本資料由小槳備考整理，僅供學習參考，非官方發(fā)布信息安全管理體系基礎(chǔ)考前秘卷答案及解析單選題（共40題）1.在A公司審核時，發(fā)現(xiàn)公司某機房管理員雖然離職，但門禁權(quán)限分配記錄中仍保留該人員的權(quán)限，詢問發(fā)現(xiàn)該門禁已發(fā)放新的機房管理員，但權(quán)限未進行更改，請問該情況不符合GB/T22080-2016/ISO/IEC27001:2013標準哪個條款（）。A.A.9.2.6撤銷訪問權(quán)B.A.11.2.1用戶注冊C.A.11.2.4用戶訪問權(quán)的復查D.A.11.5.2用戶標示和鑒別答案：A解析：本題考察的是GB/T22080-2016/ISO/IEC27001:2013標準中的條款理解。根據(jù)題目描述，機房管理員離職后，門禁權(quán)限分配記錄中仍保留該人員的權(quán)限，且新的機房管理員已經(jīng)到位，但權(quán)限未進行更改。這種情況明顯不符合標準中撤銷訪問權(quán)的相關(guān)規(guī)定。選項A.9.2.6撤銷訪問權(quán)，該條款要求組織應(yīng)確保在員工、承包商或其他人員不再需要訪問權(quán)時，及時撤銷其訪問權(quán)。題目中描述的情況正是該管理員離職后，其訪問權(quán)未被及時撤銷，因此不符合A.9.2.6條款。選項B.A.11.2.1用戶注冊，該條款涉及用戶注冊的相關(guān)要求，與題目描述的情況不符。選項C.A.11.2.4用戶訪問權(quán)的復查，該條款要求組織應(yīng)定期或不定期地復查用戶訪問權(quán)的分配，確保訪問權(quán)的合理性和安全性。題目中并未提及復查環(huán)節(jié)，因此不符合C選項。選項D.A.11.5.2用戶標示和鑒別，該條款涉及用戶標示和鑒別的方法和要求，與題目描述的情況不符。綜上所述，該情況不符合GB/T22080-2016/ISO/IEC27001:2013標準中的A.9.2.6撤銷訪問權(quán)條款。因此，正確答案為A。2.T面哪一種屬于網(wǎng)絡(luò)上的被動攻擊（）。A.消息篡改B.偽裝C.拒絕服務(wù)D.流量分析答案：D解析：被動攻擊是指攻擊者通過截獲、分析網(wǎng)絡(luò)上傳輸?shù)男畔韺嵤┕?，而不是直接對目標進行破壞。選項A消息篡改、選項B偽裝和選項C拒絕服務(wù)都是主動攻擊的方式，它們會直接對目標進行破壞或干擾。而選項D流量分析是被動攻擊的一種方式，攻擊者通過分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流量來獲取敏感信息或進行其他惡意活動。因此，正確答案是D。3.《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指（）。A.對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)版權(quán)所B.計算機及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C.計算機運算環(huán)境的總和，但不含網(wǎng)絡(luò)D.一個組織所有計算機的總和，包括未聯(lián)網(wǎng)的微型計算機答案：A解析：《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng)，是指進行信息采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。因此，選項A“對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)”是正確的。選項B“計算機及其相關(guān)的設(shè)備、設(shè)施，不包括軟件”和選項C“計算機運算環(huán)境的總和，但不含網(wǎng)絡(luò)”都沒有涵蓋到計算機信息系統(tǒng)的主要功能，即信息處理。選項D“一個組織所有計算機的總和，包括未聯(lián)網(wǎng)的微型計算機”雖然提到了計算機，但沒有明確說明這些計算機是用于信息處理的。因此，正確答案是A。4.根據(jù)GB/T22080-2016標準的要求，相關(guān)方的要求可能包括（）。A.標準、法規(guī)要求和合同義務(wù)B.法律、標準要求和合同義務(wù)C.法律、法規(guī)要求和合同義務(wù)D.法律、法規(guī)和標準要求和合同義務(wù)答案：C解析：根據(jù)GB/T22080-2016標準的要求，相關(guān)方的要求可能包括法律、法規(guī)要求和合同義務(wù)。這是因為GB/T22080-2016標準是一個關(guān)于信息安全管理體系的標準，它要求組織在建立和實施信息安全管理體系時，必須考慮相關(guān)方的要求，包括法律、法規(guī)要求和合同義務(wù)。因此，選項C“法律、法規(guī)要求和合同義務(wù)”是正確的答案。選項A中的“標準”和選項B中的“標準要求”都沒有在題目中明確提到，因此不是正確答案。選項D中的“標準要求”與選項A重復，因此也不是正確答案。5.《中華人民共和國密碼法》規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為（）。A.普密、商密兩個級別B.低級和高級兩個級別C.絕密、機密、秘密三個級別D.一密、二密、三密、四密四個級別答案：C解析：《中華人民共和國密碼法》規(guī)定，國家秘密的密級分為絕密、機密、秘密三個級別。因此，正確選項為C。選項A、B、D中的描述均不符合法律規(guī)定。6.PDR安全模型屬于（）類型。A.時間模型B.作用模型C.結(jié)構(gòu)模型D.關(guān)系模型答案：A解析：PDR安全模型屬于時間模型，這是因為它強調(diào)的是在事前（Prevention）、事中（Detection）和事后（Response）三個不同的時間點對網(wǎng)絡(luò)安全進行防護和管理。這種模型強調(diào)了在時間上的連續(xù)性和先后順序，因此屬于時間模型。而作用模型、結(jié)構(gòu)模型和關(guān)系模型則分別關(guān)注不同的方面，與PDR安全模型的特點不符。因此，正確答案是A時間模型。7.等級保護標準GB17859主要是參考了（）而提出。A.歐洲TSECB.美國TCSECC.CCD.BS7799答案：B解析：等級保護標準GB17859主要參考了美國TCSEC（TemporalCompartmentalModelforSecurity）而提出。TCSEC是一種時間分隔模型，用于計算機系統(tǒng)的安全評估。而歐洲TSEC（TEMPORALSECURITYENGINEERING）、CC（CommonCriteria）和BS7799（InformationSecurityManagementSystem）與GB17859沒有直接關(guān)聯(lián)。因此，正確答案為B選項。8.國家保密的保密期限應(yīng)為（）。A.絕密不超過三十年，機密不超過二十年，秘密不超過十年B.絕密不低于三十年，機密不低于二十年，秘密不低于十年C.絕密不超過二十五年，機密不超過十五年，秘密不超過五年D.絕密不低于二十五年，機密不低于十五年，秘密不低于五年答案：A解析：《中華人民共和國保守國家秘密法》第十九條規(guī)定，國家秘密的保密期限，除另有規(guī)定外，絕密級不超過三十年，機密級不超過二十年，秘密級不超過十年。因此，正確答案為A選項，即“絕密不超過三十年，機密不超過二十年，秘密不超過十年”。9.審核計劃中不包括（）。A.本次及其后續(xù)審核的時間安排B.審核準則C.審核組城員及分工D.