本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布信息安全管理體系基礎(chǔ)摸底考試三答案及解析單選題（共40題）1.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B.認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C.認(rèn)證決定人員宜與審核組長協(xié)商做出以證決定D.認(rèn)證決定人員宜與受審核方協(xié)商做出認(rèn)證決定答案：B解析：信息安全管理體系認(rèn)證的核心是確保受審核方的信息安全管理體系符合相關(guān)的標(biāo)準(zhǔn)或要求。審核組在進(jìn)行審核后，會給出審核結(jié)論，無論是正面還是負(fù)面。認(rèn)證決定人員在此基礎(chǔ)上進(jìn)行認(rèn)證決定。對于審核組的負(fù)面結(jié)論，認(rèn)證決定人員不宜推翻，因為這涉及到對受審核方信息安全管理體系的客觀評價。因此，選項B“認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論”是正確的。而選項A“認(rèn)證決定人員不宜推翻審核組的正面結(jié)論”與這一邏輯不符，因為正面結(jié)論通常表示受審核方表現(xiàn)良好，沒有需要特別推翻的情況。選項C和D中的“宜與審核組長協(xié)商”和“宜與受審核方協(xié)商”也與信息安全管理體系認(rèn)證的基本邏輯不符，因為認(rèn)證決定人員是根據(jù)審核組的結(jié)論進(jìn)行獨立決策的。2.根據(jù)GB/T29246標(biāo)準(zhǔn)，保密性是指（）。A.根據(jù)授權(quán)實體的要求可訪問的特性B.信息不被未授權(quán)的個人、實體或過程利用或知悉的特性C.保護(hù)信息準(zhǔn)確和完整的特性D.保證信息不被其他人使用答案：B解析：保密性是指信息不被未授權(quán)的個人、實體或過程利用或知悉的特性。根據(jù)GB/T29246標(biāo)準(zhǔn)，這是保密性的定義。其他選項與保密性的定義不符。A選項“根據(jù)授權(quán)實體的要求可訪問的特性”是可用性的一種特性；C選項“保護(hù)信息準(zhǔn)確和完整的特性”是完整性的一種特性；D選項“保證信息不被其他人使用”沒有明確“未授權(quán)”的前提，因此不是保密性的準(zhǔn)確描述。因此，正確答案是B選項。3.漏洞檢測的方法分為（）。A.靜態(tài)檢測B.動態(tài)測試C.混合檢測D.以上都是答案：D解析：根據(jù)題目中的信息，我們需要選擇出漏洞檢測的方法。靜態(tài)檢測、動態(tài)測試和混合檢測都是漏洞檢測的方法，因此選項D“以上都是”是正確的答案。其他選項A、B、C都是部分正確的，但不足以涵蓋所有的檢測方法。因此，選項D是最佳答案。4.我國網(wǎng)絡(luò)安全等級保護(hù)共分幾個級別？（）A.7B.4C.5D.6答案：C解析：根據(jù)中國的網(wǎng)絡(luò)安全等級保護(hù)制度，網(wǎng)絡(luò)安全等級保護(hù)共分五個級別，從第一級到第五級依次增高。所以，選項C“5”是正確的。其他選項A“7”、B“4”、D“6”都是錯誤的。5.下列說法不正確的是（）。A.殘余風(fēng)險需要獲得管理者的批準(zhǔn)B.體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處置過程的結(jié)果C.所有的信息活動都必須有記錄D.管理評審至少每年進(jìn)行一次答案：C解析：題目考查的是關(guān)于風(fēng)險評估和風(fēng)險控制過程的一些基本原則。A選項表示“殘余風(fēng)險需要獲得管理者的批準(zhǔn)”。這是正確的，因為在實施控制措施后，可能仍然會存在殘余風(fēng)險，這些風(fēng)險需要得到管理層的認(rèn)可，并可能需要進(jìn)一步的措施來降低。B選項表示“體系文件應(yīng)能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處置過程的結(jié)果”。這也是正確的，因為體系文件應(yīng)該能夠清晰地展示整個風(fēng)險評估和風(fēng)險控制過程，包括所選擇的控制措施及其背后的理由。D選項表示“管理評審至少每年進(jìn)行一次”。這也是正確的，管理評審是評估整個管理體系的有效性、適宜性和充分性的過程，通常建議至少每年進(jìn)行一次。而C選項“所有的信息活動都必須有記錄”是不正確的。雖然記錄是信息活動的一部分，但并不是所有的信息活動都必須有記錄。有些信息活動可能是口頭交流或者非正式的，不一定需要記錄。因此，不正確的說法是C選項“所有的信息活動都必須有記錄”。6.對于可能超越系統(tǒng)和應(yīng)用控制的實用程序，以下說法正確的是（）。A.實用程序的使用不在審計范圍內(nèi)B.建立禁止使用的實用程序清單C.應(yīng)急響應(yīng)時需使用的實用程序不需額外授權(quán)D.建立鑒別，授權(quán)機(jī)制和許可使用的實用程序清單答案：D解析：對于可能超越系統(tǒng)和應(yīng)用控制的實用程序，建立鑒別，授權(quán)機(jī)制和許可使用的實用程序清單是正確的做法。這樣可以確保實用程序的使用在審計范圍內(nèi)，并且只有經(jīng)過授權(quán)的人員才能使用。同時，對于應(yīng)急響應(yīng)時可能使用的實用程序，也需要建立相應(yīng)的授權(quán)和許可機(jī)制，以確保其使用符合安全要求。因此，選項D“建立鑒別，授權(quán)機(jī)制和許可使用的實用程序清單”是正確的。選項A“實用程序的使用不在審計范圍內(nèi)”是錯誤的，因為實用程序的使用應(yīng)該受到審計和監(jiān)控。選項B“建立禁止使用的實用程序清單”雖然是一種安全措施，但并不是直接針對可能超越系統(tǒng)和應(yīng)用控制的實用程序的。選項C“應(yīng)急響應(yīng)時需使用的實用程序不需額外授權(quán)”也是錯誤的，因為即使是應(yīng)急響應(yīng)時使用的實用程序，也需要符合安全和授權(quán)的要求。7.以下可認(rèn)定審核范圍變更的事項是（）。A.受審核組織增加一個制造場所B.受審核組織職能單元和人員規(guī)模增加C.受審核組織業(yè)務(wù)過程增加D.以上全部答案：D解析：審核范圍變更是指審核的范圍發(fā)生了變化，這通常涉及到受審核組織的結(jié)構(gòu)、職能、過程等方面的變化。根據(jù)給出的選項，我們來逐一分析：A選項“受審核組織增加一個制造場所”，這涉及到受審核組織的物理結(jié)構(gòu)變化，可能影響到審核的范圍。B選項“受審核組織職能單元和人員規(guī)模增加”，這涉及到受審核組織的組織和人員變化，同樣可能影響到審核的范圍。C選項“受審核組織業(yè)務(wù)過程增加”，這涉及到受審核組織的業(yè)務(wù)過程變化，審核的范圍也會相應(yīng)地發(fā)生變化。D選項“以上全部”，包括了上述三個變化，因此，任何一項的變化都可能引起審核范圍的變更。綜上所述，A、B、C選項的變化都可能引起審核范圍的變更，因此，正確答案是D選項，即“以上全部”。8.下面是關(guān)于計算機(jī)病毒的兩種論斷，經(jīng)判斷（）。①計算機(jī)病毒也是一種程序，它在某些條件下激活，起干擾破壞作用，并能傳染到其他程序中去②計算機(jī)病毒只會破壞磁盤上的數(shù)據(jù)A.只有①正確B.只有②正確C.①②都正確D.①②都不正確答案：A解析：計算機(jī)病毒是一種程序，它在某些條件下激活，起干擾破壞作用，并能傳染到其他程序中去。因此，論斷①是正確的。而論斷②只提到了計算機(jī)病毒會破壞磁盤上的數(shù)據(jù)，沒有提到它還能傳染到其他程序中去，因此論斷②是不完整的。因此，只有論斷①是正確的，答案為A。9.關(guān)于可信計算機(jī)基，以下說法正確的是（）A.指計算機(jī)系統(tǒng)中用作保護(hù)裝置的硬件、固件、軟件等的組合體B.