一、单选题
1、根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,信息安全管理中的“可用性”是指()。
A、反映事物真实情况的程度
B、保护资产准确和完整的特性
C、根据授权实体的要求可访问和利用的特性
D、信息不被未授权的个人、实体或过程利用或知悉的特性
解析:【喵呜刷题小喵解析】根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,信息安全管理中的“可用性”是指“根据授权实体的要求可访问和利用的特性”。所以正确答案是C选项。
2、GB/T22080-2016标准中提到的“风险责任者”,是指()。
A、发现风险的人或实体
B、风险处置人员或实体
C、有责任和权威来管理风险的人或实体
D、对风险发生后结果进行负责的人或实体
解析:【喵呜刷题小喵解析】在GB/T22080-2016标准中,“风险责任者”指的是有责任和权威来管理风险的人或实体。这个定义强调了责任者在风险管理中的核心角色,即他们不仅需要对风险进行识别、评估,还需要有权力和能力来采取适当的措施来降低风险或转移风险。因此,正确答案为C。其他选项A、B、D要么是对风险责任者的误解,要么是对风险责任者的部分描述,不够全面。
3、组织应按照GB/T22080-2016标准的要求()信息安全管理体系。
A、建立、实施、监视和持续改进
B、策划、实现、维护和持续改进
C、建立、实现、维护和持续改进
D、策划、实现、监视和持续改进
解析:【喵呜刷题小喵解析】:根据题目中的信息,我们需要找到符合GB/T22080-2016标准要求的选项。GB/T22080-2016是信息安全管理体系的标准,它规定了组织应如何建立、实施、监视和持续改进信息安全管理体系。因此,选项C“建立、实现、维护和持续改进”最符合标准的要求。其他选项与标准的要求不符,因此不应选。
4、关于GB/T22080-2016标准,所采用的过程方法是()。
A、PDCA法
B、PPTR方法
C、SWOT方法
D、SMART方法
解析:【喵呜刷题小喵解析】:在GB/T22080-2016标准中,采用的过程方法是PDCA法,这是一种经典的质量管理方法,包括计划(Plan)、执行(Do)、检查(Check)和行动(Act)四个阶段。该方法在质量管理中广泛应用,用于确保产品或服务的质量持续改进。因此,正确答案为A选项。
5、ISO/IEC27002最新版本为()。
A、2022
B、2015
C、2005
D、2013
解析:【喵呜刷题小喵解析】:根据题目要求,我们需要找出ISO/IEC27002的最新版本。题目中给出了四个选项,我们需要确定哪个是正确答案。由于题目没有明确说明具体的年份,我们需要考虑ISO/IEC27002的发布和更新情况。通常情况下,标准会定期更新,以反映技术的发展和变化。因此,我们可以推测,最新的版本应该是最近发布的。在给出的选项中,2022年是最新的年份,因此我们可以推断,ISO/IEC27002的最新版本应该是2022年。因此,正确答案是A选项,即2022年。
6、关于ISO/IEC27004,以下说法正确的是()。
A、该标准可以替代GB/T28450
B、该标准是信息安全水平的度量标准
C、该标准是ISMS管理绩效的度量指南
D、该标准可以替代ISO/IEC27001中的9.2的要求
解析:【喵呜刷题小喵解析】ISO/IEC27004是一个关于信息安全管理体系(ISMS)的度量指南,它提供了用于评估ISMS管理绩效的工具和方法。因此,选项C“该标准是ISMS管理绩效的度量指南”是正确的。A选项提到的GB/T28450是另一项与信息安全相关的标准,但题目中并未说明ISO/IEC27004可以替代它,因此A选项是错误的。B选项提到的“信息安全水平的度量标准”并不是ISO/IEC27004的核心目的,所以B选项也是错误的。D选项提到的ISO/IEC27001中的9.2的要求是关于组织应该如何进行信息安全管理,而不是ISO/IEC27004所关注的管理绩效度量,所以D选项也是错误的。
7、在ISO/IEC27000系列标准中,为组织的信息安全风险管理提供指南的标准是()。
A、ISO/IEC 27004
B、ISO/IEC 27003
C、ISO/IEC 27002
D、IS0/IEC 27005
解析:【喵呜刷题小喵解析】:在ISO/IEC27000系列标准中,为组织的信息安全风险管理提供指南的标准是ISO/IEC 27005。该标准提供了信息安全风险管理的通用指南,包括风险评估、风险处理、监视和评审等过程,旨在帮助组织建立、实施、监视和改进其信息安全风险管理体系。因此,选项D“ISO/IEC 27005”是正确的答案。
8、根据GB/T22080-2016标准的要求,最高管理层应(),以确保信息安全管理体系符合标准要求。
A、分配责任和权限
B、分配角色和权限
C、分配岗位与权限
D、分配职责与权限
解析:【喵呜刷题小喵解析】根据GB/T22080-2016标准的要求,最高管理层应分配责任和权限,以确保信息安全管理体系符合标准要求。这是因为最高管理层需要承担起对信息安全管理体系的领导和管理职责,确保体系的有效实施和持续改进。因此,选项A“分配责任和权限”是符合标准要求的答案。
9、根据GB/T22080-2016标准,组织应在相关()上建立信息安全目标。
A、职能和层次
B、战略和意图
C、战略和方针
D、组织环境和相关方要求
解析:【喵呜刷题小喵解析】根据GB/T22080-2016标准,组织应在相关职能和层次上建立信息安全目标。这是因为信息安全目标需要根据组织的不同职能和层次来制定,以确保信息安全管理的有效性和适应性。因此,选项A“职能和层次”是正确答案。
10、根据GB/T22080-2016标准的要求,组织()实施风险评估。
A、只需在重大变更发生时
B、只需按计划的时间间隔
C、应按计划的时间间隔或当重大变更提出或发生时