審核的日程安排答案：A解析：根據(jù)題目所給的信息，審核計劃應(yīng)該包含審核準則、審核組成員及分工、審核的日程安排等內(nèi)容。而選項A“本次及其后續(xù)審核的時間安排”并不在審核計劃中應(yīng)該包含的內(nèi)容里，因此答案為A。所以，選項A“本次及其后續(xù)審核的時間安排”是不包括在審核計劃中的。10.關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是（）。A.建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B.建設(shè)三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C.建設(shè)機密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D.以上都不對答案：A解析：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)應(yīng)當同時規(guī)劃、建設(shè)、使用安全技術(shù)措施，以確保系統(tǒng)的安全性和穩(wěn)定性。因此，選項A“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”是正確的。而選項B、C中提到的“建設(shè)三級以上信息系統(tǒng)”和“建設(shè)機密及以上信息系統(tǒng)”并不符合“三同步”的要求，因此選項B和C都是錯誤的。選項D“以上都不對”也是錯誤的，因為選項A是正確的。11.一個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成。它們具有損害業(yè)務(wù)運行和威脅信息安全的極大可能性。A.已經(jīng)發(fā)生B.可能發(fā)生C.意外D.A+B+C答案：C解析：信息安全事件是指對業(yè)務(wù)運行和信息安全造成威脅的一系列有害或意外信息安全事態(tài)。這些事態(tài)具有損害業(yè)務(wù)運行和威脅信息安全的極大可能性。因此，題目中的“它們具有損害業(yè)務(wù)運行和威脅信息安全的極大可能性”指的是這些事態(tài)可能帶來的后果，而不是已經(jīng)發(fā)生或可能發(fā)生的狀態(tài)。因此，正確答案是C，即“意外”。12.《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》規(guī)定：互聯(lián)單位、接入單位、使用計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的法人和其他組織（包括跨省、自治區(qū)真轄能聯(lián)網(wǎng)的單位和所屬的分支機構(gòu)），應(yīng)當自網(wǎng)絡(luò)正式聯(lián)通之日起（）日內(nèi)，到所在地的省、自治區(qū)、直轄人民或府公安機關(guān)指定的受理機關(guān)辦理備案手續(xù)。A.7B.10C.15D.30答案：D解析：《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》規(guī)定：互聯(lián)單位、接入單位、使用計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的法人和其他組織（包括跨省、自治區(qū)真轄能聯(lián)網(wǎng)的單位和所屬的分支機構(gòu)），應(yīng)當自網(wǎng)絡(luò)正式聯(lián)通之日起三十日內(nèi)，到所在地的省、自治區(qū)、直轄人民或府公安機關(guān)指定的受理機關(guān)辦理備案手續(xù)。因此，正確選項是D。13.最早研究計算機網(wǎng)絡(luò)的目的是（）。A.直接的個人通信B.共享硬盤空間打印機等設(shè)備C.共享計算資源D.大量的數(shù)據(jù)交換答案：C解析：計算機網(wǎng)絡(luò)的發(fā)展經(jīng)歷了多個階段，其最初的目的是實現(xiàn)計算機資源的共享。資源共享包括硬件資源（如打印機、磁盤驅(qū)動器等）、軟件資源（如數(shù)據(jù)文件、程序等）和數(shù)據(jù)資源（如數(shù)據(jù)庫中的信息）的共享。這種共享使得多臺計算機可以協(xié)同工作，提高了計算機的使用效率。因此，最早研究計算機網(wǎng)絡(luò)的目的是共享計算資源，選項C是正確的。其他選項如直接的個人通信、共享硬盤空間打印機等設(shè)備、大量的數(shù)據(jù)交換雖然也是計算機網(wǎng)絡(luò)的功能，但并不是其最初的目的。14.信息安全災(zāi)備管理中，“災(zāi)難備份”指：（）A.備份數(shù)據(jù)發(fā)生了災(zāi)難性破壞B.為災(zāi)難恢復而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)進行備份的過程C.為災(zāi)難恢復而對基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運行管理能力進行備份的過程D.B+C答案：D解析：“災(zāi)難備份”是指為災(zāi)難恢復而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)進行備份的過程，同時也包括對基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運行管理能力的備份過程。因此，選項D“B+C”是正確答案。選項A“備份數(shù)據(jù)發(fā)生了災(zāi)難性破壞”與題目描述不符，選項B“為災(zāi)難恢復而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)進行備份的過程”只描述了部分內(nèi)容，選項C“為災(zāi)難恢復而對基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運行管理能力進行備份的過程”同樣只描述了部分內(nèi)容。因此，選項D是正確答案。15.當訪問單位服務(wù)器時，響應(yīng)速度明顯減慢時，最有可能受到了哪種攻擊？（）A.特洛伊木馬B.地址欺騙C.緩沖區(qū)溢出D.拒絕服務(wù)答案：D解析：訪問單位服務(wù)器時，響應(yīng)速度明顯減慢，最有可能受到了拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是指攻擊者通過發(fā)送大量的請求或數(shù)據(jù)包，使服務(wù)器資源耗盡，無法正常響應(yīng)合法用戶的請求，導致服務(wù)癱瘓。這種攻擊通常會使服務(wù)器響應(yīng)速度明顯減慢或完全無法響應(yīng)。特洛伊木馬、地址欺騙和緩沖區(qū)溢出雖然也是常見的網(wǎng)絡(luò)攻擊手段，但它們通常不會導致服務(wù)器響應(yīng)速度明顯減慢。因此，最有可能的攻擊方式是拒絕服務(wù)攻擊。16.已獲得認證的組織，第二年擬在證書范圍上新增加一個場所，針對此情況，以下說法正確的是（）。A.新增場所須實施現(xiàn)場審核，在監(jiān)督審核人天數(shù)基礎(chǔ)上加一個人天B.新增場所須實施現(xiàn)場審核，新增場所按初審計算人天數(shù)C.若組織內(nèi)審已覆蓋新增場所，監(jiān)督審核時對組織內(nèi)審報告進行評審，不必去該新場所現(xiàn)場審核D.