本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布信息安全管理體系基礎(chǔ)摸底考試一答案及解析單選題（共40題）1.在第三方認證審核時，（）不是審核員的職責(zé)。A.實施審核B.確定不合格項C.對發(fā)現(xiàn)的不合格項采取糾正措施D.驗證審核方所采取糾正措施的有效性答案：C解析：在第三方認證審核中，審核員的職責(zé)是實施審核和驗證審核方所采取糾正措施的有效性。確定不合格項和對發(fā)現(xiàn)的不合格項采取糾正措施不是審核員的職責(zé)，而是審核方或其內(nèi)部質(zhì)量體系管理部門的職責(zé)。因此，選項C不是審核員的職責(zé)。2.包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行核查，以確保在處置之前，（）和注冊軟件已被刪除或安全地寫覆蓋。A.系統(tǒng)軟件B.游戲軟件C.殺毒軟件D.任何敏感信息答案：D解析：題目中要求核查包含儲存介質(zhì)的設(shè)備的所有項目，確保在處置之前，敏感信息已被刪除或安全地寫覆蓋。系統(tǒng)軟件、游戲軟件、殺毒軟件都屬于軟件范疇，但它們并不一定都是敏感信息。因此，只有“任何敏感信息”最符合題目要求，確保在處置設(shè)備之前，所有敏感信息都被刪除或安全地寫覆蓋。因此，正確答案為D。3.一個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運作和威脅信息安全的極大的可能性。A.已經(jīng)發(fā)生B.可能發(fā)生C.意外D.A+B+C答案：C解析：根據(jù)題目中的描述，信息安全事件是由單個或一系列的有害或一系列“信息安全事態(tài)”組成，它們具有損害業(yè)務(wù)運作和威脅信息安全的極大的可能性。因此，選項C“意外”符合題目描述，而選項A“已經(jīng)發(fā)生”、選項B“可能發(fā)生”和選項D“A+B+C”都不符合題目描述。因此，正確答案是C。4.以下不屬于認證機構(gòu)應(yīng)考慮對組織的信息安全管理體系實施特殊審核的情形的是（）。A.組織獲證范圍內(nèi)的業(yè)務(wù)活動場所、地址變更B.組織的適用性聲明中對控制措施的選釋相關(guān)內(nèi)容發(fā)生變更C.組織獲證范圍內(nèi)業(yè)務(wù)應(yīng)用系統(tǒng)發(fā)生重大變更，如系統(tǒng)架構(gòu)變更D.組織的信息安全管理體系年度內(nèi)部審核計劃變更答案：D解析：認證機構(gòu)考慮對組織的信息安全管理體系實施特殊審核的情形通常涉及組織的重要變更或可能影響信息安全管理體系有效性的因素。選項A涉及業(yè)務(wù)活動場所、地址變更，可能影響到組織的物理安全環(huán)境，因此需要考慮特殊審核。選項B涉及適用性聲明中控制措施的變更，這可能影響到組織的信息安全控制策略，同樣需要特殊審核。選項C涉及業(yè)務(wù)應(yīng)用系統(tǒng)的重大變更，如系統(tǒng)架構(gòu)變更，這可能導(dǎo)致信息安全管理體系的變更或失效，也需要特殊審核。而選項D，組織的信息安全管理體系年度內(nèi)部審核計劃變更，通常只是組織內(nèi)部審核計劃的變化，不一定影響到信息安全管理體系的有效性，因此不屬于認證機構(gòu)應(yīng)考慮對組織的信息安全管理體系實施特殊審核的情形。因此，正確答案是D。5.選擇信息安全控制措施應(yīng)該（）。A.建立在風(fēng)險評估的結(jié)果之上B.針對每一種風(fēng)險，控制措施并非唯一C.反映組織風(fēng)險管理戰(zhàn)略D.以上各項都對答案：D解析：信息安全控制措施的選擇應(yīng)基于風(fēng)險評估的結(jié)果，同時應(yīng)理解每一種風(fēng)險并不僅對應(yīng)一種控制措施，控制措施應(yīng)反映組織的整體風(fēng)險管理戰(zhàn)略。因此，選擇信息安全控制措施應(yīng)當(dāng)建立在風(fēng)險評估的結(jié)果之上、針對每一種風(fēng)險，控制措施并非唯一、反映組織風(fēng)險管理戰(zhàn)略，故以上各項都對。因此，答案為D。6.根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。A.供方支撐協(xié)議B.服務(wù)級別協(xié)議C.運營級別協(xié)議D.安全保密協(xié)議答案：D解析：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時，如果涉及到與提供者簽訂的協(xié)議需要通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查，那么這個協(xié)議應(yīng)當(dāng)是“安全保密協(xié)議”。因此，選項D“安全保密協(xié)議”是正確答案。7.根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》，計算機信息系統(tǒng)安全專用產(chǎn)品是指用于保護計算機信息系統(tǒng)安全的（）。A.專用產(chǎn)品B.特定產(chǎn)品C.特定硬件和軟件產(chǎn)品D.專用硬件和軟件產(chǎn)品答案：D解析：根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》的定義，計算機信息系統(tǒng)安全專用產(chǎn)品是指用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品。因此，正確選項為D，即“專用硬件和軟件產(chǎn)品”。其他選項如“專用產(chǎn)品”、“特定產(chǎn)品”和“特定硬件和軟件產(chǎn)品”均不符合條例的定義。8.當(dāng)信息系統(tǒng)中包含多個業(yè)務(wù)子系統(tǒng)時，對每個業(yè)務(wù)子系統(tǒng)進行安全等級確定，最終信息系統(tǒng)的安全等級應(yīng)當(dāng)由（）所確定。A.業(yè)務(wù)子系統(tǒng)的安全等級平均值B.業(yè)務(wù)子系統(tǒng)的最高安全等級C.業(yè)務(wù)子系統(tǒng)的最低安全等級D.以上說法都錯誤答案：C解析：在評估一個包含多個業(yè)務(wù)子系統(tǒng)的信息系統(tǒng)的安全等級時，每個業(yè)務(wù)子系統(tǒng)都有各自的安全等級。要確定整個信息系統(tǒng)的安全等級，應(yīng)該選擇這些業(yè)務(wù)子系統(tǒng)中安全等級最低的一個，因為這可能代表了整個系統(tǒng)中最薄弱的環(huán)節(jié)。因此，正確答案是“業(yè)務(wù)子系統(tǒng)的最低安全等級”。其他選項如“業(yè)務(wù)子系統(tǒng)的安全等級平均值”或“業(yè)務(wù)子系統(tǒng)的最高安全等級”都不能準確反映整個信息系統(tǒng)的安全等級。9.