D、应按计划的时间间隔且当重大变更提出或发生时
解析:【喵呜刷题小喵解析】根据GB/T22080-2016标准的要求,组织应按计划的时间间隔或当重大变更提出或发生时实施风险评估。这是为了确保组织能够及时发现和应对潜在的风险,保障业务的连续性和安全性。因此,选项C“应按计划的时间间隔或当重大变更提出或发生时”是正确的。其他选项A、B、D均不符合标准的要求。
11、某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”,对此以下说法正确的是()。
A、附录A.8可以删减
B、附录A.17可以删减
C、附录A.12可以删减
D、附录A.14可以删减
解析:【喵呜刷题小喵解析】题目询问的是关于数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”时,哪个附录可以删减。首先,我们需要了解ISMS认证的相关标准和规定。ISMS认证通常涉及到信息安全管理体系的认证,其目的是为了确保组织的信息安全。在申请ISMS认证时,组织需要按照相关标准的要求来建立和实施信息安全管理体系。对于题目中的选项,我们需要分析每个附录与“IDC基础设施服务的提供”的关系。附录通常包含了一些标准或规定的详细信息或补充内容。A. 附录A.8:可能与数据中心的基础设施服务提供有关,但题目没有提供足够的信息来判断是否可以删减。B. 附录A.17:同样可能与数据中心的基础设施服务提供有关,同样缺乏足够的信息来判断是否可以删减。C. 附录A.12:同样缺乏足够的信息来判断是否可以删减。D. 附录A.14:如果数据中心仅提供IDC基础设施服务,并且该附录与数据中心的基础设施服务提供无直接关联,那么它可能是可以删减的。综上所述,由于题目没有提供足够的信息来确定A、B和C选项是否可以删减,而D选项提供了一个合理的理由来支持其可以删减,因此正确答案是D。
12、根据GB/T22080-2016标准中控制措施的要求,关于技术脆弱性管理,以下说法正确的是()。
A、技术脆弱性应单独管理,与事件管理没有关联
B、及时获取在用的信息系统的技术方面的脆弱性信息
C、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险验越小
D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径
解析:【喵呜刷题小喵解析】A选项错误,根据GB/T22080-2016标准中控制措施的要求,技术脆弱性管理应当与事件管理相关联,因此技术脆弱性不应单独管理。B选项正确,及时获取在用的信息系统的技术方面的脆弱性信息,是技术脆弱性管理的重要步骤,符合GB/T22080-2016标准中控制措施的要求。C选项错误,了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险并不一定越小,因为公众范围广的脆弱性更容易被攻击者利用,从而增加组织的风险。D选项错误,及时安装针对技术脆弱性的所有补丁并不一定是应对脆弱性相关风险的最佳途径,因为补丁的安装需要考虑到与组织实际情况的匹配度,以及补丁可能带来的副作用等因素。正确的做法应该是根据风险评估结果,选择适当的控制措施来应对脆弱性相关风险。
13、根据GB/T22080-2016标准中控制措施的要求,关于资产清单,正确的是()。
A、做好资产整理是其基础
B、识别信息,以及与信息和信息处理设施相关的其他资产
C、识别和完整采用组织的固定资产台账,同时指定资产责任人
D、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
解析:【喵呜刷题小喵解析】根据GB/T22080-2016标准中控制措施的要求,关于资产清单,正确的是“识别信息,以及与信息和信息处理设施相关的其他资产”。在信息安全管理体系中,资产清单是识别和管理组织资产的重要工具。选项A提到“做好资产整理是其基础”,但这并不是对资产清单的准确描述;选项C提到了“识别和完整采用组织的固定资产台账,同时指定资产责任人”,这与资产清单的内容不完全一致;选项D“资产价格越高,往往意味着功能越全,因此资产重要性等级就越高”并不是关于资产清单的正确描述,它涉及的是资产的价值而非清单的内容。因此,正确答案是B。
14、根据GB/T22080-2016中控制措施的要求,为了确保布缆安全,以下正确的做法是()。
A、为了防止干扰,电源电缆宜与通信电缆分开
B、使用同一电缆管道铺设电源电缆和通信电缆
C、网络电缆采用明线架设,以便于探查故障和维修
D、配线盘应尽量放置在公共可访问区域,以便于应急管理
解析:【喵呜刷题小喵解析】根据GB/T22080-2016中控制措施的要求,为了确保布缆安全,电源电缆宜与通信电缆分开。这是因为电源电缆和通信电缆的电流和信号传输特性不同,如果它们混在一起,可能会产生电磁干扰,影响通信质量和设备性能。因此,选项A“为了防止干扰,电源电缆宜与通信电缆分开”是正确的做法。选项B“使用同一电缆管道铺设电源电缆和通信电缆”不符合这一要求,可能会产生干扰。选项C“网络电缆采用明线架设,以便于探查故障和维修”虽然方便维修,但不符合布缆安全的要求。选项D“配线盘应尽量放置在公共可访问区域,以便于应急管理”虽然方便应急管理,但与布缆安全的要求不直接相关。
15、()不是保护办公室、房间和设施的安全的考虑措施。
A、电磁屏蔽
B、关键设施的安置避免公众访问的场地
C、配置设施以防保密信息被外部可视或可听
D、建筑物内侧或外侧以明确标记给出其用途的指示
解析:【喵呜刷题小喵解析】:在考察办公室、房间和设施的安全考虑措施时,我们需要分析每个选项是否符合安全原则。A选项“电磁屏蔽”是为了防止电磁干扰或信息泄露,是保护设施安全的措施之一。C选项“配置设施以防保密信息被外部可视或可听”也是为了防止信息泄露,同样是保护设施安全的措施。D选项“建筑物内侧或外侧以明确标记给出其用途的指示”虽然有助于人们了解建筑物的用途,但与保护设施安全无直接关系。B选项“关键设施的安置避免公众访问的场地”是为了防止未经授权的人员接触关键设施,从而保护设施的安全。因此,B选项“关键设施的安置避免公众访问的场地”不是保护办公室、房间和设施的安全的考虑措施。所以,正确答案是B。