新增場所須實施現(xiàn)場審核，按監(jiān)督審核計算人天數(shù)答案：B解析：對于已獲得認證的組織，在證書范圍上新增加一個場所的情況，需要新增場所須實施現(xiàn)場審核，且新增場所按初審計算人天數(shù)。因此，正確答案為B選項，即新增場所須實施現(xiàn)場審核，新增場所按初審計算人天數(shù)。A選項提到在監(jiān)督審核人天數(shù)基礎(chǔ)上加一個人天，但并未明確說明新增場所按初審計算人天數(shù)，因此A選項不正確。C選項提到若組織內(nèi)審已覆蓋新增場所，監(jiān)督審核時對組織內(nèi)審報告進行評審，不必去該新場所現(xiàn)場審核。然而，即使組織內(nèi)審已經(jīng)覆蓋新增場所，仍需進行現(xiàn)場審核以確保其符合認證要求，因此C選項也不正確。D選項提到新增場所須實施現(xiàn)場審核，按監(jiān)督審核計算人天數(shù)，但并未明確說明新增場所按初審計算人天數(shù)，因此D選項也不完全正確。17.組織針對信息系統(tǒng)的升級版，在向生產(chǎn)系統(tǒng)安裝前構(gòu)建受控環(huán)境予以測試，這符合（）。A.GB/T22080-2016/ISO/IEC27001:2013標準A.11.1.3條款的要求B.GB/T22080-2016/ISO/IEC27001:2013標準A.14.2.4條款的要求C.GB/T22080-2016/ISO/IEC27001:2013標準A.12.5.1條款的要求D.GB/T22080-2016/ISO/IEC27001:2013標準A.14.2.9條款的要求答案：D解析：題目中提到“組織針對信息系統(tǒng)的升級版，在向生產(chǎn)系統(tǒng)安裝前構(gòu)建受控環(huán)境予以測試”，這符合GB/T22080-2016/ISO/IEC27001:2013標準A.14.2.9條款的要求。該條款明確規(guī)定了組織在更改其信息系統(tǒng)之前，應(yīng)確保在受控環(huán)境中進行充分的測試，以確保更改不會對組織的信息安全造成不利影響。因此，選項D是正確答案。18.（）手段，可以有效應(yīng)對較大范圍的安全事件的不良影響，保證關(guān)鍵服務(wù)和數(shù)據(jù)的可用性。A.定期備份B.異地備份C.人工備份D.本地備份答案：B解析：在應(yīng)對較大范圍的安全事件的不良影響時，保證關(guān)鍵服務(wù)和數(shù)據(jù)的可用性是非常重要的。而異地備份是一種有效的手段，可以將數(shù)據(jù)備份到遠離主服務(wù)器的地點，即使主服務(wù)器發(fā)生故障，備份數(shù)據(jù)仍然可用，從而確保關(guān)鍵服務(wù)和數(shù)據(jù)的可用性。因此，選項B“異地備份”是正確答案。其他選項如定期備份、人工備份和本地備份雖然都是備份的方式，但在應(yīng)對較大范圍的安全事件時可能不如異地備份有效。19.《信息安全等級保護管理辦法》規(guī)定，應(yīng)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查對秘密級、機密級信息系統(tǒng)每（）至少進行一次保密檢查或系統(tǒng)測評。A.半年B.1年C.1.5年D.2年答案：D解析：根據(jù)《信息安全等級保護管理辦法》的規(guī)定，涉密信息系統(tǒng)在運行過程中應(yīng)加強保密監(jiān)督檢查。對于秘密級和機密級的信息系統(tǒng)，至少每兩年進行一次保密檢查或系統(tǒng)測評。因此，正確答案為D，即“2年”。20.《中華人民共和國認證認可條例》規(guī)定，認證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認可機構(gòu)不再接受其注冊申請。A.2年B.3年C.4年D.5年答案：D解析：根據(jù)《中華人民共和國認證認可條例》的規(guī)定，認證人員自被撤銷職業(yè)資格之日起，認可機構(gòu)不再接受其注冊申請的時間期限為5年。因此，正確答案為D選項，即5年。21.某認證機構(gòu)A獲得批準實施QMS認證，但未獲得批準實施ISMS認證；認證機構(gòu)B獲得批準實施ISMS認證，但未獲得誰實施QMS認證：某審核員同時具備QMS審核員資格以及ISMS審核員資格，對此以下說法正確的是（）。A.該審核員可在機構(gòu)A專職從事QMS認證審核，同時加入機構(gòu)B作為兼職審核員從事ISMS認證審核B.項審核員可在機構(gòu)B專職從事ISMS認證審核，同時加入機構(gòu)A從事QMS認證審核C.該審核員若在機構(gòu)A從事QMS認證審核，同時在機構(gòu)B從事ISMS認證審核則在兩個機構(gòu)都只能擔當兼職審核員，不得擔當專職審核員D.該審核員只可在機構(gòu)A從事QMS認證審核，或在機構(gòu)B從事ISMS認證審核，無論擔當專職還是兼職審核員答案：D解析：根據(jù)題目描述，認證機構(gòu)A獲得批準實施QMS認證，但未獲得批準實施ISMS認證；認證機構(gòu)B獲得批準實施ISMS認證，但未獲得誰實施QMS認證。這說明機構(gòu)A可以實施QMS認證，但不可以實施ISMS認證，而機構(gòu)B可以實施ISMS認證，但不可以實施QMS認證。題目還提到某審核員同時具備QMS審核員資格以及ISMS審核員資格，那么他只能在具備相應(yīng)資格的認證機構(gòu)進行審核工作，也就是說，他可以在機構(gòu)A從事QMS認證審核，或者在機構(gòu)B從事ISMS認證審核，但不能在兩個機構(gòu)同時兼職進行審核工作。因此，正確答案是D。22.關(guān)于GB/T28450標準，以下說法不正確的是（）。A.與ISO/IEC27006一致B.與ISO19011一致C.增加了ISMS的審核指導D.等同采用了ISO19011答案：D解析：題目詢問關(guān)于GB/T28450標準的說法哪個是不正確的。A選項提到與ISO/IEC27006一致，這是正確的，因為GB/T28450確實與ISO/IEC27006標準在信息安全管理體系（ISMS）的審核和認證方面是一致的。B選項提到與ISO19011一致，這也是正確的。GB/T28450確實參考了ISO19011標準，該標準提供了審核準則和審核管理系統(tǒng)的通用原則。C選項提到增加了ISMS的審核指導，這也是正確的。GB/T28450標準確實提供了關(guān)于信息安全管理體系（ISMS）審核的指南和指導。D選項說等同采用了ISO19011，這是不正確的。雖然GB/T28450參考了ISO19011，但它并不等同于ISO19011。兩者在內(nèi)容、目的和應(yīng)用上可能存在差異。因此，不正確的說法是D選項。23.適用性聲明文件應(yīng)（）。A.描述與組織相關(guān)和適用的控制目標和控制措施B.版本應(yīng)保持穩(wěn)定不變C.應(yīng)包含標準GB/T22080附錄A的所有條款D.應(yīng)刪除組織不擬實施的控制措施答案：A解析：適用性聲明文件應(yīng)描述與組織相關(guān)和適用的控制目標和控制措施。適用性聲明文件是為了確保信息安全管理體系與組織的具體需求和運營情況相適應(yīng)而制定的。文件中應(yīng)明確與組織相關(guān)和適用的控制目標，以及實現(xiàn)這些目標所需的控制措施，確保組織能夠根據(jù)自身的實際情況進行信息安全管理。選項B提到“版本應(yīng)保持穩(wěn)定不變”，這與適用性聲明文件的編寫和維護無直接關(guān)聯(lián)。選項C提到“應(yīng)包含標準GB/T22080附錄A的所有條款”，適用性聲明文件的內(nèi)容并不是固定不變的，需要根據(jù)組織的實際情況進行調(diào)整和修改，不一定需要包含標準GB/T22080附錄A的所有條款。