本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布信息安全管理體系基礎(chǔ)摸底考試二答案及解析單選題（共40題）1.下列哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）。A.消息篡改B.偽裝C.拒絕服務(wù)D.流量分揚(yáng)答案：D解析：被動(dòng)攻擊是指攻擊者通過(guò)截獲、分析網(wǎng)絡(luò)上傳輸?shù)男畔?lái)實(shí)施攻擊，而不是直接對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。流量分析是一種被動(dòng)攻擊方式，攻擊者通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)上的流量，分析其中的數(shù)據(jù)內(nèi)容，從而獲取敏感信息或進(jìn)行其他惡意行為。因此，選項(xiàng)D“流量分析”屬于網(wǎng)絡(luò)上的被動(dòng)攻擊。而選項(xiàng)A“消息篡改”是指攻擊者修改網(wǎng)絡(luò)上傳輸?shù)南?nèi)容，屬于主動(dòng)攻擊；選項(xiàng)B“偽裝”是指攻擊者假冒合法用戶(hù)或系統(tǒng)發(fā)送消息，也是主動(dòng)攻擊；選項(xiàng)C“拒絕服務(wù)”是指攻擊者通過(guò)發(fā)送大量請(qǐng)求或數(shù)據(jù)包來(lái)使目標(biāo)系統(tǒng)無(wú)法正常工作，也是主動(dòng)攻擊。因此，這三個(gè)選項(xiàng)都不符合被動(dòng)攻擊的定義。2.依據(jù)GB/T22080/ISO/IEC27001，信息分類(lèi)方案的目的是（）。A.劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤(pán)、磁盤(pán)B.劃分信息載體所屬的職能以便于明確管理責(zé)任C.劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類(lèi)，按此分類(lèi)確定信息存儲(chǔ)、處理、處置的原則D.劃分信息的數(shù)據(jù)類(lèi)型，如供銷(xiāo)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析答案：C解析：依據(jù)GB/T22080/ISO/IEC27001，信息分類(lèi)方案的目的是劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類(lèi)，按此分類(lèi)確定信息存儲(chǔ)、處理、處置的原則。選項(xiàng)A錯(cuò)誤，因?yàn)樾畔⒎诸?lèi)方案并不是為了劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理；選項(xiàng)B錯(cuò)誤，因?yàn)樾畔⒎诸?lèi)方案并不是為了劃分信息載體所屬的職能以便于明確管理責(zé)任；選項(xiàng)D錯(cuò)誤，因?yàn)樾畔⒎诸?lèi)方案并不是為了劃分信息的數(shù)據(jù)類(lèi)型以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析。因此，正確答案是C。3.關(guān)于信息安全的說(shuō)法錯(cuò)誤的是（）。A.包括技術(shù)和管理兩個(gè)主要方面B.策略是信息安全的基礎(chǔ)C.采取充分措施，可以實(shí)現(xiàn)絕對(duì)安全D.保密性、完整性和可用性是信息安全的目標(biāo)答案：C解析：信息安全包括技術(shù)和管理兩個(gè)主要方面，這是信息安全的基本組成。策略是信息安全的基礎(chǔ)，它為信息安全提供了指導(dǎo)和框架。保密性、完整性和可用性確實(shí)是信息安全的目標(biāo)，這些目標(biāo)確保信息不被未經(jīng)授權(quán)的訪問(wèn)、修改或破壞，并且始終可用。然而，選項(xiàng)C提到“采取充分措施，可以實(shí)現(xiàn)絕對(duì)安全”，這是不正確的。在實(shí)際中，盡管可以采取各種措施來(lái)增強(qiáng)信息安全，但絕對(duì)的安全是不存在的，因?yàn)榭倳?huì)有新的威脅和漏洞出現(xiàn)。因此，C選項(xiàng)的說(shuō)法是錯(cuò)誤的。4.關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是（）。A.必要時(shí)，使用密碼技術(shù)、生物識(shí)別等替代口令B.用提示信息告知用戶(hù)輸入的口令是否正確C.明確告知用戶(hù)應(yīng)遵從的優(yōu)質(zhì)口令策略D.使用互動(dòng)式管理確保用戶(hù)使用優(yōu)質(zhì)口令答案：B解析：根據(jù)題目中的選項(xiàng)，我們需要判斷哪一項(xiàng)關(guān)于信息系統(tǒng)登錄口令的管理是不正確的。A選項(xiàng)提到“必要時(shí)，使用密碼技術(shù)、生物識(shí)別等替代口令”，這是正確的，因?yàn)槭褂酶踩纳矸蒡?yàn)證方式可以提高系統(tǒng)的安全性。C選項(xiàng)“明確告知用戶(hù)應(yīng)遵從的優(yōu)質(zhì)口令策略”也是正確的，因?yàn)檫@可以幫助用戶(hù)生成更難以被猜測(cè)的口令。D選項(xiàng)“使用互動(dòng)式管理確保用戶(hù)使用優(yōu)質(zhì)口令”也是合理的，互動(dòng)式管理可以幫助確保用戶(hù)遵循優(yōu)質(zhì)口令策略。而B(niǎo)選項(xiàng)“用提示信息告知用戶(hù)輸入的口令是否正確”是不正確的，因?yàn)檫@會(huì)暴露用戶(hù)輸入的口令是否正確，從而增加了口令被猜測(cè)的風(fēng)險(xiǎn)。因此，不正確的做法是B選項(xiàng)。5.關(guān)于可移動(dòng)介質(zhì)的管理，以下說(shuō)法錯(cuò)誤的是（）。A.如果必要并可行，對(duì)于從組織取走的所有介質(zhì)要要求授權(quán)、所有這種移動(dòng)的記錄要加保持，以保持審核蹤跡；B.要將所有介質(zhì)存儲(chǔ)在安全、保密的環(huán)境中C.如果數(shù)據(jù)保密性或完整性是重要的考慮事項(xiàng)，宜使用加密技術(shù)來(lái)保護(hù)在可移動(dòng)介質(zhì)中的數(shù)據(jù)D.可移動(dòng)介質(zhì)屬于低值易耗品，因此無(wú)需進(jìn)行管理答案：D解析：對(duì)于可移動(dòng)介質(zhì)的管理，A選項(xiàng)提到對(duì)于從組織取走的所有介質(zhì)要要求授權(quán)，所有這種移動(dòng)的記錄要加保持，以保持審核蹤跡，這是正確的做法，有助于確保數(shù)據(jù)的完整性和安全性。B選項(xiàng)提到要將所有介質(zhì)存儲(chǔ)在安全、保密的環(huán)境中，這也是必要的，以防止數(shù)據(jù)泄露或被非法訪問(wèn)。C選項(xiàng)提到如果數(shù)據(jù)保密性或完整性是重要的考慮事項(xiàng)，宜使用加密技術(shù)來(lái)保護(hù)在可移動(dòng)介質(zhì)中的數(shù)據(jù)，這也是正確的，加密技術(shù)可以有效保護(hù)數(shù)據(jù)的安全。而D選項(xiàng)認(rèn)為可移動(dòng)介質(zhì)屬于低值易耗品，因此無(wú)需進(jìn)行管理，這是錯(cuò)誤的?？梢苿?dòng)介質(zhì)，如U盤(pán)、移動(dòng)硬盤(pán)等，可能包含敏感信息，如果不加以管理，可能會(huì)導(dǎo)致數(shù)據(jù)泄露或被非法訪問(wèn)，因此需要進(jìn)行適當(dāng)?shù)墓芾砗捅Ｗo(hù)。6.以下不是ISMS的相關(guān)方的是（）。A.可能影響決策的人或組織B.認(rèn)為自己影響決策的人或組織C.認(rèn)為自己受到?jīng)Q策影響的人或組織D.可能受到?jīng)Q策影響的人或組織答案：B解析：ISMS（信息安全管理體系）的相關(guān)方包括可能影響決策的人或組織、認(rèn)為自己受到?jīng)Q策影響的人或組織以及可能受到?jīng)Q策影響的人或組織。而認(rèn)為自己影響決策的人或組織并不屬于ISMS的相關(guān)方。因此，選項(xiàng)B“認(rèn)為自己影響決策的人或組織”不是ISMS的相關(guān)方。7.關(guān)于“糾正措施”，以下說(shuō)法正確的是（）。A.針對(duì)不符合的原因分析必須采用“因果分析法”B.審核組對(duì)于不符合項(xiàng)原因分析的準(zhǔn)確性影響糾正措施的有效性的因素之一C.受審核方對(duì)于不符合項(xiàng)原因分析的準(zhǔn)確性是影響糾正措施有效性的因素之一D.審核組與受審核方應(yīng)對(duì)不符合的原因進(jìn)行共同分析，以確保糾正措施的有效性答案：C解析：A選項(xiàng)提到“針對(duì)不符合的原因分析必須采用‘因果分析法’”，但題目中并沒(méi)有明確說(shuō)明必須使用因果分析法，因此A選項(xiàng)不正確。B選項(xiàng)說(shuō)“審核組對(duì)于不符合項(xiàng)原因分析的準(zhǔn)確性影響糾正措施的有效性”，雖然審核組對(duì)原因分析準(zhǔn)確性有一定影響，但題目中并未明確提到審核組是唯一的影響因素，因此B選項(xiàng)也不完全正確。C選項(xiàng)指出“受審核方對(duì)于不符合項(xiàng)原因分析的準(zhǔn)確性是影響糾正措施有效性的因素之一”，這是符合題目要求的，因?yàn)槭軐徍朔綄?duì)不符合項(xiàng)原因的分析準(zhǔn)確性直接影響糾正措施的有效性。