本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2024年08月信息安全管理體系基礎(chǔ)答案及解析單選題（共40題，共80分）1.某數(shù)據(jù)中心申請ISMS認(rèn)證的范圍為“IC基礎(chǔ)設(shè)施服務(wù)的提供”，對此以下說法正確的是（）。A.附錄A.17可以刪減B.附錄A.8可以刪減C.附錄A.12可以刪減D.附錄A.14可以刪減答案：D解析：數(shù)據(jù)中心申請ISMS認(rèn)證的范圍為"IC基礎(chǔ)設(shè)施服務(wù)的提供"，對于附錄的內(nèi)容，可以根據(jù)實際情況進(jìn)行篩選。根據(jù)參照解析，數(shù)據(jù)中心主要工作職責(zé)是運(yùn)行維護(hù)服務(wù)，不涉及開發(fā)的內(nèi)容與職能，因此附錄A.14（系統(tǒng)獲取、開發(fā)和維護(hù)等）不適用，可以刪減。而其他附錄如A.8資產(chǎn)管理、A.12運(yùn)行安全、A.17業(yè)務(wù)連續(xù)性管理的信息安全方面都是重要的組成部分，不能刪減。因此，正確答案是D。2.信息安全管理中，關(guān)于脆弱性，以下說法正確的是（）。A.組織使用的開源軟件不須考慮其技術(shù)脆弱性B.軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種C.識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D.使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機(jī)會答案：B解析：針對題目中的四個選項，我們可以進(jìn)行如下分析：A選項：組織使用的開源軟件不須考慮其技術(shù)脆弱性。這是錯誤的，根據(jù)GB/T27002標(biāo)準(zhǔn)，組織應(yīng)該考慮其使用的所有軟件（包括開源軟件）的技術(shù)脆弱性管理。B選項：軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種。這是正確的。"后門"是一種安全漏洞，可以被惡意用戶利用，因此可以被視為一種脆弱性。C選項：識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施。這是錯誤的，根據(jù)GB/T20984-2007標(biāo)準(zhǔn)，在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)。D選項：使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機(jī)會。這也是錯誤的，物理隔離不能完全防止所有的威脅和脆弱性。脆弱性不僅包括技術(shù)脆弱性，還包括管理脆弱性，涵蓋網(wǎng)絡(luò)結(jié)構(gòu)、物理環(huán)境、系統(tǒng)軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)等多個方面。因此，正確答案是B。3.根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS的規(guī)模不包括（）。A.信息系統(tǒng)的數(shù)量B.在組織控制下開展工作的人員總數(shù)，以及與ISMS有關(guān)的相關(guān)方和合同方C.組織的部門數(shù)量D.ISMS覆蓋的場所數(shù)量答案：C解析：根據(jù)GB/T28450標(biāo)準(zhǔn)，ISMS的規(guī)模不包括組織的部門數(shù)量。ISMS的規(guī)模主要包括以下幾個方面：體系所覆蓋的人數(shù)、使用的信息系統(tǒng)的數(shù)量、處理的信息量、用戶的數(shù)量、特權(quán)用戶的數(shù)量、IT平臺的數(shù)量、網(wǎng)絡(luò)的數(shù)量及它們的規(guī)模以及體系所覆蓋的場所等。因此，組織的部門數(shù)量并不在ISMS規(guī)模的考慮范圍內(nèi)。4.根據(jù)GB/T29246標(biāo)準(zhǔn)，風(fēng)險處置后余下的風(fēng)險是（）。A.有條件的接受風(fēng)險B.重大風(fēng)險C.殘余風(fēng)險D.不可接受的風(fēng)險答案：C解析：根據(jù)GB/T29246標(biāo)準(zhǔn)，風(fēng)險處置后余下的風(fēng)險被稱為殘余風(fēng)險。因此，正確答案為C。5.防火墻提供的接入模式不包括（）。A.透明模式B.混合模式C.網(wǎng)關(guān)模式D.旁路接入模式答案：D解析：防火墻提供的接入模式通常包括透明模式、網(wǎng)關(guān)模式和混合模式。透明模式是指防火墻在網(wǎng)絡(luò)中透明工作，不改變網(wǎng)絡(luò)流量和路由；網(wǎng)關(guān)模式是指防火墻作為網(wǎng)絡(luò)中的網(wǎng)關(guān)來使用，處理所有通過的數(shù)據(jù)包；混合模式則是結(jié)合前兩者的特點。因此，旁路接入模式不是防火墻提供的接入模式之一，選項D是正確的答案。6.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》所稱互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向（）提供信息的服務(wù)活動。A.通過網(wǎng)絡(luò)B.監(jiān)視網(wǎng)絡(luò)睿C.上網(wǎng)用戶D.使用網(wǎng)絡(luò)答案：C解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》第二條明確指出，互聯(lián)網(wǎng)信息服務(wù)是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶提供信息的服務(wù)活動。因此，本題正確答案為C，即上網(wǎng)用戶。7.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是（）。A.適用互動式管理確保用戶使用優(yōu)質(zhì)口令B.用提示信息告知用戶輸入的口令是否正確C.必要時，使用密碼技術(shù)、生物識別等替代口令D.明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略答案：B解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)關(guān)于信息系統(tǒng)登錄口令的管理，關(guān)于題目中的四個選項，A、C和D都是正確的做法。而B選項“用提示信息告知用戶輸入的口令是否正確”是不正確的，因為直接告知用戶其口令是否正確存在安全隱患，可能會被他人通過窺視等方式獲取到密碼信息。因此，B選項是不正確的做法。8.訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。是哪一級信息系統(tǒng)安全保護(hù)等級？（）A.機(jī)構(gòu)化保護(hù)級B.系統(tǒng)審計保護(hù)級C.安全標(biāo)記保護(hù)級D.用戶自主保護(hù)級答案：B解析：根據(jù)GB17859標(biāo)準(zhǔn)，題目所描述的安全保護(hù)等級為系統(tǒng)審計保護(hù)級。這一級別的信息系統(tǒng)實施了粒度更細(xì)的自主訪問控制，通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)。因此，正確答案為B。9.某信用卡制造工廠，對生產(chǎn)線上產(chǎn)生的不合格品卡，進(jìn)行逐一登記、密封、送粉碎室拆封、再登記后予以粉碎處理。這符合GB/T22080-2016標(biāo)準(zhǔn)要求的（）條款。A.8.1.1和A.8.2.1B.A.8.3.2和A.8.3.3C.10.1和10.2D.A.11.2.5和A.11.2.7答案：B解析：本題考查的是對GB/T22080-2016標(biāo)準(zhǔn)條款的理解和應(yīng)用。