答案為A，即預(yù)期效果。6.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，相關(guān)方的要求可能包括（）。A.標(biāo)準(zhǔn)、法規(guī)要求和合同義務(wù)B.法律、標(biāo)準(zhǔn)要求和合同義務(wù)C.法律、法規(guī)要求和合同義務(wù)D.法律、法規(guī)和標(biāo)準(zhǔn)要求和合同義務(wù)答案：C解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，相關(guān)方的要求可能包括法律、法規(guī)要求和合同義務(wù)。這是因?yàn)镚B/T22080-2016標(biāo)準(zhǔn)是一個(gè)關(guān)于信息安全管理體系的標(biāo)準(zhǔn)，它要求組織在建立和實(shí)施信息安全管理體系時(shí)，必須考慮相關(guān)方的要求，包括法律、法規(guī)要求和合同義務(wù)。因此，選項(xiàng)C“法律、法規(guī)要求和合同義務(wù)”是正確的答案。選項(xiàng)A中的“標(biāo)準(zhǔn)”和選項(xiàng)B中的“標(biāo)準(zhǔn)要求”都沒有在題目中明確提到，因此不是正確答案。選項(xiàng)D中的“標(biāo)準(zhǔn)要求”與選項(xiàng)A重復(fù)，因此也不是正確答案。7.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)安全登陸規(guī)程，不能接受的做法是（）。A.在設(shè)備上張貼警示通告，說明只有已授權(quán)用戶才能訪問計(jì)算機(jī)B.忘記個(gè)人口令，暴力破解嘗試登陸C.輸入口令時(shí)不顯示系統(tǒng)或應(yīng)用標(biāo)識(shí)符，直到登陸過程已成功完成為止D.在安全登陸期間，不提供對(duì)未授權(quán)用戶有幫助作用的信息答案：B解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)安全登陸規(guī)程，不能接受的做法是忘記個(gè)人口令，暴力破解嘗試登陸。這是因?yàn)楸┝ζ平馐且环N非法手段，會(huì)破壞系統(tǒng)的安全性，并可能導(dǎo)致數(shù)據(jù)泄露或系統(tǒng)崩潰。其他選項(xiàng)如A、C和D都是符合安全登陸規(guī)程的做法，能夠提高系統(tǒng)的安全性。因此，選項(xiàng)B是不符合安全登陸規(guī)程的做法。8.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)系統(tǒng)軟件安全開發(fā)策略，可以不考慮下列哪一項(xiàng)內(nèi)容？（）A.項(xiàng)目里程碑的安全檢查點(diǎn)B.開發(fā)項(xiàng)目進(jìn)度C.軟件開發(fā)生命周期中的安全指南D.開發(fā)環(huán)境的安全答案：B解析：《GB/T22080-2016信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)要求》標(biāo)準(zhǔn)中，對(duì)系統(tǒng)軟件安全開發(fā)策略提出了控制措施要求。其中包括項(xiàng)目里程碑的安全檢查點(diǎn)、軟件開發(fā)生命周期中的安全指南以及開發(fā)環(huán)境的安全等，但不包括開發(fā)項(xiàng)目進(jìn)度。因此，正確答案是不考慮開發(fā)項(xiàng)目進(jìn)度。9.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，以下說法正確的是（）。A.潛在事件發(fā)生的可能性與后果的和決定了風(fēng)險(xiǎn)的級(jí)別B.潛在事件后果的嚴(yán)重性決定了風(fēng)險(xiǎn)級(jí)別C.潛在事件發(fā)生的可能性和后果相乘決定了風(fēng)險(xiǎn)級(jí)別D.已發(fā)生事件的后果決定了風(fēng)險(xiǎn)級(jí)別答案：C解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，風(fēng)險(xiǎn)的級(jí)別是由潛在事件發(fā)生的可能性和后果相乘來決定的，因此選項(xiàng)C是正確的。而選項(xiàng)A、B、D的說法都與標(biāo)準(zhǔn)的要求不符。10.關(guān)于GB/T22080-2016，以下說法正確的是（）。A.相關(guān)方的需求和期望是組織制定信息安全方針的輸入B.實(shí)施標(biāo)準(zhǔn)4.1~4.2，須編制相關(guān)方管理程序”，形成文件C.組織須維護(hù)一份相關(guān)方及其需求和期望的清單D.組織應(yīng)識(shí)別的相關(guān)方不隨ISMS范圍而變化答案：A解析：根據(jù)GB/T22080-2016《信息安全管理體系要求》，相關(guān)方的需求和期望是組織制定信息安全方針的輸入，因此選項(xiàng)A正確。實(shí)施標(biāo)準(zhǔn)4.1~4.2需要編制相關(guān)方管理程序，形成文件，但這不是一個(gè)直接的說法，所以選項(xiàng)B不正確。雖然組織應(yīng)該維護(hù)一份相關(guān)方及其需求和期望的清單，但這并不是GB/T22080-2016的直接要求，因此選項(xiàng)C不正確。組織應(yīng)識(shí)別的相關(guān)方可能隨ISMS范圍而變化，因此選項(xiàng)D不正確。因此，正確答案是A。11.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，應(yīng)根據(jù)法律、法規(guī)、規(guī)章、合同和業(yè)務(wù)要求，確保對(duì)記錄進(jìn)行保護(hù)以防止其丟失、損毀、偽造、未授權(quán)訪問和未授權(quán)發(fā)布。是（）的條款的要求。A.A.13.2.3B.A.18.1.3C.A.9.4.1D.A.7.5.3答案：B解析：根據(jù)題目中的描述，控制措施要求確保對(duì)記錄進(jìn)行保護(hù)以防止其丟失、損毀、偽造、未授權(quán)訪問和未授權(quán)發(fā)布。這符合GB/T22080-2016標(biāo)準(zhǔn)中A.18.1.3條款的要求，該條款是關(guān)于記錄保護(hù)的詳細(xì)內(nèi)容。因此，正確答案為B。其他選項(xiàng)A.13.2.3、A.9.4.1和A.7.5.3均不符合題目中描述的控制措施要求。12.以下符合GB/T22080-2016標(biāo)準(zhǔn)A.18.1.4條款要求的情況是（）。A.認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B.認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C.認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)得到保護(hù)D.其他選項(xiàng)均正確答案：D解析：在解答本題時(shí)，首先要理解題目中的關(guān)鍵詞和術(shù)語，包括"符合GB/T22080-2016標(biāo)準(zhǔn)A.18.1.4條款要求"以及"認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)"、"認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)"、"認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)得到保護(hù)"等。接著，我們需要分析每個(gè)選項(xiàng)是否符合題目要求。