D選項(xiàng)提到“審核組與受審核方應(yīng)對(duì)不符合的原因進(jìn)行共同分析，以確保糾正措施的有效性”，雖然共同分析可以提高糾正措施的有效性，但題目中并沒(méi)有強(qiáng)調(diào)必須共同分析，因此D選項(xiàng)也不完全正確。因此，正確答案是C選項(xiàng)。8.依據(jù)GB/T22080,ISO/IEC27001的要求，管理者應(yīng)（）。A.確保制定ISMS方針B.制定ISMS目標(biāo)和計(jì)劃C.實(shí)施ISMS內(nèi)部審核D.主持ISMS管理評(píng)審答案：D解析：根據(jù)GB/T22080和ISO/IEC27001的要求，管理者應(yīng)主持ISMS管理評(píng)審。這是因?yàn)楣芾碓u(píng)審是信息安全管理體系（ISMS）的重要組成部分，它有助于確保組織的信息安全策略、方針、目標(biāo)和過(guò)程得到有效實(shí)施和持續(xù)改進(jìn)。管理者通過(guò)主持管理評(píng)審，可以全面了解ISMS的運(yùn)行情況，識(shí)別存在的問(wèn)題和改進(jìn)機(jī)會(huì)，從而推動(dòng)組織的信息安全管理工作不斷向前發(fā)展。因此，選項(xiàng)D“主持ISMS管理評(píng)審”是符合要求的答案。其他選項(xiàng)，如制定ISMS方針、制定ISMS目標(biāo)和計(jì)劃、實(shí)施ISMS內(nèi)部審核等，雖然都是ISMS中的重要環(huán)節(jié)，但并非管理者在GB/T22080和ISO/IEC27001中應(yīng)履行的特定職責(zé)。9.對(duì)于外部方提供的軟件包以下說(shuō)法正確的是（）。A.組織的人員可隨時(shí)對(duì)具進(jìn)行適用性調(diào)整B.應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性C.應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D.以上都不對(duì)答案：C解析：本題考察的是對(duì)外部方提供的軟件包的管理和使用的理解。A選項(xiàng)提到組織的人員可隨時(shí)對(duì)其進(jìn)行適用性調(diào)整，這意味著軟件包的調(diào)整是隨意的，沒(méi)有受到任何限制，這與軟件包的保密性和完整性保護(hù)相違背，因此A選項(xiàng)錯(cuò)誤。B選項(xiàng)提到應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性，雖然強(qiáng)調(diào)了保密性，但并未提及完整性和可用性，因此B選項(xiàng)不全面，錯(cuò)誤。C選項(xiàng)提到應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性，這既考慮了保密性，也考慮了軟件包的完整性和可用性，是一個(gè)全面的考慮，因此C選項(xiàng)正確。D選項(xiàng)表示以上都不對(duì)，由于我們已經(jīng)分析了A、B選項(xiàng)的錯(cuò)誤，并且C選項(xiàng)是正確的，因此D選項(xiàng)也是錯(cuò)誤的。綜上所述，正確答案是C選項(xiàng)。10.開(kāi)發(fā)、測(cè)試和（）設(shè)施應(yīng)分離，以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。A.配置B.系統(tǒng)C.終端D.運(yùn)行答案：D解析：在信息安全領(lǐng)域，開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施分離是一種重要的安全實(shí)踐。這種分離有助于減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。選項(xiàng)A“配置”通常指的是對(duì)系統(tǒng)或應(yīng)用的配置過(guò)程，而不是設(shè)施；選項(xiàng)B“系統(tǒng)”是一個(gè)更寬泛的術(shù)語(yǔ)，不足以明確指出與開(kāi)發(fā)和測(cè)試設(shè)施相區(qū)別的設(shè)施；選項(xiàng)C“終端”通常指的是用戶(hù)與系統(tǒng)交互的界面，也不足以明確指出與開(kāi)發(fā)和測(cè)試設(shè)施相區(qū)別的設(shè)施。因此，選項(xiàng)D“運(yùn)行”最符合題目描述，指的是運(yùn)行系統(tǒng)或應(yīng)用的設(shè)施，與開(kāi)發(fā)和測(cè)試設(shè)施相分離。11.設(shè)施維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括（）。A.維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B.維護(hù)維修后，檢査是否有未授權(quán)的新增功能C.敏感部件進(jìn)行物理銷(xiāo)毀而不予送修D(zhuǎn).以上全部答案：D解析：在設(shè)施維護(hù)維修時(shí)，為了確保安全，需要考慮多種安全措施。首先，維護(hù)維修前，需要按規(guī)定程序處理或清除其中的信息，以防止信息泄露或誤操作。其次，維護(hù)維修后，需要檢查是否有未授權(quán)的新增功能，確保設(shè)施的功能正常且未被篡改。最后，對(duì)于敏感部件，應(yīng)該進(jìn)行物理銷(xiāo)毀而不予送修，以防止敏感信息被非法獲取。因此，上述所有的安全措施都是必要的，故答案選D，即以上全部。12.在信息安全管理中進(jìn)行（）。A.內(nèi)容監(jiān)控B.安全教育和培訓(xùn)C.責(zé)任追查和懲處D.訪問(wèn)控制答案：B解析：信息安全管理的核心在于確保信息資產(chǎn)的安全性和完整性，而安全教育和培訓(xùn)是實(shí)現(xiàn)這一目標(biāo)的重要手段。通過(guò)安全教育和培訓(xùn)，可以提高員工的安全意識(shí)，使其了解并遵守安全政策和程序，從而有效預(yù)防和減少安全事件的發(fā)生。因此，選項(xiàng)B“安全教育和培訓(xùn)”是正確答案。其他選項(xiàng)如內(nèi)容監(jiān)控、責(zé)任追查和懲處、訪問(wèn)控制雖然也是信息安全管理中需要考慮的因素，但不是核心和首要任務(wù)。13.包含存儲(chǔ)介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在處置之前，（）和注冊(cè)軟件已被刪除或安全的寫(xiě)覆蓋。A.系統(tǒng)軟件B.游戲軟件C.殺毒軟件D.任何敏感信息答案：D解析：題目中要求包含存儲(chǔ)介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在處置之前，任何敏感信息已被刪除或安全的寫(xiě)覆蓋。因此，我們需要找到與敏感信息相關(guān)的選項(xiàng)。選項(xiàng)A“系統(tǒng)軟件”和選項(xiàng)B“游戲軟件”與敏感信息沒(méi)有直接關(guān)系，選項(xiàng)C“殺毒軟件”雖然可能包含敏感信息，但題目中并未特別指出需要?jiǎng)h除或覆蓋殺毒軟件，因此選項(xiàng)D“任何敏感信息”是最符合題目要求的選項(xiàng)。因此，正確答案是D。14.目前在用的《中華人民共和國(guó)保守國(guó)家秘密法》是在（）正式實(shí)施的。A.2014年3月1日B.2014年11月1日C.2014年12月31日D.2010年10月1日答案：D解析：《中華人民共和國(guó)保守國(guó)家秘密法》是規(guī)定國(guó)家秘密保護(hù)工作的法律。該法律自2014年11月1日起正式實(shí)施。因此，選項(xiàng)D是正確的。其他選項(xiàng)2014年3月1日、2014年12月31日和2010年10月1日都不是該法律正式實(shí)施的日期。15.GB/T22080/IEC27001:2013標(biāo)準(zhǔn)附錄A中有（）個(gè)安全域。A.18B.16C.15D.14答案：D解析：根據(jù)GB/T22080/IEC27001:2013標(biāo)準(zhǔn)附錄A的內(nèi)容，安全域的數(shù)量是14個(gè)，因此正確答案是D選項(xiàng)。16.下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）可用于備份（）？A.需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備（NAS）時(shí)B.不能使用TCP/IP的環(huán)境中C.需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)D.要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)答案：A解析：網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）主要用于支持網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備（NAS）的備份，它提供了一種跨多個(gè)數(shù)據(jù)卷、連續(xù)且一致的備份方法。因此，當(dāng)需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備時(shí)，NDMP可用于備份。所以，正確答案是A。選項(xiàng)B“不能使用TCP/IP的環(huán)境中”是不正確的，因?yàn)镹DMP是基于TCP/IP的協(xié)議。