下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）可用于備份（）？A.需要使用網(wǎng)絡(luò)附加存儲設(shè)備（NAS）時B.不能使用TCP/IP的環(huán)境中C.需要備份舊的備份系統(tǒng)不能處理的文件許可時D.要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時答案：A解析：網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）主要用于支持網(wǎng)絡(luò)附加存儲設(shè)備（NAS）的備份，它提供了一種跨多個數(shù)據(jù)卷、連續(xù)且一致的備份方法。因此，當(dāng)需要使用網(wǎng)絡(luò)附加存儲設(shè)備時，NDMP可用于備份。所以，正確答案是A。選項B“不能使用TCP/IP的環(huán)境中”是不正確的，因為NDMP是基于TCP/IP的協(xié)議。選項C“需要備份舊的備份系統(tǒng)不能處理的文件許可時”和選項D“要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時”雖然都是NDMP可以處理的情況，但不是NDMP主要用于支持的情況。10.依據(jù)GB/Z20986，信息安全事件的分級為（）。A.特別嚴重事件、嚴重事件、一般事件B.特別重大事件、重大事件、較大事件、一般事件C.I級、Ⅱ級、Ⅲ級、V級、V級D.嚴重事件、較嚴重事件、一般事件答案：B解析：信息安全事件的分級依據(jù)GB/Z20986標準，分為特別重大事件、重大事件、較大事件和一般事件。因此，選項B“特別重大事件、重大事件、較大事件、一般事件”是正確的。其他選項A、C、D均不符合該標準的規(guī)定。11.我國正式公布了電子簽名法，數(shù)字簽名機制用于實現(xiàn)（）需求。A.抗否認B.保密性C.完整性D.可用性答案：A解析：電子簽名法是為了規(guī)范電子簽名行為，保障電子簽名活動中各方主體的合法權(quán)益，促進電子簽名技術(shù)的廣泛應(yīng)用而制定的。數(shù)字簽名機制是電子簽名技術(shù)的一種，它用于實現(xiàn)抗否認需求?？狗裾J是指簽名者不能否認其簽名，從而確保簽名者的行為具有不可抵賴性。因此，選項A“抗否認”是正確的答案。選項B“保密性”是指信息不被未經(jīng)授權(quán)的人員獲取，選項C“完整性”是指信息在傳輸過程中不被篡改，選項D“可用性”是指信息可以被需要的人員獲取，這些都不是數(shù)字簽名機制用于實現(xiàn)的需求。12.審核組長在末次會議上宣布的審核結(jié)論是依據(jù)（）得出的。A.審核目的B.不符合項的嚴重程度C.所有的審核發(fā)現(xiàn)D.A+B+C答案：D解析：審核組長在末次會議上宣布的審核結(jié)論是基于所有的審核發(fā)現(xiàn)得出的，審核發(fā)現(xiàn)包括了所有與審核目的相關(guān)的證據(jù)和信息。審核結(jié)論是基于對審核證據(jù)的全面分析和評估得出的，它不僅考慮到了不符合項的嚴重程度，還考慮了審核目的，以及所有的審核發(fā)現(xiàn)。因此，正確答案是D，即審核結(jié)論是基于A（審核目的）、B（不符合項的嚴重程度）和C（所有的審核發(fā)現(xiàn)）得出的。13.數(shù)字簽名要預(yù)使用單向HASH函數(shù)進行處理的原因是（）。A.多一道加密工序使密文更難破譯B.提高密文的計算速度C.縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度D.保證密文能正確還原成明文答案：C解析：數(shù)字簽名中使用的單向哈希函數(shù)主要是用來縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度。這是因為哈希函數(shù)可以將任意長度的輸入轉(zhuǎn)化為固定長度的輸出，這種特性使得哈希函數(shù)非常適合用于數(shù)字簽名。通過哈希函數(shù)處理，可以將較長的數(shù)據(jù)轉(zhuǎn)化為較短的哈希值，從而減少傳輸和存儲的需求，同時也提高了簽名和驗證簽名的效率。因此，選項C“縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度”是正確的。14.根據(jù)《中華人民共和國國家秘密法》，國家秘密的最高密級為（）。A.特密B.絕密C.機密D.秘密答案：B解析：根據(jù)《中華人民共和國國家秘密法》的規(guī)定，國家秘密的最高密級為“絕密”。因此，選項B“絕密”是正確的答案。其他選項A“特密”、C“機密”和D“秘密”都不是該法規(guī)定的最高密級。15.ISO/IEC27002最新版本為（）。A.2022B.2015C.2005D.2013答案：A解析：根據(jù)題目要求，我們需要找出ISO/IEC27002的最新版本。題目中給出了四個選項，我們需要確定哪個是正確答案。由于題目沒有明確說明具體的年份，我們需要考慮ISO/IEC27002的發(fā)布和更新情況。通常情況下，標準會定期更新，以反映技術(shù)的發(fā)展和變化。因此，我們可以推測，最新的版本應(yīng)該是最近發(fā)布的。在給出的選項中，2022年是最新的年份，因此我們可以推斷，ISO/IEC27002的最新版本應(yīng)該是2022年。因此，正確答案是A選項，即2022年。16.包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行核查，以確保在處置之前，（）和注冊軟件已被刪除或者安全地寫覆蓋。A.系統(tǒng)軟件B.殺毒軟件C.游戲軟件D.任何敏感信息答案：D解析：根據(jù)題目描述，需要核查包含儲存介質(zhì)的設(shè)備，確保在處置之前，敏感信息已被刪除或者安全地寫覆蓋。系統(tǒng)軟件、殺毒軟件和游戲軟件并不是與敏感信息直接相關(guān)的內(nèi)容，因此可以排除選項A、B和C。而選項D中的“任何敏感信息”符合題目要求，因此是正確答案。因此，應(yīng)選D，即任何敏感信息。17.依據(jù)GB/T22080，網(wǎng)絡(luò)隔離指的是（）。A.不同網(wǎng)絡(luò)運營商之間的隔離B.不同用戶組之間的隔離C.內(nèi)網(wǎng)與外網(wǎng)的隔離D.信息服務(wù)〈用戶及信息系統(tǒng)答案：D解析：網(wǎng)絡(luò)隔離是一個關(guān)鍵的安全概念，旨在確保不同網(wǎng)絡(luò)或信息系統(tǒng)之間的隔離，以防止未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露或攻擊。在GB/T22080中，網(wǎng)絡(luò)隔離主要指的是對信息服務(wù)（包括用戶和信息系統(tǒng)）的隔離，以確保信息的安全性和完整性。因此，正確答案是“D.信息服務(wù)〈用戶及信息系統(tǒng)}”。其他選項如“A.不同網(wǎng)絡(luò)運營商之間的隔離”、“B.不同用戶組之間的隔離”和“C.