根據(jù)題目描述，某信用卡制造工廠對不合格品卡進(jìn)行逐一登記、密封、送粉碎室拆封、再登記后予以粉碎處理，這是關(guān)于不合格品卡的處理過程。對照GB/T22080-2016標(biāo)準(zhǔn)，A項的A.8.1.1和A.8.2是關(guān)于資產(chǎn)清單和信息分級的條款，不符合題干描述的不合格品卡處理過程。D項的A.11.2.5和A.11.2.7是關(guān)于資產(chǎn)的移動和設(shè)備的安全處置或再利用的條款，也不符合題意。C項的主條款10.1和10.2是關(guān)于安全措施和持續(xù)改進(jìn)的，與題干描述的不合格品卡處理流程不符。因此，只有B選項的A.8.3.2介質(zhì)的處理和A.8.3.3物理介質(zhì)的轉(zhuǎn)移符合題目描述的不合格品卡處理流程。所以正確答案是B。10.信息安全的保密性是指（）。A.根據(jù)授權(quán)實體的要求可訪問的特性B.保證信息不被其他人使用C.信息不被未授權(quán)的個人、實體或過程利用或知悉的特性D.保護(hù)信息準(zhǔn)確和完整的特性答案：C解析：信息的保密性指的是信息不被未授權(quán)的個人、實體或過程利用或知悉的特性。這是信息安全的一個重要方面，確保只有授權(quán)的人員能夠訪問和使用信息。參照GB/T29246-2017標(biāo)準(zhǔn)中的定義，保密性確保信息對未授權(quán)的個人、實體或過程不可用或不泄露。因此，正確答案是C。11.信息安全目標(biāo)應(yīng)（）。A.可測量B.與信息安全方針一致C.適當(dāng)時，對相關(guān)方可用D.定期更新答案：B解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的規(guī)定，信息安全目標(biāo)應(yīng)與信息安全方針一致。因此，選項B正確，其他選項雖然也是信息安全目標(biāo)應(yīng)考慮的內(nèi)容，但并非核心要求。12.設(shè)置防火墻策略是為了（）。A.進(jìn)行訪問控制B.進(jìn)行病毒防范C.進(jìn)行郵件內(nèi)容過濾D.進(jìn)行流量控制答案：A解析：設(shè)置防火墻策略的主要目的是為了進(jìn)行訪問控制，即控制不同用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。因此，答案為A。13.以下哪一項標(biāo)準(zhǔn)與行為規(guī)范、投訴處理、爭議解決以及監(jiān)視和測量顧客滿意度無關(guān)？（）A.GB/T19013BB.GB/T19001C.GB/T19010D.GB/T19012答案：B解析：題目要求找出與行為規(guī)范、投訴處理、爭議解決以及監(jiān)視和測量顧客滿意度無關(guān)的標(biāo)準(zhǔn)。GB/T19001是關(guān)于質(zhì)量管理體系的標(biāo)準(zhǔn)，并不直接涉及行為規(guī)范、投訴處理、爭議解決以及監(jiān)視和測量顧客滿意度等方面的內(nèi)容。因此，選項B是正確答案。其他選項中的標(biāo)準(zhǔn)可能與這些方面有關(guān)，但不是本題目的重點。14.某知名電商平臺遭受DDoS攻擊事件，根據(jù)GB/T20986-2023標(biāo)準(zhǔn)，屬于以下哪一類網(wǎng)絡(luò)安全事件？（）A.信息內(nèi)容安全事件B.網(wǎng)絡(luò)攻擊事件C.惡意程序事件D.數(shù)據(jù)安全事件答案：B解析：根據(jù)GB/T20986-2023標(biāo)準(zhǔn)，某知名電商平臺遭受的DDoS攻擊事件屬于網(wǎng)絡(luò)攻擊事件。DDoS攻擊是一種拒絕服務(wù)攻擊，通過非正常使用網(wǎng)絡(luò)資源影響或破壞網(wǎng)絡(luò)可用性。因此，根據(jù)該標(biāo)準(zhǔn)，該事件被歸類為網(wǎng)絡(luò)攻擊事件。15.建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信心。A.相關(guān)方B.供應(yīng)商C.顧客D.上級機(jī)關(guān)答案：A解析：參照GB/T22080-2016引言0.1總則，組織建立ISMS體系的目的，是為了通過應(yīng)用風(fēng)險管理過程來保持信息的保密性、完整性和可用性，并為相關(guān)方樹立風(fēng)險得到充分管理的信心。因此，建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。16.在我國信息系統(tǒng)安全等級保護(hù)的基本要求中，針對每一級的基本要求分為（）。A.硬件要求和軟件要求B.物理要求和應(yīng)用要求C.設(shè)備要求和網(wǎng)絡(luò)要求D.技術(shù)要求和管理要求答案：D解析：根據(jù)GB/T22239-2008標(biāo)準(zhǔn)附錄B的規(guī)定，在我國信息系統(tǒng)安全等級保護(hù)的基本要求中，針對每一級的基本要求分為技術(shù)要求和管理要求。因此，針對此題目，應(yīng)選D。17.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，最高管理層應(yīng)（），以確保信息安全管理體系符合標(biāo)準(zhǔn)要求A.分配責(zé)任和權(quán)限B.分配角色和權(quán)限C.分配職責(zé)與權(quán)限D(zhuǎn).配崗位與權(quán)限答案：A解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，最高管理層應(yīng)分配職責(zé)與權(quán)限，以確保信息安全管理體系符合標(biāo)準(zhǔn)要求。這一要求在標(biāo)準(zhǔn)的5.3部分“組織的角色、責(zé)任和權(quán)限”中有明確規(guī)定，即最高管理層應(yīng)確保與信息安全相關(guān)的角色、責(zé)任和權(quán)限得到分配和溝通。因此，正確答案是C，“分配職責(zé)與權(quán)限”。18.信息安全風(fēng)險評價是指（）。A.指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動B.改變風(fēng)險的過程C.系統(tǒng)地使用信息來識別風(fēng)險來源和估計風(fēng)險D.將風(fēng)險分析的結(jié)果與風(fēng)險準(zhǔn)則比較的過程答案：D解析：信息安全風(fēng)險評價是將風(fēng)險分析的結(jié)果與風(fēng)險準(zhǔn)則進(jìn)行比較的過程，以確定風(fēng)險和（或）其大小是否可接受或可容忍。這一解釋與GB/T29246-2017標(biāo)準(zhǔn)中的定義相符。因此，正確答案是D。19.關(guān)于顧客滿意，以下說法錯誤的是（）。A.顧客滿意是指顧客對其期望已被滿足程度的感受B.確保規(guī)定的顧客要求符合顧客的愿望并得到滿足，就能確保顧客很滿意C.投訴是一種滿意程度低的最常見的表達(dá)方式，但沒有投訴并不一定表明顧客很滿意D.為了實現(xiàn)較高的顧客滿意，可能有必要滿足那些顧客既沒有明示也不是通常隱含或必須履行的期望答案：B解析：對于選項B，即使規(guī)定的顧客要求符合顧客的愿望并得到滿足，也不一定確保顧客很滿意。這是因為顧客滿意不僅僅是基于規(guī)定的要求被滿足，還涉及到顧客對整體消費(fèi)體驗的感知和感受。因此，僅僅確保規(guī)定要求的符合并不一定能確保顧客滿意，故選項B說法錯誤。20.關(guān)于GB/T22080-2016標(biāo)準(zhǔn)，下列說法錯誤的是（）。A.信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中B.標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)?；蛐再|(zhì)的組織C.標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求D.