選項(xiàng)C“需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)”和選項(xiàng)D“要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)”雖然都是NDMP可以處理的情況，但不是NDMP主要用于支持的情況。17.在現(xiàn)場(chǎng)審核時(shí)，審核組待枚自行決定變更的事項(xiàng)是（）。A.審核人日B.入審核的業(yè)務(wù)范圍C.審核日期D.審核組任務(wù)調(diào)整答案：D解析：根據(jù)審核的相關(guān)規(guī)定，審核組在進(jìn)行現(xiàn)場(chǎng)審核時(shí)，應(yīng)當(dāng)遵循事先確定的審核計(jì)劃，包括審核的范圍、日期、任務(wù)等。然而，在現(xiàn)場(chǎng)審核過(guò)程中，如果確實(shí)需要變更某些事項(xiàng)，審核組有權(quán)自行決定，但這些變更應(yīng)當(dāng)在保持審核的公正性和有效性的前提下進(jìn)行。在這些可變更的事項(xiàng)中，審核組任務(wù)調(diào)整是一個(gè)例外，因?yàn)樗婕暗綄徍擞?jì)劃的核心內(nèi)容，審核組有權(quán)根據(jù)現(xiàn)場(chǎng)實(shí)際情況自行決定調(diào)整審核任務(wù)，以確保審核的順利進(jìn)行。因此，正確答案是D，即審核組任務(wù)調(diào)整。18.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施時(shí)間是（）。A.2016年11月7日B.2016年12月1日C.2017年6月1日D.2018年3月1日答案：C解析：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展，制定的法律。該法于2016年11月7日發(fā)布，2017年6月1日起施行。因此，正確答案為C選項(xiàng)，即2017年6月1日。19.安全管理中采用的“職位輪換”或者“強(qiáng)制休假”辦法是為了發(fā)現(xiàn)特定的崗位人員是否存在違規(guī)操作行為，屬于（）控制臘施。A.管理B.檢測(cè)C.響應(yīng)D.運(yùn)行答案：B解析：在安全管理中，“職位輪換”或“強(qiáng)制休假”辦法的目的是讓特定崗位的人員暫時(shí)離開(kāi)其工作，由其他人員接手其工作，以此來(lái)發(fā)現(xiàn)該崗位人員是否存在違規(guī)操作行為。這種通過(guò)暫時(shí)替換人員來(lái)觀察工作流程和結(jié)果的方法，屬于檢測(cè)控制措施。因此，正確答案為“檢測(cè)”。20.信息分類(lèi)是信息安全管理工作的重要環(huán)節(jié)，下面哪一項(xiàng)不是對(duì)信息進(jìn)行分類(lèi)時(shí)需要重點(diǎn)考慮的（）。A.信息的價(jià)值B.信息的時(shí)效性C.信息的存儲(chǔ)D.法律法規(guī)的規(guī)定答案：C解析：信息分類(lèi)是信息安全管理工作的重要環(huán)節(jié)，需要重點(diǎn)考慮的是信息的價(jià)值、時(shí)效性和法律法規(guī)的規(guī)定。而選項(xiàng)C“信息的存儲(chǔ)”并不是對(duì)信息進(jìn)行分類(lèi)時(shí)需要重點(diǎn)考慮的，因?yàn)樾畔⒌拇鎯?chǔ)是信息安全管理中的一個(gè)環(huán)節(jié)，但不是分類(lèi)時(shí)需要重點(diǎn)考慮的因素。因此，正確答案是C。21.對(duì)于外部方提供的軟件包，以下說(shuō)法正確的是（）。A.組織的人員可隨時(shí)對(duì)其進(jìn)行適用性調(diào)整B.應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性C.應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性D.以上都不對(duì)答案：C解析：對(duì)于外部方提供的軟件包，應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性。這是因?yàn)檐浖赡馨匾闹R(shí)產(chǎn)權(quán)和敏感信息，對(duì)其進(jìn)行任意調(diào)整可能會(huì)侵犯他人的權(quán)益，并可能導(dǎo)致軟件包的功能失效或不穩(wěn)定。因此，選項(xiàng)C“應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的完整性和可用性”是正確的。選項(xiàng)A“組織的人員可隨時(shí)對(duì)其進(jìn)行適用性調(diào)整”可能會(huì)導(dǎo)致軟件包的完整性和可用性受到損害，選項(xiàng)B“應(yīng)嚴(yán)格限制對(duì)軟件包的調(diào)整以保護(hù)軟件包的保密性”并沒(méi)有明確指出軟件包的完整性和可用性也需要保護(hù)，而選項(xiàng)D“以上都不對(duì)”明顯是不正確的。22.根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》，國(guó)家秘密的最高密級(jí)為（）。A.秘密B.機(jī)密C.特密D.絕密答案：D解析：《中華人民共和國(guó)保守國(guó)家秘密法》中明確規(guī)定了國(guó)家秘密的密級(jí)，包括絕密、機(jī)密和秘密三個(gè)等級(jí)。其中，絕密是最高密級(jí)，機(jī)密次之，秘密是最低密級(jí)。因此，正確答案為“絕密”。23.下列關(guān)于DMZ區(qū)的說(shuō)法錯(cuò)誤的是（）。A.DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)B.內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)外部網(wǎng)絡(luò)以及DMZC.有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作D.通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)入的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等答案：A解析：A選項(xiàng)“DMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)”是錯(cuò)誤的。DMZ（DemilitarizedZone，非軍事化區(qū)）通常被設(shè)置為一個(gè)獨(dú)立的網(wǎng)絡(luò)區(qū)域，用于放置對(duì)外界開(kāi)放的服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等。DMZ的主要目的是使這些服務(wù)器可以訪問(wèn)外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)不能直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)。因此，A選項(xiàng)的說(shuō)法是錯(cuò)誤的。B選項(xiàng)“內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)外部網(wǎng)絡(luò)以及DMZ”并不完全正確。通常，內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)和DMZ的訪問(wèn)是受限制的，這是為了安全考慮。C選項(xiàng)“有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作”是正確的。當(dāng)有兩個(gè)DMZ時(shí)，主防火墻可能會(huì)采用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）方式工作，以確保內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信能夠順利進(jìn)行。D選項(xiàng)“通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)入的設(shè)備”是正確的。DMZ的主要目的就是為了放置那些允許來(lái)自外部網(wǎng)絡(luò)的通信的設(shè)備，確保這些設(shè)備可以安全地對(duì)外提供服務(wù)。24.為了實(shí)現(xiàn)在網(wǎng)絡(luò)上自動(dòng)標(biāo)識(shí)設(shè)備，以下做法錯(cuò)誤的是（）。A.啟用DHCP動(dòng)態(tài)分配IP地址功能B.為網(wǎng)絡(luò)設(shè)備分配固定IP地址C.將每一臺(tái)計(jì)算機(jī)MAC與一個(gè)IP地址綁定D.采取有效措施禁止修改MAC答案：A解析：為了實(shí)現(xiàn)在網(wǎng)絡(luò)上自動(dòng)標(biāo)識(shí)設(shè)備，不應(yīng)該啟用DHCP動(dòng)態(tài)分配IP地址功能，因?yàn)檫@樣會(huì)導(dǎo)致IP地址頻繁變化，不利于設(shè)備管理和維護(hù)。因此，選項(xiàng)A是錯(cuò)誤的做法。選項(xiàng)B為網(wǎng)絡(luò)設(shè)備分配固定IP地址是正確的做法，因?yàn)楣潭↖P地址可以方便管理和維護(hù)設(shè)備，避免IP地址沖突等問(wèn)題。