指配置有可信賴安全防護(hù)硬件、軟件產(chǎn)品的計算機(jī)環(huán)境C.指通過了國家有關(guān)安全機(jī)構(gòu)認(rèn)證的計算機(jī)信息系統(tǒng)D.指通過了國家有關(guān)機(jī)構(gòu)評測的計算機(jī)基礎(chǔ)設(shè)施，含硬件、軟件的配置答案：A解析：可信計算機(jī)基（TCB）是計算機(jī)系統(tǒng)中用作保護(hù)裝置的硬件、固件、軟件等的組合體。因此，選項A“指計算機(jī)系統(tǒng)中用作保護(hù)裝置的硬件、固件、軟件等的組合體”是正確的。選項B“指配置有可信賴安全防護(hù)硬件、軟件產(chǎn)品的計算機(jī)環(huán)境”雖然提到了可信賴安全防護(hù)硬件和軟件，但并未明確指出這是TCB，因此不正確。選項C“指通過了國家有關(guān)安全機(jī)構(gòu)認(rèn)證的計算機(jī)信息系統(tǒng)”和選項D“指通過了國家有關(guān)機(jī)構(gòu)評測的計算機(jī)基礎(chǔ)設(shè)施，含硬件、軟件的配置”都提到了認(rèn)證和評測，但這并不是TCB的定義，因此也不正確。10.下列措施中哪一個是用來記錄事態(tài)并生產(chǎn)證據(jù)的？（）A.時鐘同步B.信息備份C.軟件安裝限制D.信息系統(tǒng)審計的控制答案：A解析：題目詢問的是哪一個措施是用來記錄事態(tài)并生產(chǎn)證據(jù)的。A選項“時鐘同步”主要是用于確保各個系統(tǒng)或設(shè)備的時間同步，以便于協(xié)調(diào)工作和避免時間沖突，但它并不直接記錄事態(tài)或生產(chǎn)證據(jù)。B選項“信息備份”雖然可以保存重要信息，但它主要是為了數(shù)據(jù)安全，防止數(shù)據(jù)丟失，并不直接用于記錄事態(tài)或生產(chǎn)證據(jù)。C選項“軟件安裝限制”是為了確保系統(tǒng)安全，防止惡意軟件的安裝，但它并不涉及記錄事態(tài)或生產(chǎn)證據(jù)。D選項“信息系統(tǒng)審計的控制”則是一種監(jiān)控和記錄系統(tǒng)活動的方法，它可以記錄事態(tài)并生產(chǎn)證據(jù)，用于審計和調(diào)查。因此，正確答案是D選項“信息系統(tǒng)審計的控制”。11.關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說法正確的是（）。A.互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B.非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C.從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D.經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動答案：C解析：本題主要考察互聯(lián)網(wǎng)信息服務(wù)的相關(guān)法規(guī)知識。A選項提到“互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案”，但實際上，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定的是“互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營性和非經(jīng)營性兩類”，并且“從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)獲得增值電信業(yè)務(wù)經(jīng)營許可證；未經(jīng)許可或未履行備案手續(xù)，不得從事互聯(lián)網(wǎng)信息服務(wù)”。所以A選項錯誤。B選項提到“非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行”，但實際上，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定的是“非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行備案制度”，即非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)在取得備案后是可以進(jìn)行的。所以B選項錯誤。C選項提到“從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求”，這是符合《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定的，所以C選項正確。D選項提到“經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動”，但實際上，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)的定義是“通過互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)上服務(wù)等經(jīng)營活動或者其他商業(yè)行為”，與D選項不符，所以D選項錯誤。因此，正確答案是C選項。12.關(guān)于保密性，以下說法正確的是（）。A.規(guī)定被授權(quán)的個人和實體，同時規(guī)定訪問時間和訪問范圍以及訪問類型B.職級越高可訪問信息范圍越大C.默認(rèn)情況下|Ⅱ系統(tǒng)維護(hù)人員可以任何類型訪問所有信息D.顧客對信息的訪問權(quán)按顧客需求而定答案：A解析：保密性要求明確被授權(quán)的個人和實體，同時規(guī)定訪問時間和訪問范圍以及訪問類型。這是為了確保只有經(jīng)過授權(quán)的人員在特定的時間和范圍內(nèi)，以特定的方式訪問信息，從而保護(hù)信息的機(jī)密性。因此，選項A“規(guī)定被授權(quán)的個人和實體，同時規(guī)定訪問時間和訪問范圍以及訪問類型”是正確的說法。選項B“職級越高可訪問信息范圍越大”并不符合保密性的原則，因為訪問權(quán)限應(yīng)該基于授權(quán)，而不是職級。選項C“默認(rèn)情況下|Ⅱ系統(tǒng)維護(hù)人員可以任何類型訪問所有信息”也不符合保密性的要求，因為系統(tǒng)維護(hù)人員的訪問權(quán)限應(yīng)該受到限制。選項D“顧客對信息的訪問權(quán)按顧客需求而定”同樣不符合保密性的原則，因為訪問權(quán)限應(yīng)該基于授權(quán)，而不是顧客需求。13.依據(jù)GB/Z20986，信息安全事件的分級為（）。A.特別嚴(yán)重事件、嚴(yán)重事件、一般事件B.特別重大事件、重大事件、較大事件、一般事件C.1級、II級、Ⅲ級、IV級、V級D.嚴(yán)重事件、較嚴(yán)重事件、一般事件答案：B解析：信息安全事件的分級依據(jù)GB/Z20986標(biāo)準(zhǔn)，分為特別重大事件、重大事件、較大事件和一般事件。選項A中的“特別嚴(yán)重事件”和選項C中的“1級、II級、Ⅲ級、IV級、V級”以及選項D中的“嚴(yán)重事件、較嚴(yán)重事件”均不是該標(biāo)準(zhǔn)中的分級方式。因此，正確答案為B，即特別重大事件、重大事件、較大事件和一般事件。14.桌面系統(tǒng)級聯(lián)狀態(tài)下，關(guān)于上級服務(wù)器制定的強(qiáng)制策略，以下說法正確的是（）。A.下級管理員無權(quán)修改，不可刪除B.下級管理員無權(quán)修改，可以刪除C.下級管理員可以修改，可以刪除D.下級管理員可以修改，不可刪除答案：A解析：根據(jù)題目描述，桌面系統(tǒng)級聯(lián)狀態(tài)下，上級服務(wù)器制定的強(qiáng)制策略是強(qiáng)制性的，下級管理員無權(quán)修改，也不可刪除。因此，選項A“下級管理員無權(quán)修改，不可刪除”是正確的說法。其他選項與題目描述不符。15.組織選擇信息安全風(fēng)險評估方法，應(yīng)考慮（）。