標(biāo)準(zhǔn)中所表述要求的順序反映了這些要求應(yīng)該實現(xiàn)的順序答案：D解析：標(biāo)準(zhǔn)中所表述要求的順序并不反映這些要求應(yīng)該實現(xiàn)的順序，僅僅是為了方便引用而進(jìn)行的編號。因此，選項D的說法是錯誤的。21.ISO/IEC27000系列標(biāo)準(zhǔn)中提供有關(guān)信息安全治理原則和流程的指導(dǎo)，組織可以通過這些原則和流程來評估，指導(dǎo)和監(jiān)控信息安全管理的國際標(biāo)準(zhǔn)是（）。A.ISO/IEC27004B.ISO/IEC27014C.ISO/IEC27003D.ISO/IEC27010答案：C解析：題目要求找出ISO/IEC27000系列標(biāo)準(zhǔn)中提供有關(guān)信息安全治理原則和流程的國際標(biāo)準(zhǔn)。根據(jù)參考答案，正確答案是C選項，即ISO/IEC27003。該標(biāo)準(zhǔn)提供了信息安全治理的原則和流程，組織可以通過這些原則和流程來評估、指導(dǎo)和監(jiān)控信息安全管理的實施。22.根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，國家對于經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實施（）。A.行政監(jiān)管制度B.許可制度C.備案制度D.備案與行政監(jiān)管相結(jié)合的管理制度答案：B解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》第四條規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行許可制度。因此，根據(jù)該規(guī)定，國家對于經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實施許可制度，選項B正確。23.2023年11月，某知名電商平臺遭遇惡意程序攻擊，導(dǎo)致大量用戶數(shù)據(jù)泄霜部分用戶銀行卡信息被竊取，造成嚴(yán)重的經(jīng)濟(jì)損失和社會恐慌。該事件的類別屬于以下哪種？（）A.網(wǎng)絡(luò)攻擊事件B.數(shù)據(jù)安全事件C.信息內(nèi)容安全事件D.惡意程序事件答案：B解析：該事件屬于數(shù)據(jù)安全事件。因為該電商平臺遭遇惡意程序攻擊，導(dǎo)致大量用戶數(shù)據(jù)泄露，部分用戶銀行卡信息被竊取，造成了經(jīng)濟(jì)損失和社會恐慌。根據(jù)GB/T20986-2023標(biāo)準(zhǔn)中的定義，數(shù)據(jù)安全事件是通過技術(shù)或其他手段對數(shù)據(jù)實施篡改、假冒、泄露、竊取等導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。因此，該事件符合數(shù)據(jù)安全事件的定義，選項B正確。24.Saas是指（）。A.平臺即服務(wù)B.應(yīng)用即服務(wù)C.設(shè)施即服務(wù)D.軟件即服務(wù)答案：D解析：SaaS是軟件即服務(wù)的縮寫，是指向用戶提供應(yīng)用軟件、組件、工作流等虛擬化軟件的服務(wù)。因此，選項D是正確答案。25.根據(jù)GB/T31722標(biāo)準(zhǔn)，信息安全風(fēng)險管理過程由確定范疇（）組成。A.風(fēng)險監(jiān)視和評審B.風(fēng)險評估C.風(fēng)險溝通D.其他選項均正確答案：D解析：根據(jù)GB/T31722標(biāo)準(zhǔn)，信息安全風(fēng)險管理過程由多個部分構(gòu)成。題目中提到的確定范疇包括風(fēng)險評估、風(fēng)險溝通和風(fēng)險監(jiān)視與評審等。因此，選項A、B、C都是該標(biāo)準(zhǔn)中的一部分，所以答案是D，其他選項均正確。26.根據(jù)GB/T31722標(biāo)準(zhǔn)，關(guān)于信息安全風(fēng)險處置，以下說法正確的是（）。A.應(yīng)基于風(fēng)險評估的結(jié)果、實施風(fēng)險處置選項的預(yù)期成本及預(yù)期收益來選擇風(fēng)險處置選項B.須按風(fēng)險降低、風(fēng)險保留、風(fēng)險避免、風(fēng)險分擔(dān)順序進(jìn)行C.須按風(fēng)險避免、風(fēng)險降低、風(fēng)險分擔(dān)、風(fēng)險保留順序進(jìn)行D.風(fēng)險降低、風(fēng)險保留、風(fēng)險避免、風(fēng)險分擔(dān)須擇一使用而放棄其他手段答案：A解析：根據(jù)GB/T31722標(biāo)準(zhǔn)，關(guān)于信息安全風(fēng)險處置的說法中，應(yīng)基于風(fēng)險評估的結(jié)果、實施風(fēng)險處置選項的預(yù)期成本及預(yù)期收益來選擇風(fēng)險處置選項。這是因為風(fēng)險處置包括多種選項，如風(fēng)險降低、風(fēng)險保留、風(fēng)險避免（規(guī)避）和風(fēng)險分擔(dān)（轉(zhuǎn)移），組織可以通過這些選項的組合來充分獲益，而不是必須按照某種特定順序進(jìn)行或擇一使用而放棄其他手段。因此，正確答案是A。27.關(guān)于ISO/EC27799，以下說法正確的是（B）。A.這是一份擴(kuò)展的ISMS要求標(biāo)準(zhǔn)B.這是一份ISMS特定行業(yè)指南性質(zhì)的標(biāo)準(zhǔn)C.這不是ISMS族標(biāo)準(zhǔn)D.這是通信行業(yè)信息安全標(biāo)準(zhǔn)答案：B解析：ISO/EC27799是一份基于ISMS特定行業(yè)指南性質(zhì)的標(biāo)準(zhǔn)，它是為健康組織提供行業(yè)獨(dú)特的指南，基于ISO/IEC27002，除了包含通用的信息安全管理體系要求外，還針對健康信息學(xué)領(lǐng)域的特點進(jìn)行了補(bǔ)充和深化。因此，選項B正確。28.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織（）實施風(fēng)險評估。A.只需在重大變更發(fā)生時B.只需按計劃的時間間隔C.應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時D.應(yīng)按計劃的時間間隔且當(dāng)重大變更提出或發(fā)生時答案：C解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，組織應(yīng)實施信息安全風(fēng)險評估。具體的實施時機(jī)包括按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時。因此，正確答案為C。29.根據(jù)GB/T31497標(biāo)準(zhǔn)，鑒于（）涉及計劃活動的實現(xiàn)程度和預(yù)期結(jié)果的實現(xiàn)程度，績效測量應(yīng)涉及信息安全流程和控制措施的實施程度。A.符合性B.可用性C.有效性D.保密性答案：C解析：根據(jù)GB/T31497標(biāo)準(zhǔn)，績效測量應(yīng)涉及信息安全流程和控制措施的實施程度，尤其是有效性的測量，因為有效性涉及計劃活動的實現(xiàn)程度和預(yù)期結(jié)果的實現(xiàn)程度。所以，正確答案是C。標(biāo)準(zhǔn)提供了如何編制測度和測量以及如何使用的指南，以評估信息安全管理體系（ISMS）和控制措施或控制措施組的有效性。30.信息安全在通信保密階段中主要應(yīng)用于（）領(lǐng)域。A.軍事B.商業(yè)C.科研D.教育答案：A解析：在通信保密階段中，信息安全主要應(yīng)用于軍事領(lǐng)域。政府和軍事通信對信息安全的需求最為強(qiáng)烈，需要使用最先進(jìn)的保密通信技術(shù)來保障通信的安全性，因為信息泄露的后果非常嚴(yán)重。