選項(xiàng)C將每一臺(tái)計(jì)算機(jī)MAC與一個(gè)IP地址綁定也是正確的做法，這樣可以確保每臺(tái)計(jì)算機(jī)都有一個(gè)唯一的IP地址，方便管理和維護(hù)網(wǎng)絡(luò)。選項(xiàng)D采取有效措施禁止修改MAC也是正確的做法，因?yàn)镸AC地址是網(wǎng)絡(luò)設(shè)備的唯一標(biāo)識(shí)，禁止修改MAC可以防止設(shè)備被冒用或攻擊。25.據(jù)GB/T22080-2016/ISO/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A.做好資產(chǎn)分類(lèi)是其基礎(chǔ)B.釆用組織固定資產(chǎn)臺(tái)賬即可C.無(wú)需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D.A+B答案：A解析：在GB/T22080-2016/ISO/IEC27001:2013中，資產(chǎn)清單是信息安全管理體系的重要組成部分，而資產(chǎn)分類(lèi)是構(gòu)建資產(chǎn)清單的基礎(chǔ)。通過(guò)對(duì)資產(chǎn)進(jìn)行合理的分類(lèi)，可以更準(zhǔn)確地識(shí)別和管理資產(chǎn)，從而提高信息安全水平。因此，選項(xiàng)A“做好資產(chǎn)分類(lèi)是其基礎(chǔ)”是正確的。選項(xiàng)B“采用組織固定資產(chǎn)臺(tái)賬即可”并不全面，因?yàn)楣潭ㄙY產(chǎn)臺(tái)賬只是資產(chǎn)清單的一部分，不能涵蓋所有類(lèi)型的資產(chǎn)。選項(xiàng)C“無(wú)需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者”也是錯(cuò)誤的，因?yàn)榱私赓Y產(chǎn)的產(chǎn)權(quán)歸屬者有助于更好地管理資產(chǎn)，確保資產(chǎn)的安全性和完整性。選項(xiàng)D“A+B”由于B選項(xiàng)本身存在問(wèn)題，因此也是不正確的。26.《網(wǎng)絡(luò)安全審查辦法》的制定，是為了（）。A.保守國(guó)家秘密，維護(hù)國(guó)家安全和利益B.保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全C.確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全D.規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動(dòng)，促進(jìn)互聯(lián)網(wǎng)信息服務(wù)健康有序發(fā)展答案：B解析：《網(wǎng)絡(luò)安全審查辦法》的制定，是為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全。該辦法旨在通過(guò)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性，防止產(chǎn)品提供者利用提供產(chǎn)品的方便，非法控制、干擾、中斷用戶(hù)系統(tǒng)，非法收集、存儲(chǔ)、出售或者向他人提供用戶(hù)有關(guān)信息，確保網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控，保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全。因此，選項(xiàng)B“保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全”是正確的。其他選項(xiàng)A、C、D與《網(wǎng)絡(luò)安全審查辦法》的制定目的不符。27.關(guān)于信息安全產(chǎn)品的使用，以下說(shuō)法正確的是（）。A.對(duì)于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國(guó)自主知識(shí)產(chǎn)權(quán)B.對(duì)于三級(jí)以上信息系統(tǒng)，已列入信息安全產(chǎn)品認(rèn)證且錄的，應(yīng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)C.對(duì)于四級(jí)以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術(shù)人員須無(wú)犯罪記錄D.對(duì)于四級(jí)以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒(méi)有故意留有或設(shè)置漏洞答案：B解析：根據(jù)題目描述，我們需要判斷關(guān)于信息安全產(chǎn)品使用的正確說(shuō)法。A選項(xiàng)提到“對(duì)于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國(guó)自主知識(shí)產(chǎn)權(quán)”。然而，題目中并沒(méi)有明確說(shuō)明“所有的信息系統(tǒng)”都需要使用具有我國(guó)自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)品，因此A選項(xiàng)不正確。B選項(xiàng)表示“對(duì)于三級(jí)以上信息系統(tǒng)，已列入信息安全產(chǎn)品認(rèn)證且錄的，應(yīng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)”。這與題目中的描述相符，因此B選項(xiàng)是正確的。C選項(xiàng)提到“對(duì)于四級(jí)以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術(shù)人員須無(wú)犯罪記錄”。題目中并沒(méi)有提及技術(shù)人員無(wú)犯罪記錄的要求，因此C選項(xiàng)不正確。D選項(xiàng)說(shuō)“對(duì)于四級(jí)以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒(méi)有故意留有或設(shè)置漏洞”。雖然這是關(guān)于信息安全產(chǎn)品的重要要求，但題目中并沒(méi)有明確指出這一要求，所以D選項(xiàng)也不正確。因此，正確答案是B選項(xiàng)。28.關(guān)于系統(tǒng)運(yùn)行日志，以下說(shuō)法正確的是（）。A.系統(tǒng)管理員負(fù)責(zé)對(duì)日志信息進(jìn)行編輯、保存B.日志信息文件的保存應(yīng)納入容量管理C.日志管理即系統(tǒng)審計(jì)日志管理D.組織的安全策略應(yīng)決定系統(tǒng)管理員的活動(dòng)是否有記入日志答案：B解析：根據(jù)題目，我們需要找出關(guān)于系統(tǒng)運(yùn)行日志的正確說(shuō)法。A選項(xiàng)提到“系統(tǒng)管理員負(fù)責(zé)對(duì)日志信息進(jìn)行編輯、保存”，但系統(tǒng)管理員的職責(zé)通常不包括編輯日志信息，他們通常負(fù)責(zé)日志的生成、收集、存儲(chǔ)和管理，而不是編輯。所以A選項(xiàng)不正確。B選項(xiàng)說(shuō)“日志信息文件的保存應(yīng)納入容量管理”，這是正確的。日志信息文件的保存需要考慮到存儲(chǔ)空間和容量，以確保日志的完整性和可用性，同時(shí)避免存儲(chǔ)空間不足的問(wèn)題。C選項(xiàng)提到“日志管理即系統(tǒng)審計(jì)日志管理”，這過(guò)于狹隘。日志管理不僅限于系統(tǒng)審計(jì)日志，還包括其他類(lèi)型的日志，如操作日志、系統(tǒng)日志等。因此，C選項(xiàng)不正確。D選項(xiàng)說(shuō)“組織的安全策略應(yīng)決定系統(tǒng)管理員的活動(dòng)是否有記入日志”，雖然安全策略確實(shí)對(duì)日志管理有重要影響，但它并不直接決定系統(tǒng)管理員的活動(dòng)是否記入日志。系統(tǒng)管理員的活動(dòng)是否記入日志通常是由日志管理策略或相關(guān)規(guī)定決定的。因此，D選項(xiàng)也不正確。綜上所述，正確答案是B選項(xiàng)：“日志信息文件的保存應(yīng)納入容量管理”。29.對(duì)于“監(jiān)控系統(tǒng)”的存取與使用，下列正確的是（）。A.監(jiān)控系統(tǒng)所產(chǎn)生的記錄可由用戶(hù)任意存取B.計(jì)算機(jī)系統(tǒng)時(shí)鐘應(yīng)予同步C.只有當(dāng)系統(tǒng)發(fā)生異常事件及其他安全相關(guān)事件時(shí)才需進(jìn)行監(jiān)控D.監(jiān)控系統(tǒng)投資額龐大，并會(huì)影響系統(tǒng)效能，因此可以予以暫時(shí)省略答案：B解析：監(jiān)控系統(tǒng)是為了監(jiān)控計(jì)算機(jī)系統(tǒng)的運(yùn)行狀況，確保系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行而設(shè)計(jì)的。對(duì)于監(jiān)控系統(tǒng)所產(chǎn)生的記錄，一般是由系統(tǒng)管理員或相關(guān)人員進(jìn)行存取和管理，而不是任由用戶(hù)任意存取。因此，選項(xiàng)A是錯(cuò)誤的。