選項D提到“應(yīng)刪除組織不擬實施的控制措施”，適用性聲明文件應(yīng)明確組織擬實施的控制措施，而不是刪除不擬實施的控制措施。因此，正確答案是A，即適用性聲明文件應(yīng)描述與組織相關(guān)和適用的控制目標和控制措施。24.在第三方認證審核時，（）不是審核員的職責。A.實施審核B.確定不合格項C.對發(fā)現(xiàn)的不合格項采取糾正措施D.驗證審核方所采取糾正措施的有效性答案：C解析：在第三方認證審核中，審核員的職責是實施審核和驗證審核方所采取糾正措施的有效性。確定不合格項和對發(fā)現(xiàn)的不合格項采取糾正措施不是審核員的職責，而是審核方或其內(nèi)部質(zhì)量體系管理部門的職責。因此，選項C不是審核員的職責。25.虛擬專用網(wǎng)（VPN）的數(shù)據(jù)保密性，是通過什么實現(xiàn)的？（）A.安全接口層（SSL,SecureSocketsLayer）B.風險隧道技術(shù)（Tunnelling）C.數(shù)字簽名D.風險釣魚答案：B解析：虛擬專用網(wǎng)（VPN）的數(shù)據(jù)保密性是通過風險隧道技術(shù)（Tunneling）實現(xiàn)的。VPN利用隧道技術(shù)將數(shù)據(jù)包封裝在一個公共網(wǎng)絡(luò)協(xié)議中，并通過加密技術(shù)保護數(shù)據(jù)在傳輸過程中的安全，從而確保數(shù)據(jù)在公共網(wǎng)絡(luò)中的保密性。因此，選項B“風險隧道技術(shù)（Tunneling）”是正確的答案。選項A“安全接口層（SSL，SecureSocketsLayer）”雖然也涉及到加密技術(shù)，但主要是用于網(wǎng)絡(luò)應(yīng)用層的安全傳輸，不是VPN數(shù)據(jù)保密性的主要實現(xiàn)方式。選項C“數(shù)字簽名”主要用于驗證數(shù)據(jù)的完整性和來源，與VPN的數(shù)據(jù)保密性無直接關(guān)系。選項D“風險釣魚”與VPN的數(shù)據(jù)保密性無關(guān)，是一個錯誤選項。26.GB/T22080-2016標準中要求保護“測試數(shù)據(jù)”，以下符合這以要求的情況是（）。A.確保使用生產(chǎn)環(huán)境數(shù)據(jù)用于測試時真實、準確B.確保對信息系統(tǒng)測試所獲得的數(shù)據(jù)的訪問控制C.對用于信息系統(tǒng)測試的數(shù)據(jù)進行匿名化處理D.以上全部答案：B解析：GB/T22080-2016標準中要求保護“測試數(shù)據(jù)”，其中對“測試數(shù)據(jù)”的保護包括確保對信息系統(tǒng)測試所獲得的數(shù)據(jù)的訪問控制。因此，符合這一要求的是選項B，即確保對信息系統(tǒng)測試所獲得的數(shù)據(jù)的訪問控制。選項A提到的是生產(chǎn)環(huán)境數(shù)據(jù)，與題目要求的測試數(shù)據(jù)不符；選項C提到的是對用于信息系統(tǒng)測試的數(shù)據(jù)進行匿名化處理，雖然匿名化處理可以保護數(shù)據(jù)，但并未直接涉及到訪問控制；選項D雖然包含了所有選項，但并非最符合題目要求的答案。因此，正確答案是B。27.（）是PKI體系中最基本的元素，PKI系統(tǒng)所有的安全操作都是通過該機制來實現(xiàn)的。A.SSLB.IARAC.RAD.數(shù)字證書答案：D解析：在PKI（公鑰基礎(chǔ)設(shè)施）體系中，數(shù)字證書是最基本的元素。PKI系統(tǒng)所有的安全操作都是通過數(shù)字證書機制來實現(xiàn)的。數(shù)字證書用于驗證實體的身份，確保通信的安全性和完整性。因此，正確答案是D，即數(shù)字證書。28.以下關(guān)于IPSec協(xié)議的敘述中，正確的是（）。A.IPSec協(xié)議是IP協(xié)議安全問題的一種解決方案B.IPSec協(xié)議不提供機密性保護機制C.IPSec協(xié)議不提供認證功能D.IPSec協(xié)議不提供完整性驗證機制答案：A解析：IPSec協(xié)議是IP協(xié)議安全問題的一種解決方案，它提供了機密性保護機制、認證功能和完整性驗證機制。因此，選項A“IPSec協(xié)議是IP協(xié)議安全問題的一種解決方案”是正確的。選項B“IPSec協(xié)議不提供機密性保護機制”、選項C“IPSec協(xié)議不提供認證功能”和選項D“IPSec協(xié)議不提供完整性驗證機制”都是不正確的。29.安全區(qū)域通常的防護措施有（）。A.公司前臺的電腦顯示器背對來訪者B.進出公司的訪客須在門衛(wèi)處進行登記C.重點機房安裝有門禁系統(tǒng)D.以上全部答案：D解析：安全區(qū)域通常的防護措施包括前臺的電腦顯示器背對來訪者、進出公司的訪客須在門衛(wèi)處進行登記以及重點機房安裝有門禁系統(tǒng)。這些都是為了保護公司的重要資產(chǎn)和敏感信息，確保只有授權(quán)人員能夠訪問和操作。因此，選項D“以上全部”是正確的答案。30.信息安全災(zāi)備管理中，“恢復點目標”指：（）A.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復的時間B.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能項恢復的范圍C.災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復到的時間點要求D.災(zāi)難發(fā)生后，關(guān)鍵數(shù)據(jù)能被復原的范圍答案：C解析：在信息安全災(zāi)備管理中，“恢復點目標”（RecoveryPointObjective，RPO）指的是災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復到的時間點要求。這意味著在發(fā)生災(zāi)難后，企業(yè)和組織期望能夠恢復到某個特定的時間點，以確保數(shù)據(jù)的完整性和業(yè)務(wù)的連續(xù)性。因此，選項C“災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復到的時間點要求”是正確的。其他選項A、B和D都與恢復點目標的定義不符。31.組織應(yīng)按照本標準的要求（）信息安全管理體系。A.策劃、實現(xiàn)、監(jiān)視、和持續(xù)改進B.建立、實施、監(jiān)視、和持續(xù)改進C.建立、實現(xiàn)、維護、和持續(xù)改進D.策劃、實施、維護、和持續(xù)改進答案：C解析：本題考察信息安全管理體系的策劃、實施、監(jiān)視和持續(xù)改進過程。根據(jù)題目中的描述，組織應(yīng)按照標準的要求建立、實現(xiàn)、監(jiān)視、和持續(xù)改進信息安全管理體系。選項A中的“策劃”在信息安全管理體系中通常被理解為“建立”，所以A選項不夠準確。選項B中的“建立”雖然與信息安全管理體系相關(guān)，但缺少了“實現(xiàn)”這一重要環(huán)節(jié)。選項D中的“策劃”同樣被理解為“建立”，并且缺少了“監(jiān)視”這一環(huán)節(jié)。因此，最符合題目要求的選項是C，即“建立、實現(xiàn)、維護、和持續(xù)改進”。這里的“維護”可以理解為對信息安全管理體系的持續(xù)改進，與題目中的“持續(xù)改進”相符。