本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2023年10月信息安全管理體系基礎(chǔ)答案及解析單選題（共40題，共80分）1.在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是（）。A.ISO/IECJTC1SC27B.ISO/IECJTC1SC40C.ISO/IECTC27D.ISO/IECTC40答案：A解析：在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是ISO/IECJTC1SC27。因此，正確選項(xiàng)為A。其他選項(xiàng)ISO/IECJTC1SC40、ISO/IECTC27和ISO/IECTC40均不是負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)。2.下面哪個(gè)不是《中華人民共和國(guó)密碼法》中密碼的分類？（）A.核心密碼B.普通密碼C.國(guó)家密碼D.個(gè)人密碼答案：D解析：《中華人民共和國(guó)密碼法》中規(guī)定的密碼分類包括核心密碼和普通密碼。核心密碼用于保護(hù)國(guó)家重要機(jī)密信息，普通密碼用于保護(hù)一般涉密信息。國(guó)家密碼是一個(gè)更廣泛的概念，涵蓋了國(guó)家使用的所有密碼技術(shù)，而個(gè)人密碼則不是法律中明確規(guī)定的密碼分類。因此，選項(xiàng)D“個(gè)人密碼”不是《中華人民共和國(guó)密碼法》中規(guī)定的密碼分類。3.表示客體安全級(jí)別并描述客體敏感性的一組信息，是（）。A.敏感性標(biāo)記，是可信計(jì)算機(jī)基中強(qiáng)制訪問(wèn)控制決策的依據(jù)B.關(guān)鍵性標(biāo)記，是可信計(jì)算機(jī)基中強(qiáng)制訪問(wèn)控制決策的依據(jù)C.關(guān)鍵性等級(jí)標(biāo)記，是信息資產(chǎn)分類分級(jí)的依據(jù)D.敏感性標(biāo)記，是表明訪問(wèn)者安全權(quán)限級(jí)別答案：A解析：敏感性標(biāo)記是表示客體安全級(jí)別并描述客體敏感性的一組信息，是可信計(jì)算機(jī)基中強(qiáng)制訪問(wèn)控制決策的依據(jù)。關(guān)鍵性標(biāo)記、關(guān)鍵性等級(jí)標(biāo)記和表明訪問(wèn)者安全權(quán)限級(jí)別的信息均與題目描述不符。因此，正確答案為A。4.依據(jù)GB/T22080/ISO/IEC27001標(biāo)準(zhǔn)，信息分類方案的目的是（）。A.劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤。B.劃分信息載體所屬的職能以便于明確管理責(zé)任。C.劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D.劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析答案：C解析：依據(jù)GB/T22080/ISO/IEC27001標(biāo)準(zhǔn)，信息分類方案的目的是劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則。因此，選項(xiàng)C是正確的。選項(xiàng)A、B、D雖然都是關(guān)于信息分類的，但都不是依據(jù)GB/T22080/ISO/IEC27001標(biāo)準(zhǔn)的信息分類方案的目的。5.為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)（）。A.服務(wù)水平目標(biāo)（SLO）B.恢復(fù)點(diǎn)目標(biāo)（RPO）C.恢復(fù)時(shí)間目標(biāo)（RTO）D.最長(zhǎng)可接受終端時(shí)間（MAO）答案：B解析：為了達(dá)到組織災(zāi)難恢復(fù)的要求，需要明確恢復(fù)點(diǎn)目標(biāo)（RPO）?；謴?fù)點(diǎn)目標(biāo)（RPO）是指數(shù)據(jù)丟失的最大可接受量，即在災(zāi)難發(fā)生后，恢復(fù)到特定數(shù)據(jù)狀態(tài)所需的最長(zhǎng)時(shí)間。為了保證數(shù)據(jù)的安全性和完整性，備份時(shí)間間隔不能超過(guò)恢復(fù)點(diǎn)目標(biāo)（RPO）。因此，選項(xiàng)B“恢復(fù)點(diǎn)目標(biāo)（RPO）”是正確答案。6.根據(jù)GB/T29246標(biāo)準(zhǔn)，信息安全即（）。A.保持信息資產(chǎn)的授權(quán)訪問(wèn)控制屬性B.保持信息系統(tǒng)的完整性和高可用性C.保持信息的保密性、完整性和可用性D.保持信息處理設(shè)施的完整性和可用性答案：C解析：根據(jù)GB/T29246標(biāo)準(zhǔn)，信息安全即保持信息的保密性、完整性和可用性。這是信息安全的核心要求，也是評(píng)價(jià)一個(gè)信息系統(tǒng)是否安全的重要標(biāo)準(zhǔn)。因此，選項(xiàng)C“保持信息的保密性、完整性和可用性”是正確的答案。選項(xiàng)A“保持信息資產(chǎn)的授權(quán)訪問(wèn)控制屬性”只是信息安全的一個(gè)方面，不足以全面概括信息安全的含義。選項(xiàng)B“保持信息系統(tǒng)的完整性和高可用性”雖然也是信息安全的一部分，但同樣不是全部。選項(xiàng)D“保持信息處理設(shè)施的完整性和可用性”則更加偏離了信息安全的核心要求。因此，正確答案是C。7.根據(jù)GB/T29246標(biāo)準(zhǔn)，信息安全的完整性是指（）.A.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性B.保護(hù)資產(chǎn)保密和可用的特性C.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性D.保護(hù)資產(chǎn)準(zhǔn)確和完整的特性答案：D解析：根據(jù)GB/T29246標(biāo)準(zhǔn)，信息安全的完整性是指保護(hù)資產(chǎn)準(zhǔn)確和完整的特性。這是信息安全領(lǐng)域中的一個(gè)重要概念，指的是信息在傳輸、存儲(chǔ)或處理過(guò)程中保持其準(zhǔn)確性和完整性的能力，不受未授權(quán)的個(gè)人、實(shí)體或過(guò)程的干擾或破壞。因此，選項(xiàng)D“保護(hù)資產(chǎn)準(zhǔn)確和完整的特性”是正確的答案。其他選項(xiàng)A、B、C與完整性的定義不符。8.投訴受理后收到的每件投訴都應(yīng)該按照準(zhǔn)則進(jìn)行初步評(píng)估，評(píng)估的內(nèi)容不包括（）。A.影響程度B.嚴(yán)重程度C.風(fēng)險(xiǎn)偏好D.復(fù)雜程度答案：C解析：在投訴受理過(guò)程中，對(duì)每件投訴進(jìn)行初步評(píng)估是非常重要的一步。評(píng)估的內(nèi)容應(yīng)該涵蓋對(duì)投訴的影響程度、嚴(yán)重程度、復(fù)雜程度等方面，以便對(duì)投訴進(jìn)行有效的分類和處理。然而，風(fēng)險(xiǎn)偏好并不屬于初步評(píng)估的內(nèi)容。因此，正確答案是C，即“風(fēng)險(xiǎn)偏好”。9.關(guān)于ISO/IEC27004標(biāo)準(zhǔn)，以下說(shuō)法正確的是（）。A.該標(biāo)準(zhǔn)是ISMS管理績(jī)效的度量指南B.該標(biāo)準(zhǔn)可以替代GB/T28450C.該標(biāo)準(zhǔn)是信息安全水平的度量標(biāo)準(zhǔn)D.該標(biāo)準(zhǔn)可以替代ISO/IEC27001答案：A解析：根據(jù)題目中給出的選項(xiàng)，我們來(lái)逐一分析每個(gè)選項(xiàng)的正確性。A選項(xiàng)提到“該標(biāo)準(zhǔn)是ISMS管理績(jī)效的度量指南”，這是正確的。ISO/IEC27004標(biāo)準(zhǔn)確實(shí)提供了關(guān)于信息安全管理體系（ISMS）管理績(jī)效的度量指南，幫助組織評(píng)估和改進(jìn)其信息安全管理的效果。B選項(xiàng)說(shuō)“該標(biāo)準(zhǔn)可以替代GB/T28450”，這是不正確的。ISO/IEC27004標(biāo)準(zhǔn)與GB/T28450標(biāo)準(zhǔn)是兩個(gè)不同的標(biāo)準(zhǔn)，它們各自有其特定的目的和范圍，不能相互替代。C選項(xiàng)提到“該標(biāo)準(zhǔn)是信息安全水平的度量標(biāo)準(zhǔn)”，這也不準(zhǔn)確。ISO/IEC27004標(biāo)準(zhǔn)主要是關(guān)于ISMS管理績(jī)效的度量，而不是信息安全水平的度量。D選項(xiàng)說(shuō)“該標(biāo)準(zhǔn)可以替代ISO/IEC27001”，這是不正確的。ISO/IEC27001標(biāo)準(zhǔn)是關(guān)于信息安全管理體系（ISMS）的規(guī)范，而ISO/IEC27004標(biāo)準(zhǔn)是關(guān)于ISMS管理績(jī)效的度量指南，兩者有不同的作用，不能相互替代。