16、投诉受理后收到的每件投诉都应该按照准则进行初步评估,评估的内容不包括()。
A、风险偏好
B、复杂程度
C、影响程度
D、严重程度
解析:【喵呜刷题小喵解析】:投诉受理后,对每件投诉进行初步评估是常见的流程。评估的内容通常包括复杂程度、影响程度和严重程度,这些方面能够帮助评估人员了解投诉的紧急程度、处理难度以及可能的影响范围。然而,风险偏好通常与投资决策或风险管理相关,与投诉评估没有直接关系。因此,选项A“风险偏好”是不应包含在投诉初步评估中的内容。
17、根据GB/T28450《信息安全技术信息安全管理体系审核指南》标准,ISMS的规模不包括()。
A、组织的部门数量
B、信息系统的数量
C、ISMS覆盖的场所数量
D、在组织控制下开展工作的人员总数,以及与ISMS有关的相关方和合同方
解析:【喵呜刷题小喵解析】根据GB/T28450《信息安全技术信息安全管理体系审核指南》标准,ISMS(信息安全管理体系)的规模通常不包括组织的部门数量。这是因为ISMS的规模更多地关注于与信息安全直接相关的因素,如信息系统的数量、ISMS覆盖的场所数量、在组织控制下开展工作的人员总数,以及与ISMS有关的相关方和合同方。组织的部门数量虽然与信息安全有关,但并不是ISMS规模的核心指标。因此,选项A“组织的部门数量”是不包括在ISMS规模内的。
18、形成ISMS审核发现时,不需要考虑的是()。
A、所实施控制措施的有效性
B、所实施控制措施的时效性
C、适用性声明的完备性和合理性
D、所实施控制措施与适用性声明的符合性
解析:【喵呜刷题小喵解析】:在形成ISMS(信息安全管理体系)审核发现时,我们主要关注以下几个方面:A. 所实施控制措施的有效性:这是审核发现的核心内容之一,确保控制措施在实际操作中能够产生预期的效果。C. 适用性声明的完备性和合理性:适用性声明是组织对信息安全管理体系的适用性进行声明的文件,其完备性和合理性对于确保信息安全管理体系的适用性至关重要。D. 所实施控制措施与适用性声明的符合性:审核发现应确保所实施的控制措施与适用性声明中描述的内容一致,确保控制措施能够按照适用性声明的要求得到实施。B. 所实施控制措施的时效性:虽然控制措施的实施时间是一个重要的考虑因素,但在形成审核发现时,我们更关注控制措施的有效性、适用性和符合性,而不是其具体的实施时间。审核发现应关注控制措施是否能够有效地实施,以及是否符合适用性声明的要求,而不是其是否在特定的时间点上实施。因此,在形成ISMS审核发现时,不需要考虑的是所实施控制措施的时效性,所以答案为B。
19、根据GB/T28450标准,ISMS文件评审不包括()。
A、风险处置计划的完备性
B、风险评估报告的合理性
C、适用性声明的完备性和合理性
D、信息安全管理手册的充分性
解析:【喵呜刷题小喵解析】:根据GB/T28450标准,ISMS文件评审主要评估以下内容:A. 风险处置计划的完备性 - 这涉及检查组织对可能的信息安全风险的应对策略是否全面、适当。B. 风险评估报告的合理性 - 这评估组织是否正确地识别和评估了信息安全风险,并生成了合理的报告。C. 适用性声明的完备性和合理性 - 这关注组织如何声明其信息安全管理系统的适用性,并确保其声明与实际情况相符。而D. 信息安全管理手册的充分性 - 这并不属于ISMS文件评审的范围。信息安全管理手册的充分性可能涉及手册内容的深度、详细程度以及是否符合组织的具体需求,但这并不是根据GB/T28450标准所定义的ISMS文件评审的直接内容。因此,正确答案是D,即“信息安全管理手册的充分性”。
20、根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,信息安全的保密性是指()。
A、保证信息不被其他人使用
B、保护信息准确和完整的特性
C、根据授权实体的要求可访问的特性
D、信息不被未授权的个人、实体或过程利用或知悉的特性
解析:【喵呜刷题小喵解析】根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,信息安全的保密性是指信息不被未授权的个人、实体或过程利用或知悉的特性。因此,选项D是正确的。其他选项A、B、C都与保密性的定义不符。
21、根据ISO/IEC27000标准,()为组织提供了信息安全管理体系实施指南。
A、ISO/IEC 27002
B、ISO/IEC 27007
C、ISO/IEC 27003
D、ISO/IEC 27013
解析:【喵呜刷题小喵解析】:根据ISO/IEC 27000标准,ISO/IEC 27003为组织提供了信息安全管理体系实施指南。因此,正确答案为C。ISO/IEC 27002是信息安全管理体系规范,ISO/IEC 27007是信息安全管理体系指南,ISO/IEC 27013是信息安全管理体系审核指南,它们与题目所问的信息安全管理体系实施指南不符。
22、GB/Z20986《信息安全技术信息安全事件分类分级指南》规定,未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件是()。
A、信息窃取事件
B、信息泄漏事件
C、信息算改事件
D、信息假冒事件
解析:【喵呜刷题小喵解析】:《信息安全技术信息安全事件分类分级指南》规定,未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件是信息算改事件。信息算改事件是指攻击者通过非法手段修改信息系统中的信息,导致信息内容被篡改或破坏,从而引发信息安全事件。因此,正确答案为C,即信息算改事件。