A選項(xiàng)提到"認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)"，但題目中并未明確說明這是否符合GB/T22080-2016標(biāo)準(zhǔn)A.18.1.4條款要求。B選項(xiàng)提到"認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)"，同樣，題目中也沒有明確說明這是否符合標(biāo)準(zhǔn)。C選項(xiàng)提到"認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)得到保護(hù)"，同樣，題目中也沒有明確說明這是否符合標(biāo)準(zhǔn)。D選項(xiàng)表示"其他選項(xiàng)均正確"，由于A、B、C選項(xiàng)都不符合題目要求，因此D選項(xiàng)實(shí)際上是正確的。因此，根據(jù)題目和選項(xiàng)的分析，我們可以得出結(jié)論：符合GB/T22080-2016標(biāo)準(zhǔn)A.18.1.4條款要求的情況是"其他選項(xiàng)均正確"，即D選項(xiàng)。13.根據(jù)ISO/IEC27000標(biāo)準(zhǔn)，（）為組織提供了信息安全管理體系實(shí)施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27013D.ISO/IEC27003答案：D解析：ISO/IEC27000是一個(gè)信息安全管理體系的標(biāo)準(zhǔn)，它提供了信息安全管理體系的基礎(chǔ)和原則。然而，它本身并不提供具體的實(shí)施指南。為了獲取實(shí)施指南，我們需要參考其他相關(guān)的ISO/IEC標(biāo)準(zhǔn)。選項(xiàng)A，ISO/IEC27002是一個(gè)信息安全管理實(shí)踐的代碼，它提供了一系列信息安全控制措施和指南，以幫助企業(yè)建立和實(shí)施有效的信息安全管理體系。但它不是ISO/IEC27000的直接實(shí)施指南。選項(xiàng)B，ISO/IEC27007是關(guān)于信息安全管理體系的指南，但它更側(cè)重于信息安全管理體系的審計(jì)和合規(guī)性。選項(xiàng)C，ISO/IEC27013是一個(gè)關(guān)于云計(jì)算安全性的標(biāo)準(zhǔn)，它提供了一系列云計(jì)算環(huán)境的信息安全控制。但它不是ISO/IEC27000的實(shí)施指南。選項(xiàng)D，ISO/IEC27003是關(guān)于信息安全管理體系實(shí)施指南的標(biāo)準(zhǔn)。它詳細(xì)說明了如何實(shí)施和運(yùn)營一個(gè)信息安全管理體系，與ISO/IEC27000的標(biāo)準(zhǔn)相輔相成。綜上所述，ISO/IEC27003為組織提供了信息安全管理體系實(shí)施指南，所以答案是D。14.根據(jù)GB/T22080-2016/ISO/IEC27001：2013標(biāo)準(zhǔn)，以下做法不正確的是（）。A.應(yīng)保留含有敏感信息的介質(zhì)的處置記錄B.離職人員自主刪除敏感信息的即可C.必要時(shí)采用多路線路供電D.應(yīng)定期檢查機(jī)房空調(diào)的有效性答案：B解析：根據(jù)GB/T22080-2016/ISO/IEC27001：2013標(biāo)準(zhǔn)，敏感信息的處理和管理是信息安全的重要組成部分。對(duì)于選項(xiàng)A，保留含有敏感信息的介質(zhì)的處置記錄，有助于追蹤和處理敏感信息的處置，確保信息的安全性，所以A選項(xiàng)是正確的。對(duì)于選項(xiàng)B，離職人員自主刪除敏感信息可能存在風(fēng)險(xiǎn)，因?yàn)閱T工可能在離職后刪除敏感信息，這可能導(dǎo)致信息丟失或泄露，因此B選項(xiàng)是不正確的。對(duì)于選項(xiàng)C，采用多路線路供電可以提高供電的可靠性和穩(wěn)定性，確保信息系統(tǒng)的正常運(yùn)行，所以C選項(xiàng)是正確的。對(duì)于選項(xiàng)D，定期檢查機(jī)房空調(diào)的有效性可以確保機(jī)房環(huán)境的穩(wěn)定，防止因環(huán)境問題導(dǎo)致的信息泄露或損壞，所以D選項(xiàng)也是正確的。因此，不正確的做法是B選項(xiàng)。15.根據(jù)GB/T22081-2016標(biāo)準(zhǔn)的要求，附錄A包含（）項(xiàng)控制措施。A.114B.139C.143D.133答案：A解析：根據(jù)GB/T22081-2016標(biāo)準(zhǔn)的要求，附錄A包含114項(xiàng)控制措施。因此，正確答案為A。16.根據(jù)ISO/IEC27006標(biāo)準(zhǔn)，認(rèn)證決定應(yīng)基于審核報(bào)告中（）對(duì)客戶ISMS是否通過認(rèn)證的建議。A.審核組B.觀察員C.認(rèn)證決定人員D.審核員答案：A解析：根據(jù)ISO/IEC27006標(biāo)準(zhǔn)，認(rèn)證決定應(yīng)基于審核報(bào)告中審核組的建議來決定客戶ISMS是否通過認(rèn)證。審核組是負(fù)責(zé)進(jìn)行客戶ISMS審核的專業(yè)團(tuán)隊(duì)，他們會(huì)根據(jù)審核結(jié)果給出是否通過認(rèn)證的建議。因此，選項(xiàng)A“審核組”是正確答案。觀察員、認(rèn)證決定人員和審核員雖然與ISMS認(rèn)證有關(guān)，但都不是基于審核報(bào)告中的建議來決定認(rèn)證結(jié)果的。17.根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS文件評(píng)審不包括（）。A.信息安全管理手冊(cè)的充分性B.風(fēng)險(xiǎn)評(píng)估報(bào)告的合理性C.適用性聲明的完備性和合理性D.風(fēng)險(xiǎn)處置計(jì)劃的完備性答案：A解析：根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS文件評(píng)審主要包括風(fēng)險(xiǎn)評(píng)估報(bào)告的合理性、適用性聲明的完備性和合理性以及風(fēng)險(xiǎn)處置計(jì)劃的完備性。信息安全管理手冊(cè)的充分性并不屬于ISMS文件評(píng)審的內(nèi)容。因此，正確答案是A。18.ISO/IEC27701是（）。A.ISO/IEC27001和ISO/IEC27002在隱私保護(hù)方面的擴(kuò)展B.是ISMS族以外的標(biāo)準(zhǔn)C.在隱私保護(hù)方面擴(kuò)展了ISO/IEC27001的要求D.是一份基于ISO/IEC27002的指南性標(biāo)準(zhǔn)答案：A解析：ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在隱私保護(hù)方面的擴(kuò)展。ISO/IEC27701是一個(gè)專門關(guān)注隱私保護(hù)的信息安全標(biāo)準(zhǔn)，它擴(kuò)展了ISO/IEC27001在隱私保護(hù)方面的要求，并與ISO/IEC27002的原則和控制措施相協(xié)調(diào)。因此，選項(xiàng)A“ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在隱私保護(hù)方面的擴(kuò)展”是正確的。選項(xiàng)B“是ISMS族以外的標(biāo)準(zhǔn)”不準(zhǔn)確，因?yàn)镮SO/IEC27701是ISMS族的一部分。選項(xiàng)C“在隱私保護(hù)方面擴(kuò)展了ISO/IEC27001的要求”雖然部分正確，但沒有明確提到與ISO/IEC27002的協(xié)調(diào)。