內(nèi)網(wǎng)與外網(wǎng)的隔離”雖然也是網(wǎng)絡(luò)隔離的一部分，但在這里更強調(diào)的是對信息服務(wù)（用戶和信息系統(tǒng)）的隔離，而不是更廣泛的網(wǎng)絡(luò)層面。18.信息安全災(zāi)備管理中，“災(zāi)難備份”指（）。A.備份數(shù)據(jù)發(fā)生了災(zāi)難性破壞B.為災(zāi)難恢復(fù)而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)進行備份的過程C.為災(zāi)難恢復(fù)而對基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運行管理能力進行備份的過程D.B+C答案：D解析：信息安全災(zāi)備管理中的“災(zāi)難備份”指的是為災(zāi)難恢復(fù)而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)進行備份的過程，以及為災(zāi)難恢復(fù)而對基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運行管理能力進行備份的過程。因此，選項D“B+C”是正確的答案。選項A“備份數(shù)據(jù)發(fā)生了災(zāi)難性破壞”不是“災(zāi)難備份”的定義，選項B“為災(zāi)難恢復(fù)而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)進行備份的過程”只是災(zāi)難備份的一部分，選項C“為災(zāi)難恢復(fù)而對基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運行管理能力進行備份的過程”也是災(zāi)難備份的一部分，但兩者加在一起才是完整的“災(zāi)難備份”定義。19.依據(jù)ISO/IEC27005，關(guān)于風(fēng)險處置，以下說法正確的是：（）。A.須按風(fēng)險降低，風(fēng)險保留、風(fēng)險避免、風(fēng)險分擔(dān)順序進行B.應(yīng)組合使用風(fēng)險降低、風(fēng)險保留、風(fēng)險避免、風(fēng)險分擔(dān)的手段C.風(fēng)險降低、風(fēng)險保留、風(fēng)險避免、風(fēng)險分擔(dān)須擇一使用而放棄其他手段D.須按風(fēng)險避免、風(fēng)險降低、風(fēng)險分擔(dān)、風(fēng)險保留順序進行答案：B解析：依據(jù)ISO/IEC27005，關(guān)于風(fēng)險處置，應(yīng)組合使用風(fēng)險降低、風(fēng)險保留、風(fēng)險避免、風(fēng)險分擔(dān)的手段。這是因為在實際的風(fēng)險管理中，不同的風(fēng)險可能需要不同的處置策略，而這些策略并不是互斥的，而是可以相互補充的。因此，在進行風(fēng)險處置時，應(yīng)根據(jù)具體情況，綜合運用多種手段，以達到最佳的風(fēng)險管理效果。因此，選項B“應(yīng)組合使用風(fēng)險降低、風(fēng)險保留、風(fēng)險避免、風(fēng)險分擔(dān)的手段”是正確的。選項A、C、D的說法都是錯誤的。20.關(guān)于審核組的現(xiàn)場審核，以下說法錯誤的是（）。A.審核組在審核期間現(xiàn)場可根據(jù)受審核方實際情況及變更審核范圍B.審核組在審核期間現(xiàn)場可調(diào)整審核路線和審核資源分配C.審核組遇到重大風(fēng)險應(yīng)報告委托方以決定后續(xù)措施D.審核組遇到重大風(fēng)險應(yīng)報告受審核方以決定后續(xù)措施答案：A解析：根據(jù)題目給出的選項，A選項提到“審核組在審核期間現(xiàn)場可根據(jù)受審核方實際情況及變更審核范圍”。根據(jù)審核組的一般職責(zé)和程序，審核組在審核期間有權(quán)根據(jù)受審核方的實際情況和審核計劃調(diào)整審核范圍，但這并不意味著審核組可以隨意變更審核范圍。因此，A選項的描述過于絕對，可能是錯誤的。B選項提到“審核組在審核期間現(xiàn)場可調(diào)整審核路線和審核資源分配”。這是審核組在審核過程中的常規(guī)操作，審核組可以根據(jù)實際情況調(diào)整審核路線和資源分配，以確保審核的有效性和效率。C選項提到“審核組遇到重大風(fēng)險應(yīng)報告委托方以決定后續(xù)措施”。在審核過程中，如果審核組遇到重大風(fēng)險，報告委托方是合理的做法，因為委托方通常是審核的發(fā)起方，對審核的期望和目的有清晰的了解，可以協(xié)助審核組做出后續(xù)決策。D選項提到“審核組遇到重大風(fēng)險應(yīng)報告受審核方以決定后續(xù)措施”。雖然報告受審核方也是一種做法，但通常委托方在審核過程中擁有更多的決策權(quán)和資源，因此報告委托方可能更為合適。綜上所述，A選項的描述過于絕對，可能是錯誤的。因此，正確答案是A。21.以下強健口令的是（）。A.a8mom9y5fub33B.1234C.CNASD.Password答案：A解析：在評估四個選項的口令強度時，我們需要考慮口令的復(fù)雜性和難以猜測性。A選項"a8mom9y5fub33"包含大小寫字母、數(shù)字和特殊字符，長度也相對較長，這樣的口令很難被猜測，因此具有較高的安全性。B選項"1234"是一個非常簡單的口令，僅包含數(shù)字且順序排列，非常容易被猜測，因此安全性很低。C選項"CNAS"是一個常見的英文縮寫，雖然包含字母，但可能容易被猜測或通過字典攻擊破解，因此安全性也較低。D選項"Password"是一個常見的弱口令，因為它是一個常見的英文單詞，非常容易被猜測，安全性很低。綜上所述，A選項"a8mom9y5fub33"是最安全的口令，因為它包含多種字符類型，長度適中，且難以猜測。因此，正確答案是A。22.安全區(qū)域通常的防護措施有（）。A.公司前臺的電腦顯示器背對來訪者B.進出公司的訪客須在門衛(wèi)處進行登記C.重點機房安裝有門禁系統(tǒng)D.以上全部答案：D解析：安全區(qū)域通常的防護措施包括前臺的電腦顯示器背對來訪者、進出公司的訪客須在門衛(wèi)處進行登記以及重點機房安裝有門禁系統(tǒng)。這些都是為了保護公司的重要資產(chǎn)和敏感信息，確保只有授權(quán)人員能夠訪問和操作。因此，選項D“以上全部”是正確的答案。23.（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)。A.信息安全事態(tài)B.信息安全事件C.信息安全肅故D.信息安全故障答案：A解析：信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)。這是信息安全事態(tài)的基本定義。選項A“信息安全事態(tài)”與題目描述相符。選項B“信息安全事件”通常指的是已經(jīng)發(fā)生并對系統(tǒng)或服務(wù)造成實際影響的事件，與題目描述不完全吻合。