23、下列关于DMZ区的说法错误的是()。
A、DMZ可以访问内部网络
B、内部网络可以无限制地访问外部网络以及DMZ
C、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
D、通常DMZ包含允许来自互联网的通信可进入的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等
解析:【喵呜刷题小喵解析】:A选项“DMZ可以访问内部网络”是错误的。DMZ(Demilitarized Zone,非军事化区)通常被设置为一个独立的网络区域,用于放置对外界开放的服务器,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等。DMZ的主要目的是使这些服务器可以访问外部网络,但外部网络不能直接访问内部网络。因此,A选项的说法是错误的。B选项“内部网络可以无限制地访问外部网络以及DMZ”并不完全正确。通常,内部网络对外部网络和DMZ的访问是受限制的,这是为了安全考虑。C选项“有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作”是正确的。当有两个DMZ时,主防火墙可能会采用NAT(网络地址转换)方式工作,以确保内部网络和外部网络之间的通信能够顺利进行。D选项“通常DMZ包含允许来自互联网的通信可进入的设备”是正确的。DMZ的主要目的就是为了放置那些允许来自外部网络的通信的设备,确保这些设备可以安全地对外提供服务。
24、关于顾客满意以下说法错误的是()。
A、顾客满意是指顾客对其期望已被满足程度的感受
B、确保规定的顾客要求符合顾客的愿望并得到满足,就能确保顾客很满意
C、投诉是一种满意程度低的最常见的表达方式,但没有投诉并不一定表明顾客很满意
D、为了实现较高的顾客满意,可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望
解析:【喵呜刷题小喵解析】:顾客满意是指顾客对其期望已被满足程度的感受,但并非所有期望被满足顾客就一定满意,因此A选项说法错误。B选项表示确保规定的顾客要求符合顾客的愿望并得到满足,就能确保顾客很满意,这是正确的,因为顾客的要求被满足,他们更可能感到满意。C选项表示投诉是一种满意程度低的最常见的表达方式,但没有投诉并不一定表明顾客很满意,这也是正确的,因为顾客可能选择不投诉但仍然感到满意。D选项表示为了实现较高的顾客满意,可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望,这也是正确的,因为超出期望的服务往往能带来更高的顾客满意。因此,错误的说法是A。
25、关于“监控系统”的存取与使用,下列说法正确的是()。
A、应保持时钟同步
B、监控系统所产生的记录可由用户任意存取
C、只有当系统发生异常事件及其他安全相关事件时才需进行监控
D、监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
解析:【喵呜刷题小喵解析】监控系统需要保持时钟同步,以便准确记录事件的发生时间,从而便于后续的分析和排查。监控系统所产生的记录不能由用户任意存取,需要按照规定的权限和流程进行存取,以保证数据的安全性和完整性。监控系统需要持续进行监控,不仅仅是在系统发生异常事件及其他安全相关事件时才进行监控。监控系统投资额庞大,但它是保障系统安全稳定运行的重要措施,不能予以暂时省略。因此,选项A“应保持时钟同步”是正确的。
26、若通过桌面系统对终端实行引IP、MAC绑定,该网络IP地址分配方式应为()。
A、动态
B、静态
C、静态、动态均可
D、静态达到50%以上即可.
解析:【喵呜刷题小喵解析】:在桌面系统中,对终端实行IP和MAC绑定通常意味着网络管理员希望确保特定的MAC地址始终与特定的IP地址相关联。这种绑定通常用于确保网络的安全性和稳定性,防止未经授权的访问或设备移动导致的IP冲突。为了实现这种绑定,网络中的IP地址分配方式应为静态,即每个设备都有一个固定的、不会改变的IP地址。因此,正确选项是“静态”。
27、在以下认为的恶意攻击行为中,属于主动攻击的是()。
A、数据算改
B、数据窃听
C、非法访问
D、数据流分析
解析:【喵呜刷题小喵解析】:在计算机网络中,主动攻击和被动攻击是两种不同的攻击方式。主动攻击是攻击者向系统发送数据,对数据进行修改或伪装,或制造数据包来耗尽系统的资源。常见的主动攻击包括数据篡改、拒绝服务攻击、重放攻击等。在题目给出的选项中,只有“数据篡改”是主动攻击行为,因此答案为A。其他选项如数据窃听、非法访问和数据流分析都是被动攻击行为,它们只是被动地获取或分析数据,不会向系统发送数据。
28、关于信息安全风险评估,以下说法正确的是()。
A、风险评估包括风险管理与风险评价
B、组织应基于其整体业务活动所在的环境和风险考虑其信息安全管理体系的设计
C、风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性
D、如果集团企业的各地分子公司业务性质相同,则针对一个分子公司识别、评价风险即可,其风险评估过程和结果文件其他分子公司可直接采用,以节省重复识别和计算的工作品
解析:【喵呜刷题小喵解析】信息安全风险评估是信息安全领域的重要概念,涉及到风险的管理和评价。选项A中的“风险评估包括风险管理与风险评价”是不准确的。实际上,风险评估是风险管理和风险评价的综合过程,而不仅仅是其中的一部分。选项C提到“风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性”。这一说法过于绝对,实际上,在风险评估过程中,如果环境或条件发生变化,参数的赋值可能需要相应调整。选项D中“如果集团企业的各地分子公司业务性质相同,则针对一个分子公司识别、评价风险即可,其风险评估过程和结果文件其他分子公司可直接采用,以节省重复识别和计算的工作品”是不正确的。尽管业务性质可能相同,但不同分子公司可能面临不同的风险,因此不能简单地共享风险评估过程和结果。因此,只有选项B“组织应基于其整体业务活动所在的环境和风险考虑其信息安全管理体系的设计”是正确的。这一说法符合信息安全风险评估的基本原则,即组织应根据其业务环境和风险来设计和管理信息安全体系。