32.依據(jù)GB/T22080/ISO/IEC27001中控制措施的要求，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的是（）。A.網(wǎng)絡(luò)管理員可以通過telnet在家里遠程登錄、維護核心交換機B.應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C.可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制D.可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制答案：B解析：根據(jù)GB/T22080/ISO/IEC27001中的控制措施要求，針對網(wǎng)絡(luò)服務(wù)的訪問控制策略，我們來看每一個選項：A選項提到網(wǎng)絡(luò)管理員可以通過telnet在家里遠程登錄、維護核心交換機。然而，telnet是一種明文傳輸協(xié)議，這意味著所有傳輸?shù)臄?shù)據(jù)都是明文，容易被截獲和破解。因此，使用telnet進行遠程登錄和維護是不安全的，不符合訪問控制策略的要求。B選項建議應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)。這是正確的，因為關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)可以減少潛在的安全風險，提高系統(tǒng)的安全性。C選項提到可以通過防病毒產(chǎn)品實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制。雖然防病毒產(chǎn)品可以幫助檢測和清除病毒，但它并不能直接實現(xiàn)對內(nèi)部用戶的網(wǎng)絡(luò)訪問控制。訪問控制通常涉及到身份認證、授權(quán)和審計等方面，而防病毒產(chǎn)品主要關(guān)注于病毒檢測和清除。D選項提到可以通過常規(guī)防火墻實現(xiàn)對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的訪問控制。雖然防火墻可以幫助控制網(wǎng)絡(luò)訪問，但它通常用于控制外部用戶訪問內(nèi)部網(wǎng)絡(luò)，而不是內(nèi)部用戶訪問外部網(wǎng)絡(luò)。綜上所述，只有B選項符合GB/T22080/ISO/IEC27001中的控制措施要求，因此正確答案是B。33.關(guān)于時鐘同步的控制要求，描述正確的是（）。A.一個組織或安全區(qū)域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘，應(yīng)與多個基準物相同B.一個組織或安全區(qū)域內(nèi)的核心相關(guān)信息處理設(shè)施的時鐘，應(yīng)與多個基準物相同C.一個組織或安全區(qū)域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘，應(yīng)與單一一時鐘源同步D.一個組織或安全區(qū)域內(nèi)的核心相關(guān)信息處理設(shè)施的時鐘，應(yīng)與單一一時鐘源同歩答案：C解析：根據(jù)題目描述，我們需要找到關(guān)于時鐘同步的控制要求中描述正確的選項。選項A表示一個組織或安全區(qū)域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘，應(yīng)與多個基準物相同，這個描述并不明確，也沒有提到與單一時鐘源同步。選項B表示一個組織或安全區(qū)域內(nèi)的核心相關(guān)信息處理設(shè)施的時鐘，應(yīng)與多個基準物相同，這個描述也存在問題，它只針對核心設(shè)施，沒有涉及到所有設(shè)施。選項C表示一個組織或安全區(qū)域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘，應(yīng)與單一一時鐘源同步，這個描述明確且符合時鐘同步的控制要求。選項D表示一個組織或安全區(qū)域內(nèi)的核心相關(guān)信息處理設(shè)施的時鐘，應(yīng)與單一一時鐘源同歩，這個描述與選項B類似，只針對核心設(shè)施，并且“同歩”這個詞可能是輸入錯誤，應(yīng)為“同步”。因此，正確答案是選項C。34.《中華人民共和國網(wǎng)絡(luò)安全法》的實施時間是（）。A.2016年6月1日B.2017年1月1日C.2017年6月1日D.2017年11月7日答案：C解析：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，本法自2017年6月1日起施行。因此，正確選項為C，即2017年6月1日。35.GB/T29246標準為組織和個人提供（）。A.建立信息安全管理體系的基礎(chǔ)信息B.信息安全管理體系的介紹C.ISMS標準族已發(fā)布標準的個紹D.ISMS標準族中使用的所有術(shù)語和定義答案：B解析：題目中詢問的是GB/T29246標準為組織和個人提供什么。根據(jù)給出的選項，我們可以逐一分析：A.建立信息安全管理體系的基礎(chǔ)信息-這個選項沒有直接提到GB/T29246標準，因此可以排除。B.信息安全管理體系的介紹-GB/T29246是信息安全管理體系標準族（ISMS標準族）的一部分，因此該標準很可能為組織和個人提供信息安全管理體系的相關(guān)介紹。C.ISMS標準族已發(fā)布標準的個紹-這個選項提到了ISMS標準族，但題目中并未明確詢問關(guān)于已發(fā)布標準的信息，因此可以排除。D.ISMS標準族中使用的所有術(shù)語和定義-這個選項雖然與ISMS標準族有關(guān)，但題目中并未明確詢問關(guān)于術(shù)語和定義的信息，因此可以排除。綜上所述，GB/T29246標準很可能為組織和個人提供信息安全管理體系的相關(guān)介紹，因此正確答案是B。36.當獲得的審核據(jù)表明不能達到審核目的時，審核組長可以（）。A.宣布停止受事核方的生產(chǎn)/服務(wù)活動B.向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當?shù)拇胧〤.宜布取消末次會議D.以都不可以答案：B解析：在審核過程中，當獲得的審核證據(jù)表明不能達到審核目的時，審核組長應(yīng)該向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當?shù)拇胧?。這是為了確保審核的公正性和有效性，同時也是對審核委托方和受審核方負責的表現(xiàn)。因此，選項B是正確的選擇。而選項A、C、D均與問題描述不符，故不正確。37.最早研究計算機網(wǎng)絡(luò)的目的是什么（）。A.直接的個人通信B.共享硬盤空間打印機等設(shè)備C.共享計算資源D.大量的數(shù)據(jù)交換答案：C解析：計算機網(wǎng)絡(luò)的最早研究目的是為了共享計算資源。在計算機發(fā)展的早期，多臺計算機需要共享存儲資源、打印機、數(shù)據(jù)等，而計算機網(wǎng)絡(luò)技術(shù)就是為解決這些問題而誕生的。因此，共享計算資源是計算機網(wǎng)絡(luò)最早研究的目的。其他選項如直接的個人通信、共享硬盤空間打印機等設(shè)備、大量的數(shù)據(jù)交換雖然也是計算機網(wǎng)絡(luò)的功能，但并不是其最早的研究目的。38.