因此，選項A正確。31.在以下拓?fù)浣Y(jié)構(gòu)中，具有固定傳輸延時時間的是（）。A.環(huán)型拓?fù)銪.網(wǎng)狀拓?fù)銫.樹狀拓?fù)銬.星型拓?fù)浯鸢福篈解析：環(huán)型拓?fù)浣Y(jié)構(gòu)在數(shù)據(jù)傳輸中確實具有固定的傳輸延時時間。這是因為數(shù)據(jù)在環(huán)中按照特定的方向流動，經(jīng)過每個節(jié)點，都會有一定的延時。而題目中所列舉的其他拓?fù)浣Y(jié)構(gòu)（網(wǎng)狀拓?fù)洹錉钔負(fù)浜托切屯負(fù)洌┎]有明確指出具有固定的傳輸延時時間。因此，根據(jù)題目的要求和各拓?fù)浣Y(jié)構(gòu)的特點，正確答案應(yīng)為A。32.關(guān)于投訴，以下說法錯誤的是（）。A.投訴可以是直接或間接的B.顧客沒有提出書面投訴，組織可以不用關(guān)注和處理C.投訴可以在組織和顧客互動中的其他環(huán)節(jié)產(chǎn)生D.投訴是就產(chǎn)品服務(wù)或投訴處理過程，表達(dá)對組織的不滿，無論是否明確地期望得到答復(fù)或解決問題答案：B解析：投訴不僅僅是書面形式，還包括口頭投訴，甚至是一些行動上的表現(xiàn)，組織應(yīng)該關(guān)注并處理顧客的投訴，無論是書面還是非書面形式。因此，選項B的說法“顧客沒有提出書面投訴，組織可以不用關(guān)注和處理”是錯誤的。33.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，信息安全管理中的“可用性”是指（）。A.信息不被未授權(quán)的個人、實體或過程利用或知悉的特性B.根據(jù)授權(quán)實體的要求可訪問和利用的特性C.保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D.反映事物真實情況的程度答案：B解析：根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)中的定義，信息安全管理中的"可用性"是指根據(jù)授權(quán)實體的要求可訪問和利用的特性。因此，正確答案是B。34.根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，計算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指用于保護(hù)計算機(jī)信息系統(tǒng)安全的（）。A.特定硬件和軟件產(chǎn)品B.特定產(chǎn)品C.專用硬件和軟件產(chǎn)品D.專用產(chǎn)品答案：C解析：根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，計算機(jī)信息系統(tǒng)安全專用產(chǎn)品是指用于保護(hù)計算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品，因此正確答案為C。35.形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）。A.所實施控制措施的有效性B.適用性聲明的完備性和合理性C.所實施控制措施與適用性聲明的符合性D.所實施控制措施的時效性答案：D解析：根據(jù)題目中引用的GB/T28450-2012標(biāo)準(zhǔn)6.5.5形成審核發(fā)現(xiàn)時，需要考慮的是所實施控制措施與適用性聲明的符合性、所實施控制措施的有效性以及適用性聲明的完備性和合理性。而所實施控制措施的時效性并沒有在標(biāo)準(zhǔn)中被提及，因此不需要考慮。所以，選項D是不需要考慮的內(nèi)容。36.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中所指資產(chǎn)的價值取決于（）。A.資產(chǎn)對于業(yè)務(wù)的敏感程度B.資產(chǎn)對于技術(shù)的實現(xiàn)程度C.資產(chǎn)的價格D.資產(chǎn)的折損率答案：A解析：根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中的描述，資產(chǎn)的價值取決于其對業(yè)務(wù)的敏感程度。這是評估資產(chǎn)的重要程度或價值的標(biāo)準(zhǔn)之一。因此，正確答案是A。37.以下關(guān)于VPN說法正確的是（）。A.VPN只能提供身份認(rèn)證，不能提供加密數(shù)據(jù)的功能B.VPN不能做到信息認(rèn)證和身份認(rèn)證C.VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路D.VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接答案：D解析：虛擬專用網(wǎng)絡(luò)（VPN）是指用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接。VPN的功能包括在公用網(wǎng)絡(luò)上建立加密通道，以實現(xiàn)安全地訪問遠(yuǎn)程網(wǎng)絡(luò)資源。選項D正確描述了VPN的定義和功能。選項A錯誤，因為VPN不僅可以提供身份認(rèn)證，還可以提供加密數(shù)據(jù)的功能。選項B錯誤，因為VPN可以實現(xiàn)信息認(rèn)證和身份認(rèn)證。選項C錯誤，因為VPN不需要用戶自己租用線路，而是通過共享公共網(wǎng)絡(luò)資源來實現(xiàn)安全的連接。38.（）是建立有效的計算機(jī)病毒防御體系所需要的技術(shù)措施。A.補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B.漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C.漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D.絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻答案：D解析：建立有效的計算機(jī)病毒防御體系需要多種技術(shù)措施的組合，包括防病毒系統(tǒng)、補(bǔ)丁管理系統(tǒng)和防火墻。防病毒系統(tǒng)可以檢測和清除病毒，補(bǔ)丁管理系統(tǒng)可以修復(fù)系統(tǒng)中的漏洞，防火墻則可以阻止外部威脅進(jìn)入網(wǎng)絡(luò)。因此，選項D“絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻”是建立有效的計算機(jī)病毒防御體系所需要的技術(shù)措施。39.在IS0/IEC27000系列標(biāo)準(zhǔn)中，為組織的信息安全風(fēng)險管理提供指南的標(biāo)準(zhǔn)是（）。A.IS0/IEC27004B.IS0/IEC27003C.IS0/IEC27002D.IS0/IEC27005答案：D解析：在ISO/IEC27000系列標(biāo)準(zhǔn)中，為組織的信息安全風(fēng)險管理提供指南的標(biāo)準(zhǔn)是ISO/IEC27005。該標(biāo)準(zhǔn)提供了關(guān)于信息安全風(fēng)險管理的指南，幫助組織進(jìn)行風(fēng)險評估、風(fēng)險處理以及風(fēng)險監(jiān)控等活動。因此，正確答案是D。40.確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實體或進(jìn)程所用，是指()。A.可用性B、完整性C、機(jī)密性D、抗抵賴性參考解析：參考GB/T29246-2023/IS0/IEC27000:20183術(shù)語和定義3.10保密性信息對未經(jīng)授權(quán)的個人、實體或過程不可用或不泄露的性質(zhì)。二、多選題40、可被視為可靠的電子簽名，須同時符合以下條件（）。