綜上所述，只有A選項(xiàng)是正確的，即“該標(biāo)準(zhǔn)是ISMS管理績(jī)效的度量指南”。10.關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是：（）。A.該法的目的是為了保守國(guó)家秘密而定B.該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全C.該法適用于所有組織對(duì)其敏感信息的保護(hù)D.國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)答案：A解析：《中華人民共和國(guó)保密法》的目的是為了保守國(guó)家秘密，維護(hù)國(guó)家安全和利益，保障改革開(kāi)放和社會(huì)主義建設(shè)事業(yè)的順利進(jìn)行。因此，選項(xiàng)A“該法的目的是為了保守國(guó)家秘密而定”是正確的。選項(xiàng)B“該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全”是不正確的。ISO/IEC27001是一個(gè)國(guó)際信息安全標(biāo)準(zhǔn)，而《中華人民共和國(guó)保密法》是國(guó)家的法律，二者在性質(zhì)、目的和適用范圍上都有所不同，不能相互替代。選項(xiàng)C“該法適用于所有組織對(duì)其敏感信息的保護(hù)”是不正確的?！吨腥A人民共和國(guó)保密法》主要適用于國(guó)家機(jī)關(guān)和涉及國(guó)家秘密的單位和人員，而不是所有組織。選項(xiàng)D“國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)”是不正確的。根據(jù)《中華人民共和國(guó)保密法》，國(guó)家秘密分為絕密、機(jī)密、秘密三級(jí)，由國(guó)家保密行政管理部門會(huì)同其他有關(guān)部門規(guī)定。國(guó)家秘密的定級(jí)和保密期限由有關(guān)機(jī)關(guān)、單位確定，而不是由組織自主定級(jí)、自主保護(hù)。11.以下說(shuō)不正確的是（）。A.應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)審B.應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C.制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響D.安全計(jì)劃應(yīng)適時(shí)更新答案：C解析：在考察各選項(xiàng)是否正確時(shí)，需要首先理解風(fēng)險(xiǎn)評(píng)估及其與組織架構(gòu)、業(yè)務(wù)目標(biāo)、威脅和安全計(jì)劃之間的關(guān)系。A選項(xiàng)提到“應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)審”，這是正確的，因?yàn)榻M織架構(gòu)和業(yè)務(wù)目標(biāo)的變化可能會(huì)對(duì)現(xiàn)有的風(fēng)險(xiǎn)產(chǎn)生影響，需要定期進(jìn)行再評(píng)審以更新評(píng)估結(jié)果。B選項(xiàng)說(shuō)“應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估”，這也是正確的，因?yàn)槲闯浞肿R(shí)別的威脅可能會(huì)帶來(lái)新的風(fēng)險(xiǎn)，需要進(jìn)行再評(píng)估以確保風(fēng)險(xiǎn)得到全面管理。C選項(xiàng)表示“制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響”，這是不正確的。制造部增加的生產(chǎn)場(chǎng)所可能會(huì)帶來(lái)新的信息安全風(fēng)險(xiǎn)，如物理安全、網(wǎng)絡(luò)安全等，因此需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。D選項(xiàng)提到“安全計(jì)劃應(yīng)適時(shí)更新”，這是正確的，因?yàn)榘踩{和風(fēng)險(xiǎn)是不斷變化的，安全計(jì)劃需要定期更新以適應(yīng)這些變化。綜上所述，不正確的選項(xiàng)是C。12.ISO/EC17799標(biāo)準(zhǔn)是哪個(gè)標(biāo)準(zhǔn)的前身（）？A.BS7799-1B.BS7799-2C.BS7799-3D.GB7799答案：A解析：ISO/EC17799標(biāo)準(zhǔn)是BS7799-1的前身。BS7799-1是一個(gè)信息安全管理標(biāo)準(zhǔn)，它提供了對(duì)信息安全管理各個(gè)方面的指南，包括政策、程序、過(guò)程、任務(wù)、活動(dòng)和組織結(jié)構(gòu)。后來(lái)，BS7799-1被ISO采用并進(jìn)行了修訂，形成了ISO/EC17799標(biāo)準(zhǔn)。因此，正確答案是A，即BS7799-1。13.關(guān)于GB/T28450標(biāo)準(zhǔn)，以下說(shuō)法不正確的是（）。A.增加了ISMS的審核指導(dǎo)B.等同采用了ISO19011C.與ISO/IEC27006—致D.與ISO19011—致答案：B解析：本題考查的是對(duì)GB/T28450標(biāo)準(zhǔn)相關(guān)內(nèi)容的理解。根據(jù)題目描述，我們需要判斷四個(gè)選項(xiàng)中關(guān)于GB/T28450標(biāo)準(zhǔn)的說(shuō)法哪一項(xiàng)是不正確的。A選項(xiàng)提到“增加了ISMS的審核指導(dǎo)”，這一說(shuō)法可能是正確的，因?yàn)镚B/T28450標(biāo)準(zhǔn)可能確實(shí)增加了與ISMS（信息安全管理體系）審核相關(guān)的指導(dǎo)內(nèi)容。B選項(xiàng)說(shuō)“等同采用了ISO19011”，這是不正確的。GB/T28450標(biāo)準(zhǔn)與ISO19011標(biāo)準(zhǔn)并不是等同采用的關(guān)系。C選項(xiàng)提到“與ISO/IEC27006一致”，這一說(shuō)法可能是正確的，因?yàn)镚B/T28450標(biāo)準(zhǔn)可能與ISO/IEC27006標(biāo)準(zhǔn)在內(nèi)容上保持一致。D選項(xiàng)說(shuō)“與ISO19011一致”，這與B選項(xiàng)的錯(cuò)誤相似，因此也是不正確的。綜上所述，不正確的說(shuō)法是B選項(xiàng)“等同采用了ISO19011”。因此，正確答案是B。14.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，下列哪一項(xiàng)不是管理層承諾完成的？（）A.確保建立了信息安全策略B.確保建立了信息安全目標(biāo)C.確保信息安全管理所需資源D.購(gòu)買性能良好的信息安全產(chǎn)品答案：D解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，管理層承諾需要確保信息安全策略、信息安全目標(biāo)和信息安全管理所需資源的建立。然而，購(gòu)買性能良好的信息安全產(chǎn)品并不是管理層的承諾內(nèi)容，而是實(shí)施信息安全管理的具體措施之一。因此，選項(xiàng)D“購(gòu)買性能良好的信息安全產(chǎn)品”不是管理層承諾完成的。15.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，組織（）實(shí)施風(fēng)險(xiǎn)評(píng)估。A.應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)B.應(yīng)按計(jì)劃的時(shí)間間隔且當(dāng)重大變更提出或發(fā)生時(shí)C.只需在重大變更發(fā)生時(shí)D.只需按計(jì)劃的時(shí)間間隔答案：A解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，組織應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)實(shí)施風(fēng)險(xiǎn)評(píng)估。因此，選項(xiàng)A“應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變更提出或發(fā)生時(shí)”是正確的。選項(xiàng)B“應(yīng)按計(jì)劃的時(shí)間間隔且當(dāng)重大變更提出或發(fā)生時(shí)”與標(biāo)準(zhǔn)不符，因?yàn)樗瑫r(shí)包含了“按計(jì)劃的時(shí)間間隔”和“當(dāng)重大變更提出或發(fā)生時(shí)”兩個(gè)條件，而標(biāo)準(zhǔn)只要求滿足其中一個(gè)條件。