計(jì)算機(jī)系統(tǒng)中，各個(gè)設(shè)備或模塊的時(shí)間戳需要統(tǒng)一，以便于準(zhǔn)確判斷事件發(fā)生的先后順序，進(jìn)行故障定位等。因此，選項(xiàng)B是正確的。監(jiān)控系統(tǒng)不僅僅是在系統(tǒng)發(fā)生異常事件時(shí)才進(jìn)行監(jiān)控，它還會(huì)監(jiān)控系統(tǒng)的日常運(yùn)行狀況，及時(shí)發(fā)現(xiàn)潛在問(wèn)題，因此選項(xiàng)C是錯(cuò)誤的。監(jiān)控系統(tǒng)的投資雖然可能會(huì)占用一定的資源，但它對(duì)于保障系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行是非常重要的，不能予以暫時(shí)省略。因此，選項(xiàng)D是錯(cuò)誤的。30.下面哪種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）。A.消息篡改B.偽裝C.拒絕服務(wù)D.流量分析答案：D解析：被動(dòng)攻擊是指攻擊者通過(guò)截獲、分析網(wǎng)絡(luò)上傳輸?shù)男畔?lái)實(shí)施攻擊，而不是直接對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。在給出的選項(xiàng)中，A消息篡改、B偽裝、C拒絕服務(wù)都是主動(dòng)攻擊的方式，它們都是直接對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。而D流量分析是一種被動(dòng)攻擊方式，攻擊者通過(guò)分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包來(lái)獲取敏感信息，如用戶(hù)密碼、通信內(nèi)容等。因此，正確答案是D流量分析。31.（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)。A.信息安全事態(tài)B.信息安全事件C.信息安全肅故D.信息安全故障答案：A解析：信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個(gè)先前未知的狀態(tài)。這是信息安全事態(tài)的基本定義。選項(xiàng)A“信息安全事態(tài)”與題目描述相符。選項(xiàng)B“信息安全事件”通常指的是已經(jīng)發(fā)生并對(duì)系統(tǒng)或服務(wù)造成實(shí)際影響的事件，與題目描述不完全吻合。選項(xiàng)C“信息安全肅故”和選項(xiàng)D“信息安全故障”在題目中并未提及，因此可以排除。因此，正確答案是A“信息安全事態(tài)”。32.可用性是指（）。A.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性B.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C.保護(hù)資產(chǎn)準(zhǔn)確和完整的特性D.反映事物具實(shí)情況的程度答案：A解析：可用性是指根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性。這是信息安全中的一個(gè)重要概念，它涉及到信息或系統(tǒng)能否被授權(quán)用戶(hù)或?qū)嶓w在需要時(shí)訪問(wèn)和使用。因此，選項(xiàng)A“根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性”是描述可用性的準(zhǔn)確表達(dá)。選項(xiàng)B、C、D雖然都是信息安全相關(guān)的特性，但與可用性沒(méi)有直接關(guān)系。33.ISMS有效性的定期評(píng)審應(yīng)考慮（）、事故、有效性策略結(jié)果等內(nèi)容。A.識(shí)別風(fēng)險(xiǎn)B.風(fēng)險(xiǎn)評(píng)價(jià)C.風(fēng)險(xiǎn)評(píng)估方法D.安全評(píng)審結(jié)果答案：D解析：根據(jù)題目中的描述，ISMS有效性的定期評(píng)審應(yīng)考慮的內(nèi)容包括事故、有效性策略結(jié)果等。而選項(xiàng)D“安全評(píng)審結(jié)果”與這些內(nèi)容是相關(guān)的，因?yàn)榘踩u(píng)審是評(píng)估系統(tǒng)有效性的一種重要手段。選項(xiàng)A“識(shí)別風(fēng)險(xiǎn)”、選項(xiàng)B“風(fēng)險(xiǎn)評(píng)價(jià)”和選項(xiàng)C“風(fēng)險(xiǎn)評(píng)估方法”雖然與安全性和風(fēng)險(xiǎn)有關(guān)，但與題目中明確提到的“有效性策略結(jié)果”和“事故”等內(nèi)容不直接相關(guān)。因此，正確答案是D，“安全評(píng)審結(jié)果”。34.國(guó)家信息安全等級(jí)保護(hù)采?。ǎ?。A.自主定級(jí)、自主保護(hù)的原則B.國(guó)家保密部門(mén)定級(jí)、自主保持的原則C.公安部門(mén)定級(jí)、自主保護(hù)的原則D.國(guó)家保密部門(mén)定級(jí)、公安部門(mén)監(jiān)督保護(hù)的原則答案：A解析：根據(jù)《信息安全等級(jí)保護(hù)管理辦法》的規(guī)定，國(guó)家信息安全等級(jí)保護(hù)采取自主定級(jí)、自主保護(hù)的原則。因此，選項(xiàng)A“自主定級(jí)、自主保護(hù)的原則”是正確的。其他選項(xiàng)，如國(guó)家保密部門(mén)定級(jí)、自主保持的原則，公安部門(mén)定級(jí)、自主保護(hù)的原則，以及國(guó)家保密部門(mén)定級(jí)、公安部門(mén)監(jiān)督保護(hù)的原則，均不符合該管理辦法的規(guī)定。35.以下不屬于網(wǎng)絡(luò)安全控制技術(shù)的是（）。A.防火墻技術(shù)B.訪問(wèn)控制C.入侵檢測(cè)技術(shù)D.差錯(cuò)控制答案：D解析：本題考察的是網(wǎng)絡(luò)安全控制技術(shù)。防火墻技術(shù)、訪問(wèn)控制和入侵檢測(cè)技術(shù)都是網(wǎng)絡(luò)安全控制技術(shù)，用于保護(hù)網(wǎng)絡(luò)免受攻擊和未經(jīng)授權(quán)的訪問(wèn)。而差錯(cuò)控制主要用于數(shù)據(jù)通信中，確保數(shù)據(jù)的準(zhǔn)確性和完整性，不屬于網(wǎng)絡(luò)安全控制技術(shù)。因此，選項(xiàng)D“差錯(cuò)控制”是不屬于網(wǎng)絡(luò)安全控制技術(shù)的。36.根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于資產(chǎn)清單，正確的是（）。A.做好資產(chǎn)整理是其基礎(chǔ)B.識(shí)別信息，以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn)C.識(shí)別和完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)責(zé)任人D.資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高答案：B解析：根據(jù)GB/T22080-2016標(biāo)準(zhǔn)中控制措施的要求，關(guān)于資產(chǎn)清單，正確的是“識(shí)別信息，以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn)”。在信息安全管理體系中，資產(chǎn)清單是識(shí)別和管理組織資產(chǎn)的重要工具。選項(xiàng)A提到“做好資產(chǎn)整理是其基礎(chǔ)”，但這并不是對(duì)資產(chǎn)清單的準(zhǔn)確描述；選項(xiàng)C提到了“識(shí)別和完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)責(zé)任人”，這與資產(chǎn)清單的內(nèi)容不完全一致；選項(xiàng)D“資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高”并不是關(guān)于資產(chǎn)清單的正確描述，它涉及的是資產(chǎn)的價(jià)值而非清單的內(nèi)容。因此，正確答案是B。37.（）是對(duì)于一個(gè)組織成功實(shí)施ISMS來(lái)滿足其業(yè)務(wù)目標(biāo)的關(guān)鍵要素。A.信息安全策略、目標(biāo)和與目標(biāo)一致的活動(dòng)B.更有效、經(jīng)濟(jì)的信息安全投資管理C.滿足社會(huì)的需要和期望D.增加利益相關(guān)方對(duì)組織的信任答案：A解析：信息安全策略、目標(biāo)和與目標(biāo)一致的活動(dòng)是一個(gè)組織成功實(shí)施ISMS以滿足其業(yè)務(wù)目標(biāo)的關(guān)鍵要素。ISMS的實(shí)施需要明確的策略和與目標(biāo)一致的活動(dòng)，以確保組織的信息資產(chǎn)得到妥善保護(hù)，并且符合法規(guī)要求和業(yè)務(wù)目標(biāo)。因此，A選項(xiàng)是正確答案。B選項(xiàng)提到更有效的信息安全投資管理雖然重要，但不是關(guān)鍵要素。C選項(xiàng)提到的滿足社會(huì)的需要和期望，以及D選項(xiàng)提到的增加利益相關(guān)方對(duì)組織的信任，雖然與組織的信息安全有關(guān)，但不是ISMS實(shí)施的核心要素。