A、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有B、簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制C、簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改的能夠被發(fā)現(xiàn)D、簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)解析：：根據(jù)參照解析，一個可靠的電子簽名需要同時符合四個條件，分別是：電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有（選項A）；簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制（選項B）；簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)（選項D）；簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)（選項C）。因此，選項A、B、C和D都是正確的。41、以下哪些是不能用來進(jìn)行問責(zé)追溯的文件？（）A、系統(tǒng)日志B、用戶口令C、用戶配置文件D、配置文件解析：系統(tǒng)日志記錄了系統(tǒng)的活動和事件，包括用戶的操作等，通?？梢杂糜谧粉櫤蛯彶橄到y(tǒng)的活動，所以可以用來進(jìn)行問責(zé)追溯；用戶口令是用戶用于認(rèn)證身份的憑據(jù)，不適合作為問責(zé)追溯的文件，因為其泄露或被他人使用可能導(dǎo)致安全風(fēng)險和身份盜竊；用戶配置文件包含了用戶的個性化設(shè)置和偏好，并不涉及系統(tǒng)的安全和管理，故不應(yīng)用于問責(zé)追溯；配置文件包含了系統(tǒng)或應(yīng)用程序的設(shè)置和參數(shù)，可以用于問責(zé)追溯。因此，不能用于進(jìn)行問責(zé)追溯的文件是用戶口令（B）和用戶配置文件（C）。42、根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀，遵循統(tǒng)一領(lǐng)導(dǎo)、（）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級應(yīng)用C、服務(wù)大局D、分級負(fù)責(zé)解析：根據(jù)《中華人民共和國密碼法》第三條的規(guī)定，密碼工作堅持總體國家安全觀，遵循統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)，創(chuàng)新發(fā)展、服務(wù)大局，依法管理、保障安全的原則。因此，本題正確答案為ACD。43、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容。A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風(fēng)險評估方法和實施D、實施體系文件培訓(xùn)解析：ISMS建立階段應(yīng)完成的活動包括確定ISMS的范圍和邊界、確定ISMS方針以及確定風(fēng)險評估方法和實施。實施體系文件培訓(xùn)是在執(zhí)行階段進(jìn)行的活動。因此，選項A、B、C是正確答案。44、根據(jù)GB/T28450的規(guī)定，影響審核時間安排的因素包括（）。A、認(rèn)證機(jī)構(gòu)審核人員的數(shù)量B、場所的數(shù)量C、認(rèn)證機(jī)構(gòu)審核人員的能力D、ISMS的范圍大小解析：根據(jù)GB/T25067-2020附錄及GB/T25067-2016標(biāo)準(zhǔn)中的相關(guān)說明，影響審核時間安排的因素包括ISMS的復(fù)雜程度、所開展的業(yè)務(wù)的類型、以往已證實的ISMS績效、技術(shù)的水平和多樣性、外包和第三方安排的程度等。其中，場所的數(shù)量（選項B）和ISMS的范圍大?。ㄟx項D）是被明確提及的影響因素。而認(rèn)證機(jī)構(gòu)審核人員的數(shù)量和能力雖然可能影響審核過程，但并不是GB/T28450直接規(guī)定的影響審核時間安排的因素。因此，正確答案是B和D。45、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度。A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，對于新聞、出版、醫(yī)療、保健等類別的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度。因此，選項A、B、D都是正確的。而選項C“知識類”和選項E“教育類”并未在原文中明確提到需要主管部門審核，因此不是正確答案。46、以下屬于相關(guān)方的是（）。A、供方B、組織內(nèi)的人員C、所有者D、顧客解析：根據(jù)IEC27000：2016標(biāo)準(zhǔn)中的定義，相關(guān)方是指對于一項決策或活動，可能受到影響或被影響，或認(rèn)為自己受到影響的個人或組織。在這個情境中，供方、組織內(nèi)的人員、所有者、顧客都是可能影響或受到?jīng)Q策或活動影響的實體或個人，因此都屬于相關(guān)方。47、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括（）。A、信息備份策略B、訪問控制策略C、信息傳輸策略D、密鑰管理策略解析：依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括：A.信息備份策略：標(biāo)準(zhǔn)中的A.12.3.1提到應(yīng)按照既定的備份策略對信息、軟件和系統(tǒng)鏡像進(jìn)行備份，并定期測試。B.訪問控制策略：標(biāo)準(zhǔn)中的A.9.1.1要求建立訪問控制策略，并進(jìn)行評審。C.信息傳輸策略：標(biāo)準(zhǔn)中的A.13.2.1指出應(yīng)有正式的傳輸策略、規(guī)程和控制，以保護(hù)信息傳輸。D.密鑰管理策略：標(biāo)準(zhǔn)中的A.1O.1.2要求制定和實現(xiàn)密鑰使用的全生命周期策略。因此，以上四個選項都是依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略的內(nèi)容。48、根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，風(fēng)險描述的要素包括（）。A、可能性B、威脅C、脆弱性D、后果解析：根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)中的定義，風(fēng)險描述的要素包括事態(tài)的后果（包括情形的改變）和其發(fā)生可能性。因此，選項A“可能性”和選項D“后果”是正確的描述。而選項B“威脅”和選項C“脆弱性”雖然與信息安全相關(guān)，但并不是GB/T29246標(biāo)準(zhǔn)中風(fēng)險描述的要素。49、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)設(shè)備安全的相關(guān)行為，適當(dāng)?shù)氖牵ǎ?。A、設(shè)備報廢前將信息安全清除B、保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電源與通訊纜線，以防止竊聽或破壞C、應(yīng)保護(hù)設(shè)備降低來自環(huán)境的威脅及災(zāi)害D、保護(hù)設(shè)備不受電力故障及其他電力異常影響解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于設(shè)備安全的相關(guān)行為，以下是適當(dāng)?shù)模篈.設(shè)備報廢前將信息安全清除：這與標(biāo)準(zhǔn)中的設(shè)備安全處置或再利用的要求相符，確保設(shè)備在報廢前信息安全被清除，防止信息泄露。B.