A.適合于組織的ISMS、已識別的安全要求和法律法規(guī)要求B.只有采用準(zhǔn)確性高的概率模型才能得出可信的結(jié)果C.必須采用易學(xué)易用的定性評估方法才能提高效率D.）必須采用國家標(biāo)準(zhǔn)規(guī)定的相加法或相乘法答案：A解析：組織在選擇信息安全風(fēng)險評估方法時，應(yīng)考慮到適合于組織的ISMS（信息安全管理體系）、已識別的安全要求和法律法規(guī)要求。這是因為風(fēng)險評估方法應(yīng)當(dāng)與組織的具體情況和需求相匹配，以便準(zhǔn)確評估安全風(fēng)險，并為信息安全管理提供有力支持。而其他選項要么過于強(qiáng)調(diào)準(zhǔn)確性、易用性或特定的評估方法，可能并不適合所有組織的情況。因此，選擇A選項是更合適和全面的。16.審核計劃中不應(yīng)包括（）。A.本次以及其后續(xù)審核的時間安排B.審核準(zhǔn)則C.審核組成員及分工D.審核的日程安排答案：A解析：審核計劃是審核活動的重要組成部分，它應(yīng)明確審核的目的、范圍、準(zhǔn)則、審核組成員及分工以及審核的日程安排等內(nèi)容。但是，審核計劃不應(yīng)該包括“本次以及其后續(xù)審核的時間安排”，因為這涉及到具體的時間點，而審核計劃更注重的是整體的時間安排和規(guī)劃，而不是具體的時間點。因此，選項A不應(yīng)包括在審核計劃中。17.一家投資顧問商定期向客戶發(fā)送有關(guān)財經(jīng)新聞的電子郵件，如何保證客戶收到的資料沒有被修改？（）A.電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B.電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的HASH值C.電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件D.電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件答案：C解析：為了保證客戶收到的資料沒有被修改，應(yīng)該使用數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)可以確保郵件的完整性和真實性，防止郵件在傳輸過程中被篡改。在電子郵件發(fā)送前，用投資顧問商的私鑰對郵件進(jìn)行數(shù)字簽名，接收方可以使用投資顧問商的公鑰對簽名進(jìn)行驗證，如果簽名有效，則說明郵件沒有被修改。因此，選項C是正確的。選項A和D使用加密技術(shù)，雖然可以保護(hù)郵件的機(jī)密性，但不能保證郵件的完整性；選項B使用公鑰加密郵件的HASH值，但HASH值本身并不能保證郵件的完整性，還需要與原始郵件進(jìn)行比對。18.內(nèi)部審核是為了確定信息安全體系的（）。A.有效性和適宜性B.適宜性和充分性C.有效性和符合性D.適宜性和充分性答案：C解析：內(nèi)部審核是為了確定信息安全體系的有效性和符合性。有效性是指信息安全體系是否能夠?qū)崿F(xiàn)預(yù)期的目標(biāo)和效果，符合性是指信息安全體系是否符合相關(guān)的法律法規(guī)、標(biāo)準(zhǔn)和規(guī)范的要求。因此，選項C“有效性和符合性”是正確的答案。選項A“有效性和適宜性”中的“適宜性”在此題目中并沒有明確提及，選項B“適宜性和充分性”中的“充分性”同樣沒有明確提及，選項D“適宜性和充分性”中的兩個選項在此題目中都沒有明確提及，因此都不是正確答案。19.T面哪一種屬于網(wǎng)絡(luò)上的被動攻擊（）。A.消息篡改B.偽裝C.拒絕服務(wù)D.流量分析答案：D解析：被動攻擊是指攻擊者通過截獲、分析網(wǎng)絡(luò)上傳輸?shù)男畔韺嵤┕?，而不是直接對目?biāo)進(jìn)行破壞。選項A消息篡改、選項B偽裝和選項C拒絕服務(wù)都是主動攻擊的方式，它們會直接對目標(biāo)進(jìn)行破壞或干擾。而選項D流量分析是被動攻擊的一種方式，攻擊者通過分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流量來獲取敏感信息或進(jìn)行其他惡意活動。因此，正確答案是D。20.關(guān)于“審核發(fā)現(xiàn)”，以下說法正確的是（）。A.人審核發(fā)現(xiàn)即審核員觀察到的事實B.人審核發(fā)現(xiàn)可以表明正面的或負(fù)面的結(jié)果C.審核發(fā)現(xiàn)即審核組提出的不符合項報告D.審核發(fā)現(xiàn)即審核結(jié)論意見答案：B解析：題目中要求選出關(guān)于“審核發(fā)現(xiàn)”的正確說法。A選項提到“人審核發(fā)現(xiàn)即審核員觀察到的事實”，但“人審核發(fā)現(xiàn)”這一表述本身并不準(zhǔn)確，應(yīng)該是“審核發(fā)現(xiàn)”。因此A選項不正確。C選項說“審核發(fā)現(xiàn)即審核組提出的不符合項報告”，這也不準(zhǔn)確。審核發(fā)現(xiàn)不僅僅是不符合項報告，還包括其他觀察結(jié)果和事實。D選項提到“審核發(fā)現(xiàn)即審核結(jié)論意見”，這同樣不準(zhǔn)確。審核結(jié)論意見是基于審核發(fā)現(xiàn)得出的，而不是審核發(fā)現(xiàn)本身。因此，B選項“人審核發(fā)現(xiàn)可以表明正面的或負(fù)面的結(jié)果”是正確的。審核發(fā)現(xiàn)可以揭示出正面的或負(fù)面的情況，從而幫助改進(jìn)過程或系統(tǒng)。21.根據(jù)ISO/IEC27000標(biāo)準(zhǔn)，（）為組織提供了信息安全管理體系實施指南。A.ISO/IEC27013B.ISO/IEC27002C.ISO/IEC27003D.ISO/IEC27007答案：C解析：根據(jù)ISO/IEC27000標(biāo)準(zhǔn)，ISO/IEC27003為組織提供了信息安全管理體系實施指南。因此，正確答案為C。ISO/IEC27000是一個信息安全管理體系的標(biāo)準(zhǔn)，它定義了信息安全管理體系的基本原則和概念。而ISO/IEC27003則是基于ISO/IEC27000標(biāo)準(zhǔn)的信息安全管理體系實施指南，為組織提供了如何實施信息安全管理體系的具體步驟和指南。因此，選擇C選項是正確的。22.在根據(jù)組織規(guī)模確定基本申核時問的前提下，下列咖一條屬于増加審核時間的要素（）。A.其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B.客戶的認(rèn)證準(zhǔn)備C.僅涉及單一的活動過程D.具有高風(fēng)險的產(chǎn)品或過程答案：D解析：在根據(jù)組織規(guī)模確定基本審核時間的前提下，增加審核時間的要素通常與產(chǎn)品或過程的復(fù)雜性和風(fēng)險性有關(guān)。選項A提到“其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險”，這實際上暗示了風(fēng)險較低，因此不太可能需要增加審核時間。選項B“客戶的認(rèn)證準(zhǔn)備”雖然可能影響審核的進(jìn)度，但不一定直接導(dǎo)致審核時間的增加。選項C“僅涉及單一的活動過程”同樣暗示了產(chǎn)品或過程的簡單性，因此不太可能需要增加審核時間。而選項D“具有高風(fēng)險的產(chǎn)品或過程”則明確指出了風(fēng)險性，這通常意味著需要更多的時間來確保審核的準(zhǔn)確性和全面性，因此是增加審核時間的要素。因此，正確答案是D。23.關(guān)于中國認(rèn)證認(rèn)可相關(guān)活動的監(jiān)督管理機(jī)制，以下說法正確的是（）。