38.以下可表明知識(shí)產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是（）。A.禁止安裝未列入白名單的軟件B.禁止使用通過(guò)互聯(lián)網(wǎng)下載的免費(fèi)軟件C.禁止安裝未經(jīng)驗(yàn)證的軟件包D.禁止軟件安裝超出許可權(quán)證規(guī)定的最大用戶(hù)數(shù)答案：D解析：GB/T22080/ISO/IEC27001是信息安全管理體系的國(guó)際標(biāo)準(zhǔn)，它要求組織建立、實(shí)施、監(jiān)控、評(píng)審和維護(hù)信息安全管理體系，以確保信息安全。在軟件安裝方面，該標(biāo)準(zhǔn)可能要求組織對(duì)軟件安裝進(jìn)行管理和控制，以確保軟件安裝符合組織的政策和程序，并且不會(huì)引入安全風(fēng)險(xiǎn)。選項(xiàng)D“禁止軟件安裝超出許可權(quán)證規(guī)定的最大用戶(hù)數(shù)”符合這一要求，因?yàn)樗_保了軟件的使用符合許可協(xié)議的規(guī)定，減少了未經(jīng)授權(quán)的軟件使用風(fēng)險(xiǎn)。其他選項(xiàng)如禁止安裝未列入白名單的軟件、禁止使用通過(guò)互聯(lián)網(wǎng)下載的免費(fèi)軟件、禁止安裝未經(jīng)驗(yàn)證的軟件包等，雖然可能有助于控制軟件安裝，但它們并沒(méi)有直接表明符合GB/T22080/ISO/IEC27001的要求。因此，正確答案是D。39.依據(jù)GB/T22081-2016/ISO/IEC27002:2013，信息系統(tǒng)審計(jì)是（）。A.發(fā)現(xiàn)信息系統(tǒng)脆弱性的手段之一B.應(yīng)在系統(tǒng)運(yùn)行期間進(jìn)行，以便于準(zhǔn)確地發(fā)現(xiàn)弱點(diǎn)C.審計(jì)工具在組織內(nèi)應(yīng)公開(kāi)可獲取，以便于提升員工的能力D.只要定期進(jìn)行，就可以替代內(nèi)部ISMS審核答案：A解析：依據(jù)GB/T22081-2016/ISO/IEC27002:2013，信息系統(tǒng)審計(jì)是發(fā)現(xiàn)信息系統(tǒng)脆弱性的手段之一。這是由題目中給出的選項(xiàng)A所明確指出的。其他選項(xiàng)并不直接符合這一標(biāo)準(zhǔn)或規(guī)定。選項(xiàng)B說(shuō)“應(yīng)在系統(tǒng)運(yùn)行期間進(jìn)行，以便于準(zhǔn)確地發(fā)現(xiàn)弱點(diǎn)”，這更像是內(nèi)部ISMS審核或脆弱性評(píng)估的內(nèi)容，而不是信息系統(tǒng)審計(jì)的核心定義。選項(xiàng)C“審計(jì)工具在組織內(nèi)應(yīng)公開(kāi)可獲取，以便于提升員工的能力”更像是關(guān)于審計(jì)工具使用或員工能力提升的建議，而不是對(duì)信息系統(tǒng)審計(jì)的準(zhǔn)確描述。選項(xiàng)D“只要定期進(jìn)行，就可以替代內(nèi)部ISMS審核”也并未直接反映信息系統(tǒng)審計(jì)的核心定義或作用。因此，正確答案是A，即信息系統(tǒng)審計(jì)是發(fā)現(xiàn)信息系統(tǒng)脆弱性的手段之一。40.對(duì)日志數(shù)據(jù)進(jìn)行審計(jì)檢查，屬于（）類(lèi)控制措施。A.預(yù)防B.檢測(cè)C.威懾D.修正答案：B解析：審計(jì)檢查是一種用于發(fā)現(xiàn)、識(shí)別和記錄系統(tǒng)中發(fā)生的活動(dòng)的行為，屬于檢測(cè)類(lèi)控制措施。通過(guò)對(duì)日志數(shù)據(jù)進(jìn)行審計(jì)檢查，可以對(duì)系統(tǒng)的運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和檢查，及時(shí)發(fā)現(xiàn)并處理潛在的安全威脅和漏洞，因此選項(xiàng)B“檢測(cè)”為正確答案。選項(xiàng)A“預(yù)防”通常指的是在事故發(fā)生前采取措施預(yù)防其發(fā)生，不符合審計(jì)檢查的目的；選項(xiàng)C“威懾”是指通過(guò)展示懲罰或懲罰的威脅來(lái)阻止不良行為，與審計(jì)檢查的目的也不符；選項(xiàng)D“修正”是指對(duì)已經(jīng)發(fā)生的問(wèn)題進(jìn)行糾正和修復(fù)，雖然審計(jì)檢查可以發(fā)現(xiàn)并報(bào)告問(wèn)題，但本身并不是修正措施。多選題（共15題）41.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)（）。A.新聞、出版B.醫(yī)療、保健C.知識(shí)類(lèi)D.教育類(lèi)答案：ABD解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》是為了規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動(dòng)，促進(jìn)互聯(lián)網(wǎng)信息服務(wù)健康有序發(fā)展，維護(hù)國(guó)家安全、社會(huì)公共利益和公民的合法權(quán)益而制定的法規(guī)。根據(jù)該法規(guī)，互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營(yíng)性和非經(jīng)營(yíng)性?xún)深?lèi)。經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，是指通過(guò)互聯(lián)網(wǎng)向上網(wǎng)用戶(hù)有償提供信息或者網(wǎng)頁(yè)制作等服務(wù)活動(dòng)。非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，是指通過(guò)互聯(lián)網(wǎng)向上網(wǎng)用戶(hù)無(wú)償提供具有公開(kāi)性、共享性信息的服務(wù)活動(dòng)。新聞、出版、醫(yī)療、保健、教育等都屬于互聯(lián)網(wǎng)信息服務(wù)范疇，因此選項(xiàng)A、B、D都是正確的。而選項(xiàng)C“知識(shí)類(lèi)”并沒(méi)有在《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中明確提及，因此是錯(cuò)誤的。因此，正確答案為A、B、D。42.信息安全績(jī)效的反饋，包括以下哪些方面的趨勢(shì)？（）A.不符合和糾正措施B.監(jiān)視測(cè)量的結(jié)果C.審核結(jié)果D.信息安全方針完成情況答案：ABC解析：根據(jù)信息安全績(jī)效反饋的定義，它通常涉及對(duì)信息安全管理體系運(yùn)行情況的監(jiān)視和測(cè)量，以及對(duì)這些結(jié)果的評(píng)估。因此，反饋應(yīng)包含對(duì)監(jiān)視和測(cè)量的結(jié)果、審核結(jié)果以及不符合項(xiàng)和糾正措施的趨勢(shì)。這些趨勢(shì)共同構(gòu)成了信息安全績(jī)效的反饋。所以，選項(xiàng)A、B和C都是正確的。而選項(xiàng)D“信息安全方針完成情況”雖然與信息安全績(jī)效有關(guān)，但并不直接反映績(jī)效的反饋趨勢(shì)，因此不應(yīng)被選入。43.下面哪一條措施可以防止數(shù)據(jù)泄漏（）。A.數(shù)據(jù)冗余B.數(shù)據(jù)加密C.訪問(wèn)控制D.密碼系統(tǒng)答案：BCD解析：數(shù)據(jù)泄漏是指敏感數(shù)據(jù)被未經(jīng)授權(quán)地泄露出去。為了防止數(shù)據(jù)泄漏，我們需要采取一系列措施。A.數(shù)據(jù)冗余：數(shù)據(jù)冗余通常用于確保數(shù)據(jù)的完整性和可用性，它并不能直接防止數(shù)據(jù)泄漏。B.數(shù)據(jù)加密：數(shù)據(jù)加密是一種將數(shù)據(jù)轉(zhuǎn)換為無(wú)法直接理解的格式的過(guò)程，只有擁有解密密鑰的人才能訪問(wèn)原始數(shù)據(jù)。因此，數(shù)據(jù)加密可以有效地防止數(shù)據(jù)在傳輸或存儲(chǔ)過(guò)程中被未經(jīng)授權(quán)地訪問(wèn)，從而防止數(shù)據(jù)泄漏。C.訪問(wèn)控制：訪問(wèn)控制是一種機(jī)制，用于確定誰(shuí)可以訪問(wèn)特定的數(shù)據(jù)或系統(tǒng)資源。通過(guò)實(shí)施適當(dāng)?shù)脑L問(wèn)控制策略，可以確保只有授權(quán)的人員才能訪問(wèn)敏感數(shù)據(jù)，從而防止數(shù)據(jù)泄漏。D.密碼系統(tǒng)：密碼系統(tǒng)是一種使用密碼技術(shù)來(lái)保護(hù)數(shù)據(jù)的方法。密碼系統(tǒng)包括加密、解密、數(shù)字簽名等功能，可以有效地保護(hù)數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的安全性，防止數(shù)據(jù)泄漏。因此，選項(xiàng)B數(shù)據(jù)加密、選項(xiàng)C訪問(wèn)控制和選項(xiàng)D密碼系統(tǒng)都可以防止數(shù)據(jù)泄漏。44.投訴處理過(guò)程應(yīng)包括：（）A.