保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電源與通訊纜線，以防止竊聽或破壞：這涉及到布纜安全和設(shè)備的安全通信，是標(biāo)準(zhǔn)中要求的重要措施。C.應(yīng)保護(hù)設(shè)備降低來自環(huán)境的威脅及災(zāi)害：這與標(biāo)準(zhǔn)中的設(shè)備安置和保護(hù)要求一致，確保設(shè)備不受環(huán)境威脅和災(zāi)害的影響。D.保護(hù)設(shè)備不受電力故障及其他電力異常影響：這也是標(biāo)準(zhǔn)中的要求，確保設(shè)備的正常運(yùn)行不受電力問題的影響。綜上所述，選項A、B、C和D都是符合GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求的。50、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，信息安全方針應(yīng)（）。A、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通B、與組織的意圖相適宜C、適當(dāng)時，對相關(guān)方可用D、形成文件化信息并可用解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，信息安全方針應(yīng)：A.與組織內(nèi)外相關(guān)方全面進(jìn)行溝通：雖然標(biāo)準(zhǔn)中未明確提到“與組織內(nèi)外相關(guān)方全面溝通”，但“適當(dāng)時，對相關(guān)方可用”可以理解為需要與相關(guān)方進(jìn)行溝通。B.與組織的意圖相適宜：這與標(biāo)準(zhǔn)中的“與組織意圖相適宜”相符。C.適當(dāng)時，對相關(guān)方可用：符合標(biāo)準(zhǔn)中的要求。D.形成文件化信息并可用：這是標(biāo)準(zhǔn)中明確提到的要求。因此，正確答案是A、B、C、D。51、《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全，（）。A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國家安全C、維護(hù)社會公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益解析：《中華人民共和國網(wǎng)絡(luò)安全法》的第一條明確表明了該法的目的：為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，并保護(hù)公民、法人和其他組織的合法權(quán)益。因此，本題中提到的四個選項A、B、C、D都是正確的。52、根據(jù)《信息安全等級保護(hù)管理辦法》，對網(wǎng)絡(luò)安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A、采用雙重份鑒別機(jī)制B、對用戶和數(shù)據(jù)采用安全標(biāo)記C、系統(tǒng)管理員可任意訪問日志記錄D、三年開展一次網(wǎng)絡(luò)安全等級測評工作解析：根據(jù)《信息安全等級保護(hù)管理辦法》，對于網(wǎng)絡(luò)安全等級三級及以上的系統(tǒng)，應(yīng)該采用雙重份鑒別機(jī)制，并對用戶和數(shù)據(jù)采用安全標(biāo)記。因此，選項A和B是正確的。而選項C，系統(tǒng)管理員不能任意訪問日志記錄，應(yīng)該有相應(yīng)的權(quán)限管理和審計機(jī)制。對于選項D，網(wǎng)絡(luò)安全等級測評工作的頻率應(yīng)根據(jù)系統(tǒng)的安全等級來確定，第三級信息系統(tǒng)應(yīng)該每年至少進(jìn)行一次等級測評，而不是三年開展一次。因此，選項C和D均不正確。53、（）是關(guān)于一個良好的配置過程的關(guān)鍵要素。A、控制修改系統(tǒng)硬件，以防止資源的變化B、確保所有要求保持清晰、簡潔和有效C、適應(yīng)可重復(fù)使用的標(biāo)準(zhǔn)和最佳實踐D、確保變更，標(biāo)準(zhǔn)和要求及時準(zhǔn)確地傳達(dá)解析：一個良好的配置過程的關(guān)鍵要素包括：B.確保所有要求保持清晰、簡潔和有效。清晰、簡潔和有效的要求是配置管理的基礎(chǔ)，只有明確了需求，才能準(zhǔn)確地進(jìn)行配置管理，確保軟件或系統(tǒng)的功能符合用戶的期望。C.適應(yīng)可重復(fù)使用的標(biāo)準(zhǔn)和最佳實踐。遵循標(biāo)準(zhǔn)和最佳實踐有助于提高效率，減少錯誤，并確保配置管理過程的一致性和可預(yù)測性。D.確保變更，標(biāo)準(zhǔn)和要求及時準(zhǔn)確地傳達(dá)。及時準(zhǔn)確的傳達(dá)是配置管理中不可或缺的一環(huán)，只有確保所有相關(guān)人員都了解最新的變更、標(biāo)準(zhǔn)和要求，才能確保配置管理過程的順利進(jìn)行。選項A“控制修改系統(tǒng)硬件，以防止資源的變化”并不是配置管理的核心要素，配置管理更側(cè)重于軟件配置的管理，包括版本控制、變更管理等，而不只是硬件資源的控制。因此，A不是關(guān)鍵要素。54、GB/T28450審核方案管理的內(nèi)容包括（）。A、信息安全風(fēng)險管理要求B、ISMS的復(fù)雜度C、是否存在相似場所D、ISMS的規(guī)模解析：GB/T28450審核方案管理的內(nèi)容包括信息安全風(fēng)險管理要求（A）、ISMS的復(fù)雜度（B）、ISMS的規(guī)模（D）以及是否存在相似場所（C）。這些因素都會影響審核方案的范圍和詳略程度。選項中的ISMS規(guī)模、復(fù)雜度、風(fēng)險的重要性和場所數(shù)量等都是影響審核方案的重要因素。因此，答案為ABCD。三、判斷題55、所有聯(lián)網(wǎng)和未聯(lián)網(wǎng)的微型計算機(jī)的安全保護(hù)辦法由《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定。（）A正確B錯誤解析：《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》主要規(guī)定了聯(lián)網(wǎng)的計算機(jī)信息系統(tǒng)的安全保護(hù)辦法，對于未聯(lián)網(wǎng)的微型計算機(jī)的安全保護(hù)辦法，該條例并未涉及，需要另行制定。因此，本題說法錯誤。56、IS0/IEC27006是對提供信息安全管理體系審核和認(rèn)證的機(jī)構(gòu)的要求。（）A正確B錯誤解析：ISO/IEC27006確實是對提供信息安全管理體系審核和認(rèn)證的機(jī)構(gòu)的要求。該標(biāo)準(zhǔn)在ISO/IEC17021所含要求的基礎(chǔ)上，為根據(jù)ISO/IEC27001提供審核和ISMS認(rèn)證的機(jī)構(gòu)提供了進(jìn)一步的規(guī)范和指南。因此，此題目的描述是正確的。57、信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。（）A正確B錯誤解析：信息安全管理體系的范圍確實需要涵蓋組織的所有場所和業(yè)務(wù)，以保證安全。但題目中的表述忽略了這一范圍的確定還需要參考GB/T22080-2016條款的條款4.3等標(biāo)準(zhǔn)規(guī)定。因此，題目的表述是不準(zhǔn)確的，答案為錯誤（B）。58、ISO/IEC27008是《信息技術(shù)安全技術(shù)信息安全控制評估指南》。（）A正確B錯誤解析：根據(jù)參考解析，ISO/IECTR27008是信息技術(shù)安全技術(shù)信息安全控制措施審核員指南，而非信息技術(shù)安全技術(shù)信息安全控制評估指南。因此，題目中的說法是錯誤的。59、國家保密行政管理部門主管全國的保密工作。鄉(xiāng)級以上地方各級保密行政管理部門主管本行政區(qū)域的保密工作。