29、在物联网中,M2M通常由三部分组成,下面哪项不是其组成部分?()
A、主机部分
B、网络部分
C、应用部分
D、终端部分
解析:【喵呜刷题小喵解析】:在物联网中,M2M(Machine-to-Machine)通常指的是机器与机器之间的通信。M2M通常由三部分组成:主机部分、网络部分和终端部分。主机部分通常指的是与机器通信的服务器或数据中心,网络部分指的是连接机器和主机的通信基础设施,而终端部分则指的是具体的机器设备。应用部分并不是M2M的组成部分,而是指基于M2M技术的具体应用或解决方案。因此,正确答案是A,主机部分不是M2M的组成部分。
30、()是建立有效的计算机病毒防御体系所需要的技术措施。
A、漏洞扫描、网络入侵检测和防火墙
B、漏洞扫描、补丁管理系统和防火墙
C、网络入侵检测、防病毒系统和防火墙
D、补丁管理系统、网络入侵检测和防火墙
解析:【喵呜刷题小喵解析】:建立有效的计算机病毒防御体系需要综合多种技术措施,包括漏洞扫描、补丁管理系统和防火墙。漏洞扫描用于及时发现系统中可能存在的漏洞,补丁管理系统则用于及时修复这些漏洞,而防火墙则用于阻止外部攻击和病毒入侵。因此,选项B“漏洞扫描、补丁管理系统和防火墙”是建立有效的计算机病毒防御体系所需要的技术措施。选项A缺少了补丁管理系统,选项C缺少了补丁管理系统,选项D缺少了漏洞扫描,因此都不完整。
31、《中华人民共和国网络安全法》要求网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()。
A、6个月
B、1个月
C、3个月
D、12个月
解析:【喵呜刷题小喵解析】:《中华人民共和国网络安全法》要求网络运营者应当按照网络安全等级保护制度的要求,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月。因此,正确答案为A。
32、根据《中华人民共和国保守国家秘密法》,国家秘密的最高密级为()。
A、秘密
B、机密
C、特密
D、绝密
解析:【喵呜刷题小喵解析】:《中华人民共和国保守国家秘密法》中明确规定了国家秘密的密级,包括绝密、机密和秘密三个等级。其中,绝密是最高密级,机密次之,秘密是最低密级。因此,正确答案为“绝密”。
33、根据《中华人民共和国保守国家秘密法》,国家秘密的保密期限应为()
A、绝密不低于三十年,机密不低于二十年,秘密不低于十年
B、绝密不超过三十年,机密不超过二十年,秘密不超过十年
C、绝密不超过二十五年,机密不超过十五年,秘密不超过五年
D、绝密不低于二十五年,机密不低于十五年,秘密不低于五年
解析:【喵呜刷题小喵解析】根据《中华人民共和国保守国家秘密法》的规定,国家秘密的保密期限应当根据不同级别进行设定。绝密级国家秘密的保密期限最长,不应超过三十年;机密级国家秘密的保密期限不应超过二十年;秘密级国家秘密的保密期限不应超过十年。因此,选项B“绝密不超过三十年,机密不超过二十年,秘密不超过十年”是正确的。而选项A、C、D中的描述与法律规定不符,因此是错误的。
34、根据《中华人民共和国密码法》,国家对密码实行()管理。
A、分类
B、有效
C、统筹
D、统一
解析:【喵呜刷题小喵解析】:《中华人民共和国密码法》明确规定,国家对密码实行分类管理。因此,正确选项为A,即“分类”。
35、根据《信息安全等级保护管理办法》,信息系统安全等级分为五级,以下说法正确的是()。
A、二级系统和五级系统不进行测评
B、二级系统每年进行一次测评,三级系统每年进行二次测评
C、三级系统每年进行一次测评,四级系统每年进行二次测评
D、四级系统每年进行二次测评,五级系统每季度进行一次测评
解析:【喵呜刷题小喵解析】根据《信息安全等级保护管理办法》,信息系统安全等级分为五级,包括第一级到第五级,每个等级的安全保护能力逐级增强。针对每个等级的测评要求也是不同的。题目中给出了四个选项,其中A选项说二级系统和五级系统不进行测评,与实际情况不符;B选项说二级系统每年进行一次测评,三级系统每年进行二次测评,同样与实际规定不符;D选项说四级系统每年进行二次测评,五级系统每季度进行一次测评,也不符合实际情况。而C选项说三级系统每年进行一次测评,四级系统每年进行二次测评,这是符合《信息安全等级保护管理办法》规定的。因此,正确答案是C。
36、《信息安全等级保护管理办法》规定()级保护时,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
A、2
B、3
C、4
D、5
解析:【喵呜刷题小喵解析】:《信息安全等级保护管理办法》规定,3级保护时,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。因此,正确答案为C。
37、根据GB17859《计算机信息系统安全保护等级划分准则》标准,以下说法错误的是()。
A、信道是系统内的信息传输路径
B、访问监控器是监控器主体和客体之间授权访问关系的部件
C、敏感标记表示主体安全级别并描述主体数据敏感性的一组信息
D、安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则
解析:【喵呜刷题小喵解析】:根据GB17859《计算机信息系统安全保护等级划分准则》标准,信道是系统内的信息传输路径,A选项正确;访问监控器是监控器主体和客体之间授权访问关系的部件,B选项正确;安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则,D选项正确;敏感标记表示客体安全级别并描述客体数据敏感性的一组信息,而不是主体,C选项错误。因此,根据该标准,错误的说法是C选项。