在審查一個大型數(shù)據(jù)中心期間，IS審計人員注意到其計算機操作員同時兼任備份磁帶管理員和安全管理員。以下哪一種情形應(yīng)在審計報告中視為最為危險的？（）A.計算機操作員兼任備份磁帶庫管理員B.計算機操作員兼任安全管理員C.計算機操作員同時兼任備份磁帶庫管理員和安全管理員D.沒有必要報告上述任何一種情形答案：B解析：在審查大型數(shù)據(jù)中心時，IS審計人員發(fā)現(xiàn)計算機操作員兼任了多個職務(wù)，包括備份磁帶庫管理員和安全管理員。在這三個選項中，兼任安全管理員的情況是最危險的。安全管理員負責數(shù)據(jù)中心的安全策略、訪問控制和安全事件的響應(yīng)，是保護數(shù)據(jù)中心安全的關(guān)鍵角色。如果計算機操作員兼任安全管理員，他可能會利用自己的權(quán)限來繞過安全策略，或者濫用訪問控制，從而對數(shù)據(jù)中心的安全構(gòu)成嚴重威脅。因此，兼任安全管理員的情況應(yīng)在審計報告中視為最為危險的。其他兩個選項雖然也可能帶來風險，但相對于兼任安全管理員來說，風險程度較低。因此，正確答案是B，即計算機操作員兼任安全管理員。39.根據(jù)GB/Z20986，由于保障信息系統(tǒng)正常運行所必須的外圍設(shè)施出現(xiàn)故障而導致的信息安全事件是（）。A.其他設(shè)備設(shè)施故障B.外圍保障設(shè)施故障C.人為破壞事故D.軟硬件自身故障答案：B解析：題目詢問的是由于保障信息系統(tǒng)正常運行所必須的外圍設(shè)施出現(xiàn)故障而導致的信息安全事件。在GB/Z20986中，這種由于外圍保障設(shè)施故障而導致的信息安全事件被稱為外圍保障設(shè)施故障。因此，選項B是正確的答案。其他選項，如其他設(shè)備設(shè)施故障、人為破壞事故和軟硬件自身故障，雖然可能也是信息安全事件的原因，但不是由于外圍保障設(shè)施故障導致的。40.組織應(yīng)給予信息以適當級別保護，是指（）。A.應(yīng)實施盡可能先進的保護措施以確保其保密性B.應(yīng)按信息對于組織業(yè)務(wù)的關(guān)鍵性給予充分和必要的保護C.應(yīng)確保信息對于組織內(nèi)的所有員工可用D.以上都對答案：B解析：組織應(yīng)給予信息以適當級別保護，意味著應(yīng)根據(jù)信息對于組織業(yè)務(wù)的關(guān)鍵性給予充分和必要的保護。這是信息安全的基本原則之一，確保敏感和關(guān)鍵信息得到適當?shù)谋Ｗo，以防止未經(jīng)授權(quán)的訪問、泄露或破壞。選項A提到的“應(yīng)實施盡可能先進的保護措施以確保其保密性”雖然也是信息安全的一部分，但它更側(cè)重于具體的保護措施，而不是基于信息的重要性進行分級保護。選項C“應(yīng)確保信息對于組織內(nèi)的所有員工可用”與信息安全保護并不完全吻合，因為某些信息可能需要限制訪問權(quán)限。選項D“以上都對”是不正確的，因為只有B選項全面而準確地回答了題目的問題。因此，正確答案是B。多選題（共15題）41.對重要系統(tǒng)防范惡意軟件的特殊要求（）。A.各部門應(yīng)按照信息備份的要求進行重要數(shù)據(jù)和軟件的備份B.如果發(fā)生信息處理設(shè)施受到病毒或其他種類的惡意軟件攻擊的事故，應(yīng)由系統(tǒng)運營部確認事故原因后，由相關(guān)部門或人員對被破壞數(shù)據(jù)或軟件進行恢復C.各個部門安裝的外購軟件應(yīng)從正式渠道獲得安裝介質(zhì)D.對于自行開發(fā)的軟件都必須由開發(fā)部門測試其安全性經(jīng)確認安全后方可安裝答案：ACD解析：根據(jù)題目描述，對重要系統(tǒng)防范惡意軟件的特殊要求需要滿足以下幾點：A選項提到“各部門應(yīng)按照信息備份的要求進行重要數(shù)據(jù)和軟件的備份”。這是確保在發(fā)生惡意軟件攻擊時，能夠迅速恢復數(shù)據(jù)和軟件，減少損失。C選項指出“各個部門安裝的外購軟件應(yīng)從正式渠道獲得安裝介質(zhì)”。這有助于確保軟件來源的可靠性，減少惡意軟件的傳播風險。D選項強調(diào)“對于自行開發(fā)的軟件都必須由開發(fā)部門測試其安全性經(jīng)確認安全后方可安裝”。這確保了自行開發(fā)的軟件在上線前已經(jīng)通過了安全性測試，降低了潛在的安全風險。B選項“如果發(fā)生信息處理設(shè)施受到病毒或其他種類的惡意軟件攻擊的事故，應(yīng)由系統(tǒng)運營部確認事故原因后，由相關(guān)部門或人員對被破壞數(shù)據(jù)或軟件進行恢復”雖然描述了一個處理流程，但并未明確強調(diào)是防范惡意軟件的特殊要求，因此不應(yīng)被選入。綜上所述，正確答案應(yīng)為A、C、D。42.根據(jù)ISO/IEC27005標準，風險處置的可選措施包括（）。A.風險識別B.風險分析C.風險轉(zhuǎn)移D.風險減緩答案：CD解析：根據(jù)ISO/IEC27005標準，風險處置的可選措施包括風險轉(zhuǎn)移和風險減緩。風險轉(zhuǎn)移是將風險從一個實體轉(zhuǎn)移到另一個實體，而風險減緩則是采取措施降低風險的可能性或影響。風險識別和風險分析是風險管理的不同階段，不是風險處置的可選措施。因此，正確選項為C、D。43.信息安全管理體系審核組的能力包括：（）A.信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B.有關(guān)有形和無形資產(chǎn)及其影響分析的知識C.風險管理過程和方法的知識D.信息安全管理體系的控制措施及其實施的知識答案：ABCD解析：信息安全管理體系審核組的能力應(yīng)該涵蓋多個方面的知識，以確保他們能夠有效地進行信息安全管理體系的審核。A選項提到信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識，這是因為信息安全事件處理是信息安全管理體系中重要的一部分，審核組需要了解這些處理方法以評估組織對信息安全事件的應(yīng)對能力。同時，業(yè)務(wù)連續(xù)性知識對于評估組織在信息安全事件發(fā)生后保持業(yè)務(wù)運作的能力也非常重要。B選項涉及有形和無形資產(chǎn)及其影響分析的知識。審核組需要了解組織的資產(chǎn)及其潛在影響，以便評估組織對信息安全風險的管理。C選項是風險管理過程和方法的知識，信息安全管理體系的核心是對風險的管理，審核組需要了解這些過程和方法以評估組織的風險管理能力。D選項是信息安全管理體系的控制措施及其實施的知識，這是信息安全管理體系審核的基礎(chǔ)，審核組需要了解這些控制措施及其實施情況以評估組織的信息安全管理體系的有效性。綜上所述，A、B、C和D選項都是信息安全管理體系審核組應(yīng)具備的能力，因此答案是A、B、C和D。44.以下屬于信息安全管理體系第一方審核的情形是（）。A.組織的顧客委托審核機構(gòu)對組織進行的ISMS審核B.組織自己的內(nèi)審員對組織進行的ISMS審核C.組織委托外部審核機構(gòu)對組織進行的ISMS審核D.組織自行組織的信息系統(tǒng)安全審計答案：BC解析：信息安全管理體系第一方審核的情形包括組織自己的內(nèi)審員對組織進行的ISMS審核，所以選項B是正確的。而選項A是第二方審核，選項C是第三方審核，選項D是信息系統(tǒng)安全審計，均不屬于第一方審核的情形。因此，正確答案為B。（注：本題為多選題，但根據(jù)AI的解析，只選擇了B作為答案。在實際的多選題答題中，需要同時考慮所有符合題意的選項。）45.