（）A正確B錯誤解析：題目中提到“鄉(xiāng)級以上地方各級保密行政管理部門主管本行政區(qū)域的保密工作”，但根據(jù)《中華人民共和國保守國家秘密法》第五條的規(guī)定，是縣級以上地方各級保密行政管理部門主管本行政區(qū)域的保密工作，而不是鄉(xiāng)級以上。因此，題目中的表述存在錯誤，答案為B。60、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）A正確B錯誤解析：對于不同的風(fēng)險，組織可以根據(jù)自身的目標(biāo)、價值觀和特定情境來制定不同的風(fēng)險接受準(zhǔn)則。對于違反法律法規(guī)的風(fēng)險，由于可能涉及法律責(zé)任和聲譽(yù)損害，通常被認(rèn)為是不可接受的。而對于違背合同要求的風(fēng)險，組織可能會考慮與合同方的關(guān)系、經(jīng)濟(jì)成本等因素，并可能決定接受這種風(fēng)險。因此，題目中的描述是合理的，答案是正確的。61、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，組織應(yīng)建立并實施正式的用戶注冊及注銷過程。（）A正確B錯誤解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中的控制措施要求，組織應(yīng)該建立并實施正式的用戶注冊及注銷過程。這是因為用戶注冊和注銷過程可以幫助組織分配訪問權(quán)限，確保只有授權(quán)的用戶能夠訪問系統(tǒng)或數(shù)據(jù)。因此，題目中的說法是正確的。62、組織的信息資產(chǎn)越重要，其安全風(fēng)險值就越大。（）A正確B錯誤解析：組織的信息資產(chǎn)的重要性確實是決定其安全風(fēng)險值的一個因素，但并不是唯一的因素。安全風(fēng)險值通常由多個因素共同決定，如資產(chǎn)的價值、面臨的威脅以及組織的脆弱性等。這些因素需要通過一定的計算函數(shù)進(jìn)行綜合評估，以確定最終的風(fēng)險值。因此，不能簡單地說信息資產(chǎn)越重要，其安全風(fēng)險值就越大。所以，該題目的說法是錯誤的。63、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于軟件安裝限制，“黑名單”策略比“白名單”策略更有效。（）A正確B錯誤解析：根據(jù)參照解析所述，“黑名單”策略和“白名單”策略在軟件安裝限制方面效果相同，因此無法確定哪種策略更有效。所以題目中的說法是錯誤的。64、記錄作為信息安全管理體系運(yùn)行的證據(jù)，應(yīng)具有可追溯性。（）A正確B錯誤解析：根據(jù)信息安全管理體系的要求，記錄作為體系運(yùn)行的證據(jù)，確實應(yīng)具有可追溯性，以便能夠追溯和驗證體系的運(yùn)行情況和結(jié)果。因此，該題目的陳述是正確的。B.完整性C.機(jī)密性D.抗抵賴性答案：A多選題（共15題，共30分）41.可被視為可靠的電子簽名，須同時符合以下條件（）。A.電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有B.簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制C.簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改的能夠被發(fā)現(xiàn)D.簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)答案：ABCD解析：：根據(jù)參照解析，一個可靠的電子簽名需要同時符合四個條件，分別是：電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有（選項A）；簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制（選項B）；簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)（選項D）；簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)（選項C）。因此，選項A、B、C和D都是正確的。42.以下哪些是不能用來進(jìn)行問責(zé)追溯的文件？（）A.系統(tǒng)日志B.用戶口令C.用戶配置文件D.配置文件答案：BC解析：系統(tǒng)日志記錄了系統(tǒng)的活動和事件，包括用戶的操作等，通?？梢杂糜谧粉櫤蛯彶橄到y(tǒng)的活動，所以可以用來進(jìn)行問責(zé)追溯；用戶口令是用戶用于認(rèn)證身份的憑據(jù)，不適合作為問責(zé)追溯的文件，因為其泄露或被他人使用可能導(dǎo)致安全風(fēng)險和身份盜竊；用戶配置文件包含了用戶的個性化設(shè)置和偏好，并不涉及系統(tǒng)的安全和管理，故不應(yīng)用于問責(zé)追溯；配置文件包含了系統(tǒng)或應(yīng)用程序的設(shè)置和參數(shù)，可以用于問責(zé)追溯。因此，不能用于進(jìn)行問責(zé)追溯的文件是用戶口令（B）和用戶配置文件（C）。43.根據(jù)《中華人民共和國密碼法》，密碼工作堅持總體國家安全觀，遵循統(tǒng)一領(lǐng)導(dǎo)、（）依法管理、保障安全的原則。A.創(chuàng)新發(fā)展B.分級應(yīng)用C.服務(wù)大局D.分級負(fù)責(zé)答案：ACD解析：根據(jù)《中華人民共和國密碼法》第三條的規(guī)定，密碼工作堅持總體國家安全觀，遵循統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)，創(chuàng)新發(fā)展、服務(wù)大局，依法管理、保障安全的原則。因此，本題正確答案為ACD。44.以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容。A.確定ISMS的范圍和邊界B.確定ISMS方針C.確定風(fēng)險評估方法和實施D.實施體系文件培訓(xùn)答案：ABC解析：ISMS建立階段應(yīng)完成的活動包括確定ISMS的范圍和邊界、確定ISMS方針以及確定風(fēng)險評估方法和實施。實施體系文件培訓(xùn)是在執(zhí)行階段進(jìn)行的活動。因此，選項A、B、C是正確答案。45.根據(jù)GB/T28450的規(guī)定，影響審核時間安排的因素包括（）。A.認(rèn)證機(jī)構(gòu)審核人員的數(shù)量B.場所的數(shù)量C.認(rèn)證機(jī)構(gòu)審核人員的能力D.ISMS的范圍大小答案：BD解析：根據(jù)GB/T25067-2020附錄及GB/T25067-2016標(biāo)準(zhǔn)中的相關(guān)說明，影響審核時間安排的因素包括ISMS的復(fù)雜程度、所開展的業(yè)務(wù)的類型、以往已證實的ISMS績效、技術(shù)的水平和多樣性、外包和第三方安排的程度等。其中，場所的數(shù)量（選項B）和ISMS的范圍大?。ㄟx項D）是被明確提及的影響因素。而認(rèn)證機(jī)構(gòu)審核人員的數(shù)量和能力雖然可能影響審核過程，但并不是GB/T28450直接規(guī)定的影響審核時間安排的因素。因此，正確答案是B和D。46.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度。A.新聞、出版B.醫(yī)療、保健C.知識類D.教育類答案：ABD解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，對于新聞、出版、醫(yī)療、保健等類別的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度。因此，選項A、B、D都是正確的。而選項C“知識類”和選項E“教育類”并未在原文中明確提到需要主管部門審核，因此不是正確答案。47.以下屬于相關(guān)方的是（）。A.供方B.組織內(nèi)的人員C.所有者D.