投訴受理、跟蹤和告知B.投訴初步評(píng)審、投訴調(diào)查C.投訴響應(yīng)、溝通決定D.投訴終止答案：ABCD解析：投訴處理過(guò)程應(yīng)包括投訴受理、初步評(píng)審、調(diào)查、響應(yīng)、溝通決定和終止等各個(gè)環(huán)節(jié)。投訴受理是處理投訴的第一步，需要明確投訴的內(nèi)容、來(lái)源和投訴人的聯(lián)系方式；初步評(píng)審是對(duì)投訴進(jìn)行初步的分析和判斷，確定投訴的性質(zhì)和優(yōu)先級(jí)；投訴調(diào)查是對(duì)投訴進(jìn)行深入調(diào)查，了解事實(shí)真相，找出問(wèn)題所在；投訴響應(yīng)是根據(jù)調(diào)查結(jié)果，對(duì)投訴人進(jìn)行回應(yīng)和解釋?zhuān)粶贤Q定是在雙方溝通的基礎(chǔ)上，達(dá)成解決方案或協(xié)議；投訴終止是在問(wèn)題得到解決后，對(duì)投訴進(jìn)行終結(jié)處理。因此，選項(xiàng)A、B、C、D都是投訴處理過(guò)程應(yīng)包含的環(huán)節(jié)。45.針對(duì)系統(tǒng)和應(yīng)用訪問(wèn)控制，以下做法不正確的是（）。A.對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)人員開(kāi)放不限時(shí)權(quán)限B.登錄之后，不活動(dòng)超過(guò)規(guī)定時(shí)間強(qiáng)制使其退出登錄C.對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D.用戶(hù)嘗試登錄失敗時(shí)，明確提示其用戶(hù)名錯(cuò)誤或口令錯(cuò)誤答案：AD解析：A選項(xiàng)提到“對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)人員開(kāi)放不限時(shí)權(quán)限”，這種做法是不正確的。在系統(tǒng)和應(yīng)用訪問(wèn)控制中，權(quán)限管理是非常關(guān)鍵的，應(yīng)該根據(jù)實(shí)際需求為每個(gè)用戶(hù)或角色分配適當(dāng)?shù)臋?quán)限，并且這些權(quán)限應(yīng)該是有限制的，而不是無(wú)限制的。對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)人員，應(yīng)該根據(jù)他們的職責(zé)和工作需求，為他們分配必要的、有限的權(quán)限，而不是無(wú)限制的權(quán)限。D選項(xiàng)提到“用戶(hù)嘗試登錄失敗時(shí)，明確提示其用戶(hù)名錯(cuò)誤或口令錯(cuò)誤”，這種做法也是不正確的。在系統(tǒng)和應(yīng)用訪問(wèn)控制中，當(dāng)用戶(hù)嘗試登錄失敗時(shí)，應(yīng)該提供一種安全的反饋機(jī)制，而不是明確提示用戶(hù)名或口令錯(cuò)誤。這是因?yàn)槊鞔_提示用戶(hù)名或口令錯(cuò)誤可能會(huì)給攻擊者提供有關(guān)用戶(hù)賬戶(hù)的有用信息，從而增加賬戶(hù)被破解的風(fēng)險(xiǎn)。一種更安全的做法是，在用戶(hù)嘗試登錄失敗時(shí)，系統(tǒng)可以顯示一個(gè)通用的錯(cuò)誤消息，如“用戶(hù)名或口令錯(cuò)誤”，而不是具體指出哪個(gè)部分錯(cuò)誤。B選項(xiàng)“登錄之后，不活動(dòng)超過(guò)規(guī)定時(shí)間強(qiáng)制使其退出登錄”是正確的。這是一種常見(jiàn)的會(huì)話超時(shí)機(jī)制，可以確保用戶(hù)在一段時(shí)間內(nèi)沒(méi)有進(jìn)行任何活動(dòng)后，其會(huì)話被自動(dòng)終止，從而增強(qiáng)系統(tǒng)的安全性。C選項(xiàng)“對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間”也是正確的。這種操作時(shí)間限制可以確保在特定的時(shí)間段內(nèi)，只有經(jīng)過(guò)授權(quán)的用戶(hù)才能修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)，從而增加系統(tǒng)的安全性和可靠性。46.根據(jù)GB/T28450，審核方案應(yīng)考慮的內(nèi)容包括（）。A.體系覆蓋的場(chǎng)所B.體系覆蓋的人數(shù)C.特權(quán)用戶(hù)的數(shù)量D.IT平臺(tái)的數(shù)量答案：ABCD解析：根據(jù)GB/T28450的規(guī)定，審核方案應(yīng)考慮的內(nèi)容應(yīng)包括體系覆蓋的場(chǎng)所、體系覆蓋的人數(shù)、特權(quán)用戶(hù)的數(shù)量以及IT平臺(tái)的數(shù)量。這些要素都是審核方案制定時(shí)需要考慮的關(guān)鍵因素，它們直接影響審核的范圍、深度和效果。因此，選項(xiàng)A、B、C和D都是正確的。47.在ISO/IEC7799標(biāo)準(zhǔn)中，信息安全特指保護(hù)（）。A.信息的保密性B.信息的完整性C.信息的流動(dòng)性D.信息的可用性答案：ABD解析：在ISO/IEC7799標(biāo)準(zhǔn)中，信息安全特指保護(hù)信息的保密性、完整性和可用性。這是信息安全的核心原則，旨在確保信息在傳輸、存儲(chǔ)和處理過(guò)程中不被未經(jīng)授權(quán)的訪問(wèn)、修改或破壞，同時(shí)保持其可用性和完整性。因此，選項(xiàng)A、B和D都是正確的。選項(xiàng)C“信息的流動(dòng)性”并不是ISO/IEC7799標(biāo)準(zhǔn)中信息安全特指的保護(hù)對(duì)象，所以是不正確的。48.關(guān)于云計(jì)算服務(wù)中的安全，以下說(shuō)法不正確的是（）。A.服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶(hù)自己定義并實(shí)施身份鑒別準(zhǔn)則B.服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則C.云服務(wù)客戶(hù)提供身份鑒別能力，服務(wù)提供方定義并實(shí)施身份鑒別準(zhǔn)則D.云服務(wù)客戶(hù)提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則答案：ABD解析：在云計(jì)算服務(wù)中，關(guān)于安全性的考慮，特別是身份鑒別能力，核心在于明確服務(wù)提供方和云服務(wù)客戶(hù)在其中的角色。A選項(xiàng)提到“服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶(hù)自己定義并實(shí)施身份鑒別準(zhǔn)則”。這意味著云服務(wù)客戶(hù)有完全的自主權(quán)來(lái)定義和實(shí)施自己的身份鑒別準(zhǔn)則，而服務(wù)提供方只是提供了基礎(chǔ)的身份鑒別能力。但實(shí)際上，為了確保整體的安全性和一致性，通常期望服務(wù)提供方能統(tǒng)一地定義和實(shí)施身份鑒別準(zhǔn)則。B選項(xiàng)表示“服務(wù)提供方提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則”。這同樣存在問(wèn)題，因?yàn)樵品?wù)客戶(hù)可能希望根據(jù)自己的特定需求對(duì)身份鑒別準(zhǔn)則進(jìn)行微調(diào)或定制。C選項(xiàng)“云服務(wù)客戶(hù)提供身份鑒別能力，服務(wù)提供方定義并實(shí)施身份鑒別準(zhǔn)則”則更符合邏輯。云服務(wù)客戶(hù)可能擁有特定的業(yè)務(wù)邏輯或安全要求，他們可能希望基于這些要求來(lái)提供身份鑒別能力，而服務(wù)提供方則基于這些能力來(lái)統(tǒng)一實(shí)施身份鑒別準(zhǔn)則。D選項(xiàng)“云服務(wù)客戶(hù)提供身份鑒別能力，并定義和實(shí)施身份鑒別準(zhǔn)則”與A選項(xiàng)類(lèi)似，也存在邏輯問(wèn)題。因此，A、B和D選項(xiàng)都是不正確的說(shuō)法。正確答案是C，即“云服務(wù)客戶(hù)提供身份鑒別能力，服務(wù)提供方定義并實(shí)施身份鑒別準(zhǔn)則”。49.ISMS審核目標(biāo)可包括（）。A.評(píng)價(jià)ISMS是否充分識(shí)別B.確定信息安全控制對(duì)ISMS要求和規(guī)程的符合程度C.解決信息安全要求D.評(píng)價(jià)維護(hù)和有效改進(jìn)ISMS的過(guò)程答案：ABCD解析：ISMS審核的目標(biāo)通常包括評(píng)價(jià)ISMS是否充分識(shí)別、確定信息安全控制對(duì)ISMS要求和規(guī)程的符合程度以及評(píng)價(jià)維護(hù)和有效改進(jìn)ISMS的過(guò)程。這些目標(biāo)旨在確保信息安全管理體系（ISMS）的有效性和持續(xù)改進(jìn)。因此，選項(xiàng)A、B和D都是正確的。選項(xiàng)C“解決信息安全要求”并不是ISMS審核的直接目標(biāo)，而是審核過(guò)程中可能涉及的一個(gè)方面。因此，C選項(xiàng)不應(yīng)被選作正確答案。50.關(guān)于“審核發(fā)現(xiàn)”，以下說(shuō)法不正確的是（）。A.