A.CNCA對CNAS、CCAA、認(rèn)證機(jī)構(gòu)依法實施監(jiān)督管理B.CNCA依法監(jiān)管CNAS，CNAS依法監(jiān)管認(rèn)證機(jī)構(gòu)C.CCAA依法監(jiān)管認(rèn)證機(jī)構(gòu)，CNCA依法監(jiān)管CNASD.CCAA依法監(jiān)管認(rèn)證人員，CNAS依法監(jiān)管認(rèn)證機(jī)構(gòu)，CNCA依法監(jiān)管CNAS答案：A解析：根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》的規(guī)定，國家認(rèn)證認(rèn)可監(jiān)督管理委員會（CNCA）對認(rèn)證機(jī)構(gòu)、認(rèn)可機(jī)構(gòu)以及認(rèn)證培訓(xùn)、咨詢機(jī)構(gòu)等相關(guān)機(jī)構(gòu)和人員依法實施監(jiān)督管理。其中，CNAS（中國合格評定國家認(rèn)可委員會）和CCAA（中國認(rèn)證認(rèn)可協(xié)會）都是CNCA監(jiān)管下的機(jī)構(gòu)。因此，選項A“CNCA對CNAS、CCAA、認(rèn)證機(jī)構(gòu)依法實施監(jiān)督管理”是正確的說法。選項B、C、D的說法均不符合條例的規(guī)定。24.ISMS標(biāo)準(zhǔn)族中，要求類標(biāo)準(zhǔn)是（）。A.ISO27002B.ISO27001和ISO27003C.ISO27002和ISO27006；D.ISO27001和ISO27006答案：D解析：ISMS標(biāo)準(zhǔn)族中，要求類標(biāo)準(zhǔn)包括ISO27001和ISO27006。ISO27001是信息安全管理體系標(biāo)準(zhǔn)，它提供了一個框架，用于建立、實施、監(jiān)控、評審和改進(jìn)信息安全管理體系。ISO27006則是提供關(guān)于物理安全控制指南的標(biāo)準(zhǔn)，它提供了關(guān)于如何實施物理安全控制的信息，以確保信息資產(chǎn)的安全。因此，選項D“ISO27001和ISO27006”是正確的。25.信息安全管理中，關(guān)于脆弱性，以下說法正確的是：（）。A.組織使用的開源軟件不須考慮其技術(shù)脆弱性B.軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種C.識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D.使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機(jī)會答案：B解析：A選項錯誤，組織使用的開源軟件同樣需要考慮其技術(shù)脆弱性。開源軟件雖然公開源代碼，但并不意味著沒有安全漏洞或脆弱性。B選項正確，軟件開發(fā)人員為方便維護(hù)留的后門是脆弱性的一種。后門是未經(jīng)授權(quán)訪問系統(tǒng)的方法，它們?yōu)楣粽咛峁┝藱C(jī)會，因此可以被視為脆弱性。C選項錯誤，識別資產(chǎn)脆弱性時應(yīng)考慮資產(chǎn)的固有特性，并包括當(dāng)前安全控制措施。安全控制措施是組織為減少或消除脆弱性而采取的措施，因此在評估脆弱性時，必須考慮這些控制措施的效果。D選項錯誤，使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離雖然可以增加系統(tǒng)的安全性，但不能杜絕其脆弱性被威脅利用的機(jī)會。攻擊者可能會利用其他途徑或方法來訪問或利用系統(tǒng)的脆弱性。因此，僅僅物理隔離是不夠的，還需要其他安全措施來增強(qiáng)系統(tǒng)的安全性。26.已獲得認(rèn)證的組織，第二年擬在認(rèn)證范圍上新增加一個場所，針對此情況，以下說法正確的是（）。A.新增場所需實施現(xiàn)場審核，在監(jiān)督審核人天數(shù)基礎(chǔ)上加一個人天B.新增場所需實施現(xiàn)場審核，新增場所按初審計算人天數(shù)C.若組織內(nèi)審已覆蓋該新增場所，監(jiān)督審核時對組織內(nèi)審報告進(jìn)行評審，不必去該新場所現(xiàn)場審核D.新增場所需實施現(xiàn)場審核，按監(jiān)督審核計算人天數(shù)答案：D解析：根據(jù)題目描述，已獲得認(rèn)證的組織第二年擬在認(rèn)證范圍上新增加一個場所。對于這種情況，我們需要考慮如何實施現(xiàn)場審核以及審核人天數(shù)的計算。選項A提到“新增場所需實施現(xiàn)場審核，在監(jiān)督審核人天數(shù)基礎(chǔ)上加一個人天”。這個選項沒有明確說明新增場所的審核人天數(shù)如何計算，只是簡單地提出在監(jiān)督審核人天數(shù)基礎(chǔ)上加一個人天，沒有明確的依據(jù)。選項B提到“新增場所需實施現(xiàn)場審核，新增場所按初審計算人天數(shù)”。這個選項將新增場所的審核人天數(shù)按照初審來計算，但題目中并沒有提到新增場所需要進(jìn)行初審，因此這個選項也不正確。選項C提到“若組織內(nèi)審已覆蓋該新增場所，監(jiān)督審核時對組織內(nèi)審報告進(jìn)行評審，不必去該新場所現(xiàn)場審核”。這個選項雖然提到了組織內(nèi)審已經(jīng)覆蓋新增場所，但監(jiān)督審核時仍然需要對組織內(nèi)審報告進(jìn)行評審，并沒有明確說明可以免去現(xiàn)場審核，因此這個選項也不正確。選項D提到“新增場所需實施現(xiàn)場審核，按監(jiān)督審核計算人天數(shù)”。這個選項明確指出新增場所需實施現(xiàn)場審核，并且審核人天數(shù)按照監(jiān)督審核來計算。這是符合認(rèn)證審核的基本要求的，因此這個選項是正確的。綜上所述，答案為選項D。27.依據(jù)GB/T22080-2016/ISO/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A.做好資產(chǎn)分類是其基礎(chǔ)B.采用組織固定資產(chǎn)臺賬即可C.無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D.A+B答案：A解析：依據(jù)GB/T22080-2016/ISO/IEC27001:2013，關(guān)于資產(chǎn)清單，做好資產(chǎn)分類是其基礎(chǔ)。這是因為資產(chǎn)分類有助于組織了解和管理其資產(chǎn)，包括資產(chǎn)的類型、價值、使用情況和風(fēng)險等方面。采用組織固定資產(chǎn)臺賬雖然可以提供一些信息，但可能不足以全面反映組織的資產(chǎn)情況，因此不能僅依賴固定資產(chǎn)臺賬來建立資產(chǎn)清單。同時，關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者也是重要的，因為不同的產(chǎn)權(quán)歸屬者可能有不同的管理要求和風(fēng)險。因此，選項A“做好資產(chǎn)分類是其基礎(chǔ)”是正確的。選項B“采用組織固定資產(chǎn)臺賬即可”和選項C“無需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者”都不符合GB/T22080-2016/ISO/IEC27001:2013的要求。選項D“A+B”雖然包含了選項A，但本身并不符合標(biāo)準(zhǔn)的要求。28.審核抽樣時，可以不考慮的因素是（）。A.場所差異B.管理評審的結(jié)果C.最高管理者D.內(nèi)審的結(jié)果答案：C解析：在審核抽樣時，我們主要關(guān)注的是樣本的代表性，以確保樣本能夠反映總體的實際情況。場所差異、管理評審的結(jié)果和內(nèi)審的結(jié)果都是與審核抽樣相關(guān)的因素，它們可能影響抽樣的結(jié)果和樣本的代表性。而最高管理者雖然對審核有決策性的影響，但在抽樣過程中，他的個人意見或決策通常不會對樣本的選擇產(chǎn)生直接影響。因此，最高管理者不是審核抽樣時必須考慮的因素。所以，正確答案是C。29.風(fēng)險識別過程中需要識別的方面包括：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、（）和（）。