選項(xiàng)D“是一份基于ISO/IEC27002的指南性標(biāo)準(zhǔn)”也不準(zhǔn)確，因?yàn)镮SO/IEC27701并不是一個(gè)指南性標(biāo)準(zhǔn)，而是一個(gè)正式的標(biāo)準(zhǔn)。19.A公司進(jìn)行風(fēng)險(xiǎn)評(píng)估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患，為了處置這個(gè)風(fēng)險(xiǎn)，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）。A.風(fēng)險(xiǎn)接受B.風(fēng)險(xiǎn)規(guī)避C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩答案：B解析：風(fēng)險(xiǎn)規(guī)避是指通過避免潛在風(fēng)險(xiǎn)的活動(dòng)或決策來消除風(fēng)險(xiǎn)。在這個(gè)問題中，公司發(fā)現(xiàn)無線網(wǎng)絡(luò)存在大的安全隱患，為了處置這個(gè)風(fēng)險(xiǎn)，公司決定不再提供無線網(wǎng)絡(luò)用于辦公，這是一種避免風(fēng)險(xiǎn)的行為，因此屬于風(fēng)險(xiǎn)規(guī)避。所以，正確答案是B，即風(fēng)險(xiǎn)規(guī)避。20.風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的（）。A.行動(dòng)B.計(jì)劃C.意愿D.批復(fù)答案：C解析：風(fēng)險(xiǎn)偏好是組織在決策過程中對(duì)于風(fēng)險(xiǎn)的態(tài)度，它決定了組織在面臨風(fēng)險(xiǎn)時(shí)是否愿意尋求或保留風(fēng)險(xiǎn)。因此，風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的意愿，選項(xiàng)C“意愿”最符合題意。其他選項(xiàng)如行動(dòng)、計(jì)劃和批復(fù)雖然與風(fēng)險(xiǎn)有關(guān)，但都不直接描述組織對(duì)于風(fēng)險(xiǎn)的態(tài)度，因此不是最佳答案。21.根據(jù)GB/Z20986，由于保障信息系統(tǒng)正常運(yùn)行所必須的外圍設(shè)施出現(xiàn)故障而導(dǎo)致的信息安全事件是（）。A.其他設(shè)備設(shè)施故障B.外圍保障設(shè)施故障C.人為破壞事故D.軟硬件自身故障答案：B解析：題目詢問的是由于保障信息系統(tǒng)正常運(yùn)行所必須的外圍設(shè)施出現(xiàn)故障而導(dǎo)致的信息安全事件。在GB/Z20986中，這種由于外圍保障設(shè)施故障而導(dǎo)致的信息安全事件被稱為外圍保障設(shè)施故障。因此，選項(xiàng)B是正確的答案。其他選項(xiàng)，如其他設(shè)備設(shè)施故障、人為破壞事故和軟硬件自身故障，雖然可能也是信息安全事件的原因，但不是由于外圍保障設(shè)施故障導(dǎo)致的。22.根據(jù)GB/T29246，信息處理設(shè)施不包括（）。A.信息系統(tǒng)B.系統(tǒng)和設(shè)施安置的物理場(chǎng)所C.人及文檔D.服務(wù)和基礎(chǔ)設(shè)施答案：C解析：根據(jù)GB/T29246，信息處理設(shè)施主要包括信息系統(tǒng)、系統(tǒng)和設(shè)施安置的物理場(chǎng)所以及服務(wù)和基礎(chǔ)設(shè)施。而人及文檔并不屬于信息處理設(shè)施的一部分，因此，根據(jù)題目選項(xiàng)，人及文檔是不包括在信息處理設(shè)施中的，所以正確答案為C。23.依據(jù)GB/T29246，以（）的組合來表示風(fēng)險(xiǎn)的大小。A.后果和其可能性B.資產(chǎn)和其可能性C.資產(chǎn)和其脆弱性D.后果和其脆弱性答案：A解析：依據(jù)GB/T29246，風(fēng)險(xiǎn)的大小是通過后果和可能性的組合來表示的。因此，正確選項(xiàng)是A，后果和其可能性。24.關(guān)于GB17859，以下說法正確的是（）。A.特定的法律法規(guī)引用該標(biāo)準(zhǔn)在引用的范圍內(nèi)視為強(qiáng)制性標(biāo)準(zhǔn)B.這是一份推薦性標(biāo)準(zhǔn)C.這是一份強(qiáng)制性標(biāo)準(zhǔn)D.組織選擇使用該標(biāo)準(zhǔn)在選擇的范圍內(nèi)視為強(qiáng)制性標(biāo)準(zhǔn)答案：C解析：根據(jù)《標(biāo)準(zhǔn)化法》的規(guī)定，保障人體健康，人身、財(cái)產(chǎn)安全的標(biāo)準(zhǔn)和法律、行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)是強(qiáng)制性標(biāo)準(zhǔn)，其他標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。因此，GB17859作為保障人體健康、人身和財(cái)產(chǎn)安全的標(biāo)準(zhǔn)，屬于強(qiáng)制性標(biāo)準(zhǔn)。因此，選項(xiàng)C“這是一份強(qiáng)制性標(biāo)準(zhǔn)”是正確的。其他選項(xiàng)A、B、D均不符合法律規(guī)定。25.根據(jù)GB/T25058《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》，對(duì)等級(jí)保護(hù)對(duì)象實(shí)施等級(jí)保護(hù)的基本流程包括，等級(jí)保護(hù)對(duì)象（）階段、總體安全規(guī)劃階段、安全設(shè)計(jì)與實(shí)施階段、安全運(yùn)行與維護(hù)階段和定級(jí)對(duì)象終止階段。A.備案與風(fēng)險(xiǎn)評(píng)估B.定級(jí)與風(fēng)險(xiǎn)管理C.定級(jí)與風(fēng)險(xiǎn)評(píng)估D.定級(jí)與備案答案：D解析：根據(jù)GB/T25058《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》，等級(jí)保護(hù)對(duì)象實(shí)施等級(jí)保護(hù)的基本流程包括定級(jí)對(duì)象階段、總體安全規(guī)劃階段、安全設(shè)計(jì)與實(shí)施階段、安全運(yùn)行與維護(hù)階段和定級(jí)對(duì)象終止階段。題目中給出的選項(xiàng)分別為：備案與風(fēng)險(xiǎn)評(píng)估、定級(jí)與風(fēng)險(xiǎn)管理、定級(jí)與風(fēng)險(xiǎn)評(píng)估、定級(jí)與備案。根據(jù)指南，定級(jí)是等級(jí)保護(hù)對(duì)象實(shí)施等級(jí)保護(hù)的首要步驟，因此正確選項(xiàng)為“定級(jí)與備案”，對(duì)應(yīng)選項(xiàng)D。選項(xiàng)A“備案與風(fēng)險(xiǎn)評(píng)估”和選項(xiàng)B“定級(jí)與風(fēng)險(xiǎn)管理”均不準(zhǔn)確，選項(xiàng)C“定級(jí)與風(fēng)險(xiǎn)評(píng)估”中的“風(fēng)險(xiǎn)評(píng)估”與指南中的“備案”不符。因此，正確答案為D。26.以下哪個(gè)不是威脅？（）A.錯(cuò)誤使用B.文獻(xiàn)缺乏C.電磁輻射D.權(quán)力濫用答案：B解析：在這個(gè)問題中，我們需要識(shí)別出哪一個(gè)選項(xiàng)不是威脅。A選項(xiàng)“錯(cuò)誤使用”可能指的是技術(shù)或工具的錯(cuò)誤使用，這可能會(huì)帶來風(fēng)險(xiǎn)或威脅。