38、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()
A、2011
B、2017
C、2019
D、2016
解析:【喵呜刷题小喵解析】:根据我所了解的知识,《互联网信息服务管理办法》现行有效的版本是2011年发布的。因此,正确选项为A。虽然题目中给出了多个选项,但根据法律的规定和发布时间,我们可以确定正确答案为A。因此,应该选择2011年作为《互联网信息服务管理办法》现行有效的版本发布时间。
39、《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()。
A、许可制度
B、地方经营
C、国家经营
D、备案制度
解析:【喵呜刷题小喵解析】:《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行许可制度。根据该规定,从事互联网信息服务业务的企业,需要依法取得国家颁发的相关许可证件,并在规定期限内到指定机构进行备案登记。因此,选项A“许可制度”为正确答案。
40、《网络安全审查办法》的制定,是为了()。
A、保守国家秘密,维护国家安全和利益
B、保障网络安全,维护网络空间主权和国家安全
C、确保关键信息基础设施供应链安全,维护国家安全
D、规范互联网信息服务活动,促进互联网信息服务健康有序发展
解析:【喵呜刷题小喵解析】:《网络安全审查办法》的制定,是为了保障网络安全,维护网络空间主权和国家安全。该办法旨在通过审查网络产品和服务的安全性、可控性,防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、出售或者向他人提供用户有关信息,确保网络产品和服务安全可控,保障网络安全,维护网络空间主权和国家安全。因此,选项B“保障网络安全,维护网络空间主权和国家安全”是正确的。其他选项A、C、D与《网络安全审查办法》的制定目的不符。
二、多选题
41、以下()活动是ISMS建立阶段应完成的内容。
A、确定ISMS方针
B、实施体系文件培训
C、确定ISMS的范围和边界
D、确定风险评估方法和实施
解析:【喵呜刷题小喵解析】:在ISMS建立阶段,需要确定ISMS的方针和范围。确定ISMS方针是建立阶段的首要任务,它为整个信息安全管理体系提供了方向和指导。同时,确定ISMS的范围和边界是确保信息安全管理体系覆盖所有关键业务和系统的关键步骤。而实施体系文件培训和确定风险评估方法和实施则是在ISMS建立之后的运营、监视和审查阶段中需要完成的任务。因此,正确答案是A和C。
42、根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,风险描述的要素包括()。
A、后果
B、威胁
C、脆弱性
D、可能性
解析:【喵呜刷题小喵解析】根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,风险描述的要素包括后果和可能性。后果指的是风险事件发生时可能带来的不良结果或损失;可能性指的是风险事件发生的概率或频率。因此,选项A和D是正确的。选项B威胁和选项C脆弱性不是风险描述的要素,所以不应被选择。
43、信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。
A、可用性
B、机密性
C、完备性
D、完整性
解析:【喵呜刷题小喵解析】:信息安全是指确保信息的机密性、完整性和可用性。机密性是指信息不被未经授权的人员获取,完整性是指信息在传输或存储过程中不被篡改或破坏,可用性是指信息可以被授权人员合法、及时地使用。所以,题目中给出的选项中,A、B、D都是正确的,而C选项“完备性”并不是信息安全的主要特性。因此,正确答案为A、B、D。
44、以下属于相关方的是()。
A、顾客
B、供方
C、所有者
D、组织内的人员
解析:【喵呜刷题小喵解析】:相关方是指那些能够影响决策或活动、受决策或活动影响,或自认为受决策或活动影响的个人或组织。在这个题目中,顾客、供方、所有者以及组织内的人员都是能够影响或受组织决策和活动影响的相关方。因此,正确答案为A、B、C和D。
45、依据GB/T22080-2016,经管理层批准,定期评审的信息安全策略包括()。
A、信息备份策略
B、访问控制策略
C、信息传输策略
D、密钥管理策略
解析:【喵呜刷题小喵解析】:依据GB/T22080-2016,信息安全策略是组织为确保信息安全而制定的一系列策略和程序。定期评审信息安全策略是组织为了确保这些策略的有效性、适用性和符合性而采取的重要措施。在给出的选项中,信息备份策略、访问控制策略、信息传输策略和密钥管理策略都是信息安全策略的重要组成部分,它们分别涉及数据的备份与恢复、对系统资源的访问控制、信息的传输安全以及密钥的管理与使用。因此,这些策略都需要经过管理层的批准,并定期进行评审,以确保其有效性和符合性。所以,选项A、B、C和D都是正确的。
46、根据GB/T22080-2016标准的要求,下列说法正确的是()。
A、残余风险需要获得风险责任人的批准
B、组织控制下的员工应了解信息安全方针
C、保留有关信息安全风险处置过程的文件化信息
D、适用性声明需要包含必要的控制及其选择的合理性说明