選項C“信息安全肅故”和選項D“信息安全故障”在題目中并未提及，因此可以排除。因此，正確答案是A“信息安全事態(tài)”。24.用戶訪問某Web網(wǎng)站，用戶直接采取的安全措施是（）。A.服務(wù)器數(shù)據(jù)備份B.防火墻過濾數(shù)據(jù)包C.用戶輸入登錄口令D.核心交換機的熱備答案：C解析：在訪問Web網(wǎng)站時，用戶直接采取的安全措施是輸入登錄口令。這是因為登錄口令是用戶身份認證的重要憑據(jù)，通過輸入正確的登錄口令，用戶可以證明自己有權(quán)訪問該網(wǎng)站，從而確保自己的賬戶安全。而服務(wù)器數(shù)據(jù)備份、防火墻過濾數(shù)據(jù)包和核心交換機的熱備都是網(wǎng)站管理員或系統(tǒng)管理員采取的安全措施，與用戶直接采取的安全措施不同。因此，正確答案為C選項，即用戶輸入登錄口令。25.對于可能超越系統(tǒng)和應(yīng)用控制的實用程序，以下說法正確的是（）。A.實用程序的使用不在審計范圍內(nèi)B.建立禁止使用的實用程序清單C.應(yīng)急響應(yīng)時需使用的實用程序不需額外授權(quán)D.建立鑒別、授權(quán)機制和許可使用的實用程序清單答案：D解析：對于可能超越系統(tǒng)和應(yīng)用控制的實用程序，應(yīng)建立鑒別、授權(quán)機制和許可使用的實用程序清單，以確保使用的合法性和安全性。選項A錯誤，實用程序的使用應(yīng)在審計范圍內(nèi)，以確保其合規(guī)性；選項B錯誤，建立禁止使用的實用程序清單并不能完全解決問題，因為可能存在繞過禁止的情況；選項C錯誤，應(yīng)急響應(yīng)時需使用的實用程序同樣需要額外授權(quán)，以確保安全。因此，正確答案為D。26.下列對信息安全風(fēng)險評估建立準則描述正確的是（）。A.組織應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時執(zhí)行信息安全風(fēng)險評估B.組織應(yīng)按計劃的時間間隔且當(dāng)重大變更提出或發(fā)生時執(zhí)行信息安全風(fēng)險評估C.組織只需在重大變更發(fā)生時執(zhí)行信息安全風(fēng)險評估D.組織只需按計劃的時間間隔執(zhí)行信息安全風(fēng)險評估答案：A解析：信息安全風(fēng)險評估是組織為確保信息安全而進行的一項重要活動，其目的是識別潛在的安全風(fēng)險并評估其對組織的影響。為了確保評估的有效性和及時性，組織應(yīng)按照一定的準則執(zhí)行評估。根據(jù)給出的選項，A選項“組織應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時執(zhí)行信息安全風(fēng)險評估”是符合信息安全風(fēng)險評估的準則的。這是因為信息安全環(huán)境是動態(tài)變化的，重大變更的發(fā)生可能導(dǎo)致新的安全風(fēng)險出現(xiàn)，而按計劃的時間間隔進行評估可以確保組織對信息安全狀況的持續(xù)監(jiān)控。因此，A選項是正確的描述。27.信息安全管理體系的要求類標準是（）。A.GB/T22080-2016B.GB/T22081-2008C.ISO/IEC27003D.ISO/IEC27004答案：A解析：信息安全管理體系的要求類標準是指為信息安全管理體系的建立、實施、監(jiān)視、評審和改進提供框架和指南的標準。根據(jù)給出的選項，A選項“GB/T22080-2016”是信息安全管理體系的要求類標準，而B選項“GB/T22081-2008”是信息安全管理體系的指南類標準，C選項“ISO/IEC27003”是信息安全管理體系的成熟度模型標準，D選項“ISO/IEC27004”是信息安全管理體系的度量標準。因此，正確答案為A。28.下列哪種情況不影響審核的公正性？（）A.審核收費B.審核員為受審核方前雇員C.審核員參與了受審核方的體系建立工作D.審核員為受審核方的用戶答案：A解析：審核的公正性是指審核員在執(zhí)行審核工作時，不受任何可能干擾其客觀、公正判斷的因素影響。A選項“審核收費”可能會影響審核員的積極性，但不一定直接影響其公正性。審核員可能會因為收費而更加認真工作，但也可能因為收費而對某些受審核方產(chǎn)生偏見。然而，這并不直接破壞審核的公正性，因為審核員仍然有能力和責(zé)任保持公正。B選項“審核員為受審核方前雇員”可能會影響審核的公正性。如果審核員曾是受審核方的雇員，他可能對受審核方有偏見或私人關(guān)系，這可能會影響他的判斷。C選項“審核員參與了受審核方的體系建立工作”也會影響審核的公正性。如果審核員參與了受審核方的體系建立，他可能對體系的運作和存在的問題有先入為主的看法，這可能會影響他的客觀評價。D選項“審核員為受審核方的用戶”同樣會影響審核的公正性。如果審核員是受審核方的用戶，他可能對受審核方的產(chǎn)品或服務(wù)有偏好或偏見，這也會影響他的客觀判斷。綜上所述，雖然所有選項都可能在某種程度上影響審核的公正性，但A選項“審核收費”相對其他選項來說，對審核公正性的影響較小。因此，正確答案是A。29.GB/T29246標準由（）提出并歸口。A.SC27B.SAC/TC261C.SAC/TC260D.SC40答案：C解析：根據(jù)給出的信息，我們需要確定GB/T29246標準是由哪個機構(gòu)提出并歸口的。給出的選項有ASC27、SAC/TC261、SAC/TC260和SC40。根據(jù)標準制定和歸口的常識，SAC/TC是標準化技術(shù)委員會的縮寫，通常負責(zé)標準的制定和歸口工作。對比選項，SAC/TC261和SAC/TC260與SAC/TC相關(guān)，而ASC27和SC40則不是。因此，最有可能提出并歸口GB/T29246標準的機構(gòu)是SAC/TC261或SAC/TC260。在給出的選項中，只有SAC/TC261與其中一個選項匹配，因此正確答案是C。30.安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略（）。A.基于角色的策略B.基于身份的策略C.用戶向?qū)У牟呗訢.強制性訪問控制策略答案：D解析：安全標簽是一種訪問控制機制，它適用于強制性訪問控制策略。強制性訪問控制策略是一種基于安全標簽的訪問控制策略，它要求系統(tǒng)對主體和客體進行強制性的安全級別劃分，并根據(jù)這些安全級別來決定主體對客體的訪問權(quán)限。因此，選項D“強制性訪問控制策略”是正確答案。其他選項如基于角色的策略、基于身份的策略和用戶向?qū)У牟呗耘c安全標簽的訪問控制機制不完全匹配。31.信息安全在通信保密階段中主要應(yīng)用于（）領(lǐng)域。A.軍事B.商業(yè)C.科研D.教育答案：A解析：信息安全在通信保密階段中主要應(yīng)用于軍事領(lǐng)域。軍事領(lǐng)域?qū)π畔踩囊蠓浅８?，因為涉及到國家安全和軍事機密。因此，信息安全在軍事領(lǐng)域的應(yīng)用是非常重要的。