A.識別可能性和影響B(tài).識別脆弱性和識別后果C.識別脆弱性和可能性D.識別脆弱性和影響答案：B解析：風(fēng)險識別是風(fēng)險管理過程的第一步，旨在識別和評估潛在的風(fēng)險。在風(fēng)險識別過程中，需要識別以下幾個主要方面：資產(chǎn)識別、識別威脅、識別現(xiàn)有控制措施、識別脆弱性和識別后果。選項A的“可能性和影響”只涵蓋了“可能性”和“影響”兩個方面，選項C的“脆弱性和可能性”同樣只涵蓋了“脆弱性”和“可能性”兩個方面，選項D的“脆弱性和影響”只涵蓋了“脆弱性”和“影響”兩個方面，均不完整。因此，正確答案是B，即“識別脆弱性和識別后果”。30.設(shè)置防火墻策略是為了（）。A.進(jìn)行訪問控制B.進(jìn)行病毒防范C.進(jìn)行郵件內(nèi)容過濾D.進(jìn)行流量控制答案：A解析：設(shè)置防火墻策略是為了進(jìn)行訪問控制。防火墻的主要作用就是阻止非法的訪問和請求，控制訪問權(quán)限，防止外部網(wǎng)絡(luò)中的攻擊者未經(jīng)授權(quán)訪問內(nèi)部網(wǎng)絡(luò)資源，保證內(nèi)部網(wǎng)絡(luò)的安全。因此，選項A“進(jìn)行訪問控制”是正確的答案。選項B“進(jìn)行病毒防范”并不是防火墻的主要功能，病毒防范通常需要通過防病毒軟件來實現(xiàn)。選項C“進(jìn)行郵件內(nèi)容過濾”和選項D“進(jìn)行流量控制”雖然也是網(wǎng)絡(luò)安全中需要考慮的問題，但并不是防火墻策略的主要目的。31.下列哪一種屬于網(wǎng)絡(luò)上的被動攻擊（）。A.消息篡改B.偽裝C.拒絕服務(wù)D.流量分揚答案：D解析：被動攻擊是指攻擊者通過截獲、分析網(wǎng)絡(luò)上傳輸?shù)男畔韺嵤┕?，而不是直接對目?biāo)系統(tǒng)發(fā)起攻擊。流量分析是一種被動攻擊方式，攻擊者通過監(jiān)聽網(wǎng)絡(luò)上的流量，分析其中的數(shù)據(jù)內(nèi)容，從而獲取敏感信息或進(jìn)行其他惡意行為。因此，選項D“流量分析”屬于網(wǎng)絡(luò)上的被動攻擊。而選項A“消息篡改”是指攻擊者修改網(wǎng)絡(luò)上傳輸?shù)南?nèi)容，屬于主動攻擊；選項B“偽裝”是指攻擊者假冒合法用戶或系統(tǒng)發(fā)送消息，也是主動攻擊；選項C“拒絕服務(wù)”是指攻擊者通過發(fā)送大量請求或數(shù)據(jù)包來使目標(biāo)系統(tǒng)無法正常工作，也是主動攻擊。因此，這三個選項都不符合被動攻擊的定義。32.對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）。A.可以降低成本B.可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C.必須物理離和必須禁止無線網(wǎng)絡(luò)D.以上都對答案：B解析：對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離的主要目的是降低不同用戶組之間非授權(quán)訪問的風(fēng)險。網(wǎng)絡(luò)隔離可以通過物理隔離、邏輯隔離或兩者結(jié)合的方式實現(xiàn)，以確保不同用戶組之間的訪問受到嚴(yán)格控制，從而防止未經(jīng)授權(quán)的數(shù)據(jù)訪問和潛在的安全威脅。因此，選項B“可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險”是正確的。選項A“可以降低成本”并不是網(wǎng)絡(luò)隔離的主要目的，選項C“必須物理隔離和必須禁止無線網(wǎng)絡(luò)”過于絕對，選項D“以上都對”也不準(zhǔn)確，因為并非所有選項都是網(wǎng)絡(luò)隔離的正確描述。33.根據(jù)ISO/IEC27006標(biāo)準(zhǔn)，認(rèn)證決定應(yīng)基于審核報告中（）對客戶ISMS是否通過認(rèn)證的建議。A.審核組B.觀察員C.認(rèn)證決定人員D.審核員答案：A解析：根據(jù)ISO/IEC27006標(biāo)準(zhǔn)，認(rèn)證決定應(yīng)基于審核報告中審核組的建議來決定客戶ISMS是否通過認(rèn)證。審核組是負(fù)責(zé)進(jìn)行客戶ISMS審核的專業(yè)團(tuán)隊，他們會根據(jù)審核結(jié)果給出是否通過認(rèn)證的建議。因此，選項A“審核組”是正確答案。觀察員、認(rèn)證決定人員和審核員雖然與ISMS認(rèn)證有關(guān)，但都不是基于審核報告中的建議來決定認(rèn)證結(jié)果的。34.組織應(yīng)進(jìn)行安全需求分析，規(guī)定對安全控制的要求，當(dāng)（）。A.組織需建立新的文件系統(tǒng)時B.組織的原有信息系統(tǒng)擴(kuò)容或升級時C.組織向顧客交付軟件系統(tǒng)時D.A+B答案：D解析：題目中要求組織進(jìn)行安全需求分析，并規(guī)定對安全控制的要求。根據(jù)給出的選項，我們需要找到符合這一要求的情境。A選項提到“組織需建立新的文件系統(tǒng)時”，這確實是一個可能需要進(jìn)行安全需求分析的情況，因為新的文件系統(tǒng)可能涉及到新的安全風(fēng)險，需要相應(yīng)的安全控制要求。B選項提到“組織的原有信息系統(tǒng)擴(kuò)容或升級時”，這也是一個可能需要進(jìn)行安全需求分析的情況。因為擴(kuò)容或升級可能引入新的安全風(fēng)險，或者原有的安全控制可能不再適用。C選項提到“組織向顧客交付軟件系統(tǒng)時”，雖然向顧客交付軟件系統(tǒng)可能需要滿足一定的安全要求，但這一選項并不直接涉及到組織自身進(jìn)行安全需求分析的過程。D選項“A+B”同時包括了建立新的文件系統(tǒng)和組織原有信息系統(tǒng)擴(kuò)容或升級兩種情況，這兩種情況都需要進(jìn)行安全需求分析，并規(guī)定相應(yīng)的安全控制要求。因此，最符合題目要求的選項是D。35.形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是（）。A.所實施控制措施的有效性B.所實施控制措施的時效性C.適用性聲明的完備性和合理性D.所實施控制措施與適用性聲明的符合性答案：B解析：在形成ISMS（信息安全管理體系）審核發(fā)現(xiàn)時，我們主要關(guān)注以下幾個方面：A.所實施控制措施的有效性：這是審核發(fā)現(xiàn)的核心內(nèi)容之一，確?？刂拼胧┰趯嶋H操作中能夠產(chǎn)生預(yù)期的效果。C.適用性聲明的完備性和合理性：適用性聲明是組織對信息安全管理體系的適用性進(jìn)行聲明的文件，其完備性和合理性對于確保信息安全管理體系的適用性至關(guān)重要。D.所實施控制措施與適用性聲明的符合性：審核發(fā)現(xiàn)應(yīng)確保所實施的控制措施與適用性聲明中描述的內(nèi)容一致，確?？刂拼胧┠軌虬凑者m用性聲明的要求得到實施。B.所實施控制措施的時效性：雖然控制措施的實施時間是一個重要的考慮因素，但在形成審核發(fā)現(xiàn)時，我們更關(guān)注控制措施的有效性、適用性和符合性，而不是其具體的實施時間。審核發(fā)現(xiàn)應(yīng)關(guān)注控制措施是否能夠有效地實施，以及是否符合適用性聲明的要求，而不是其是否在特定的時間點上實施。因此，在形成ISMS審核發(fā)現(xiàn)時，不需要考慮的是所實施控制措施的時效性，所以答案為B。36.（）是建立有效的計算機(jī)病毒防御體系所需要的技術(shù)措施。A.防火墻、網(wǎng)絡(luò)入侵檢測和防火墻B.漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C.漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D.