審核發(fā)現(xiàn)即審核員觀察到的事實(shí)B.審核發(fā)現(xiàn)可以表明正面的或負(fù)面的結(jié)果C.審核發(fā)現(xiàn)即審核組提出的不符合項(xiàng)報(bào)告D.審核發(fā)現(xiàn)即審核結(jié)論意見(jiàn)答案：ACD解析：A選項(xiàng)錯(cuò)誤，審核發(fā)現(xiàn)不僅僅是審核員觀察到的事實(shí)，它還包括對(duì)事實(shí)的分析和解釋。C選項(xiàng)錯(cuò)誤，審核發(fā)現(xiàn)并不等同于審核組提出的不符合項(xiàng)報(bào)告，不符合項(xiàng)報(bào)告只是審核發(fā)現(xiàn)的一部分，審核發(fā)現(xiàn)可能包括正面的結(jié)果。D選項(xiàng)錯(cuò)誤，審核發(fā)現(xiàn)并不是審核結(jié)論意見(jiàn)，審核結(jié)論意見(jiàn)是基于審核發(fā)現(xiàn)得出的結(jié)論。B選項(xiàng)正確，審核發(fā)現(xiàn)可以表明正面的或負(fù)面的結(jié)果。在審核過(guò)程中，審核員可能會(huì)發(fā)現(xiàn)符合要求的情況，也可能會(huì)發(fā)現(xiàn)不符合要求的情況，這些都是審核發(fā)現(xiàn)，都可以表明正面或負(fù)面的結(jié)果。所以，不正確的選項(xiàng)有ACD。51.信息安全方針應(yīng)包括下列要求（）。A.考慮業(yè)務(wù)和法律法規(guī)的要求及合同中的安全義務(wù)B.建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則C.可測(cè)量D.獲得管理者批準(zhǔn)答案：ABD解析：信息安全方針是組織為確保信息安全而制定的一系列指導(dǎo)原則，它應(yīng)包含多個(gè)方面的要求。A選項(xiàng)提到“考慮業(yè)務(wù)和法律法規(guī)的要求及合同中的安全義務(wù)”，這是信息安全方針中非常關(guān)鍵的一點(diǎn)。組織在制定信息安全方針時(shí)，必須充分考慮到其業(yè)務(wù)特性、相關(guān)法律法規(guī)的要求以及合同中可能涉及的安全義務(wù)，以確保信息安全方針的合規(guī)性和實(shí)用性。B選項(xiàng)提到“建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則”，這也是信息安全方針中不可或缺的一部分。風(fēng)險(xiǎn)評(píng)價(jià)是信息安全管理的核心環(huán)節(jié)，通過(guò)建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則，組織可以更加科學(xué)、系統(tǒng)地評(píng)估信息安全風(fēng)險(xiǎn)，從而采取有效的應(yīng)對(duì)措施。D選項(xiàng)提到“獲得管理者批準(zhǔn)”，這表示信息安全方針需要得到組織高層管理者的認(rèn)可和支持。只有獲得管理者的批準(zhǔn)，信息安全方針才能在整個(gè)組織中得到有效的執(zhí)行和推廣。C選項(xiàng)“可測(cè)量”雖然也是信息安全方針中需要考慮的一個(gè)方面，但它并不是信息安全方針應(yīng)包括的基本要求?？蓽y(cè)量性通常是在信息安全管理體系中，用于評(píng)估信息安全方針執(zhí)行效果的一個(gè)指標(biāo)，而不是信息安全方針本身的要求。因此，根據(jù)題目要求，信息安全方針應(yīng)包括的要求是A.考慮業(yè)務(wù)和法律法規(guī)的要求及合同中的安全義務(wù)；B.建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；D.獲得管理者批準(zhǔn)。52.編制ISMS審核計(jì)劃，需充分理解審核方案，計(jì)劃需考慮（）。A.需要的技術(shù)與工具準(zhǔn)備B.前期抽樣情況和本期抽樣原則C.組織資源保障程度D.人員派遣要求答案：ABCD解析：編制ISMS審核計(jì)劃時(shí)，需要充分理解審核方案，并考慮多個(gè)因素來(lái)確保審核的順利進(jìn)行。首先，需要的技術(shù)與工具準(zhǔn)備是確保審核過(guò)程能夠高效、準(zhǔn)確地完成的基礎(chǔ)。其次，前期抽樣情況和本期抽樣原則對(duì)于確定審核的范圍和重點(diǎn)至關(guān)重要。再次，組織資源保障程度關(guān)系到審核過(guò)程中所需的人力、物力和財(cái)力資源是否充足。最后，人員派遣要求則涉及到審核團(tuán)隊(duì)的人員構(gòu)成和配置，以及他們?cè)趯徍诉^(guò)程中的職責(zé)和權(quán)限。因此，這四個(gè)選項(xiàng)都是編制ISMS審核計(jì)劃時(shí)需要考慮的重要因素。53.組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動(dòng)是（）。A.審核準(zhǔn)備B.第一階段審核C.第二階段審核D.認(rèn)證決定答案：BC解析：根據(jù)信息安全管理體系的審核流程，初次認(rèn)證審核通常包括兩個(gè)階段：第一階段審核和第二階段審核。第一階段審核主要是審核組織的信息安全管理體系文件，確認(rèn)其符合相關(guān)標(biāo)準(zhǔn)的要求，并確定第二階段審核的范圍和重點(diǎn)。第二階段審核則是對(duì)組織的信息安全管理體系進(jìn)行實(shí)際的現(xiàn)場(chǎng)審核，驗(yàn)證其運(yùn)行的有效性和符合性。因此，選項(xiàng)B“第一階段審核”和選項(xiàng)C“第二階段審核”都是組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動(dòng)。而選項(xiàng)A“審核準(zhǔn)備”通常指的是審核前的準(zhǔn)備工作，不是審核活動(dòng)本身，因此不應(yīng)選。選項(xiàng)D“認(rèn)證決定”是審核完成后，由認(rèn)證機(jī)構(gòu)根據(jù)審核結(jié)果作出的決定，不是審核活動(dòng)，也不應(yīng)選。因此，正確答案是B和C。54.下列哪些是SSL支持的內(nèi)容類(lèi)型？（）A.changecipherspecB.alertC.handshakleD.applicationdata答案：ABCD解析：SSL（SecureSocketsLayer）是一種安全協(xié)議，用于在網(wǎng)絡(luò)上提供安全通信。在SSL協(xié)議中，有多種消息類(lèi)型用于不同的目的。A.changecipherspec：這個(gè)消息類(lèi)型用于通知對(duì)方更改加密套件。在SSL握手過(guò)程中，客戶(hù)端和服務(wù)器會(huì)協(xié)商一個(gè)加密套件，用于后續(xù)的數(shù)據(jù)加密。當(dāng)一方想要更改加密套件時(shí)，它會(huì)發(fā)送一個(gè)changecipherspec消息。B.alert：這個(gè)消息類(lèi)型用于通知對(duì)方發(fā)生了某種錯(cuò)誤或異常。例如，如果一方檢測(cè)到對(duì)方發(fā)送的消息格式不正確，它會(huì)發(fā)送一個(gè)alert消息來(lái)通知對(duì)方。C.handshake：這個(gè)消息類(lèi)型用于建立SSL連接。在SSL握手過(guò)程中，客戶(hù)端和服務(wù)器會(huì)交換證書(shū)、密鑰等信息，以確保雙方的身份和加密能力。D.applicationdata：這個(gè)消息類(lèi)型用于傳輸應(yīng)用層的數(shù)據(jù)。在SSL連接建立后，客戶(hù)端和服務(wù)器可以通過(guò)發(fā)送applicationdata消息來(lái)傳輸應(yīng)用層的數(shù)據(jù)。因此，A、B、C和D都是SSL支持的內(nèi)容類(lèi)型。55.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)（）類(lèi)的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門(mén)審核制度。A.新聞、出版B.醫(yī)療、保健C.知識(shí)類(lèi)D.教育類(lèi)答案：ABD解析：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》是為了規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動(dòng)，促進(jìn)互聯(lián)網(wǎng)信息服務(wù)健康有序發(fā)展，維護(hù)國(guó)家安全和社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益而制定的法規(guī)。根據(jù)該法規(guī)，互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營(yíng)性和非經(jīng)營(yíng)性?xún)深?lèi)。對(duì)于新聞、出版、醫(yī)療保健、藥品和醫(yī)療器械等關(guān)系國(guó)家利益和社會(huì)公共利益的系統(tǒng)使用的互聯(lián)網(wǎng)信息服務(wù)，以及生產(chǎn)建設(shè)經(jīng)營(yíng)單位使用并形成向社會(huì)公眾提供互聯(lián)網(wǎng)信息服務(wù)的系統(tǒng)，需要經(jīng)主管部門(mén)或者主管單位審核同意后，才能由互聯(lián)網(wǎng)信息服務(wù)提供者開(kāi)展相關(guān)