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016标准,我们来分析每个选项的正确性:A选项提到“残余风险需要获得风险责任人的批准”。在信息安全管理体系中,残余风险的管理是非常重要的环节,通常需要进行评估并获得相关责任人的批准。因此,A选项是正确的。B选项提到“组织控制下的员工应了解信息安全方针”。信息安全方针是组织信息安全管理的核心,员工对其了解有助于确保信息安全政策的执行。因此,B选项也是正确的。C选项提到“保留有关信息安全风险处置过程的文件化信息”。信息安全风险处置过程需要被记录并保存,以便于审计和追溯。因此,C选项是正确的。D选项提到“适用性声明需要包含必要的控制及其选择的合理性说明”。适用性声明是信息安全管理体系中的一个重要部分,它应明确说明哪些控制措施被选择并说明其选择的合理性。因此,D选项也是正确的。综上所述,根据GB/T22080-2016标准的要求,A、B、C和D选项都是正确的。
47、移动设备策略宜考虑()。
A、访问控制
B、移动设备注册
C、恶意软件防范
D、物理保护要求
解析:【喵呜刷题小喵解析】:移动设备策略是为了确保移动设备的安全性和合规性而制定的。访问控制是确保只有授权用户能够访问移动设备,防止未经授权的人员访问敏感信息。移动设备注册是确保移动设备的身份和所有权得到验证,以便进行管理和控制。恶意软件防范是为了防止移动设备受到恶意软件的攻击,保护设备的安全。物理保护要求是为了确保移动设备在物理层面上得到保护,避免丢失、被盗或损坏。因此,移动设备策略应该综合考虑以上四个方面,以确保移动设备的安全性和合规性。
48、根据GB/T22080-2016标准的要求,管理评审是为了确保信息安全管理体系持续的()。
A、充分性
B、符合性
C、有效性
D、适宜性
解析:【喵呜刷题小喵解析】:《信息安全管理体系要求》(GB/T22080-2016)第10.2.1条款指出:“最高管理者应依据组织的需要,按策划的时间间隔,对信息安全管理体系进行评审,以确保其持续的适宜性、充分性和有效性。”所以,管理评审的目标是为了确保信息安全管理体系持续的适宜性、充分性和有效性。因此,选项A、C和D都是正确的。
49、针对系统和应用访问控制,以下做法不正确的是()。
A、对于数据库系统审计人员开放不限时权限
B、登录之后,不活动超过规定时间强制使其退出登录
C、对于修改系统核心业务运行数据的操作限定操作时间
D、用户尝试登录失败时,明确提示其用户名错误或口令错误
解析:【喵呜刷题小喵解析】:A选项提到“对于数据库系统审计人员开放不限时权限”,这种做法是不正确的。在系统和应用访问控制中,权限管理是非常关键的,应该根据实际需求为每个用户或角色分配适当的权限,并且这些权限应该是有限制的,而不是无限制的。对于数据库系统审计人员,应该根据他们的职责和工作需求,为他们分配必要的、有限的权限,而不是无限制的权限。D选项提到“用户尝试登录失败时,明确提示其用户名错误或口令错误”,这种做法也是不正确的。在系统和应用访问控制中,当用户尝试登录失败时,应该提供一种安全的反馈机制,而不是明确提示用户名或口令错误。这是因为明确提示用户名或口令错误可能会给攻击者提供有关用户账户的有用信息,从而增加账户被破解的风险。一种更安全的做法是,在用户尝试登录失败时,系统可以显示一个通用的错误消息,如“用户名或口令错误”,而不是具体指出哪个部分错误。B选项“登录之后,不活动超过规定时间强制使其退出登录”是正确的。这是一种常见的会话超时机制,可以确保用户在一段时间内没有进行任何活动后,其会话被自动终止,从而增强系统的安全性。C选项“对于修改系统核心业务运行数据的操作限定操作时间”也是正确的。这种操作时间限制可以确保在特定的时间段内,只有经过授权的用户才能修改系统核心业务运行数据,从而增加系统的安全性和可靠性。
50、对于组织在风险处置过程中所选的控制措施,以下说法正确的是()。
A、规避风险
B、可以将风险转移
C、所有风险都必须被降低到可接受的级别
D、在满足公司策略和方针条件下,有意识、客观地接受风险
解析:【喵呜刷题小喵解析】对于组织在风险处置过程中所选的控制措施,我们需要分析每个选项的正确性。A选项“规避风险”是风险处置的一种策略,即通过改变策略或操作来完全避免风险。这是风险处置的一种有效方法,因此A选项是正确的。B选项“可以将风险转移”也是风险处置的一种策略,即通过购买保险、外包等方式将风险转移给第三方。这也是风险处置的一种有效方法,因此B选项是正确的。C选项“所有风险都必须被降低到可接受的级别”过于绝对,因为有些风险可能是组织愿意承担的,或者因为成本效益考虑无法完全消除。因此,C选项是不正确的。D选项“在满足公司策略和方针条件下,有意识、客观地接受风险”虽然提到了接受风险,但并没有明确说明这是风险处置的一种策略。因此,D选项是不正确的。综上所述,正确答案是A和B。
51、风险处置的可选措施包括()。
A、风险识别
B、风险分析
C、风险转移
D、风险减缓
解析:【喵呜刷题小喵解析】:题目要求列出风险处置的可选措施。风险处置通常包括风险转移和风险减缓两种策略。风险转移是将风险从一个实体转移到另一个实体,例如通过保险或合同将风险转移给第三方。风险减缓则是通过采取措施来降低风险的可能性或影响,例如改进安全措施或增加备份系统。因此,正确答案是风险转移和风险减缓,即选项C和D。选项A风险识别是风险管理的第一步,涉及识别和记录潜在的风险,但不属于风险处置措施。选项B风险分析是对风险进行定量或定性评估的过程,也不属于风险处置措施。
52、认证机构应有验证审核组成员背景经验,特定培训或情况的准则,以确保审核组至少具备()。
A、信息安全的知识
B、管理体系的知识
C、与受审核活动相关的技术知识
D、ISMS监视、测量、分析和评价的知识
解析:【喵呜刷题小喵解析】:审核组应该具备与受审核活动相关的技术知识,以确保审核的有效性和准确性。此外,审核组还应该具备信息安全的知识、管理体系的知识以及ISMS监视、测量、分析和评价的知识,以确保审核的全面性和深入性。因此,选项A、B、C和D都是必要的。
53、可用于信息安全风险分析的方法包括()。
A、场景分析法
B、ATA(攻击路径分析)法
C、FMEA(失效模式分析)法
D、HACCP(危害分析与关键控制点)法