B選項(xiàng)“文獻(xiàn)缺乏”指的是缺乏相關(guān)的資料或信息，雖然這可能導(dǎo)致某些問題或不便，但它本身并不構(gòu)成直接的威脅。C選項(xiàng)“電磁輻射”是一種物理現(xiàn)象，如果超出安全范圍，可能會(huì)對(duì)人體和環(huán)境造成威脅。D選項(xiàng)“權(quán)力濫用”指的是對(duì)權(quán)力的不當(dāng)使用，這可能導(dǎo)致不公平、不公正的行為，從而構(gòu)成威脅。因此，在這四個(gè)選項(xiàng)中，只有B選項(xiàng)“文獻(xiàn)缺乏”不是直接的威脅。所以，正確答案是B。27.拒絕服務(wù)攻擊損害了下列哪一種信息安全特性？）。A.完整性B.可用性C.機(jī)密性（保密性）D.可靠性答案：B解析：拒絕服務(wù)攻擊（DenialofService，DoS）是一種使目標(biāo)系統(tǒng)或服務(wù)無法正常響應(yīng)請(qǐng)求的攻擊方式。它通常通過發(fā)送大量的無效或重復(fù)請(qǐng)求來耗盡目標(biāo)系統(tǒng)的資源，從而導(dǎo)致合法用戶無法獲得服務(wù)。因此，拒絕服務(wù)攻擊損害了信息安全特性中的可用性（availability）。完整性（Integrity）是指數(shù)據(jù)或系統(tǒng)在未經(jīng)授權(quán)的情況下不會(huì)被修改或破壞，與拒絕服務(wù)攻擊無直接關(guān)系。機(jī)密性（Confidentiality）或保密性是指信息不會(huì)被未授權(quán)的人員獲取，與拒絕服務(wù)攻擊也不直接相關(guān)?？煽啃裕≧eliability）是指系統(tǒng)或服務(wù)在給定條件下能夠按照預(yù)期運(yùn)行的能力，雖然拒絕服務(wù)攻擊可能會(huì)影響系統(tǒng)的可靠性，但它主要影響的是可用性，而不是可靠性。因此，答案為B，即可用性（availability）。28.某種網(wǎng)絡(luò)安全威脅是通過非法手段對(duì)數(shù)據(jù)進(jìn)行惡意修改，這種安全威脅屬于（）。A.竊聽數(shù)據(jù)B.破壞數(shù)據(jù)完整性C.破壞數(shù)據(jù)可用性D.物理安全威脅答案：B解析：題目中描述的網(wǎng)絡(luò)安全威脅是通過非法手段對(duì)數(shù)據(jù)進(jìn)行惡意修改，這種威脅直接影響了數(shù)據(jù)的完整性和準(zhǔn)確性，因此屬于破壞數(shù)據(jù)完整性的安全威脅。選項(xiàng)A“竊聽數(shù)據(jù)”是指未經(jīng)授權(quán)地獲取數(shù)據(jù)，但不涉及數(shù)據(jù)的修改；選項(xiàng)C“破壞數(shù)據(jù)可用性”是指使數(shù)據(jù)無法被正常訪問或使用，但題目中并未提到數(shù)據(jù)不可用；選項(xiàng)D“物理安全威脅”是指對(duì)計(jì)算機(jī)硬件的物理破壞或干擾，與題目描述不符。因此，正確答案是B，即破壞數(shù)據(jù)完整性。29.當(dāng)訪問某資源存在不存活的鏈接時(shí)，會(huì)導(dǎo)致非法用戶冒用并進(jìn)行重放攻擊的可能性，因此應(yīng)采取（）控制措施。A.密碼控制B.密鑰控制C.會(huì)話超時(shí)D.遠(yuǎn)程訪問控制答案：C解析：當(dāng)訪問某資源存在不存活的鏈接時(shí)，會(huì)導(dǎo)致非法用戶冒用并進(jìn)行重放攻擊的可能性。為了防范這種攻擊，應(yīng)采取會(huì)話超時(shí)控制措施。會(huì)話超時(shí)意味著在一段時(shí)間內(nèi)如果用戶沒有進(jìn)行任何操作，會(huì)話將被自動(dòng)終止，從而防止攻擊者利用過期的會(huì)話進(jìn)行重放攻擊。因此，正確答案是“會(huì)話超時(shí)”。其他選項(xiàng)如密碼控制、密鑰控制和遠(yuǎn)程訪問控制雖然都是安全措施，但與題目中描述的特定場(chǎng)景不直接相關(guān)。30.在以下人為的惡意攻擊行為中，屬于主動(dòng)攻擊的是（）。A.數(shù)據(jù)竊聽B.誤操作C.數(shù)據(jù)流分析D.數(shù)據(jù)篡改答案：D解析：在計(jì)算機(jī)網(wǎng)絡(luò)中，主動(dòng)攻擊和被動(dòng)攻擊是兩種主要類型的攻擊方式。主動(dòng)攻擊是對(duì)數(shù)據(jù)包進(jìn)行篡改或偽造，如數(shù)據(jù)篡改，它會(huì)改變數(shù)據(jù)包的內(nèi)容。被動(dòng)攻擊則是對(duì)數(shù)據(jù)包進(jìn)行監(jiān)聽和截獲，如數(shù)據(jù)竊聽，但不會(huì)改變數(shù)據(jù)包的內(nèi)容。誤操作和數(shù)據(jù)流分析不屬于攻擊行為，因此可以排除。因此，屬于主動(dòng)攻擊的是數(shù)據(jù)篡改，所以答案是D。31.用戶訪問某Web網(wǎng)站，用戶直接采取的安全措施是（）。A.服務(wù)器數(shù)據(jù)備份B.防火墻過濾數(shù)據(jù)包C.用戶輸入登錄口令D.核心交換機(jī)的熱備答案：C解析：在訪問Web網(wǎng)站時(shí)，用戶直接采取的安全措施是輸入登錄口令。這是因?yàn)榈卿浛诹钍怯脩羯矸菡J(rèn)證的重要憑據(jù)，通過輸入正確的登錄口令，用戶可以證明自己有權(quán)訪問該網(wǎng)站，從而確保自己的賬戶安全。而服務(wù)器數(shù)據(jù)備份、防火墻過濾數(shù)據(jù)包和核心交換機(jī)的熱備都是網(wǎng)站管理員或系統(tǒng)管理員采取的安全措施，與用戶直接采取的安全措施不同。因此，正確答案為C選項(xiàng)，即用戶輸入登錄口令。32.以下不屬于描述性統(tǒng)計(jì)技術(shù)的是（）。A.正態(tài)分布B.散布圖C.帕累托圖D.直方圖答案：A解析：描述性統(tǒng)計(jì)技術(shù)主要用于對(duì)一組數(shù)據(jù)進(jìn)行整理和概括，幫助人們理解數(shù)據(jù)的特征和分布。在本題中，給出的選項(xiàng)中，A項(xiàng)“正態(tài)分布”描述的是一組數(shù)據(jù)的概率分布特征，但它并不是描述性統(tǒng)計(jì)技術(shù)，而是統(tǒng)計(jì)理論中的一個(gè)重要概念。B項(xiàng)“散布圖”、C項(xiàng)“帕累托圖”和D項(xiàng)“直方圖”都是描述性統(tǒng)計(jì)技術(shù)，用于描述數(shù)據(jù)的不同特征。因此，不屬于描述性統(tǒng)計(jì)技術(shù)的是A項(xiàng)“正態(tài)分布”。33.關(guān)于密碼技術(shù)，以下哪項(xiàng)屬于非對(duì)稱密碼技術(shù)？）。A.RSAB.DESC.3DESD.ES答案：A解析：非對(duì)稱密碼技術(shù)，也被稱為公鑰密碼技術(shù)，它使用一對(duì)密鑰：公鑰和私鑰。公鑰用于加密信息，而私鑰用于解密信息。RSA是一種典型的非對(duì)稱密碼技術(shù)，它使用公鑰和私鑰進(jìn)行加密和解密操作。相比之下，DES、3DES和ES（可能指的是AES）都是對(duì)稱密碼技術(shù)，它們使用相同的密鑰進(jìn)行加密和解密。因此，選項(xiàng)A“RSA”是非對(duì)稱密碼技術(shù)。34.對(duì)于“監(jiān)控系統(tǒng)”的存取與使用，下列說法正確的是（）。A.監(jiān)控系統(tǒng)所產(chǎn)生的記錄可由用戶任意存取B.應(yīng)保持時(shí)鐘同步C.只有當(dāng)系統(tǒng)發(fā)生異常事件及其他安全相關(guān)事件時(shí)才需進(jìn)行監(jiān)控D.