選項(xiàng)C“只需在重大變更發(fā)生時(shí)”和選項(xiàng)D“只需按計(jì)劃的時(shí)間間隔”都與標(biāo)準(zhǔn)不符，因?yàn)樗鼈冎粡?qiáng)調(diào)了其中一個(gè)條件。16.在以下人為的惡意攻擊行為中，屬于主動(dòng)攻擊的是（）？A.數(shù)據(jù)竊聽(tīng)B.誤操作C.數(shù)據(jù)流分析D.數(shù)據(jù)篡改答案：D解析：主動(dòng)攻擊是指攻擊者試圖中斷、修改或偽造正在進(jìn)行的通信，通常涉及修改數(shù)據(jù)流或創(chuàng)建錯(cuò)誤的數(shù)據(jù)流。在給出的選項(xiàng)中，數(shù)據(jù)篡改是主動(dòng)攻擊的一種形式，因?yàn)樗婕靶薷幕騻卧鞌?shù)據(jù)。而數(shù)據(jù)竊聽(tīng)、誤操作和數(shù)據(jù)流分析并不直接涉及修改或偽造數(shù)據(jù)，因此它們不是主動(dòng)攻擊。因此，正確答案是D，即數(shù)據(jù)篡改。17.風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的（）。A.行動(dòng)B.計(jì)劃C.意愿D.批復(fù)答案：C解析：風(fēng)險(xiǎn)偏好是組織在決策過(guò)程中對(duì)于風(fēng)險(xiǎn)的態(tài)度，它決定了組織在面臨風(fēng)險(xiǎn)時(shí)是否愿意尋求或保留風(fēng)險(xiǎn)。因此，風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的意愿，選項(xiàng)C“意愿”最符合題意。其他選項(xiàng)如行動(dòng)、計(jì)劃和批復(fù)雖然與風(fēng)險(xiǎn)有關(guān)，但都不直接描述組織對(duì)于風(fēng)險(xiǎn)的態(tài)度，因此不是最佳答案。18.根據(jù)GB17859標(biāo)準(zhǔn)，規(guī)定了信息系統(tǒng)安全分為5個(gè)等級(jí)，其中，按照（）的順序從左至右安全能力逐漸增強(qiáng)。A.系統(tǒng)審計(jì)保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)B.用戶自主保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)C.訪問(wèn)驗(yàn)證保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)D.用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)答案：D解析：根據(jù)GB17859標(biāo)準(zhǔn)，信息系統(tǒng)安全分為5個(gè)等級(jí)，按照用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)的順序從左至右安全能力逐漸增強(qiáng)。因此，正確答案為D。19.依據(jù)GB/T22080標(biāo)準(zhǔn)的要求，網(wǎng)絡(luò)隔離是指（）。A.內(nèi)網(wǎng)與外網(wǎng)的隔離B.LAN與MAN、WAN之間的隔離C.不同運(yùn)營(yíng)商之間的隔離D.不同用戶組之間的隔離答案：A解析：依據(jù)GB/T22080標(biāo)準(zhǔn)的要求，網(wǎng)絡(luò)隔離是指內(nèi)網(wǎng)與外網(wǎng)的隔離。這是為了防止外部網(wǎng)絡(luò)中的惡意攻擊和未經(jīng)授權(quán)的訪問(wèn)，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。因此，選項(xiàng)A“內(nèi)網(wǎng)與外網(wǎng)的隔離”是正確的答案。選項(xiàng)B“LAN與MAN、WAN之間的隔離”涉及到局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)之間的隔離，與題目要求不符。選項(xiàng)C“不同運(yùn)營(yíng)商之間的隔離”和選項(xiàng)D“不同用戶組之間的隔離”雖然也是網(wǎng)絡(luò)隔離的一種形式，但不是依據(jù)GB/T22080標(biāo)準(zhǔn)的要求所指的網(wǎng)絡(luò)隔離。20.根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS文件評(píng)審不包括（）。A.信息安全管理手冊(cè)的充分性B.風(fēng)險(xiǎn)評(píng)估報(bào)告的合理性C.適用性聲明的完備性和合理性D.風(fēng)險(xiǎn)處置計(jì)劃的完備性答案：A解析：根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS文件評(píng)審主要包括風(fēng)險(xiǎn)評(píng)估報(bào)告的合理性、適用性聲明的完備性和合理性以及風(fēng)險(xiǎn)處置計(jì)劃的完備性。信息安全管理手冊(cè)的充分性并不屬于ISMS文件評(píng)審的內(nèi)容。因此，正確答案是A。21.根據(jù)ISO/IEC27000標(biāo)準(zhǔn)，（）為組織提供了信息安全管理體系實(shí)施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27013D.ISO/IEC27003答案：D解析：ISO/IEC27000是一個(gè)信息安全管理體系的標(biāo)準(zhǔn)，它提供了信息安全管理體系的基礎(chǔ)和原則。然而，它本身并不提供具體的實(shí)施指南。為了獲取實(shí)施指南，我們需要參考其他相關(guān)的ISO/IEC標(biāo)準(zhǔn)。選項(xiàng)A，ISO/IEC27002是一個(gè)信息安全管理實(shí)踐的代碼，它提供了一系列信息安全控制措施和指南，以幫助企業(yè)建立和實(shí)施有效的信息安全管理體系。但它不是ISO/IEC27000的直接實(shí)施指南。選項(xiàng)B，ISO/IEC27007是關(guān)于信息安全管理體系的指南，但它更側(cè)重于信息安全管理體系的審計(jì)和合規(guī)性。選項(xiàng)C，ISO/IEC27013是一個(gè)關(guān)于云計(jì)算安全性的標(biāo)準(zhǔn)，它提供了一系列云計(jì)算環(huán)境的信息安全控制。但它不是ISO/IEC27000的實(shí)施指南。選項(xiàng)D，ISO/IEC27003是關(guān)于信息安全管理體系實(shí)施指南的標(biāo)準(zhǔn)。它詳細(xì)說(shuō)明了如何實(shí)施和運(yùn)營(yíng)一個(gè)信息安全管理體系，與ISO/IEC27000的標(biāo)準(zhǔn)相輔相成。綜上所述，ISO/IEC27003為組織提供了信息安全管理體系實(shí)施指南，所以答案是D。22.（）是對(duì)于一個(gè)組織成功實(shí)施ISMS來(lái)滿足其業(yè)務(wù)目標(biāo)的關(guān)鍵因素。A.增加利益相關(guān)方對(duì)組織的信任B.信息安全策略、目標(biāo)和與目標(biāo)一致的活動(dòng)C.更有效、經(jīng)濟(jì)的信息安全投資管理D.滿足社會(huì)的需要和期望答案：B解析：題目詢問(wèn)的是對(duì)于一個(gè)組織成功實(shí)施ISMS（信息安全管理體系）來(lái)滿足其業(yè)務(wù)目標(biāo)的關(guān)鍵因素。在給出的選項(xiàng)中，A選項(xiàng)“增加利益相關(guān)方對(duì)組織的信任”雖然重要，但不是ISMS實(shí)施的核心要素；C選項(xiàng)“更有效、經(jīng)濟(jì)的信息安全投資管理”是ISMS實(shí)施的一部分，但不是關(guān)鍵因素；D選項(xiàng)“滿足社會(huì)的需要和期望”與ISMS的直接關(guān)系不明確。而B(niǎo)選項(xiàng)“信息安全策略、目標(biāo)和與目標(biāo)一致的活動(dòng)”是ISMS實(shí)施的核心，它確保了組織有明確的信息安全目標(biāo)和與這些目標(biāo)一致的活動(dòng)，從而有效地實(shí)施ISMS，滿足業(yè)務(wù)目標(biāo)。因此，正確答案是B。23.A公司的機(jī)房有一扇臨街的窗戶，下列風(fēng)險(xiǎn)描述中哪個(gè)風(fēng)險(xiǎn)與該種情況無(wú)關(guān)？（）。A.機(jī)房設(shè)備面臨被盜的風(fēng)險(xiǎn)B.機(jī)房設(shè)備面臨受破壞的風(fēng)險(xiǎn)C.機(jī)房設(shè)備面臨灰塵的風(fēng)險(xiǎn)D.機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)答案：D解析：題目中提到A公司的機(jī)房有一扇臨街的窗戶，我們需要分析下列風(fēng)險(xiǎn)描述中哪個(gè)風(fēng)險(xiǎn)與該種情況無(wú)關(guān)。A選項(xiàng)“機(jī)房設(shè)備面臨被盜的風(fēng)險(xiǎn)”：由于機(jī)房窗戶臨街，存在外部人員通過(guò)窗戶進(jìn)入機(jī)房盜竊設(shè)備的可能性，因此與題目情況有關(guān)。