關(guān)于“審核發(fā)現(xiàn)”，以下說法不正確的是（）。A.（A）審核發(fā)現(xiàn)即審核員觀察到的事實B.（B）審核發(fā)現(xiàn)可以表明正面的或負面的結(jié)果C.（C）審核發(fā)現(xiàn)即審核組提出的不符合項報告D.（D）審核發(fā)現(xiàn)即審核結(jié)論意見答案：ACD解析：A選項表示“審核發(fā)現(xiàn)即審核員觀察到的事實”，這是不準確的。審核發(fā)現(xiàn)不僅僅是審核員觀察到的事實，還包括對這些事實的解讀和評估。C選項表示“審核發(fā)現(xiàn)即審核組提出的不符合項報告”，這也是不正確的。審核發(fā)現(xiàn)可以包括符合項和不符合項，但不僅僅是不符合項報告。D選項表示“審核發(fā)現(xiàn)即審核結(jié)論意見”，這也是不準確的。審核發(fā)現(xiàn)是對審核過程中收集到的信息的描述，而審核結(jié)論意見則是基于這些發(fā)現(xiàn)對受審核方進行的評價或建議。B選項“審核發(fā)現(xiàn)可以表明正面的或負面的結(jié)果”是正確的。審核發(fā)現(xiàn)確實可以包括正面的和負面的結(jié)果，這取決于審核員對收集到的信息的解讀。46.關(guān)于“信息安全連續(xù)性”，以下正確的做法包括（）。A.人員、設(shè)備、設(shè)施、場所等的冗余配置B.定期或?qū)崟r進行數(shù)據(jù)備份C.考慮業(yè)務(wù)關(guān)鍵性確定恢復優(yōu)先順序和目標D.有保障信息安全連續(xù)性水平的過程和程序文件答案：ABCD解析：信息安全連續(xù)性是保障組織在面對意外中斷或災(zāi)難時，能夠迅速恢復其關(guān)鍵業(yè)務(wù)功能的能力。A選項提到“人員、設(shè)備、設(shè)施、場所等的冗余配置”，這是確保在關(guān)鍵時期有足夠的資源來支持業(yè)務(wù)恢復的重要措施。B選項“定期或?qū)崟r進行數(shù)據(jù)備份”是防止數(shù)據(jù)丟失的關(guān)鍵手段，有助于在數(shù)據(jù)損壞或丟失時迅速恢復。C選項“考慮業(yè)務(wù)關(guān)鍵性確定恢復優(yōu)先順序和目標”則是確保在資源有限的情況下，優(yōu)先恢復對業(yè)務(wù)影響最大的功能。D選項“有保障信息安全連續(xù)性水平的過程和程序文件”是確保整個恢復過程有序、高效進行的基礎(chǔ)。因此，ABCD都是關(guān)于信息安全連續(xù)性的正確做法。47.以下（）活動是ISMS監(jiān)視預(yù)評審階段需完成的內(nèi)容。A.實施培訓和意識教育計劃B.實施ISMS內(nèi)容審核C.實施ISMS管理評審D.采取糾正措施答案：BC解析：ISMS監(jiān)視預(yù)評審階段的主要目的是確保組織已經(jīng)具備實施ISMS（信息安全管理體系）的基礎(chǔ)條件，并評估組織對ISMS的準備情況。A.實施培訓和意識教育計劃-這通常是在ISMS實施階段進行的，目的是提高員工對ISMS的認識和意識，確保他們了解并遵循相關(guān)的信息安全政策和程序。在預(yù)評審階段，雖然培訓意識教育計劃可能已經(jīng)開始，但通常不會專門作為預(yù)評審階段的主要任務(wù)。B.實施ISMS內(nèi)容審核-在預(yù)評審階段，審核組織現(xiàn)有的信息安全政策、程序和相關(guān)文件，確保它們符合ISMS的要求，這是非常重要的。這可以幫助組織識別可能需要進行更改或增強的地方，為正式實施ISMS做好準備。C.實施ISMS管理評審-管理評審是ISMS的一個重要組成部分，它通常在體系運行一段時間后進行，目的是評估ISMS的有效性、適宜性和充分性。在預(yù)評審階段，雖然不會進行完整的管理評審，但可能會進行初步的管理評審，以確保組織對ISMS的管理和領(lǐng)導有清晰的認識，并為正式的管理評審做好準備。D.采取糾正措施-糾正措施通常是在發(fā)現(xiàn)不符合項或問題后采取的，例如在內(nèi)部審核或外部審核后。在預(yù)評審階段，雖然可能會發(fā)現(xiàn)一些需要改進的地方，但通常不會專門采取糾正措施，因為預(yù)評審的主要目的是評估準備情況，而不是對現(xiàn)有的ISMS進行深入的評估或改進。綜上所述，選項B和C是ISMS監(jiān)視預(yù)評審階段需要完成的內(nèi)容。選項A和D在預(yù)評審階段可能涉及，但不是主要任務(wù)。因此，正確答案是B和C。48.可以通過使用適宜的加密技術(shù)實現(xiàn)的安全目標包括（）。A.信息的保密性B.信息的完整性C.信息的真實性D.信息的抗抵賴性答案：ABCD解析：加密技術(shù)是一種保護信息安全的技術(shù)，它可以確保信息在傳輸和存儲過程中的機密性、完整性和真實性。通過使用適宜的加密技術(shù)，可以實現(xiàn)以下安全目標：A.信息的保密性：加密技術(shù)可以確保信息在傳輸和存儲過程中的機密性，防止未經(jīng)授權(quán)的人員獲取和使用信息。B.信息的完整性：加密技術(shù)可以確保信息在傳輸過程中沒有被篡改或損壞，從而確保信息的完整性。C.信息的真實性：加密技術(shù)可以確保信息的來源和真實性，防止偽造或篡改信息。D.信息的抗抵賴性：加密技術(shù)可以確保發(fā)送方無法否認發(fā)送的信息，從而增強信息的抗抵賴性。因此，使用適宜的加密技術(shù)可以實現(xiàn)上述四個安全目標。49.監(jiān)督審核的目的是？（）A.驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B.驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C.確認是否持續(xù)符合認證要求D.做出是否換發(fā)證書的決定答案：ABC解析：監(jiān)督審核的目的是驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)，驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化，確認是否持續(xù)符合認證要求。監(jiān)督審核是對已經(jīng)獲得認證的體系進行定期或不定期的檢查，以確保其持續(xù)符合認證要求，并驗證組織是否考慮了體系的變化。因此，選項A、B、C都是監(jiān)督審核的目的。選項D“做出是否換發(fā)證書的決定”不是監(jiān)督審核的直接目的，而是審核結(jié)果可能導致的后果之一。50.《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全，（）。A.維護網(wǎng)絡(luò)空間主權(quán)B.維護國家安全C.維護社會公共利益D.保護公民、法人和其他組織的合法權(quán)益答案：ABCD解析：《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)、國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益。因此，選項A、B、C和D都是正確的。51.公司M將信息系統(tǒng)運維外包給公司N，以下符合GB/T22080-2016/ISO/IEC27001:2013標準要求的做法是（）。A.與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求B.在對N公司人員服務(wù)時，接入M公司的移動電腦事前進行安全掃描C.將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用D.