監(jiān)控系統(tǒng)投資額龐大，并會(huì)影響系統(tǒng)效能，因此可以予以暫時(shí)省略答案：B解析：監(jiān)控系統(tǒng)是為了監(jiān)控和記錄系統(tǒng)運(yùn)行情況，確保系統(tǒng)安全穩(wěn)定運(yùn)行的重要工具。對(duì)于監(jiān)控系統(tǒng)的存取與使用，我們需要根據(jù)系統(tǒng)的設(shè)計(jì)和使用要求來判斷。A選項(xiàng)提到監(jiān)控系統(tǒng)所產(chǎn)生的記錄可由用戶任意存取，但實(shí)際情況是，監(jiān)控系統(tǒng)的記錄通常受到一定的訪問控制，以確保數(shù)據(jù)的安全性和完整性。因此，A選項(xiàng)不正確。B選項(xiàng)提到應(yīng)保持時(shí)鐘同步，這是監(jiān)控系統(tǒng)正常運(yùn)行的重要條件。監(jiān)控系統(tǒng)需要精確的時(shí)間戳來記錄事件，因此保持時(shí)鐘同步對(duì)于確保記錄的準(zhǔn)確性和一致性至關(guān)重要。所以，B選項(xiàng)是正確的。C選項(xiàng)提到只有當(dāng)系統(tǒng)發(fā)生異常事件及其他安全相關(guān)事件時(shí)才需進(jìn)行監(jiān)控，但實(shí)際上，監(jiān)控系統(tǒng)應(yīng)該持續(xù)運(yùn)行，以監(jiān)控系統(tǒng)的整體運(yùn)行情況，而不僅僅是異常事件。因此，C選項(xiàng)不正確。D選項(xiàng)提到監(jiān)控系統(tǒng)投資額龐大，并會(huì)影響系統(tǒng)效能，因此可以予以暫時(shí)省略。然而，監(jiān)控系統(tǒng)對(duì)于確保系統(tǒng)安全穩(wěn)定運(yùn)行至關(guān)重要，不能因?yàn)橥顿Y或效能問題而暫時(shí)省略。因此，D選項(xiàng)不正確。綜上所述，正確答案是B選項(xiàng)，即應(yīng)保持時(shí)鐘同步。35.SaaS是指（）。A.軟件即服務(wù)B.平臺(tái)即服務(wù)C.應(yīng)用即服務(wù)D.基礎(chǔ)設(shè)施即服務(wù)答案：A解析：SaaS是"SoftwareasaService"的縮寫，意為"軟件即服務(wù)"。它是一種軟件交付模式，用戶通過訂閱的方式使用軟件服務(wù)，無需購買、安裝和維護(hù)軟件本身。因此，正確答案為A選項(xiàng)。其他選項(xiàng)如B（平臺(tái)即服務(wù)）、C（應(yīng)用即服務(wù)）和D（基礎(chǔ)設(shè)施即服務(wù)）都不是SaaS的正確描述。36.建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證（）。A.安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B.三級(jí)以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C.秘密級(jí)以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D.機(jī)密級(jí)及以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用答案：A解析：根據(jù)題目描述，建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。因此，正確答案為A選項(xiàng)，即“安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”。其他選項(xiàng)如“三級(jí)以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用”、“秘密級(jí)以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用”和“機(jī)密級(jí)及以上信息系統(tǒng)的安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用”均不符合題目要求。37.根據(jù)《中華人民共和國密碼法》所稱密碼，以下說法不正確的是（）。A.國家密碼管理部門負(fù)責(zé)管理全國的密碼工作，市級(jí)以上地方各級(jí)密碼管理部門負(fù)責(zé)管理本行政區(qū)域的密碼工作B.密碼是指采用特定變換的方法對(duì)信息進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)C.秘密工作堅(jiān)持總體國家安全觀D.密碼分為核心密碼、普通密碼和商用密碼答案：A解析：《中華人民共和國密碼法》規(guī)定，國家密碼管理部門負(fù)責(zé)管理全國的密碼工作，縣級(jí)以上地方各級(jí)密碼管理部門負(fù)責(zé)管理本行政區(qū)域的密碼工作。因此，A選項(xiàng)中的“市級(jí)以上地方各級(jí)密碼管理部門負(fù)責(zé)管理本行政區(qū)域的密碼工作”說法不正確。B選項(xiàng)描述了密碼的定義，C選項(xiàng)提到了密碼工作要堅(jiān)持總體國家安全觀，D選項(xiàng)列舉了密碼的分類，均符合《中華人民共和國密碼法》的規(guī)定。因此，正確答案是A。38.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，以下哪個(gè)說法是錯(cuò)誤的？（）A.互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)在其網(wǎng)站主頁的顯著位置標(biāo)明其經(jīng)營許可證編號(hào)或者備案編號(hào)B.互聯(lián)網(wǎng)信息服務(wù)提供者變更服務(wù)項(xiàng)目、網(wǎng)站網(wǎng)址等事項(xiàng)的，應(yīng)當(dāng)提前30日向原審核、發(fā)證或者備案機(jī)關(guān)辦理變更手續(xù)C.非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)提供者可以從事有償服務(wù)D.互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)按照經(jīng)許可或者備案的項(xiàng)目提供服務(wù)，不得超出經(jīng)許可或者備案的項(xiàng)目提供服務(wù)答案：C解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)提供者不得從事有償服務(wù)。因此，選項(xiàng)C的說法是錯(cuò)誤的。其他選項(xiàng)A、B、D的說法均符合該管理辦法的規(guī)定。39.如果信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害，則應(yīng)具備的保護(hù)水平為（）。A.三級(jí)B.二級(jí)C.四級(jí)D.五級(jí)答案：A解析：《信息安全等級(jí)保護(hù)管理辦法》中規(guī)定了信息系統(tǒng)安全保護(hù)能力應(yīng)根據(jù)信息系統(tǒng)在國家安全、社會(huì)穩(wěn)定方面的重要程度，遭到破壞后對(duì)社會(huì)產(chǎn)生的危害程度以及系統(tǒng)本身的安全防護(hù)能力和系統(tǒng)服務(wù)的對(duì)象等因素確定，并按照等級(jí)測(cè)評(píng)、建設(shè)整改、監(jiān)督檢查、系統(tǒng)定級(jí)的流程進(jìn)行。信息系統(tǒng)安全保護(hù)等級(jí)分為五級(jí)，從低到高依次為：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益；第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全；第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害；第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害；第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。