B選項(xiàng)“機(jī)房設(shè)備面臨受破壞的風(fēng)險(xiǎn)”：同樣，臨街的窗戶可能使外部人員有機(jī)會(huì)破壞機(jī)房設(shè)備，因此與題目情況有關(guān)。C選項(xiàng)“機(jī)房設(shè)備面臨灰塵的風(fēng)險(xiǎn)”：由于窗戶可能允許外部空氣和灰塵進(jìn)入機(jī)房，因此機(jī)房設(shè)備面臨灰塵的風(fēng)險(xiǎn)與題目情況有關(guān)。D選項(xiàng)“機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)”：題目中并沒(méi)有提到有非機(jī)房工作人員可能誤入機(jī)房的情況，因此該風(fēng)險(xiǎn)與題目中的臨街窗戶情況無(wú)關(guān)。綜上，與題目中的臨街窗戶情況無(wú)關(guān)的風(fēng)險(xiǎn)是D選項(xiàng)“機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)”。24.根據(jù)《網(wǎng)絡(luò)安全審查辦法》，關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者（），可能影響國(guó)家安全的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。A.采購(gòu)安全產(chǎn)品和服務(wù)B.使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)C.采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)D.使用安全產(chǎn)品和服務(wù)答案：C解析：根據(jù)《網(wǎng)絡(luò)安全審查辦法》的規(guī)定，關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，如果可能影響國(guó)家安全，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。因此，正確選項(xiàng)為C，即“采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。選項(xiàng)A“采購(gòu)安全產(chǎn)品和服務(wù)”和選項(xiàng)D“使用安全產(chǎn)品和服務(wù)”都不符合題目要求，因?yàn)轭}目中明確提到的是“采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)”，而不是“安全產(chǎn)品和服務(wù)”。選項(xiàng)B“使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)”雖然與題目中的“使用”字眼相符，但并未明確提到“采購(gòu)”，因此也不是正確答案。25.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）。A.要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開(kāi)始，一次何測(cè)量結(jié)果B.要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C.要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成如何評(píng)價(jià)結(jié)果D.要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開(kāi)始，如何評(píng)價(jià)結(jié)果答案：C解析：在信息安全領(lǐng)域，根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，組織在規(guī)劃達(dá)到信息安全目標(biāo)時(shí)，需要明確幾個(gè)關(guān)鍵要素。首先，要明確“要做什么”，即具體的信息安全任務(wù)或活動(dòng)。其次，要確定“需要什么資源”，包括人力、物力、財(cái)力等，以確保任務(wù)的順利完成。再次，要指定“由誰(shuí)負(fù)責(zé)”，明確責(zé)任主體，確保任務(wù)有人負(fù)責(zé)執(zhí)行。接著，要確定“什么時(shí)候完成”，設(shè)定任務(wù)的完成時(shí)間節(jié)點(diǎn)，確保任務(wù)在預(yù)期時(shí)間內(nèi)完成。最后，要規(guī)定“如何評(píng)價(jià)結(jié)果”，明確評(píng)價(jià)標(biāo)準(zhǔn)和方式，以便對(duì)任務(wù)完成情況進(jìn)行評(píng)估。對(duì)比選項(xiàng)A、B、D，我們可以發(fā)現(xiàn)它們要么缺少“如何評(píng)價(jià)結(jié)果”這一關(guān)鍵要素，要么表述不準(zhǔn)確。只有選項(xiàng)C完整地涵蓋了上述所有關(guān)鍵要素，符合GB/T22080-2016標(biāo)準(zhǔn)要求。因此，正確答案是C。26.某數(shù)據(jù)中心申請(qǐng)ISMS認(rèn)證的范圍為“IDC基礎(chǔ)設(shè)施服務(wù)的提供”，對(duì)此以下說(shuō)法正確的是（）。A.A.8可以刪減B.A.12可以刪減C.A.14可以刪減D.以上都對(duì)答案：C解析：根據(jù)題目中的描述，數(shù)據(jù)中心申請(qǐng)ISMS認(rèn)證的范圍為“IDC基礎(chǔ)設(shè)施服務(wù)的提供”。ISMS認(rèn)證通常要求涵蓋組織的信息安全管理體系的各個(gè)方面，包括策略、過(guò)程、技術(shù)和人員等。對(duì)于題目中的選項(xiàng)，A.8、A.12和A.14是否可以刪減，需要具體參考ISMS認(rèn)證的相關(guān)標(biāo)準(zhǔn)和規(guī)范。由于題目沒(méi)有提供具體的標(biāo)準(zhǔn)和規(guī)范內(nèi)容，無(wú)法直接判斷哪個(gè)選項(xiàng)是正確的。因此，需要更多的背景信息或上下文來(lái)確定正確答案。在沒(méi)有更多信息的情況下，無(wú)法確定A.8、A.12和A.14是否可以刪減，因此選項(xiàng)D“以上都對(duì)”顯然是不正確的。唯一可以確定的是，如果題目中有關(guān)于這些條款是否可以刪減的明確標(biāo)準(zhǔn)或規(guī)定，那么選項(xiàng)C“A.14可以刪減”可能是正確的。因此，正確答案是C。然而，需要注意的是，這個(gè)答案是基于題目中的信息和常識(shí)推測(cè)得出的，并不一定準(zhǔn)確，因?yàn)槿狈唧w的背景信息。27.根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品，是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的（）。A.特定產(chǎn)品B.特定硬件和軟件產(chǎn)品C.專用產(chǎn)品D.專用硬件和軟件產(chǎn)品答案：D解析：《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確提到，計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品。因此，正確答案為D，即專用硬件和軟件產(chǎn)品。28.ISO/IEC27001標(biāo)準(zhǔn)描述的風(fēng)險(xiǎn)分析過(guò)程不包括（）。A.分析風(fēng)險(xiǎn)發(fā)生的原因B.確定風(fēng)險(xiǎn)級(jí)別C.評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D.評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性答案：A解析：ISO/IEC27001標(biāo)準(zhǔn)描述的風(fēng)險(xiǎn)分析過(guò)程包括確定風(fēng)險(xiǎn)級(jí)別、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果以及評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性。而分析風(fēng)險(xiǎn)發(fā)生的原因并不在ISO/IEC27001標(biāo)準(zhǔn)描述的風(fēng)險(xiǎn)分析過(guò)程中。因此，選項(xiàng)A“分析風(fēng)險(xiǎn)發(fā)生的原因”是不包括在ISO/IEC27001標(biāo)準(zhǔn)描述的風(fēng)險(xiǎn)分析過(guò)程中的。29.防火墻提供的接入模式不包括（）。A.透明模式B.混合模式C.網(wǎng)關(guān)模式D.旁路接入模式答案：D解析：防火墻提供的接入模式通常包括透明模式、路由模式和混合模式。透明模式是指防火墻在網(wǎng)絡(luò)中不改變數(shù)據(jù)包的MAC地址，使得數(shù)據(jù)包可以像通過(guò)一臺(tái)交換機(jī)一樣通過(guò)防火墻，從而實(shí)現(xiàn)網(wǎng)絡(luò)的透明傳輸。