網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻答案：D解析：在建立有效的計算機(jī)病毒防御體系時，需要采用多種技術(shù)措施來確保系統(tǒng)的安全性和穩(wěn)定性。在給出的選項中，A選項“防火墻、網(wǎng)絡(luò)入侵檢測和防火墻”存在重復(fù)，因為防火墻已經(jīng)包含了網(wǎng)絡(luò)入侵檢測的部分功能，因此A選項不正確。B選項“漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻”雖然包括了漏洞掃描和網(wǎng)絡(luò)入侵檢測，但缺少了防病毒系統(tǒng)，因此B選項也不完全正確。C選項“漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻”雖然包括了漏洞掃描和防火墻，但缺少了防病毒系統(tǒng)，因此C選項也不完全正確。而D選項“網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻”則包括了建立有效計算機(jī)病毒防御體系所需要的所有技術(shù)措施，因此D選項是正確的。因此，正確答案是D。37.入侵檢測技術(shù)可以分為誤用檢測和（）兩大類。A.病毒檢測B.詳細(xì)檢測C.異常檢測D.漏洞檢測答案：C解析：入侵檢測技術(shù)可以分為誤用檢測和異常檢測兩大類。誤用檢測主要是基于已知的攻擊模式或簽名來識別入侵行為，而異常檢測則是通過監(jiān)測系統(tǒng)的正常行為模式，當(dāng)檢測到與正常模式偏差較大的行為時，認(rèn)為可能是入侵行為。因此，正確答案為C，即異常檢測。其他選項A、B、D與入侵檢測技術(shù)的分類無關(guān)。38.在風(fēng)險評估中進(jìn)行資產(chǎn)的價值估算時，下列哪個不會影響資產(chǎn)的價值（）。A.資產(chǎn)的替代價值B.資產(chǎn)喪失或損壞的業(yè)務(wù)影響C.資產(chǎn)本身的購買價值D.資產(chǎn)的存放位置答案：D解析：在風(fēng)險評估中進(jìn)行資產(chǎn)的價值估算時，資產(chǎn)的替代價值、資產(chǎn)喪失或損壞的業(yè)務(wù)影響以及資產(chǎn)本身的購買價值都會影響資產(chǎn)的價值。然而，資產(chǎn)的存放位置通常不會直接影響資產(chǎn)的價值。因此，選項D“資產(chǎn)的存放位置”是不會影響資產(chǎn)的價值的因素。39.風(fēng)險處置計劃應(yīng)包含（）。A.管理措施B.資源需求C.職責(zé)分配D.A+B+C答案：D解析：風(fēng)險處置計劃是為了應(yīng)對潛在的風(fēng)險而制定的，它應(yīng)該包含多個方面的內(nèi)容。從給出的選項來看，A選項“管理措施”指的是針對風(fēng)險所采取的具體行動或策略，B選項“資源需求”指的是為實施這些措施所需的資源，如人力、物力、財力等，C選項“職責(zé)分配”指的是明確各個相關(guān)部門或人員在風(fēng)險處置中的責(zé)任和角色。因此，一個完整的風(fēng)險處置計劃應(yīng)該包含這三個方面的內(nèi)容，即A+B+C。所以，正確答案是D。40.以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯誤的是（）。A.認(rèn)證機(jī)構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B.認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來指定C.監(jiān)督審核可以與其他管理體系的審核相結(jié)合D.認(rèn)證機(jī)構(gòu)應(yīng)對認(rèn)證證書的使用進(jìn)行監(jiān)督答案：B解析：本題考查的是認(rèn)證機(jī)構(gòu)的監(jiān)督要求。A選項提到認(rèn)證機(jī)構(gòu)宜能夠針對客戶組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性，這是正確的，因為認(rèn)證機(jī)構(gòu)需要確保監(jiān)督方案的有效性。B選項提到認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶共同來指定，這是錯誤的。實際上，監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)獨立制定，而不是與客戶共同制定。C選項提到監(jiān)督審核可以與其他管理體系的審核相結(jié)合，這是正確的，因為這樣可以提高審核效率，減少重復(fù)工作。D選項提到認(rèn)證機(jī)構(gòu)應(yīng)對認(rèn)證證書的使用進(jìn)行監(jiān)督，這也是正確的，因為認(rèn)證機(jī)構(gòu)需要確?？蛻舭凑照J(rèn)證要求使用證書。綜上所述，B選項表述錯誤，因此正確答案為B。多選題（共15題）41.“云計算機(jī)服務(wù)”包括哪幾個層面？（）A.PaasB.SaaSC.IaaSD.PIIS答案：ABC解析：云計算機(jī)服務(wù)通常包括三個主要的層面：平臺即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）和基礎(chǔ)設(shè)施即服務(wù)（IaaS）。這三個層面構(gòu)成了云計算的核心，提供了不同的資源和服務(wù)供用戶使用。因此，選項A、B和C是正確的答案。選項D“PIIS”在題目中并未提及，因此不是正確答案。42.信息安全的符合性檢查包括（）。A.法律法規(guī)符合性B.技術(shù)標(biāo)準(zhǔn)符合性C.安全策略符合性D.內(nèi)部審核活動答案：ABC解析：在信息安全領(lǐng)域，符合性檢查主要關(guān)注三個方面：法律法規(guī)符合性、技術(shù)標(biāo)準(zhǔn)符合性和安全策略符合性。這三個方面共同構(gòu)成了信息安全符合性檢查的主要內(nèi)容。內(nèi)部審核活動雖然與信息安全有關(guān)，但在此題目中并未明確提及，因此不應(yīng)選入答案中。因此，正確答案為法律法規(guī)符合性、技術(shù)標(biāo)準(zhǔn)符合性和安全策略符合性。43.《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的是為了規(guī)范認(rèn)證認(rèn)可活功，提高產(chǎn)品、服務(wù)的（）促進(jìn)經(jīng)濟(jì)和社會的發(fā)展。A.質(zhì)量B.數(shù)量C.管理水平D.競爭力答案：AC解析：根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》制定的目的，是為了規(guī)范認(rèn)證認(rèn)可活動，提高產(chǎn)品、服務(wù)的質(zhì)量和管理水平，從而促進(jìn)經(jīng)濟(jì)和社會的發(fā)展。因此，選項A“質(zhì)量”和選項C“管理水平”都是正確的答案。選項B“數(shù)量”和選項D“競爭力”與條例的目的不符，因此不應(yīng)被選擇。44.編制ISMS審核計劃需充分理解審核方案，計劃需考慮（）。A.需要的技術(shù)與工具準(zhǔn)備B.前期抽樣情況和本期抽樣原則C.組織資源保障程度D.人員派遣要求答案：ABCD解析：編制ISMS審核計劃時，需要全面考慮審核方案的相關(guān)內(nèi)容，以確保審核的順利進(jìn)行。在計劃編制過程中，需要考慮以下幾個方面：A.需要的技術(shù)與工具準(zhǔn)備：審核過程中可能涉及到各種技術(shù)和工具，如審計軟件、安全測試工具等。因此，在計劃編制時，需要明確所需的技術(shù)和工具，并進(jìn)行相應(yīng)的準(zhǔn)備。B.前期抽樣情況和本期抽樣原則：審核計劃需要明確抽樣方法和原則，以便在審核過程中進(jìn)行抽樣。