顧客答案：ABCD解析：根據(jù)IEC27000：2016標(biāo)準(zhǔn)中的定義，相關(guān)方是指對于一項決策或活動，可能受到影響或被影響，或認(rèn)為自己受到影響的個人或組織。在這個情境中，供方、組織內(nèi)的人員、所有者、顧客都是可能影響或受到?jīng)Q策或活動影響的實體或個人，因此都屬于相關(guān)方。48.依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括（）。A.信息備份策略B.訪問控制策略C.信息傳輸策略D.密鑰管理策略答案：ABCD解析：依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略包括：A.信息備份策略：標(biāo)準(zhǔn)中的A.12.3.1提到應(yīng)按照既定的備份策略對信息、軟件和系統(tǒng)鏡像進(jìn)行備份，并定期測試。B.訪問控制策略：標(biāo)準(zhǔn)中的A.9.1.1要求建立訪問控制策略，并進(jìn)行評審。C.信息傳輸策略：標(biāo)準(zhǔn)中的A.13.2.1指出應(yīng)有正式的傳輸策略、規(guī)程和控制，以保護(hù)信息傳輸。D.密鑰管理策略：標(biāo)準(zhǔn)中的A.1O.1.2要求制定和實現(xiàn)密鑰使用的全生命周期策略。因此，以上四個選項都是依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，經(jīng)管理層批準(zhǔn)，定期評審的信息安全策略的內(nèi)容。49.根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)，風(fēng)險描述的要素包括（）。A.可能性B.威脅C.脆弱性D.后果答案：AD解析：根據(jù)GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》標(biāo)準(zhǔn)中的定義，風(fēng)險描述的要素包括事態(tài)的后果（包括情形的改變）和其發(fā)生可能性。因此，選項A“可能性”和選項D“后果”是正確的描述。而選項B“威脅”和選項C“脆弱性”雖然與信息安全相關(guān)，但并不是GB/T29246標(biāo)準(zhǔn)中風(fēng)險描述的要素。50.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，有關(guān)設(shè)備安全的相關(guān)行為，適當(dāng)?shù)氖牵ǎ?。A.設(shè)備報廢前將信息安全清除B.保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電源與通訊纜線，以防止竊聽或破壞C.應(yīng)保護(hù)設(shè)備降低來自環(huán)境的威脅及災(zāi)害D.保護(hù)設(shè)備不受電力故障及其他電力異常影響答案：ABCD解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于設(shè)備安全的相關(guān)行為，以下是適當(dāng)?shù)模篈.設(shè)備報廢前將信息安全清除：這與標(biāo)準(zhǔn)中的設(shè)備安全處置或再利用的要求相符，確保設(shè)備在報廢前信息安全被清除，防止信息泄露。B.保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電源與通訊纜線，以防止竊聽或破壞：這涉及到布纜安全和設(shè)備的安全通信，是標(biāo)準(zhǔn)中要求的重要措施。C.應(yīng)保護(hù)設(shè)備降低來自環(huán)境的威脅及災(zāi)害：這與標(biāo)準(zhǔn)中的設(shè)備安置和保護(hù)要求一致，確保設(shè)備不受環(huán)境威脅和災(zāi)害的影響。D.保護(hù)設(shè)備不受電力故障及其他電力異常影響：這也是標(biāo)準(zhǔn)中的要求，確保設(shè)備的正常運(yùn)行不受電力問題的影響。綜上所述，選項A、B、C和D都是符合GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求的。51.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，信息安全方針應(yīng)（）。A.與組織內(nèi)外相關(guān)方全面進(jìn)行溝通B.與組織的意圖相適宜C.適當(dāng)時，對相關(guān)方可用D.形成文件化信息并可用答案：ABCD解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)的要求，信息安全方針應(yīng)：A.與組織內(nèi)外相關(guān)方全面進(jìn)行溝通：雖然標(biāo)準(zhǔn)中未明確提到“與組織內(nèi)外相關(guān)方全面溝通”，但“適當(dāng)時，對相關(guān)方可用”可以理解為需要與相關(guān)方進(jìn)行溝通。B.與組織的意圖相適宜：這與標(biāo)準(zhǔn)中的“與組織意圖相適宜”相符。C.適當(dāng)時，對相關(guān)方可用：符合標(biāo)準(zhǔn)中的要求。D.形成文件化信息并可用：這是標(biāo)準(zhǔn)中明確提到的要求。因此，正確答案是A、B、C、D。52.《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全，（）。A.維護(hù)網(wǎng)絡(luò)空間主權(quán)B.維護(hù)國家安全C.維護(hù)社會公共利益D.保護(hù)公民、法人和其他組織的合法權(quán)益答案：ABCD解析：《中華人民共和國網(wǎng)絡(luò)安全法》的第一條明確表明了該法的目的：為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，并保護(hù)公民、法人和其他組織的合法權(quán)益。因此，本題中提到的四個選項A、B、C、D都是正確的。53.根據(jù)《信息安全等級保護(hù)管理辦法》，對網(wǎng)絡(luò)安全等級三級及以上系統(tǒng)，以下說法正確的是（）。A.采用雙重份鑒別機(jī)制B.對用戶和數(shù)據(jù)采用安全標(biāo)記C.系統(tǒng)管理員可任意訪問日志記錄D.三年開展一次網(wǎng)絡(luò)安全等級測評工作答案：AB解析：根據(jù)《信息安全等級保護(hù)管理辦法》，對于網(wǎng)絡(luò)安全等級三級及以上的系統(tǒng)，應(yīng)該采用雙重份鑒別機(jī)制，并對用戶和數(shù)據(jù)采用安全標(biāo)記。因此，選項A和B是正確的。而選項C，系統(tǒng)管理員不能任意訪問日志記錄，應(yīng)該有相應(yīng)的權(quán)限管理和審計機(jī)制。對于選項D，網(wǎng)絡(luò)安全等級測評工作的頻率應(yīng)根據(jù)系統(tǒng)的安全等級來確定，第三級信息系統(tǒng)應(yīng)該每年至少進(jìn)行一次等級測評，而不是三年開展一次。因此，選項C和D均不正確。54.（）是關(guān)于一個良好的配置過程的關(guān)鍵要素。A.控制修改系統(tǒng)硬件，以防止資源的變化B.確保所有要求保持清晰、簡潔和有效C.適應(yīng)可重復(fù)使用的標(biāo)準(zhǔn)和最佳實踐D.確保變更，標(biāo)準(zhǔn)和要求及時準(zhǔn)確地傳達(dá)答案：BCD解析：一個良好的配置過程的關(guān)鍵要素包括：B.確保所有要求保持清晰、簡潔和有效。清晰、簡潔和有效的要求是配置管理的基礎(chǔ)，只有明確了需求，才能準(zhǔn)確地進(jìn)行配置管理，確保軟件或系統(tǒng)的功能符合用戶的期望。C.適應(yīng)可重復(fù)使用的標(biāo)準(zhǔn)和最佳實踐。遵循標(biāo)準(zhǔn)和最佳實踐有助于提高效率，減少錯誤，并確保配置管理過程的一致性和可預(yù)測性。D.確保變更，標(biāo)準(zhǔn)和要求及時準(zhǔn)確地傳達(dá)。及時準(zhǔn)確的傳達(dá)是配置管理中不可