路由模式是指防火墻作為路由器使用，對(duì)數(shù)據(jù)包進(jìn)行路由轉(zhuǎn)發(fā)?；旌夏Ｊ絼t是結(jié)合前兩者的特點(diǎn)，根據(jù)需要在透明模式和路由模式之間切換。而旁路接入模式不是防火墻提供的接入模式之一，它是網(wǎng)絡(luò)安全設(shè)備（如入侵檢測(cè)系統(tǒng)）的部署方式，通過(guò)將設(shè)備接入網(wǎng)絡(luò)中的某個(gè)點(diǎn)（通常是網(wǎng)絡(luò)邊緣或核心交換機(jī)）進(jìn)行監(jiān)控和檢測(cè)，而不是作為網(wǎng)絡(luò)的路由或透明設(shè)備存在。因此，正確答案為D。30.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》關(guān)于“關(guān)鍵信息基礎(chǔ)設(shè)施”的行業(yè)和領(lǐng)域，以下說(shuō)法不正確的是（）。A.關(guān)鍵信息基礎(chǔ)設(shè)施包括公共通信和信息服務(wù)、能源、交通、公共服務(wù)B.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、醫(yī)療、教育、電子政務(wù)C.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、水利、電子政務(wù)D.關(guān)鍵信息基礎(chǔ)設(shè)施包括能源、交通、水利、金融、金融、公共服務(wù)、電子政務(wù)答案：B解析：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科研生產(chǎn)等行業(yè)領(lǐng)域中，對(duì)國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益具有重大影響的信息設(shè)施。”因此，選項(xiàng)B中的“醫(yī)療”并不屬于關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)和領(lǐng)域，所以選項(xiàng)B不正確。選項(xiàng)A中的“公共通信和信息服務(wù)、能源、交通、公共服務(wù)”都是關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)和領(lǐng)域。選項(xiàng)C和D中提到的“能源、交通、水利、電子政務(wù)”以及“能源、交通、水利、金融、公共服務(wù)、電子政務(wù)”也都是關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)和領(lǐng)域，但D選項(xiàng)中“金融”重復(fù)了，這并不影響其正確性。因此，選項(xiàng)B是不正確的說(shuō)法。31.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國(guó)家對(duì)于經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行（）。A.行政監(jiān)管制度B.備案制度C.備案與行政監(jiān)管相結(jié)合的管理制度D.許可制度答案：D解析：根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定，國(guó)家對(duì)于經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度。經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，是指通過(guò)互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)頁(yè)制作等服務(wù)活動(dòng)。因此，選項(xiàng)D“許可制度”是正確的答案。其他選項(xiàng)如行政監(jiān)管制度、備案制度、備案與行政監(jiān)管相結(jié)合的管理制度均不符合該法規(guī)的規(guī)定。32.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信心。A.相關(guān)方B.供應(yīng)商C.顧客D.上級(jí)機(jī)關(guān)答案：A解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。因此，正確答案為A，即相關(guān)方。其他選項(xiàng)如供應(yīng)商、顧客和上級(jí)機(jī)關(guān)都不是建立ISMS體系的主要目的。33.下列關(guān)于DMZ區(qū)的說(shuō)法錯(cuò)誤的是（）。A.DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)B.通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)行的設(shè)備，如WEB服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等。C.內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)外部網(wǎng)絡(luò)以及DMZD.有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作答案：A解析：A選項(xiàng)表示“DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)”，這是錯(cuò)誤的。DMZ（DemilitarizedZone）即非軍事化區(qū)，是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問(wèn)用戶不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和公共訪問(wèn)網(wǎng)絡(luò)之間。它實(shí)際上是一個(gè)網(wǎng)絡(luò)區(qū)域，這個(gè)區(qū)域包含允許外部通信經(jīng)過(guò)的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等。通常，內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)DMZ，但DMZ不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)，以防止內(nèi)部網(wǎng)絡(luò)受到攻擊。因此，A選項(xiàng)的說(shuō)法是錯(cuò)誤的。34.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是（）。A.發(fā)布新的法律法規(guī)B.ISMS最高管理者人員變更C.ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D.計(jì)劃的時(shí)間間隔答案：B解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是ISMS最高管理者人員變更。因?yàn)樽罡吖芾碚呷藛T變更不一定直接影響信息安全管理體系的有效性或完整性，因此不一定需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。而其他選項(xiàng)，如發(fā)布新的法律法規(guī)、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)以及計(jì)劃的時(shí)間間隔，都可能對(duì)信息安全管理體系產(chǎn)生直接影響，因此需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。35.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)。A.組織環(huán)境和相關(guān)方要求B.戰(zhàn)略和意思C.戰(zhàn)略和方針D.職能和層次答案：D解析：在GB/T22080-2016標(biāo)準(zhǔn)中，組織應(yīng)在相關(guān)的職能和層次上建立信息安全目標(biāo)。這是因?yàn)樾畔踩且粋€(gè)跨職能、多層次的問(wèn)題，需要各個(gè)職能和層次都明確自己的信息安全目標(biāo)，并采取相應(yīng)的措施來(lái)保障信息安全。因此，選項(xiàng)D“職能和層次”是正確的答案。其他選項(xiàng)如“組織環(huán)境和相關(guān)方要求”、“戰(zhàn)略和意思”、“戰(zhàn)略和方針”都不符合標(biāo)準(zhǔn)的要求。36.在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為（）。A.設(shè)備要求和網(wǎng)絡(luò)要求B.硬件要求和軟件要求C.物理要求和應(yīng)用要求D.技術(shù)要求和管理要求答案：D解析：在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中，針對(duì)每一級(jí)的基本要求分為技術(shù)要求和管理要求。