同時，還需要考慮前期抽樣情況，以便對本期抽樣進(jìn)行調(diào)整和優(yōu)化。C.組織資源保障程度：審核計劃需要明確所需的組織資源，如人力、物力、財力等，并進(jìn)行相應(yīng)的保障。這有助于確保審核的順利進(jìn)行，并避免資源不足導(dǎo)致審核失敗。D.人員派遣要求：審核計劃需要明確審核人員的派遣要求，包括人員數(shù)量、技能水平、工作經(jīng)驗等。這有助于確保審核人員具備相應(yīng)的能力和素質(zhì)，能夠完成審核任務(wù)。綜上所述，編制ISMS審核計劃需要充分理解審核方案，并考慮以上四個方面，以確保審核的順利進(jìn)行。因此，選項A、B、C和D都是正確的。45.信息安全管理體系審核應(yīng)遵循的原則包括（）A.誠實守信B.保密性C.基于風(fēng)險D.基于事實的決策方法答案：BC解析：信息安全管理體系審核的目的是為了驗證組織的信息安全管理體系是否有效運行，并識別可能存在的改進(jìn)機(jī)會。根據(jù)信息安全管理體系的相關(guān)標(biāo)準(zhǔn)，審核應(yīng)遵循以下原則：A.誠實守信：這不是信息安全管理體系審核的直接原則，誠實守信更多的是一種職業(yè)道德和行為準(zhǔn)則，用于指導(dǎo)審核員在審核過程中的行為。B.保密性：審核過程中涉及大量的敏感信息，包括組織的業(yè)務(wù)流程、技術(shù)細(xì)節(jié)、人員信息等。保密性是確保這些信息不被泄露，保護(hù)組織的商業(yè)機(jī)密和信息安全的重要原則。C.基于風(fēng)險：信息安全管理體系的審核應(yīng)基于風(fēng)險進(jìn)行，即審核員應(yīng)識別和評價信息安全管理體系可能面臨的各種風(fēng)險，并基于這些風(fēng)險來確定審核的重點和深度。D.基于事實的決策方法：這是審核過程中的一種方法，但不是審核的直接原則?；谑聦嵉臎Q策方法要求審核員基于客觀的證據(jù)和事實進(jìn)行決策，而不是主觀臆斷。因此，信息安全管理體系審核應(yīng)遵循的原則包括B.保密性和C.基于風(fēng)險。46.信息安全管理體系審核的范圍即（）。A.組織的全部經(jīng)尊管理B.組織的都信息安全管理范圍C.組織根據(jù)其業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性確定的信息安全管理體系范圍D.組織承諾按照GB/T20880標(biāo)準(zhǔn)要求建立、實施和保持信息安全管理體系的范圍答案：CD解析：根據(jù)題目中的描述，信息安全管理體系審核的范圍需要依據(jù)組織的實際情況來確定。這包括組織的業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性。同時，組織還需要承諾按照GB/T20880標(biāo)準(zhǔn)要求建立、實施和保持信息安全管理體系。因此，選項C和D都是正確的答案。選項A“組織的全部經(jīng)尊管理”與題目無關(guān)，選項B“組織的都信息安全管理范圍”表述不明確，均不符合題意。47.信息有其固有的生命周期，即從其（）。A.創(chuàng)建和產(chǎn)生B.使用、傳輸C.存儲、處理D.銷毀或消失答案：ABCD解析：題目考察的是信息的生命周期，信息的生命周期通常包括從創(chuàng)建到銷毀或消失的過程。因此，選項A“創(chuàng)建和產(chǎn)生”、B“使用、傳輸”、C“存儲、處理”和D“銷毀或消失”都是信息生命周期中可能涉及的過程。因此，正確答案是ABCD。48.某工程公司意圖采用更為靈活的方式建立信息安全管理體系，以下說法不正確的（）。A.信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單B.信息安全可以按項目來管理，原項目管理機(jī)制中的風(fēng)險評估可替代GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估C.公司各類項目的臨時場所存在時間都較短，不必納入ISMS范圍D.工程項目方案因包含設(shè)計圖紙等核心技術(shù)信息，其敏感性等級定義為“最高”答案：ABC解析：A選項中提到“信息安全可以按過程管理，采用這種方法時不必再編制資產(chǎn)清單”。這是不正確的。信息安全管理體系（ISMS）中，資產(chǎn)清單是識別、記錄和管理組織資產(chǎn)的重要工具，不論采用何種管理方式，編制資產(chǎn)清單都是必要的。B選項表示“信息安全可以按項目來管理，原項目管理機(jī)制中的風(fēng)險評估可替代GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中的風(fēng)險評估”。這也是不正確的。信息安全管理體系中的風(fēng)險評估是一個獨立且重要的環(huán)節(jié)，不能簡單地由原項目管理機(jī)制中的風(fēng)險評估替代。C選項提到“公司各類項目的臨時場所存在時間都較短，不必納入ISMS范圍”。這也是不正確的。信息安全管理體系應(yīng)覆蓋組織的所有場所，包括臨時場所。D選項“工程項目方案因包含設(shè)計圖紙等核心技術(shù)信息，其敏感性等級定義為“最高””是正確的。對于包含敏感信息的工程項目方案，其敏感性等級應(yīng)被正確地定義為“最高”。綜上所述，不正確的選項是A、B、C。49.完整的體系審核末次會議的內(nèi)容包括（）。A.宣讀不合格報告B.宣布審核結(jié)論C.遞交審核報告D.監(jiān)督要求答案：ABD解析：體系審核末次會議是審核過程中的重要環(huán)節(jié)，其內(nèi)容包括宣讀不合格報告、宣布審核結(jié)論以及監(jiān)督要求。這些內(nèi)容都是確保審核過程公正、透明，以及確保審核結(jié)果得到有效執(zhí)行的關(guān)鍵。選項C遞交審核報告通常不是末次會議的內(nèi)容，而是在審核結(jié)束后由審核組向被審核方或相關(guān)方遞交審核報告。因此，正確答案為A、B、D。50.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度。A.新聞、岀版B.醫(yī)療、保健C.知識類D.教育類答案：ABD解析：根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定，互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營性和非經(jīng)營性兩類。對于新聞、出版、醫(yī)療保健、藥品和醫(yī)療器械等關(guān)系國家利益和社會公共利益的系統(tǒng)使用的互聯(lián)網(wǎng)信息服務(wù)，以及生產(chǎn)、銷售或者提供有毒有害的信息內(nèi)容等破壞國家和社會公共利益、危害信息安全的互聯(lián)網(wǎng)信息服務(wù)，實行許可制度。也就是說，這些類別的互聯(lián)網(wǎng)信息服務(wù)需要主管部門審核通過后才能提供。因此，選項A新聞、出版，選項B醫(yī)療、保健，選項D教育類，都是需要進(jìn)行主管部門審核的互聯(lián)網(wǎng)信息服務(wù)類別。選項C知識類并沒有明確規(guī)定需要主管部門審核，因此不正確。51.訪問信息系統(tǒng)的用戶注冊的管理是（）。A.對用戶訪問信息系統(tǒng)和服務(wù)的授權(quán)的管理B.對用戶予以注冊時須同時考慮與訪問控制策略的一致性C.當(dāng)ID資源充實時可允許用戶使用多個IDD.用戶在組織內(nèi)變換工作崗位時不必重新評審其所用ID的訪問權(quán)答案：AB解析：這道題目考查的是對訪問信息系統(tǒng)的用戶注冊管理的理解。A選項“對用戶訪問信息系統(tǒng)和服務(wù)的授權(quán)的管理”是正確的。在訪問信息系統(tǒng)中，用戶注冊管理通常涉及對用戶訪問權(quán)限的授權(quán)，即確定用戶可以訪問哪些信息系統(tǒng)和服務(wù)，以及他們擁有何種訪問權(quán)限。B選項“對用戶予以注冊時須同時考慮與訪問控制策略的一致性”也是正確的。在注冊用戶時，需要確保用戶的訪問權(quán)限與組織的訪問控制策略保持一致，以確保信息系統(tǒng)的安全性和完整性。