因此，如果信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害，則應(yīng)具備的保護(hù)水平為第三級(jí)。故本題選A。40.根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，計(jì)算機(jī)犯罪是指行為人通過（）所實(shí)施的危害（）安全以及其他嚴(yán)重危害社會(huì)的并應(yīng)當(dāng)處以刑罰的行為。A.數(shù)據(jù)庫操作計(jì)算機(jī)信息系統(tǒng)B.計(jì)算機(jī)操作計(jì)算機(jī)信息系統(tǒng)C.數(shù)據(jù)庫操作管理信息系統(tǒng)D.計(jì)算機(jī)操作應(yīng)用信息系統(tǒng)答案：B解析：根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的定義，計(jì)算機(jī)犯罪是指行為人通過計(jì)算機(jī)操作所實(shí)施的危害計(jì)算機(jī)信息系統(tǒng)安全以及其他嚴(yán)重危害社會(huì)的并應(yīng)當(dāng)處以刑罰的行為。因此，正確答案為B選項(xiàng)，即“計(jì)算機(jī)操作計(jì)算機(jī)信息系統(tǒng)”。A選項(xiàng)“數(shù)據(jù)庫操作計(jì)算機(jī)信息系統(tǒng)”和C選項(xiàng)“數(shù)據(jù)庫操作管理信息系統(tǒng)”都不符合條例的定義，而D選項(xiàng)“計(jì)算機(jī)操作應(yīng)用信息系統(tǒng)”則表述不夠準(zhǔn)確，因?yàn)椤皯?yīng)用信息系統(tǒng)”并不是條例中明確提到的概念。多選題（共15題，共30分）41.根據(jù)GB/T22080-2016，（）活動(dòng)是ISMS建立階段完成的內(nèi)容。A.確定ISMS的范圍和邊界B.確定ISMS方針C.確定風(fēng)險(xiǎn)評(píng)估方法并實(shí)施風(fēng)險(xiǎn)評(píng)估D.實(shí)施體系文件培訓(xùn)答案：AB解析：根據(jù)GB/T22080-2016，信息安全管理體系（ISMS）的建立階段包括確定ISMS的范圍和邊界以及確定ISMS方針。這兩個(gè)活動(dòng)都是建立階段的重要步驟，用于明確ISMS的覆蓋范圍和目標(biāo)，為后續(xù)的體系建設(shè)和實(shí)施奠定基礎(chǔ)。因此，選項(xiàng)A和B是正確的。選項(xiàng)C和D雖然也是ISMS中的重要活動(dòng)，但它們通常是在ISMS建立階段之后進(jìn)行的，如風(fēng)險(xiǎn)評(píng)估和體系文件培訓(xùn)等。42.信息有其固有的生命周期，即從其（）。A.創(chuàng)建和產(chǎn)生B.使用、傳輸C.存儲(chǔ)、處理D.銷毀或消失答案：ABCD解析：題目考察的是信息的生命周期，信息的生命周期通常包括從創(chuàng)建到銷毀或消失的過程。因此，選項(xiàng)A“創(chuàng)建和產(chǎn)生”、B“使用、傳輸”、C“存儲(chǔ)、處理”和D“銷毀或消失”都是信息生命周期中可能涉及的過程。因此，正確答案是ABCD。43.根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于用戶的秘密鑒別信息管理，正確的是（）。A.鑒別信息宜加密保存B.對(duì)新創(chuàng)建的用戶，應(yīng)提供臨時(shí)鑒別信息，并強(qiáng)制初次使用時(shí)需改變鑒別信息C.鑒別信息的保護(hù)可作為任用條件或條款的內(nèi)容D.使用QQ傳遞鑒別信息答案：ABC解析：根據(jù)GB/T22080-2016《信息安全技術(shù)個(gè)人信息安全規(guī)范》中的控制措施要求，關(guān)于用戶的秘密鑒別信息管理，以下選項(xiàng)是正確的：A.鑒別信息宜加密保存：這是為了保障鑒別信息的安全性，防止被非法獲取或篡改。B.對(duì)新創(chuàng)建的用戶，應(yīng)提供臨時(shí)鑒別信息，并強(qiáng)制初次使用時(shí)需改變鑒別信息：這是為了確保用戶初始使用的鑒別信息具有一定的隨機(jī)性和不易猜測(cè)性，從而提高系統(tǒng)的安全性。C.鑒別信息的保護(hù)可作為任用條件或條款的內(nèi)容：這強(qiáng)調(diào)了鑒別信息保護(hù)的重要性，將其作為任用條件或條款的一部分，有助于確保組織和個(gè)人遵守相關(guān)規(guī)定，保護(hù)用戶的鑒別信息。D.使用QQ傳遞鑒別信息：這一選項(xiàng)是不正確的。使用QQ傳遞鑒別信息存在安全風(fēng)險(xiǎn)，因?yàn)镼Q并非一個(gè)專門用于安全傳輸鑒別信息的平臺(tái)，容易被截獲或泄露。因此，正確答案為A、B、C。44.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)信息安全管理中“符合性”的敘述，正確的是（）。A.組織重要記錄應(yīng)予以保護(hù)B.清楚識(shí)別所有的法律和合同的要求C.要保護(hù)個(gè)人信息的數(shù)據(jù)和隱私D.避免非法使用具有知識(shí)產(chǎn)權(quán)的專利軟件產(chǎn)品答案：ABCD解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)信息安全管理中“符合性”的敘述，需要分析每個(gè)選項(xiàng)是否符合標(biāo)準(zhǔn)中的控制措施要求。A選項(xiàng)“組織重要記錄應(yīng)予以保護(hù)”是符合信息安全管理要求的，因?yàn)榻M織的重要記錄是組織的寶貴資產(chǎn)，需要得到保護(hù)以防止泄露或損壞。B選項(xiàng)“清楚識(shí)別所有的法律和合同的要求”也是符合標(biāo)準(zhǔn)的，因?yàn)榻M織需要遵守各種法律和合同的規(guī)定，以確保其業(yè)務(wù)活動(dòng)的合法性和合規(guī)性。C選項(xiàng)“要保護(hù)個(gè)人信息的數(shù)據(jù)和隱私”也是符合信息安全管理要求的，因?yàn)閭€(gè)人信息的泄露會(huì)對(duì)個(gè)人隱私造成損害，因此需要進(jìn)行保護(hù)。D選項(xiàng)“避免非法使用具有知識(shí)產(chǎn)權(quán)的專利軟件產(chǎn)品”也符合標(biāo)準(zhǔn)，因?yàn)槭褂梦唇?jīng)授權(quán)的軟件產(chǎn)品可能會(huì)侵犯他人的知識(shí)產(chǎn)權(quán)，因此需要進(jìn)行避免。綜上所述，A、B、C、D選項(xiàng)都是符合GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求的，因此都是正確的。45.根據(jù)GB/T22081標(biāo)準(zhǔn)，有關(guān)安全區(qū)域的敘述，正確的是（）。A.劃設(shè)為安全區(qū)域的場(chǎng)所已有適當(dāng)管控，可容許任何人進(jìn)出B.其目標(biāo)是避免營運(yùn)場(chǎng)所及信息遭到未授權(quán)存取、損害與干擾C.應(yīng)設(shè)立安全區(qū)域，以滿足不同業(yè)務(wù)場(chǎng)景的安全需求D.在安全區(qū)域內(nèi)工作時(shí)應(yīng)采取額外的控制措施及指引，以強(qiáng)化該區(qū)域的安全性答案：BCD解析：根據(jù)GB/T22081標(biāo)準(zhǔn)，安全區(qū)域是為了滿足不同業(yè)務(wù)場(chǎng)景的安全需求而設(shè)立的，其目標(biāo)是避免營運(yùn)場(chǎng)所及信息遭到未授權(quán)存取、損害與干擾。