選項B商業(yè)、選項C科研、選項D教育雖然也需要信息安全保護，但軍事領(lǐng)域的信息安全更為重要。因此，正確答案為A軍事。32.關(guān)于信息安全風(fēng)險評估，以下正確的是（）。A.包括資產(chǎn)分析、風(fēng)險識別、風(fēng)險評估B.包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價C.包括風(fēng)險識別、風(fēng)險分析、風(fēng)險處置D.包括風(fēng)險溝速、風(fēng)險分析、風(fēng)險評價答案：B解析：信息安全風(fēng)險評估是一個系統(tǒng)的過程，它通常包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價三個主要步驟。風(fēng)險識別是確定系統(tǒng)中可能存在的威脅和脆弱性的過程；風(fēng)險分析是對這些威脅和脆弱性進行定量或定性評估的過程；風(fēng)險評價則是根據(jù)分析結(jié)果確定風(fēng)險可接受性，并可能采取相應(yīng)措施的過程。因此，選項B“包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價”是正確的。而選項A缺少風(fēng)險分析，選項C缺少風(fēng)險評價，選項D中的“風(fēng)險溝速”可能是筆誤，應(yīng)為“風(fēng)險溝通”，并且整個選項結(jié)構(gòu)也不符合風(fēng)險評估的標準流程。33.以下不屬于密鑰管理內(nèi)容的是（）。A.密鑰材料復(fù)制、轉(zhuǎn)移、更新和確認B.密鑰材料的生成、等級、認證、注銷C.密鑰材料的撤銷、衍生、銷毀，和恢復(fù)D.密鑰材料的分發(fā)、安裝、存儲和歸檔答案：A解析：在密鑰管理中，關(guān)于密鑰材料的操作包括生成、等級、認證、注銷、分發(fā)、安裝、存儲和歸檔，以及撤銷、衍生、銷毀和恢復(fù)。這些操作涵蓋了密鑰生命周期的各個環(huán)節(jié)。然而，選項A中的“密鑰材料復(fù)制、轉(zhuǎn)移、更新和確認”并不屬于密鑰管理的內(nèi)容。因此，正確答案是A。34.（）是建立有效的計算機病毒防御體系所需要的技術(shù)措施。A.漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻B.漏洞掃描、補丁管理系統(tǒng)和防火墻C.網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻D.補丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻答案：B解析：建立有效的計算機病毒防御體系需要綜合多種技術(shù)措施，包括漏洞掃描、補丁管理系統(tǒng)和防火墻。漏洞掃描用于及時發(fā)現(xiàn)系統(tǒng)中可能存在的漏洞，補丁管理系統(tǒng)則用于及時修復(fù)這些漏洞，而防火墻則用于阻止外部攻擊和病毒入侵。因此，選項B“漏洞掃描、補丁管理系統(tǒng)和防火墻”是建立有效的計算機病毒防御體系所需要的技術(shù)措施。選項A缺少了補丁管理系統(tǒng)，選項C缺少了補丁管理系統(tǒng)，選項D缺少了漏洞掃描，因此都不完整。35.ISO/EC17799標準是哪個標準的前身（）？A.BS7799-1B.BS7799-2C.BS7799-3D.GB7799答案：A解析：ISO/EC17799標準是BS7799-1的前身。BS7799-1是一個信息安全管理標準，它提供了對信息安全管理各個方面的指南，包括政策、程序、過程、任務(wù)、活動和組織結(jié)構(gòu)。后來，BS7799-1被ISO采用并進行了修訂，形成了ISO/EC17799標準。因此，正確答案是A，即BS7799-1。36.《中華人民共和國網(wǎng)絡(luò)安全法》的實施時間是（）。A.2016年11月7日B.2016年12月1日C.2017年6月1日D.2018年3月1日答案：C解析：《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展，制定的法律。該法于2016年11月7日發(fā)布，2017年6月1日起施行。因此，正確答案為C選項，即2017年6月1日。37.關(guān)于IT系統(tǒng)審計，以下說法正確的是（）。A.IT系統(tǒng)審計是發(fā)現(xiàn)系統(tǒng)脆弱性的有效手段，不可刪減B.組織經(jīng)評估認為IT系統(tǒng)審計的風(fēng)險不可接受時，可以刪減C.組織認為IT系統(tǒng)審計成本太高時，可以刪減D.組織自己不具備實施IT系統(tǒng)審計的能力時，可以刪減答案：B解析：IT系統(tǒng)審計是評估系統(tǒng)安全性的重要手段，其目標是發(fā)現(xiàn)系統(tǒng)可能存在的脆弱性，并采取相應(yīng)措施進行改進。因此，A選項“IT系統(tǒng)審計是發(fā)現(xiàn)系統(tǒng)脆弱性的有效手段，不可刪減”是正確的。然而，題目要求選擇錯誤的選項，所以A不符合題意。B選項“組織經(jīng)評估認為IT系統(tǒng)審計的風(fēng)險不可接受時，可以刪減”符合風(fēng)險評估的基本原則。當(dāng)組織評估后認為IT系統(tǒng)審計帶來的風(fēng)險超過其帶來的價值或收益時，可以根據(jù)風(fēng)險管理的原則選擇不執(zhí)行或刪減。C選項“組織認為IT系統(tǒng)審計成本太高時，可以刪減”雖然從成本效益角度考慮有其合理性，但成本高低并不是刪減IT系統(tǒng)審計的法定或標準理由。D選項“組織自己不具備實施IT系統(tǒng)審計的能力時，可以刪減”同樣不符合IT系統(tǒng)審計的基本原則。即使組織不具備實施審計的能力，也應(yīng)該尋求外部專業(yè)機構(gòu)或?qū)＜疫M行審計，而不是直接刪減。綜上所述，只有B選項是符合題目要求的錯誤說法。因此，正確答案是B。38.依據(jù)GB/T2208/ISO/IC27001，不屬于第三方服務(wù)監(jiān)視和評審范疇的是（）。A.監(jiān)視和評審服務(wù)級別協(xié)議的符合性B.監(jiān)視和評審服務(wù)方人員聘用和考核的流程C.監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D.監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力答案：B解析：依據(jù)GB/T2208/ISO/IC27001，第三方服務(wù)監(jiān)視和評審范疇主要包括監(jiān)視和評審服務(wù)級別協(xié)議的符合性、監(jiān)視和評審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度以及監(jiān)視和評審服務(wù)方跟蹤處理信息安全事件的能力。而監(jiān)視和評審服務(wù)方人員聘用和考核的流程并不屬于第三方服務(wù)監(jiān)視和評審的范疇。