這包括了物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面的技術(shù)要求，以及安全管理、安全管理機(jī)構(gòu)、人員管理等方面的管理要求。因此，正確選項(xiàng)是D。選項(xiàng)A中的設(shè)備要求和網(wǎng)絡(luò)要求、選項(xiàng)B中的硬件要求和軟件要求、選項(xiàng)C中的物理要求和應(yīng)用要求都沒(méi)有涵蓋完整的信息系統(tǒng)安全等級(jí)保護(hù)基本要求。37.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，最高管理層應(yīng)（），以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。A.分配職責(zé)與權(quán)限B.分配崗位與權(quán)限C.分配責(zé)任和權(quán)限D(zhuǎn).分配角色和權(quán)限答案：C解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，最高管理層應(yīng)分配責(zé)任和權(quán)限，以確保信息安全管理體系符合本標(biāo)準(zhǔn)要求。這是因?yàn)樽罡吖芾韺有枰袚?dān)起確保信息安全管理體系符合標(biāo)準(zhǔn)要求的責(zé)任，并通過(guò)分配適當(dāng)?shù)臋?quán)限來(lái)確保管理體系的有效實(shí)施和持續(xù)改進(jìn)。選項(xiàng)A、B、D中的表述與標(biāo)準(zhǔn)不符，只有選項(xiàng)C符合標(biāo)準(zhǔn)的要求。因此，正確答案為C。38.以下關(guān)于VPN描述正確的是（）。A.VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全是隔離的、安全的線路B.VPN指的是用戶通過(guò)公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接C.VPN不能做到信息認(rèn)證和身份認(rèn)證D.VPN只能提供身份認(rèn)證，不能提供加密數(shù)據(jù)的功能答案：B解析：A選項(xiàng)提到“VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全是隔離的、安全的線路”，這是錯(cuò)誤的，VPN并不一定是用戶自己租用的線路，而是指通過(guò)公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接。B選項(xiàng)“VPN指的是用戶通過(guò)公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接”是正確的描述。C選項(xiàng)“VPN不能做到信息認(rèn)證和身份認(rèn)證”是錯(cuò)誤的，VPN可以提供信息認(rèn)證和身份認(rèn)證的功能。D選項(xiàng)“VPN只能提供身份認(rèn)證，不能提供加密數(shù)據(jù)的功能”也是錯(cuò)誤的，VPN不僅可以提供身份認(rèn)證，還可以提供加密數(shù)據(jù)的功能。因此，正確答案是B。39.根據(jù)GB/T29246標(biāo)準(zhǔn)，保密性是指（）。A.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性B.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C.保護(hù)信息準(zhǔn)確和完整的特性D.保證信息不被其他人使用答案：B解析：保密性是指信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性。根據(jù)GB/T29246標(biāo)準(zhǔn)，這是保密性的定義。其他選項(xiàng)與保密性的定義不符。A選項(xiàng)“根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性”是可用性的一種特性；C選項(xiàng)“保護(hù)信息準(zhǔn)確和完整的特性”是完整性的一種特性；D選項(xiàng)“保證信息不被其他人使用”沒(méi)有明確“未授權(quán)”的前提，因此不是保密性的準(zhǔn)確描述。因此，正確答案是B選項(xiàng)。40.關(guān)于GB/T22080-2016標(biāo)準(zhǔn)，所采用的過(guò)程方法是（）。A.PPTR方法B.SMART方法C.PDCA方法D.SWOT方法答案：C解析：GB/T22080-2016標(biāo)準(zhǔn)所采用的是PDCA方法，即Plan（計(jì)劃）、Do（執(zhí)行）、Check（檢查）和Act（處理）四個(gè)階段的循環(huán)過(guò)程。這是質(zhì)量管理中常用的過(guò)程方法，用于持續(xù)改進(jìn)和優(yōu)化流程。因此，正確答案是C選項(xiàng)，即PDCA方法。多選題（共15題，共30分）41.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，下列說(shuō)法正確的是（）。A.殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)B.適用性聲明需要包含必要的控制及其選擇的合理性說(shuō)明C.所有的信息安全活動(dòng)都必須有記錄D.組織控制下的員工應(yīng)了解信息安全方針答案：ABD解析：A選項(xiàng)提到“殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)”，這與GB/T22080-2016標(biāo)準(zhǔn)中的相關(guān)要求相符。標(biāo)準(zhǔn)中確實(shí)規(guī)定了殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)，因此A選項(xiàng)是正確的。B選項(xiàng)提到“適用性聲明需要包含必要的控制及其選擇的合理性說(shuō)明”，這也是符合GB/T22080-2016標(biāo)準(zhǔn)的要求。適用性聲明中確實(shí)需要包含必要的控制及其選擇的合理性說(shuō)明，因此B選項(xiàng)是正確的。C選項(xiàng)提到“所有的信息安全活動(dòng)都必須有記錄”，但GB/T22080-2016標(biāo)準(zhǔn)并沒(méi)有明確規(guī)定所有的信息安全活動(dòng)都必須有記錄。雖然記錄信息安全活動(dòng)是很重要的，但標(biāo)準(zhǔn)中并沒(méi)有要求所有活動(dòng)都必須有記錄，因此C選項(xiàng)是錯(cuò)誤的。D選項(xiàng)提到“組織控制下的員工應(yīng)了解信息安全方針”，這也是符合GB/T22080-2016標(biāo)準(zhǔn)的要求。標(biāo)準(zhǔn)中確實(shí)規(guī)定了組織控制下的員工應(yīng)了解信息安全方針，因此D選項(xiàng)是正確的。綜上所述，正確的選項(xiàng)是A、B、D。42.依據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，在開(kāi)展信息安全績(jī)效和ISMS有效性評(píng)價(jià)時(shí)，組織應(yīng)確定（）。A.監(jiān)視、測(cè)量、分析和評(píng)價(jià)的過(guò)程B.適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法C.要被監(jiān)視和測(cè)量的內(nèi)容D.監(jiān)視、測(cè)量、分析和評(píng)價(jià)的執(zhí)行人員答案：BCD解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，組織在開(kāi)展信息安全績(jī)效和ISMS有效性評(píng)價(jià)時(shí)，需要確定以下三個(gè)方面的內(nèi)容：B.適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法：這是為了確保評(píng)價(jià)過(guò)程的準(zhǔn)確性和有效性，組織需要選擇適合其業(yè)務(wù)特點(diǎn)和信息安全需求的監(jiān)視、測(cè)量、分析和評(píng)價(jià)方法。C.要被監(jiān)視和測(cè)量的內(nèi)容：這是為了明確評(píng)價(jià)的具體對(duì)象和目標(biāo)，組織需要確定哪些信息安全績(jī)效和ISMS要素需要被監(jiān)視和測(cè)量，以便評(píng)估其有效性。D.監(jiān)視、測(cè)量、分析和評(píng)價(jià)的執(zhí)行人員：這是為了確保評(píng)價(jià)過(guò)程的順利進(jìn)行，組織需要指定具備相應(yīng)能力和職責(zé)的人員來(lái)執(zhí)行監(jiān)視、測(cè)量、分析和評(píng)價(jià)工作。而A選項(xiàng)“監(jiān)視、測(cè)量、分析和評(píng)價(jià)的過(guò)程”在標(biāo)準(zhǔn)中并未明確提及，因此不應(yīng)被選作答案。43.