C選項“當(dāng)ID資源充實時可允許用戶使用多個ID”與題目要求不符。題目并沒有提到ID資源是否充足，也沒有提到允許用戶使用多個ID。D選項“用戶在組織內(nèi)變換工作崗位時不必重新評審其所用ID的訪問權(quán)”也是不正確的。當(dāng)用戶在組織內(nèi)變換工作崗位時，通常需要重新評審其訪問權(quán)限，以確保其訪問的信息系統(tǒng)和服務(wù)與其新的工作職責(zé)相符。綜上所述，正確答案是A和B。52.關(guān)于審核發(fā)現(xiàn)，以下說法正確的是：（）。A.審核發(fā)現(xiàn)是收集的審核證據(jù)對照審核準(zhǔn)則進(jìn)行評價的結(jié)果B.審核發(fā)現(xiàn)包括正面的和負(fù)面的發(fā)現(xiàn)C.審核發(fā)現(xiàn)是審核結(jié)論的輸入D.審核發(fā)現(xiàn)是制定審核準(zhǔn)則的依據(jù)答案：ABC解析：審核發(fā)現(xiàn)是指將收集的審核證據(jù)對照審核準(zhǔn)則進(jìn)行評價的結(jié)果，包括正面的和負(fù)面的發(fā)現(xiàn)，是審核結(jié)論的輸入。因此，選項A、B、C的說法都是正確的。而審核發(fā)現(xiàn)并不是制定審核準(zhǔn)則的依據(jù)，審核準(zhǔn)則是在審核開始之前就已經(jīng)確定的，因此選項D的說法是錯誤的。53.可用于信息安全風(fēng)險分析的方法包括（）。A.場景分析法B.ATA（攻擊路徑分析）法C.FMEA（失效模式分析）法D.HACCP（危害分析與關(guān)鍵控制點）法答案：AD解析：本題要求選擇可用于信息安全風(fēng)險分析的方法。根據(jù)題目給出的選項，我們來逐一分析：A.場景分析法-這種方法通常用于分析特定的安全事件或場景，例如模擬攻擊者如何攻擊系統(tǒng)，或者分析系統(tǒng)在特定情況下的表現(xiàn)。因此，場景分析法是一種適用于信息安全風(fēng)險分析的方法。B.ATA（攻擊路徑分析）法-雖然ATA法可能涉及分析攻擊路徑，但它更側(cè)重于分析攻擊者如何成功攻擊系統(tǒng)，而不是分析風(fēng)險。因此，ATA法不是直接用于信息安全風(fēng)險分析的方法。C.FMEA（失效模式分析）法-FMEA法主要用于分析系統(tǒng)的失效模式，而不是風(fēng)險。雖然它可能間接地涉及到風(fēng)險分析，但它并不是專門為信息安全風(fēng)險分析設(shè)計的。D.HACCP（危害分析與關(guān)鍵控制點）法-HACCP法是一種專門用于食品安全管理的方法，但它也可以被應(yīng)用于其他領(lǐng)域，包括信息安全。HACCP法通過識別危害并確定關(guān)鍵控制點來降低風(fēng)險，因此，它是一種適用于信息安全風(fēng)險分析的方法。綜上所述，場景分析法和HACCP（危害分析與關(guān)鍵控制點）法是可以用于信息安全風(fēng)險分析的方法。因此，正確答案為A和D。54.以下做法正確的是（）。A.使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B.為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)C.員工調(diào)換項目組時，其原使用計算機(jī)中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用D.信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致答案：AC解析：選項A提到使用生產(chǎn)系統(tǒng)數(shù)據(jù)測試時，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理。這是正確的，因為直接使用生產(chǎn)數(shù)據(jù)可能會導(dǎo)致數(shù)據(jù)泄露或違反數(shù)據(jù)保護(hù)政策。脫敏處理是一種保護(hù)敏感數(shù)據(jù)的方法，確保在測試或開發(fā)環(huán)境中使用數(shù)據(jù)時不會泄露敏感信息。選項B提到為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實業(yè)務(wù)案例和數(shù)據(jù)。這一選項可能引發(fā)爭議，因為使用真實業(yè)務(wù)案例和數(shù)據(jù)可能會涉及到數(shù)據(jù)保護(hù)和隱私問題。雖然真實案例和數(shù)據(jù)可能有助于培訓(xùn)效果，但必須在遵守相關(guān)法規(guī)的前提下進(jìn)行。選項C提到員工調(diào)換項目組時，其原使用計算機(jī)中的項目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項目組使用。這是正確的，因為員工從一個項目組轉(zhuǎn)到另一個項目組時，應(yīng)該確保他們帶走的數(shù)據(jù)不會包含敏感或?qū)Ｓ行畔?，以避免?shù)據(jù)泄露或侵犯知識產(chǎn)權(quán)。選項D提到信息系統(tǒng)管理域內(nèi)所有的終端啟動屏幕保護(hù)時間應(yīng)一致。這一選項與數(shù)據(jù)保護(hù)或隱私?jīng)]有直接關(guān)系，因此不是本題考查的重點。綜上所述，選項A和C是正確的。55.關(guān)于31000標(biāo)準(zhǔn)，以下哪些說法是正確的？（）A.該標(biāo)準(zhǔn)可用于任何公有、私有企業(yè)、協(xié)會、團(tuán)體或個體。因此，該標(biāo)準(zhǔn)不針對任何行業(yè)或部門B.盡管該標(biāo)準(zhǔn)提供了風(fēng)險管理的通用性指南，但不要求組織風(fēng)險管理的統(tǒng)一性C.該標(biāo)準(zhǔn)可以應(yīng)用于任何類型的風(fēng)險，無論其性質(zhì)及是否有積極或消極的后果D.風(fēng)險管理計劃和框架的設(shè)計和實施需要考慮到特定組織的不同需求、特定目標(biāo)、狀況、結(jié)構(gòu)、運營、程序、職能、項目、產(chǎn)品、服務(wù)或資產(chǎn)以及展開的具體實踐答案：ABCD解析：A選項提到“該標(biāo)準(zhǔn)可用于任何公有、私有企業(yè)、協(xié)會、團(tuán)體或個體。因此，該標(biāo)準(zhǔn)不針對任何行業(yè)或部門”。從題干中的信息來看，這一說法是正確的，因為標(biāo)準(zhǔn)本身具有廣泛的適用性，并不特定針對某一行業(yè)或部門。B選項提到“盡管該標(biāo)準(zhǔn)提供了風(fēng)險管理的通用性指南，但不要求組織風(fēng)險管理的統(tǒng)一性”。從題干中我們可以看到，標(biāo)準(zhǔn)確實提供了關(guān)于風(fēng)險管理的通用性指南，但它并不強(qiáng)制要求所有組織采用統(tǒng)一的風(fēng)險管理方式。因此，B選項也是正確的。C選項提到“該標(biāo)準(zhǔn)可以應(yīng)用于任何類型的風(fēng)險，無論其性質(zhì)及是否有積極或消極的后果”。題干中并未明確提到這一點，但考慮到風(fēng)險管理通常涉及所有類型的風(fēng)險，無論其性質(zhì)如何，因此我們可以推斷出C選項也是正確的。D選項提到“風(fēng)險管理計劃和框架的設(shè)計和實施需要考慮到特定組織的不同需求、特定目標(biāo)、狀況、結(jié)構(gòu)、運營、程序、職能、項目、產(chǎn)品、服務(wù)或資產(chǎn)以及展開的具體實踐”。這一說法與題干中的描述相符，因為每個組織都有其獨特的需求和情況，所以在設(shè)計和實施風(fēng)險管理計劃和框架時，必須考慮到這些因素。因此，D選項也是正確的。綜上所述，A、B、C和D選項都是正確的。判斷題（共10題）56.訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表（）。A.正確B.錯誤答案：A解析