因此，答案為B。39.對計算機病毒和危害社會公共安全的其他有害數(shù)據(jù)的防治研究工作，由以下部門歸口管理（）。A.工業(yè)和信息化部B.公安部C.信息產(chǎn)業(yè)部D.國家安全部答案：B解析：根據(jù)題目描述，對計算機病毒和危害社會公共安全的其他有害數(shù)據(jù)的防治研究工作，應(yīng)由公安部歸口管理。因此，正確答案為B選項，即公安部。其他選項如工業(yè)和信息化部、信息產(chǎn)業(yè)部和國家安全部與題目描述不符。40.根據(jù)GB/T22080-2016標準的要求，組織（）實施風(fēng)險評估。A.應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時B.應(yīng)按計劃的時間間隔目當(dāng)重大變更提出或發(fā)生時C.只需在重大變更發(fā)生時D.只需按計劃的時間間隔答案：A解析：在GB/T22080-2016標準中，明確要求組織應(yīng)按照計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時實施風(fēng)險評估。選項A中的表述與此標準的要求一致，故為正確答案。其他選項中的表述均有出入，不符合標準要求。因此，答案應(yīng)選A。多選題（共15題）41.以下做法正確的是（）A.使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進行脫敏處理B.為強化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C.員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D.信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致答案：AD解析：A選項：使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進行脫敏處理。這一做法是正確的，因為在測試環(huán)境中使用生產(chǎn)系統(tǒng)的真實數(shù)據(jù)存在泄露敏感信息的風(fēng)險。通過脫敏處理，可以去除敏感信息，確保測試的安全性。B選項：為強化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)。這一做法是不安全的，使用真實的業(yè)務(wù)案例和數(shù)據(jù)可能會泄露敏感信息或業(yè)務(wù)邏輯，存在較大的風(fēng)險。因此，不建議使用真實業(yè)務(wù)案例和數(shù)據(jù)進行培訓(xùn)。C選項：員工調(diào)換項目組時，其原使用計算機中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用。這一做法可能存在問題，因為刪除數(shù)據(jù)并不保證數(shù)據(jù)被徹底清除。如果數(shù)據(jù)未被徹底刪除，可能會留下安全隱患。此外，將數(shù)據(jù)從一個項目組帶到另一個項目組也可能違反數(shù)據(jù)隔離和權(quán)限控制的原則。D選項：信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護時間應(yīng)一致。這一做法有助于確保終端的安全性，因為一致的屏幕保護時間可以確保終端在無人使用時自動進入鎖定狀態(tài)，減少未經(jīng)授權(quán)訪問的風(fēng)險。綜上所述，正確選項為A和D。42.涉密安全管理包括（）。A.涉密設(shè)備管理B.涉密信息管理C.涉密人員管理D.涉密場所、媒體管理答案：ABCD解析：涉密安全管理是一個綜合性的概念，它涵蓋了多個方面。涉密設(shè)備管理涉及對涉密設(shè)備的管理和控制，確保設(shè)備的安全性和保密性；涉密信息管理則是對涉密信息的產(chǎn)生、傳輸、存儲和使用等環(huán)節(jié)進行管理和保護；涉密人員管理涉及到對涉密崗位的人員的任用、考核、保密教育和監(jiān)督等方面的管理；涉密場所、媒體管理則是對涉密場所的保密環(huán)境、涉密媒體的使用和管理進行規(guī)范和監(jiān)督。因此，涉密安全管理應(yīng)包括涉密設(shè)備管理、涉密信息管理、涉密人員管理和涉密場所、媒體管理等多個方面。43.以下說法正確的是（）。A.顧客不投訴表示顧客滿意了B.監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進行分析和評價C.顧客滿意測評只能通過第三方機構(gòu)來實施D.顧客不投訴并不意味著顧客滿意了答案：BD解析：選項A：顧客不投訴并不一定表示顧客滿意了。顧客可能因為各種原因不投訴，例如他們可能不知道有問題，或者他們可能認為問題不重要。因此，不能僅憑顧客不投訴就斷定顧客滿意。選項B：監(jiān)視和測量顧客滿意的方法之一是發(fā)調(diào)查問卷，并對結(jié)果進行分析和評價。這是一種常用的方法，通過收集和分析顧客的意見和反饋，可以了解顧客對產(chǎn)品和服務(wù)的滿意度，從而改進產(chǎn)品和服務(wù)。選項C：顧客滿意測評不一定只能通過第三方機構(gòu)來實施。雖然第三方機構(gòu)可以提供專業(yè)的測評服務(wù)，但企業(yè)也可以自己建立測評體系，通過內(nèi)部員工或顧客進行調(diào)查和評估。選項D：顧客不投訴并不意味著顧客滿意了。正如選項A的解釋，顧客可能因為各種原因不投訴，所以不能僅憑顧客不投訴就斷定顧客滿意。44.信息安全管理體系認證是（）。A.與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實活動B.對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價C.信息安全管理體系認證是合格評定活動的一種D.是信息系統(tǒng)風(fēng)險管理的實施活動答案：AC解析：信息安全管理體系認證是指由權(quán)威的第三方機構(gòu)依據(jù)相關(guān)的標準對組織的信息安全管理體系進行審核和評估，確認其是否滿足信息安全管理體系的相關(guān)要求，并頒發(fā)相應(yīng)的認證證書的活動。這一活動是對信息安全管理體系的規(guī)定要求得到滿足的證實活動，同時也是合格評定活動的一種。因此，選項A和C是正確的。選項B描述的是對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價，這并不等同于信息安全管理體系認證的定義；選項D描述的是信息系統(tǒng)風(fēng)險管理的實施活動，與信息安全管理體系認證無直接關(guān)聯(lián)。因此，選項B和D是錯誤的。45.根據(jù)ISO/IEC27000，以下說法正確的是（）。A.ISMS族包含闡述要求的標準B.ISMS族包含闡述通用概述的標準C.ISMS族包含特定行業(yè)概述的標準D.ISMS族包含闡述ISMS概述和詞匯的標準答案：ACD解析：根據(jù)ISO/IEC27000，信息安全管理標準（ISMS）族包含闡述要求的標準、特定行業(yè)概述的標準以及闡述ISMS概述和詞匯的標準。