根據(jù)GB/T29246標(biāo)準(zhǔn)，風(fēng)險(xiǎn)描述的要素包括（）。A.可能性B.后果C.脆弱性D.威脅答案：ABCD解析：根據(jù)GB/T29246標(biāo)準(zhǔn)，風(fēng)險(xiǎn)描述的要素包括可能性、后果、脆弱性和威脅。這些要素共同構(gòu)成了對(duì)風(fēng)險(xiǎn)的全面描述，有助于對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確評(píng)估和管理。因此，選項(xiàng)A、B、C和D都是正確的。44.根據(jù)ISO/IEC27005標(biāo)準(zhǔn)，風(fēng)險(xiǎn)處置的可選措施包括（）。A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩答案：CD解析：根據(jù)ISO/IEC27005標(biāo)準(zhǔn)，風(fēng)險(xiǎn)處置的可選措施包括風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)減緩。風(fēng)險(xiǎn)轉(zhuǎn)移是將風(fēng)險(xiǎn)從一個(gè)實(shí)體轉(zhuǎn)移到另一個(gè)實(shí)體，而風(fēng)險(xiǎn)減緩則是采取措施降低風(fēng)險(xiǎn)的可能性或影響。風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)管理的不同階段，不是風(fēng)險(xiǎn)處置的可選措施。因此，正確選項(xiàng)為C、D。45.以下屬于相關(guān)方的是（）。A.組織內(nèi)的人員B.供方C.顧客D.所有者答案：ABCD解析：相關(guān)方是指對(duì)組織的目標(biāo)實(shí)現(xiàn)有直接影響或潛在影響的個(gè)人或團(tuán)體。在這個(gè)問(wèn)題中，選項(xiàng)A“組織內(nèi)的人員”是組織內(nèi)部的成員，他們的行為和決策直接影響組織的目標(biāo)實(shí)現(xiàn)；選項(xiàng)B“供方”是向組織提供資源或服務(wù)的外部實(shí)體，他們的表現(xiàn)直接影響組織的運(yùn)營(yíng)和產(chǎn)品質(zhì)量；選項(xiàng)C“顧客”是組織的產(chǎn)品或服務(wù)的接收者，他們的滿意度和反饋對(duì)組織的市場(chǎng)地位和聲譽(yù)有重要影響；選項(xiàng)D“所有者”是組織的投資者，他們的期望和要求對(duì)組織的財(cái)務(wù)和戰(zhàn)略決策有決定性作用。因此，所有這些都是相關(guān)方。46.根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》要求，對(duì)風(fēng)險(xiǎn)安全等級(jí)三級(jí)及以上系統(tǒng)，以下說(shuō)法正確的是（）。A.采用雙重身份鑒別機(jī)制B.對(duì)用戶和數(shù)據(jù)采用安全標(biāo)記C.系統(tǒng)管理員可任意訪問(wèn)日志記錄D.三年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作答案：AB解析：《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》對(duì)風(fēng)險(xiǎn)安全等級(jí)三級(jí)及以上系統(tǒng)有嚴(yán)格的要求。根據(jù)題目選項(xiàng)分析如下：A選項(xiàng)提到“采用雙重身份鑒別機(jī)制”。這是正確的，因?yàn)閷?duì)于風(fēng)險(xiǎn)安全等級(jí)三級(jí)及以上的系統(tǒng)，通常要求采用更為嚴(yán)格的身份鑒別機(jī)制，以防止未經(jīng)授權(quán)的訪問(wèn)。B選項(xiàng)提到“對(duì)用戶和數(shù)據(jù)采用安全標(biāo)記”。這也是符合要求的。安全標(biāo)記可以幫助識(shí)別系統(tǒng)內(nèi)的用戶和數(shù)據(jù)，并控制對(duì)它們的訪問(wèn)權(quán)限。C選項(xiàng)提到“系統(tǒng)管理員可任意訪問(wèn)日志記錄”。這不符合要求，因?yàn)橄到y(tǒng)管理員的訪問(wèn)權(quán)限應(yīng)當(dāng)受到限制，以防止不當(dāng)操作或誤操作。D選項(xiàng)提到“三年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作”。題目中并未給出關(guān)于網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作的具體頻率要求，因此不能判斷此選項(xiàng)的正確性。綜上所述，正確的選項(xiàng)是A和B。47.影響審核時(shí)間安排的因素包括（）。A.ITSMS的范圍大小B.場(chǎng)所的數(shù)量C.認(rèn)證機(jī)構(gòu)審核人員的能力D.認(rèn)證機(jī)構(gòu)審核人員的數(shù)量答案：AB解析：審核時(shí)間安排受到多種因素的影響。在給出的選項(xiàng)中，A.ITSMS的范圍大小是一個(gè)重要因素。范圍越大，審核所需的時(shí)間通常也會(huì)越長(zhǎng)。B.場(chǎng)所的數(shù)量也是一個(gè)關(guān)鍵因素，因?yàn)閷徍巳藛T需要在每個(gè)場(chǎng)所進(jìn)行工作，場(chǎng)所數(shù)量增加意味著審核時(shí)間的增加。C.認(rèn)證機(jī)構(gòu)審核人員的能力雖然可能影響審核的質(zhì)量，但并不直接影響審核的時(shí)間安排。D.認(rèn)證機(jī)構(gòu)審核人員的數(shù)量可能會(huì)間接影響審核時(shí)間，但題目中并未明確說(shuō)明審核人員數(shù)量與審核時(shí)間之間的直接關(guān)系。因此，根據(jù)題目所給選項(xiàng)，正確答案是A和B。48.垃圾郵件帶來(lái)的危害有（）。A.垃圾郵件浪費(fèi)廣大用戶的時(shí)間和精力B.垃圾郵件占用很多互聯(lián)網(wǎng)資源C.垃圾郵件迫使企業(yè)使用最新的操作系統(tǒng)D.垃圾郵件提高了某些公司做廣告的效益答案：AB解析：本題為多選題，考察的是垃圾郵件的危害。選項(xiàng)A，垃圾郵件浪費(fèi)廣大用戶的時(shí)間和精力，這是垃圾郵件的主要危害之一。垃圾郵件的內(nèi)容通常與接收者無(wú)關(guān)，而且發(fā)送者可能使用大量的標(biāo)題或正文內(nèi)容來(lái)吸引用戶的注意力，導(dǎo)致用戶花費(fèi)時(shí)間閱讀、刪除或標(biāo)記為垃圾郵件，從而浪費(fèi)時(shí)間和精力。選項(xiàng)B，垃圾郵件占用很多互聯(lián)網(wǎng)資源。垃圾郵件的發(fā)送需要大量的網(wǎng)絡(luò)資源，包括帶寬和存儲(chǔ)資源。大量的垃圾郵件會(huì)導(dǎo)致網(wǎng)絡(luò)擁堵，影響正常的網(wǎng)絡(luò)通信，甚至可能導(dǎo)致網(wǎng)絡(luò)癱瘓。選項(xiàng)C，垃圾郵件迫使企業(yè)使用最新的操作系統(tǒng)，這個(gè)選項(xiàng)并不正確。垃圾郵件的發(fā)送與操作系統(tǒng)版本無(wú)關(guān)，企業(yè)使用最新的操作系統(tǒng)通常是為了保證系統(tǒng)的安全性和穩(wěn)定性，而不是因?yàn)槔]件的威脅。選項(xiàng)D，垃圾郵件提高了某些公司做廣告的效益，這個(gè)選項(xiàng)也不正確。垃圾郵件的發(fā)送者通常是為了推銷自己的產(chǎn)品或服務(wù)，而不是為了幫助其他公司做廣告。而且，垃圾郵件的發(fā)送可能會(huì)對(duì)用戶造成騷擾，甚至損害公司的聲譽(yù)。綜上所述，垃圾郵件帶來(lái)的危害主要有：A垃圾郵件浪費(fèi)廣大用戶的時(shí)間和精力；B垃圾郵件占用很多互聯(lián)網(wǎng)資源。因此，正確答案為A和B。49.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，信息安全方針應(yīng)（）。A.形成文件化信息并可用B.與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C.確保符合組織的戰(zhàn)略方針D.適當(dāng)時(shí)，對(duì)相關(guān)方可用答案：ACD解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，信息安全方針應(yīng)該形成文件化信息并可用，以確保信息安全管理的實(shí)施和監(jiān)視。同時(shí)，信息安全方針應(yīng)與組織的戰(zhàn)略方針相一致，確保組織整體戰(zhàn)略與信息安全方針的協(xié)調(diào)。此外，當(dāng)信息安全方針涉及組織內(nèi)外相關(guān)方時(shí)，應(yīng)確保這些相關(guān)方了解并遵循該方針，因此，適當(dāng)時(shí)，信息安全方針應(yīng)對(duì)相關(guān)方可用。綜上，正確選項(xiàng)為A、C、D。50.