對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)答案：AB解析：根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，外包服務(wù)的信息安全要求主要包括以下幾個方面：A.與N簽署協(xié)議規(guī)定服務(wù)級別及安全要求：這是外包服務(wù)中非常關(guān)鍵的一步，通過簽署協(xié)議明確雙方的責任、服務(wù)級別以及安全要求，確保外包服務(wù)的質(zhì)量和安全。B.在對N公司人員服務(wù)時，接入M公司的移動電腦事前進行安全掃描：這一做法符合對外包服務(wù)提供方的設(shè)備接入時的安全要求，確保設(shè)備接入時不會對內(nèi)部系統(tǒng)造成安全風險。C.將多張核心機房門禁卡統(tǒng)一登記在N公司項目組組長名下，由其按需發(fā)給進入機房的N公司人員使用：這一做法存在安全隱患，因為門禁卡的管理權(quán)完全交由N公司項目組組長，可能存在濫用權(quán)限的風險。D.對N公司帶入帶出機房的電腦進行檢查登記，硬盤和U盤不在此檢查登記范圍內(nèi)：這一做法不符合對外包服務(wù)提供方帶入帶出設(shè)備的安全管理要求，因為硬盤和U盤可能攜帶敏感信息，需要進行嚴格的安全檢查。綜上所述，符合GB/T22080-2016/ISO/IEC27001:2013標準要求的做法是A和B。52.A公司對其核心業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)采用每天磁盤備份、每月光盤備份，并在兩個城市部署了數(shù)據(jù)中心，這兩個數(shù)據(jù)中心可以做到實時數(shù)據(jù)備份。這符合標準GB/T22080-2016/ISO//IEC27001:2013標準哪些條款的要求？（）A.A.8.3.1B.A.12.3.1C.A.14.3.1D.A.17.2.1答案：BD解析：根據(jù)題目，A公司對其核心業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)采取了每天磁盤備份、每月光盤備份的措施，并在兩個城市部署了數(shù)據(jù)中心以實現(xiàn)實時數(shù)據(jù)備份。我們需要確定這些措施符合GB/T22080-2016/ISO//IEC27001:2013標準的哪些條款。A.8.3.1：這一條款與備份和恢復有關(guān)，但題目中并未明確提到與備份和恢復相關(guān)的具體細節(jié)，因此不能直接確定它是否滿足A.8.3.1的要求。A.12.3.1：此條款涉及到備份的頻率。根據(jù)題目，公司每天進行磁盤備份，每月進行光盤備份，這符合A.12.3.1條款關(guān)于定期備份的要求。A.14.3.1：此條款涉及到數(shù)據(jù)中心的物理安全性，但題目中并未明確提到與數(shù)據(jù)中心物理安全性相關(guān)的具體細節(jié)，因此不能直接確定它是否滿足A.14.3.1的要求。A.17.2.1：此條款涉及到數(shù)據(jù)中心的物理位置。題目中提到在兩個城市部署了數(shù)據(jù)中心，這符合A.17.2.1條款關(guān)于數(shù)據(jù)中心物理位置分散的要求。綜上所述，根據(jù)題目給出的信息，我們可以確定公司采取的措施符合A.12.3.1和A.17.2.1條款的要求。因此，正確答案為B和D。53.以下場景中符合GB/T22080-2016/ISO/IEC27001:2013標準要求的情況是（）。A.A公司為保潔人員發(fā)放了公司財務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，方便其在每天上班前和下班后打掃這些房間B.A公司將其物理區(qū)域敏感性劃分為四個等級，分別給這些區(qū)域入口的門上貼上紅、橙、黃、藍色標志C.A公司為少數(shù)核心項目人員發(fā)放了手機，允許其使用手機在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機帶離指定區(qū)域D.A公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)視系統(tǒng)的時鐘慢約10分鐘答案：BC解析：A選項描述的是A公司為保潔人員發(fā)放了公司財務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，方便其在每天上班前和下班后打掃這些房間。這個場景并不符合GB/T22080-2016/ISO/IEC27001:2013標準的要求，因為這個標準主要關(guān)注的是信息安全，而不是物理訪問控制。B選項描述的是A公司將其物理區(qū)域敏感性劃分為四個等級，并給這些區(qū)域入口的門上貼上紅、橙、黃、藍色標志。這符合標準中物理和環(huán)境安全的要求，因為這樣可以清楚地標識出不同敏感性的區(qū)域，從而加強物理安全。C選項描述的是A公司為少數(shù)核心項目人員發(fā)放了手機，并允許其使用手機在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機帶離指定區(qū)域。這符合標準中訪問控制的要求，因為這樣可以限制對敏感信息的訪問，并減少信息泄露的風險。D選項描述的是A公司門禁系統(tǒng)的時鐘比公司視頻監(jiān)視系統(tǒng)的時鐘慢約10分鐘。這不符合標準中系統(tǒng)安全的要求，因為時鐘不同步可能會導致安全事件難以追蹤和調(diào)查。綜上所述，符合GB/T22080-2016/ISO/IEC27001:2013標準要求的情況是B和C選項。54.對于渉密信息系統(tǒng)，以下說法正確的是（）。A.使用的信息安全保密產(chǎn)品原則上應(yīng)當選用國產(chǎn)品B.使用的信息安全保密產(chǎn)品應(yīng)當通過國家保密局授權(quán)的檢測機構(gòu)的檢測C.使用的信息安全保密產(chǎn)品應(yīng)從由國家保密局審核發(fā)布的目錄中選取D.總體保護水平應(yīng)不低于國家信息安全等級保護第四級水平答案：ABC解析：根據(jù)題目給出的信息，我們來看各個選項的正確性。A選項：使用的信息安全保密產(chǎn)品原則上應(yīng)當選用國產(chǎn)品。這一選項指的是，對于涉密信息系統(tǒng)的產(chǎn)品，應(yīng)該優(yōu)先考慮使用國產(chǎn)產(chǎn)品。這是基于國家保密的需要，確保信息的安全性和可控性。B選項：使用的信息安全保密產(chǎn)品應(yīng)當通過國家保密局授權(quán)的檢測機構(gòu)的檢測。這一選項強調(diào)了產(chǎn)品需要經(jīng)過權(quán)威機構(gòu)的檢測，以確保其符合保密要求。C選項：使用的信息安全保密產(chǎn)品應(yīng)從由國家保密局審核發(fā)布的目錄中選取。這一選項指的是，涉密信息系統(tǒng)使用的產(chǎn)品應(yīng)該來源于經(jīng)過國家保密局審核并發(fā)布的目錄，這樣可以確保產(chǎn)品的質(zhì)量和保密性。D選項：總體保護水平應(yīng)不低于國家信息安全等級保護第四級水平。這一選項涉及的是信息安全的等級保護，與涉密信息系統(tǒng)的保密要求不完全吻合。涉密信息系統(tǒng)有其特定的保密要求，不一定需要達到國家信息安全等級保護第四級水平。綜上所述，A、B、C選項都是關(guān)于涉密信息系統(tǒng)保密的正確說法。因此，正確答案為A、B、C。55.以下屬于信息安全事件的是（）。A.