因此，選項A、C和D是正確的。選項B“ISMS族包含闡述通用概述的標準”并不符合ISO/IEC27000的描述。所以，正確答案是A、C和D。46.信息安全方針應(yīng)包括下列要求（）。A.考慮業(yè)務(wù)和法律法規(guī)的要求及合同中的安全義務(wù)B.建立風(fēng)險評價的準則C.可測量D.獲得管理者批準答案：ABD解析：信息安全方針是組織為確保信息安全而制定的一系列指導(dǎo)原則，它應(yīng)包含多個方面的要求。A選項提到“考慮業(yè)務(wù)和法律法規(guī)的要求及合同中的安全義務(wù)”，這是信息安全方針中非常關(guān)鍵的一點。組織在制定信息安全方針時，必須充分考慮到其業(yè)務(wù)特性、相關(guān)法律法規(guī)的要求以及合同中可能涉及的安全義務(wù)，以確保信息安全方針的合規(guī)性和實用性。B選項提到“建立風(fēng)險評價的準則”，這也是信息安全方針中不可或缺的一部分。風(fēng)險評價是信息安全管理的核心環(huán)節(jié)，通過建立風(fēng)險評價的準則，組織可以更加科學(xué)、系統(tǒng)地評估信息安全風(fēng)險，從而采取有效的應(yīng)對措施。D選項提到“獲得管理者批準”，這表示信息安全方針需要得到組織高層管理者的認可和支持。只有獲得管理者的批準，信息安全方針才能在整個組織中得到有效的執(zhí)行和推廣。C選項“可測量”雖然也是信息安全方針中需要考慮的一個方面，但它并不是信息安全方針應(yīng)包括的基本要求?？蓽y量性通常是在信息安全管理體系中，用于評估信息安全方針執(zhí)行效果的一個指標，而不是信息安全方針本身的要求。因此，根據(jù)題目要求，信息安全方針應(yīng)包括的要求是A.考慮業(yè)務(wù)和法律法規(guī)的要求及合同中的安全義務(wù)；B.建立風(fēng)險評價的準則；D.獲得管理者批準。47.移動設(shè)備策略宜考慮（）。A.移動設(shè)備注冊B.惡意軟件防范C.訪問控制D.物理保護要求答案：ABCD解析：移動設(shè)備策略涉及到移動設(shè)備的各個方面，以確保設(shè)備的安全性和管理的有效性。移動設(shè)備注冊是確保設(shè)備能夠被有效管理和控制的基礎(chǔ)；惡意軟件防范是保護設(shè)備免受惡意軟件攻擊的關(guān)鍵；訪問控制是限制對敏感數(shù)據(jù)的訪問，確保數(shù)據(jù)的安全；物理保護要求則是確保設(shè)備在物理層面上得到保護，避免丟失或被盜。因此，移動設(shè)備策略宜考慮移動設(shè)備注冊、惡意軟件防范、訪問控制和物理保護要求。48.相關(guān)方是指對于一項與SMS或服務(wù)相關(guān)的決策或活動（）的個人或組織。A.能夠影響B(tài).及其影響C.認為自己受到影響D.無法影響答案：AC解析：根據(jù)題目描述，相關(guān)方是指對于一項與SMS或服務(wù)相關(guān)的決策或活動能夠產(chǎn)生影響或認為自己受到影響的個人或組織。因此，選項A“能夠影響”和選項C“認為自己受到影響”是正確的，而選項B“及其影響”和選項D“無法影響”則與題目描述不符。所以，正確答案應(yīng)該是選項A和選項C。49.影響審核時間安排的因素包括（）。A.ITSMS的范圍大小B.場所的數(shù)量C.認證機構(gòu)審核人員的能力D.認證機構(gòu)審核人員的數(shù)量答案：AB解析：審核時間安排受到多種因素的影響。在給出的選項中，A.ITSMS的范圍大小是一個重要因素。范圍越大，審核所需的時間通常也會越長。B.場所的數(shù)量也是一個關(guān)鍵因素，因為審核人員需要在每個場所進行工作，場所數(shù)量增加意味著審核時間的增加。C.認證機構(gòu)審核人員的能力雖然可能影響審核的質(zhì)量，但并不直接影響審核的時間安排。D.認證機構(gòu)審核人員的數(shù)量可能會間接影響審核時間，但題目中并未明確說明審核人員數(shù)量與審核時間之間的直接關(guān)系。因此，根據(jù)題目所給選項，正確答案是A和B。50.為確保員工和合同方理解其職責(zé)、并適合其角色，在員工任用之前，必須（）。A.對其進行試用B.對員工的背景進行適當(dāng)驗證檢查C.在任用條款和合同中指明安全職責(zé)D.面試答案：BC解析：首先，我們要明確題目的核心要求：確保員工和合同方理解其職責(zé)并適合其角色。這涉及到在任用之前，公司需要采取哪些措施來確保員工的資質(zhì)和職責(zé)明確。A選項“對其進行試用”雖然是一種評估員工能力的方式，但它并不能確保員工理解其職責(zé)并適合其角色。試用期間，員工可能只是嘗試性地工作，并不一定能完全理解其職責(zé)。B選項“對員工的背景進行適當(dāng)驗證檢查”是一個重要的步驟。通過背景調(diào)查，公司可以了解員工的學(xué)歷、工作經(jīng)驗、個人品質(zhì)等，從而判斷其是否適合擔(dān)任該職位。C選項“在任用條款和合同中指明安全職責(zé)”也是一個必要的步驟。明確的安全職責(zé)可以確保員工知道他們在工作中需要承擔(dān)的責(zé)任，從而更好地履行其角色。D選項“面試”雖然是一個常規(guī)的招聘步驟，但它并不能保證員工理解其職責(zé)并適合其角色。面試更多地是了解應(yīng)聘者的基本信息和求職動機，而不是確保他們適合該職位。綜上所述，為確保員工和合同方理解其職責(zé)并適合其角色，在員工任用之前，公司需要對員工的背景進行適當(dāng)驗證檢查，并在任用條款和合同中指明安全職責(zé)。因此，正確答案為B和C。51.以下不符合GB/T22080-2016/ISO/IEC27001:2013標準A17要求的情況是（）。A.銀監(jiān)會規(guī)定業(yè)務(wù)中斷后須在4小時內(nèi)恢復(fù)，因此某銀行T運維中心規(guī)定：如發(fā)生網(wǎng)絡(luò)中斷，數(shù)據(jù)庫系統(tǒng)運行中斷等，均應(yīng)在4小時內(nèi)恢復(fù)B.A公司所在市區(qū)歷來供電穩(wěn)定，因此核心業(yè)務(wù)機房采用單路市電及單臺UPS為所有系統(tǒng)設(shè)備供電C.某金融押運服務(wù)公司在A、B兩臺服務(wù)器上安裝了押運車實時位置和狀態(tài)跟蹤系統(tǒng)，A為日常運行用，系統(tǒng)定期升級，B為備機，平時為冷態(tài)，A和B安置在同一機房，共用一套基礎(chǔ)設(shè)施D.某跨國貿(mào)易公司每3個月一次將其核心業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)備份一套磁盤，然后送往當(dāng)?shù)劂y行保險箱保存答案：ABCD解析：A選項：銀監(jiān)會規(guī)定業(yè)務(wù)中斷后須在4小時內(nèi)恢復(fù)，因此某銀行T運維中心規(guī)定：如發(fā)生網(wǎng)絡(luò)中斷，數(shù)據(jù)庫系統(tǒng)運行中斷等，均應(yīng)在4小時內(nèi)恢復(fù)。