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向（）電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。A.省B.自治區(qū)C.直轄市D.特別行政區(qū)答案：ABC解析：根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定，從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)向主辦單位所在地的省、自治區(qū)、直轄市電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。因此，正確選項(xiàng)為A省，B自治區(qū)，C直轄市。特別行政區(qū)并不在此列，故D選項(xiàng)不正確。51.對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施，以下說(shuō)法正確的是（）。A.將所有風(fēng)險(xiǎn)都必須被降低至可接受的級(jí)別B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移C.在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)D.規(guī)避風(fēng)險(xiǎn)答案：BCD解析：對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施，我們需要分析每個(gè)選項(xiàng)的正確性。A選項(xiàng)提到“將所有風(fēng)險(xiǎn)都必須被降低至可接受的級(jí)別”。這個(gè)選項(xiàng)過(guò)于絕對(duì)，因?yàn)椴⒎撬酗L(fēng)險(xiǎn)都能被降低到可接受的級(jí)別，有些風(fēng)險(xiǎn)可能無(wú)法完全消除或降低。因此，A選項(xiàng)不正確。B選項(xiàng)提到“可以將風(fēng)險(xiǎn)轉(zhuǎn)移”。這是風(fēng)險(xiǎn)處置的一個(gè)有效策略。通過(guò)風(fēng)險(xiǎn)轉(zhuǎn)移，組織可以將某些風(fēng)險(xiǎn)轉(zhuǎn)移給第三方，例如購(gòu)買保險(xiǎn)來(lái)轉(zhuǎn)移財(cái)務(wù)風(fēng)險(xiǎn)。因此，B選項(xiàng)是正確的。C選項(xiàng)提到“在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)”。這是風(fēng)險(xiǎn)處置的另一種策略。有些風(fēng)險(xiǎn)可能無(wú)法完全消除或降低，組織可以選擇接受這些風(fēng)險(xiǎn)，并在滿足公司策略和方針的條件下進(jìn)行決策。因此，C選項(xiàng)也是正確的。D選項(xiàng)提到“規(guī)避風(fēng)險(xiǎn)”。這是風(fēng)險(xiǎn)處置的基本策略之一。通過(guò)規(guī)避風(fēng)險(xiǎn)，組織可以避免某些可能導(dǎo)致?lián)p失或不利后果的活動(dòng)或決策。因此，D選項(xiàng)也是正確的。綜上所述，正確的選項(xiàng)是B、C和D。52.（）是組織在評(píng)價(jià)信息安全績(jī)效以及ISMS的有效性時(shí)需要進(jìn)行考慮的事項(xiàng)A.誰(shuí)應(yīng)實(shí)施監(jiān)視和測(cè)量。B.如何對(duì)監(jiān)視和測(cè)量的結(jié)果就那些分析和評(píng)價(jià)C.什么時(shí)候執(zhí)行監(jiān)視和測(cè)量D.需要監(jiān)視和測(cè)量的內(nèi)容答案：BCD解析：組織在評(píng)價(jià)信息安全績(jī)效以及ISMS的有效性時(shí)，需要關(guān)注監(jiān)視和測(cè)量的實(shí)施者、執(zhí)行時(shí)間、以及需要監(jiān)視和測(cè)量的內(nèi)容。對(duì)于選項(xiàng)A“誰(shuí)應(yīng)實(shí)施監(jiān)視和測(cè)量”，雖然這是一個(gè)重要的考慮因素，但題目中并未特別詢問(wèn)，所以不是答案的一部分。而選項(xiàng)B“如何對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)”、選項(xiàng)C“什么時(shí)候執(zhí)行監(jiān)視和測(cè)量”、選項(xiàng)D“需要監(jiān)視和測(cè)量的內(nèi)容”都是組織在評(píng)價(jià)信息安全績(jī)效和ISMS有效性時(shí)需要考慮的事項(xiàng)，因此是正確答案。53.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)要求，以下說(shuō)法正確的是（）。A.信息安全風(fēng)險(xiǎn)評(píng)估須每年進(jìn)行一次B.定期進(jìn)行第三方滲透測(cè)試可滿足標(biāo)準(zhǔn)6.1.2的要求C.風(fēng)險(xiǎn)管理旨在確保ISMS達(dá)到預(yù)期結(jié)果D.風(fēng)險(xiǎn)管理旨在預(yù)防或減少不良影響答案：CD解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，我們需要逐項(xiàng)檢查各個(gè)選項(xiàng)的內(nèi)容。A選項(xiàng)提到“信息安全風(fēng)險(xiǎn)評(píng)估須每年進(jìn)行一次”，然而GB/T22080-2016標(biāo)準(zhǔn)并沒(méi)有明確規(guī)定信息安全風(fēng)險(xiǎn)評(píng)估的頻率，因此A選項(xiàng)不正確。B選項(xiàng)說(shuō)“定期進(jìn)行第三方滲透測(cè)試可滿足標(biāo)準(zhǔn)6.1.2的要求”，但標(biāo)準(zhǔn)6.1.2是關(guān)于“系統(tǒng)漏洞和弱點(diǎn)管理”的要求，它確實(shí)提到了定期進(jìn)行漏洞掃描和滲透測(cè)試，但并不意味著這能滿足標(biāo)準(zhǔn)6.1.2的所有要求，因此B選項(xiàng)也不正確。C選項(xiàng)提到“風(fēng)險(xiǎn)管理旨在確保ISMS達(dá)到預(yù)期結(jié)果”，這與GB/T22080-2016標(biāo)準(zhǔn)中風(fēng)險(xiǎn)管理的目標(biāo)是一致的，因此C選項(xiàng)是正確的。D選項(xiàng)說(shuō)“風(fēng)險(xiǎn)管理旨在預(yù)防或減少不良影響”，這也是符合GB/T22080-2016標(biāo)準(zhǔn)中風(fēng)險(xiǎn)管理的目標(biāo)的，因此D選項(xiàng)也是正確的。綜上所述，正確的選項(xiàng)是C和D。54.可被視為可靠的電子簽名，須同時(shí)符合以下條件（）。A.簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)B.簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制C.簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)D.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有答案：ABCD解析：根據(jù)《電子簽名法》的規(guī)定，可被視為可靠的電子簽名須符合以下四個(gè)條件：A.簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)這是為了保證簽名的不可篡改性，確保簽名在簽署后不會(huì)被非法修改。B.簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制這確保了簽名的唯一性和責(zé)任歸屬，只有電子簽名人能夠制作并使用其電子簽名。C.簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)這保證了數(shù)據(jù)電文在簽署后的完整性，任何對(duì)數(shù)據(jù)電文內(nèi)容和形式的改動(dòng)都能夠被發(fā)現(xiàn)。D.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有這確保了電子簽名制作數(shù)據(jù)的專屬性，只有電子簽名人能夠使用其電子簽名制作數(shù)據(jù)進(jìn)行簽名。因此，選項(xiàng)A、B、C和D都是可靠的電子簽名所必須滿足的條件。55.含有敏感信息的設(shè)備的處置可采?。ǎ.格式化處理B.采取使原始信息不可獲取的技術(shù)破壞或刪除C.多次地寫覆蓋D.徹底摧毀答案：BCD解析：根據(jù)題目描述，含有敏感信息的設(shè)備處置需要確保原始信息無(wú)法獲取。選項(xiàng)A格式化處理雖然可以清除設(shè)備上的數(shù)據(jù)，但不一定能確保原始信息完全不可獲取。選項(xiàng)B采取使原始信息不可獲取的技術(shù)破壞或刪除，符合題目要求，因?yàn)檫@樣可以確保原始信息無(wú)法被獲取。選項(xiàng)C多次地寫覆蓋也是一種有效的處置方式，通過(guò)多次覆蓋可以確保原始信息無(wú)法