同時(shí)，在安全區(qū)域內(nèi)工作時(shí)應(yīng)采取額外的控制措施及指引，以強(qiáng)化該區(qū)域的安全性。因此，選項(xiàng)B、C和D是正確的。選項(xiàng)A“劃設(shè)為安全區(qū)域的場(chǎng)所已有適當(dāng)管控，可容許任何人進(jìn)出”與標(biāo)準(zhǔn)描述不符，因?yàn)榘踩珔^(qū)域通常有嚴(yán)格的訪問控制和安全措施，不是任何人都可以隨意進(jìn)出。46.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，變更管理應(yīng)予以控制的風(fēng)險(xiǎn)包括（）。A.組織架構(gòu)、業(yè)務(wù)流程變更的風(fēng)險(xiǎn)B.信息系統(tǒng)新的組件、功能模塊發(fā)布的風(fēng)險(xiǎn)C.信息系統(tǒng)配置、物理位置變更的風(fēng)險(xiǎn)D.供應(yīng)商內(nèi)部的體系文件修改造成流程變更的風(fēng)險(xiǎn)答案：ABC解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，變更管理應(yīng)予以控制的風(fēng)險(xiǎn)包括組織架構(gòu)、業(yè)務(wù)流程變更的風(fēng)險(xiǎn)、信息系統(tǒng)新的組件、功能模塊發(fā)布的風(fēng)險(xiǎn)以及信息系統(tǒng)配置、物理位置變更的風(fēng)險(xiǎn)。這些變更都可能導(dǎo)致風(fēng)險(xiǎn)，因此，在變更管理中，應(yīng)針對(duì)這些風(fēng)險(xiǎn)采取適當(dāng)?shù)目刂拼胧?。而供?yīng)商內(nèi)部的體系文件修改造成流程變更的風(fēng)險(xiǎn)雖然也可能涉及風(fēng)險(xiǎn)，但題目中并未明確提及該風(fēng)險(xiǎn)與變更管理直接相關(guān)，因此不選D。所以，正確答案為A、B、C。47.ISMS審核目標(biāo)可包括（）。A.評(píng)價(jià)ISMS是否充分識(shí)別B.確定信息安全控制對(duì)ISMS要求和規(guī)程的符合程度C.解決信息安全要求D.評(píng)價(jià)維護(hù)和有效改進(jìn)ISMS的過程答案：ABCD解析：ISMS審核的目標(biāo)通常包括評(píng)價(jià)ISMS是否充分識(shí)別、確定信息安全控制對(duì)ISMS要求和規(guī)程的符合程度以及評(píng)價(jià)維護(hù)和有效改進(jìn)ISMS的過程。這些目標(biāo)旨在確保信息安全管理體系（ISMS）的有效性和持續(xù)改進(jìn)。因此，選項(xiàng)A、B和D都是正確的。選項(xiàng)C“解決信息安全要求”并不是ISMS審核的直接目標(biāo)，而是審核過程中可能涉及的一個(gè)方面。因此，C選項(xiàng)不應(yīng)被選作正確答案。48.根據(jù)GB/T29264標(biāo)準(zhǔn)，運(yùn)行維護(hù)服務(wù)采用信息技術(shù)手段及方法，依據(jù)需方提出的服務(wù)級(jí)別要求，對(duì)其信息系統(tǒng)的（）等提供的各種技術(shù)支持和管理服務(wù)。A.硬件B.安全C.基礎(chǔ)環(huán)境D.軟件答案：ABCD解析：根據(jù)GB/T29264標(biāo)準(zhǔn)，運(yùn)行維護(hù)服務(wù)采用信息技術(shù)手段及方法，依據(jù)需方提出的服務(wù)級(jí)別要求，對(duì)其信息系統(tǒng)的硬件、安全、基礎(chǔ)環(huán)境、軟件等提供的各種技術(shù)支持和管理服務(wù)。因此，選項(xiàng)A、B、C、D均為正確答案。49.為了成功達(dá)成信息安全管理體系的持續(xù)改進(jìn)，信息安全測(cè)量項(xiàng)目應(yīng)當(dāng)考慮（）。A.基于信息安全管理體系目標(biāo)的定量安全測(cè)度B.業(yè)務(wù)連續(xù)性計(jì)劃C.信息安全管理體系各過程和規(guī)程的存在D.管理層的承諾并有適當(dāng)資源支持答案：ACD解析：在信息安全管理體系的持續(xù)改進(jìn)中，我們需要關(guān)注的關(guān)鍵點(diǎn)包括：定量安全測(cè)度、信息安全管理體系各過程和規(guī)程的存在，以及管理層的承諾和資源的支持。A選項(xiàng)提到“基于信息安全管理體系目標(biāo)的定量安全測(cè)度”，這是確保我們能夠?qū)π畔踩芾眢w系的效果進(jìn)行量化評(píng)估，從而明確改進(jìn)的方向。C選項(xiàng)“信息安全管理體系各過程和規(guī)程的存在”強(qiáng)調(diào)了信息安全管理體系的完整性和規(guī)范性，這是確保信息安全管理體系能夠持續(xù)運(yùn)行并不斷改進(jìn)的基礎(chǔ)。D選項(xiàng)“管理層的承諾并有適當(dāng)資源支持”則強(qiáng)調(diào)了管理層對(duì)信息安全管理體系的重視和支持，以及確保有足夠的資源投入，這些都是推動(dòng)信息安全管理體系持續(xù)改進(jìn)的重要保障。B選項(xiàng)“業(yè)務(wù)連續(xù)性計(jì)劃”雖然與信息安全有關(guān)，但它更多地關(guān)注于在業(yè)務(wù)中斷或?yàn)?zāi)難發(fā)生時(shí)如何保持業(yè)務(wù)的連續(xù)性，與信息安全管理體系的持續(xù)改進(jìn)并不直接相關(guān)。因此，B選項(xiàng)不應(yīng)被選入。50.訪問控制機(jī)制包括（）。A.自主訪問控制B.安全標(biāo)記C.客體重用D.強(qiáng)制訪問控制答案：ABD解析：訪問控制機(jī)制包括自主訪問控制、安全標(biāo)記和強(qiáng)制訪問控制。自主訪問控制（A）是一種訪問控制模型，其中主體可以對(duì)其所擁有的對(duì)象進(jìn)行訪問控制。安全標(biāo)記（B）是一種標(biāo)識(shí)系統(tǒng)，用于標(biāo)識(shí)和分類信息或?qū)ο螅员氵M(jìn)行訪問控制。強(qiáng)制訪問控制（D）是一種訪問控制模型，其中訪問權(quán)限由系統(tǒng)強(qiáng)制分配，而不是由主體自主決定?？腕w重用（C）通常與訪問控制無關(guān)，它涉及對(duì)象或資源的重復(fù)使用，而不是訪問控制機(jī)制的一部分。因此，正確答案為A、B和D。51.關(guān)于31000標(biāo)準(zhǔn)，以下哪些說法是正確的？（）A.該標(biāo)準(zhǔn)可用于任何公有、私有企業(yè)、協(xié)會(huì)、團(tuán)體或個(gè)體。因此，該標(biāo)準(zhǔn)不針對(duì)任何行業(yè)或部門B.盡管該標(biāo)準(zhǔn)提供了風(fēng)險(xiǎn)管理的通用性指南，但不要求組織風(fēng)險(xiǎn)管理的統(tǒng)一性C.該標(biāo)準(zhǔn)可以應(yīng)用于任何類型的風(fēng)險(xiǎn)，無論其性質(zhì)及是否有積極或消極的后果D.風(fēng)險(xiǎn)管理計(jì)劃和框架的設(shè)計(jì)和實(shí)施需要考慮到特定組織的不同需求、特定目標(biāo)、狀況、結(jié)構(gòu)、運(yùn)營、程序、職能、項(xiàng)目、產(chǎn)品、服務(wù)或資產(chǎn)以及展開的具體實(shí)踐答案：ABCD解析：A選項(xiàng)提到“該標(biāo)準(zhǔn)可用于任何公有、私有企業(yè)、協(xié)會(huì)、團(tuán)體或個(gè)體。因此，該標(biāo)準(zhǔn)不針對(duì)任何行業(yè)或部門”。