這個規(guī)定只滿足了業(yè)務(wù)恢復(fù)時間的要求，但并未明確說明在業(yè)務(wù)中斷后如何確保數(shù)據(jù)的安全性和完整性，以及是否采取了必要的預(yù)防措施來防止類似中斷再次發(fā)生。因此，這個規(guī)定并不完全符合GB/T22080-2016/ISO/IEC27001:2013標準A17的要求。B選項：A公司所在市區(qū)歷來供電穩(wěn)定，因此核心業(yè)務(wù)機房采用單路市電及單臺UPS為所有系統(tǒng)設(shè)備供電。這種設(shè)計過于依賴單一的電源供應(yīng)，沒有考慮到可能的電源故障或意外斷電的情況，缺乏足夠的冗余和備份機制。因此，這個設(shè)計不符合GB/T22080-2016/ISO/IEC27001:2013標準A17的要求。C選項：某金融押運服務(wù)公司在A、B兩臺服務(wù)器上安裝了押運車實時位置和狀態(tài)跟蹤系統(tǒng)，A為日常運行用，系統(tǒng)定期升級，B為備機，平時為冷態(tài)，A和B安置在同一機房，共用一套基礎(chǔ)設(shè)施。雖然這里提到了有兩臺服務(wù)器，并且一臺作為備機，但是備機是冷態(tài)，也就是說它并不實時在線，而且在同一機房使用同一套基礎(chǔ)設(shè)施，沒有明確的物理隔離措施，這增加了單點故障的風(fēng)險。因此，這個設(shè)計也不符合GB/T22080-2016/ISO/IEC27001:2013標準A17的要求。D選項：某跨國貿(mào)易公司每3個月一次將其核心業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)備份一套磁盤，然后送往當(dāng)?shù)劂y行保險箱保存。雖然這里提到了數(shù)據(jù)備份，但是備份的頻率是每3個月一次，過于稀疏，無法確保數(shù)據(jù)的及時恢復(fù)。此外，將備份送往銀行保險箱保存，沒有說明備份的存儲和管理機制，存在數(shù)據(jù)丟失或泄露的風(fēng)險。因此，這個做法也不符合GB/T22080-2016/ISO/IEC27001:2013標準A17的要求。52.關(guān)于商用密碼技術(shù)和產(chǎn)品，以下說法正確的是（）。A.任何組織不得隨意進口密碼產(chǎn)品，但可以出一商用密碼產(chǎn)品B.商用密碼技術(shù)屬于國家秘密C.商用密碼是對不涉及國家秘密的內(nèi)容進行加密保護的產(chǎn)品D.商用密碼產(chǎn)品的用戶不得類其使用的商用密碼產(chǎn)品答案：BCD解析：根據(jù)《商用密碼管理條例》規(guī)定，任何組織或者個人不得自行啟用或者轉(zhuǎn)讓、出售、出租、出借商用密碼產(chǎn)品。因此，選項A中的“任何組織不得隨意進口密碼產(chǎn)品，但可以出售商用密碼產(chǎn)品”說法錯誤。商用密碼技術(shù)是指用于保護不屬于國家秘密的信息的密碼技術(shù)，因此選項B“商用密碼技術(shù)屬于國家秘密”說法錯誤。商用密碼是指對不屬于國家秘密的信息進行加密保護或者安全認證所使用的密碼技術(shù)和密碼產(chǎn)品，因此選項C“商用密碼是對不涉及國家秘密的內(nèi)容進行加密保護的產(chǎn)品”說法正確。商用密碼產(chǎn)品的用戶應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定使用商用密碼產(chǎn)品，不得擅自改變商用密碼產(chǎn)品的功能或者危害商用密碼產(chǎn)品安全，因此選項D“商用密碼產(chǎn)品的用戶不得擅自使用其使用的商用密碼產(chǎn)品”說法正確。綜上所述，正確答案為BCD。53.ISMS范圍和邊界的確定依據(jù)包括（）。A.業(yè)務(wù)B.組織C.物理D.資產(chǎn)和技術(shù)答案：ABCD解析：ISMS（信息安全管理體系）的范圍和邊界的確定，需要考慮多個因素。業(yè)務(wù)是ISMS的基礎(chǔ)，因為信息安全需要保障業(yè)務(wù)的正常運作。組織是ISMS的實施主體，組織的管理和流程會對ISMS的范圍和邊界產(chǎn)生影響。物理因素，如地理位置、網(wǎng)絡(luò)架構(gòu)等，也會影響ISMS的范圍和邊界。資產(chǎn)和技術(shù)是ISMS保護的對象，包括硬件、軟件、數(shù)據(jù)等，這些資產(chǎn)和技術(shù)需要得到適當(dāng)?shù)谋Ｗo和管理。因此，業(yè)務(wù)、組織、物理、資產(chǎn)和技術(shù)都是確定ISMS范圍和邊界的重要依據(jù)。54.根據(jù)采用的技術(shù)，入侵檢測系統(tǒng)有以下分類（）。A.正常檢測B.異常檢測C.特征檢測D.固定檢測答案：BC解析：入侵檢測系統(tǒng)（IDS）根據(jù)采用的技術(shù)，主要有異常檢測和特征檢測兩種分類。異常檢測是通過分析網(wǎng)絡(luò)或系統(tǒng)的行為，識別出與正常行為不符的異常行為，從而發(fā)現(xiàn)入侵。特征檢測則是基于已知的攻擊特征或模式，通過匹配這些特征來識別攻擊。選項A正常檢測和選項D固定檢測并不是入侵檢測系統(tǒng)基于技術(shù)的分類，因此不選。所以正確答案為B和C。55.為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A.分發(fā)，訪問，檢索和使用B.存儲和保護，包括保持可讀性C.控制變更（例如版本控制）D.保留和處理答案：ABCD解析：為了控制文件化信息，組織需要強調(diào)以下活動：A.分發(fā)，訪問，檢索和使用：這是確保文件化信息能夠被正確、有效地傳遞和使用，以便組織內(nèi)部成員和外部相關(guān)方能夠獲取所需的信息。B.存儲和保護，包括保持可讀性：這是確保文件化信息能夠安全、完整地保存，并且能夠在需要時容易地訪問和使用。保持可讀性意味著文件化信息應(yīng)該以清晰、易于理解的方式呈現(xiàn)，以便讀者能夠準確獲取所需的信息。C.控制變更（例如版本控制）：這是確保文件化信息的一致性和準確性。通過控制變更，組織可以跟蹤和管理文件化信息的更改，以確保所有相關(guān)方都能夠獲得最新、最準確的信息。D.保留和處理：這是確保文件化信息能夠被適當(dāng)?shù)乇Ａ艉吞幚恚苑戏ㄒ?guī)和組織政策的要求。適當(dāng)?shù)谋Ａ艉吞幚砜梢源_保文件化信息不會被過早地銷毀或丟失，并且在需要時能夠被檢索和使用。因此，選項A、B、C和D都是組織為了控制文件化信息需要強調(diào)的活動。判斷題（共10題）56.對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險（）。A.正確B.錯誤答案：A解析：對于不同類型的風(fēng)險，確實可以采用不同的風(fēng)險接受準則。在這個問題中，提到導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，這通常意味