從題干中的信息來看，這一說法是正確的，因?yàn)闃?biāo)準(zhǔn)本身具有廣泛的適用性，并不特定針對(duì)某一行業(yè)或部門。B選項(xiàng)提到“盡管該標(biāo)準(zhǔn)提供了風(fēng)險(xiǎn)管理的通用性指南，但不要求組織風(fēng)險(xiǎn)管理的統(tǒng)一性”。從題干中我們可以看到，標(biāo)準(zhǔn)確實(shí)提供了關(guān)于風(fēng)險(xiǎn)管理的通用性指南，但它并不強(qiáng)制要求所有組織采用統(tǒng)一的風(fēng)險(xiǎn)管理方式。因此，B選項(xiàng)也是正確的。C選項(xiàng)提到“該標(biāo)準(zhǔn)可以應(yīng)用于任何類型的風(fēng)險(xiǎn)，無論其性質(zhì)及是否有積極或消極的后果”。題干中并未明確提到這一點(diǎn)，但考慮到風(fēng)險(xiǎn)管理通常涉及所有類型的風(fēng)險(xiǎn)，無論其性質(zhì)如何，因此我們可以推斷出C選項(xiàng)也是正確的。D選項(xiàng)提到“風(fēng)險(xiǎn)管理計(jì)劃和框架的設(shè)計(jì)和實(shí)施需要考慮到特定組織的不同需求、特定目標(biāo)、狀況、結(jié)構(gòu)、運(yùn)營、程序、職能、項(xiàng)目、產(chǎn)品、服務(wù)或資產(chǎn)以及展開的具體實(shí)踐”。這一說法與題干中的描述相符，因?yàn)槊總€(gè)組織都有其獨(dú)特的需求和情況，所以在設(shè)計(jì)和實(shí)施風(fēng)險(xiǎn)管理計(jì)劃和框架時(shí)，必須考慮到這些因素。因此，D選項(xiàng)也是正確的。綜上所述，A、B、C和D選項(xiàng)都是正確的。52.以下哪些是不能用來進(jìn)行問責(zé)追溯的文件？（）A.系統(tǒng)日志B.用戶口令C.用戶配置文件D.配置文件答案：BC解析：?jiǎn)栘?zé)追溯通常涉及對(duì)系統(tǒng)或用戶行為的記錄和分析，以確定責(zé)任歸屬。系統(tǒng)日志通常記錄了系統(tǒng)的運(yùn)行情況和事件，對(duì)于問責(zé)追溯非常有用。用戶配置文件可能包含用戶的配置信息，但通常不直接記錄用戶的操作或行為，因此可能不適合直接用于問責(zé)追溯。用戶口令是用戶的私密信息，通常不公開，也不應(yīng)被用于問責(zé)追溯。配置文件可能包含系統(tǒng)或應(yīng)用的配置信息，但通常不直接記錄用戶的操作或行為，因此可能不適合直接用于問責(zé)追溯。因此，選項(xiàng)B用戶口令和選項(xiàng)C用戶配置文件是不能用來進(jìn)行問責(zé)追溯的文件。選項(xiàng)A系統(tǒng)日志和選項(xiàng)D配置文件雖然在問責(zé)追溯中可能有用，但題目并未要求選出不能用來進(jìn)行問責(zé)追溯的文件，所以不應(yīng)被選入答案中。53.在信息安全管理中，以下屬于“按需知悉（need-to-know）”原則的是（）。A.針對(duì)所需完成的工作，賦予最小集的權(quán)限B.工作人員僅需知悉可支持其完成工作任務(wù)的信息C.工作人員可訪問的信息范圍是有限的，僅在必要時(shí)可擴(kuò)大范圍D.得到高層管理者批準(zhǔn)的信息范圍是可訪問的信息答案：ABC解析：“按需知悉（need-to-know）”原則在信息安全管理中強(qiáng)調(diào)的是對(duì)信息訪問的最小化授權(quán)。這意味著只有當(dāng)工作人員需要特定的信息來完成其職責(zé)時(shí)，他們才能訪問這些信息。根據(jù)這一原則，我們可以分析每個(gè)選項(xiàng)：A.針對(duì)所需完成的工作，賦予最小集的權(quán)限-這符合“按需知悉”原則，因?yàn)樗_保只有完成特定工作所需的最小權(quán)限被賦予。B.工作人員僅需知悉可支持其完成工作任務(wù)的信息-這同樣符合“按需知悉”原則，因?yàn)樗拗屏斯ぷ魅藛T只能知道完成工作所需的信息。C.工作人員可訪問的信息范圍是有限的，僅在必要時(shí)可擴(kuò)大范圍-這同樣符合“按需知悉”原則，因?yàn)樗拗屏诵畔⒃L問的范圍，并僅在必要時(shí)擴(kuò)大。D.得到高層管理者批準(zhǔn)的信息范圍是可訪問的信息-這并不直接符合“按需知悉”原則，因?yàn)樗鼪]有強(qiáng)調(diào)最小化授權(quán)，而是依賴于高層管理者的批準(zhǔn)來決定信息訪問范圍。因此，正確答案是A、B和C。54.以下哪種說法是正確的？（）A.經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)頁制作等服務(wù)活動(dòng)B.非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動(dòng)C.國家對(duì)經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)和非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)均實(shí)行備案制度D.互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營性和非經(jīng)營性兩類答案：ABD解析：本題為多選題，要求選擇正確的說法。A選項(xiàng)：經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)頁制作等服務(wù)活動(dòng)。這個(gè)定義符合題目中給出的描述，是正確的。B選項(xiàng)：非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動(dòng)。這個(gè)定義同樣符合題目中給出的描述，也是正確的。C選項(xiàng)：國家對(duì)經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)和非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)均實(shí)行備案制度。題目中并未提到關(guān)于備案制度的內(nèi)容，所以這一選項(xiàng)是錯(cuò)誤的。D選項(xiàng)：互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營性和非經(jīng)營性兩類。這一說法符合題目中的描述，也是正確的。因此，正確答案為A、B和D。55.《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A.建設(shè)B.運(yùn)營C.維護(hù)D.使用答案：ABCD解析：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定，該法適用于在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)、使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。因此，選項(xiàng)A、B、C、D都是正確的。判斷題（共10題，共10分）56.審核方案風(fēng)險(xiǎn)一般不包括保密要求相關(guān)的風(fēng)險(xiǎn)（）。A.正確B.錯(cuò)誤答案：B解析：審核方案風(fēng)險(xiǎn)是指審核方案實(shí)施過程中發(fā)生問題的可能性。保密要求相關(guān)的風(fēng)險(xiǎn)是審核方案風(fēng)險(xiǎn)的一種，涉及到審核過程中信息的保密性、完整性和可用性等方面的問題。因此，審核方案風(fēng)險(xiǎn)一般應(yīng)該包括保密要求相關(guān)的風(fēng)險(xiǎn)。所以，題目中的說法“審核方案風(fēng)險(xiǎn)一般不包括保密要求相關(guān)的風(fēng)險(xiǎn)”