解析:【喵呜刷题小喵解析】:本题要求选择可用于信息安全风险分析的方法。根据题目给出的选项,我们来逐一分析:A. 场景分析法 - 这种方法通常用于分析特定的安全事件或场景,例如模拟攻击者如何攻击系统,或者分析系统在特定情况下的表现。因此,场景分析法是一种适用于信息安全风险分析的方法。B. ATA(攻击路径分析)法 - 虽然ATA法可能涉及分析攻击路径,但它更侧重于分析攻击者如何成功攻击系统,而不是分析风险。因此,ATA法不是直接用于信息安全风险分析的方法。C. FMEA(失效模式分析)法 - FMEA法主要用于分析系统的失效模式,而不是风险。虽然它可能间接地涉及到风险分析,但它并不是专门为信息安全风险分析设计的。D. HACCP(危害分析与关键控制点)法 - HACCP法是一种专门用于食品安全管理的方法,但它也可以被应用于其他领域,包括信息安全。HACCP法通过识别危害并确定关键控制点来降低风险,因此,它是一种适用于信息安全风险分析的方法。综上所述,场景分析法和HACCP(危害分析与关键控制点)法是可以用于信息安全风险分析的方法。因此,正确答案为A和D。
54、《中华人民共和国网络安全法》适用于在中华人民共和国境内()网络,以及网络安全的监督管理。
A、使用
B、建设
C、运营
D、维护
解析:【喵呜刷题小喵解析】:根据《中华人民共和国网络安全法》的规定,该法适用于在中华人民共和国境内建设、使用、运营、维护网络,以及网络安全的监督管理。因此,选项A、B、C、D都是正确的。
55、根据GB/T 22080-2016标准的要求,信息安全方针应()。
A、与组织的意图相适宜
B、形成文件化信息并可用
C、适当时,对相关方可用
D、与组织内外相关方全面进行沟通
解析:【喵呜刷题小喵解析】:根据GB/T 22080-2016标准的要求,信息安全方针应满足以下三个条件:A、与组织的意图相适宜:信息安全方针应与组织的总体业务目标、战略和运营环境相一致,确保信息安全与组织的整体目标相协调。B、形成文件化信息并可用:信息安全方针应以文件的形式明确下来,并确保所有相关人员能够访问和使用。C、适当时,对相关方可用:当需要时,信息安全方针应向相关方(如员工、合作伙伴、供应商等)提供,确保他们了解并遵守信息安全要求。D选项“与组织内外相关方全面进行沟通”虽然重要,但不是GB/T 22080-2016标准直接要求的,因此不应选。因此,正确答案为A、B、C。
三、判断题
56、ISO/IEC27018标准是信息技术、安全技术作为PⅡ处理者在公有云中保护个人身份信息(PⅡ)的实践规范。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:ISO/IEC 27018是专门关于在公有云中保护个人身份信息(PII)的国际标准。该标准详细规定了信息技术和安全技术的实践规范,旨在确保PII在公有云环境中的安全处理。因此,题目中的陈述“ISO/IEC27018标准是信息技术、安全技术作为PII处理者在公有云中保护个人身份信息(PII)的实践规范”是正确的。
57、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:信息安全管理体系的范围必须包括组织的所有场所和业务,这句话本身是正确的,但题目中的表述“这样才能保证安全”并不准确。信息安全管理体系的范围包括组织的所有场所和业务,是为了确保信息安全管理体系的全面性和有效性,但并不能直接保证安全。安全是一个相对复杂的概念,需要综合考虑多种因素,包括技术、管理、人员等。因此,题目中的表述存在逻辑上的错误,答案为B。
58、ISO/IEC27006是对提供信息安全管理体系审核和认证的机构的要求。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:ISO/IEC 27006是信息安全管理体系审核和认证机构的要求,它规定了信息安全管理体系审核和认证机构的操作规范,包括审核和认证的过程、审核员的资格要求、审核和认证机构的责任等。因此,题目中的说法是正确的。
59、组织使用云平台服务(PaaS)时,GB/T22080-2016标准中的A12.5的要求可以删减。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016标准,A12.5的要求是关于组织使用云平台服务(PaaS)时的安全要求,这些要求是为了确保数据、应用、系统等的安全性。因此,这些要求不能随意删减,否则可能会降低系统的安全性。所以,题目中的说法是错误的。
60、某信用卡制造企业为接收银行信用卡数据的服务器配置了单独的路由和防火墙,这符合GB/T22080-2016标准附录A.13.1.3条款的要求。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016标准附录A.13.1.3条款的要求,对接收和处理敏感数据的服务器应配置单独的路由和防火墙,以防止未经授权的访问和潜在的数据泄露风险。因此,某信用卡制造企业为接收银行信用卡数据的服务器配置了单独的路由和防火墙,符合这一标准的要求,答案为A。
61、较低的恢复时间目标会有更长的中断时间。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:恢复时间目标(RTO)是指系统或服务在中断后,可以接受的最大恢复时间。如果RTO较低,那么中断时间应该也较短,因为系统或服务需要在较短的时间内恢复。因此,较低的恢复时间目标通常会有较短的中断时间,而不是更长的中断时间。所以,题目中的说法是错误的。
62、白名单方案规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:白名单方案通常规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。这意味着,只有被列入白名单的邮件发送者发送的邮件才会被接收者接收,而未被列入白名单的邮件发送者发送的邮件将被接收者拒绝或放入垃圾邮件文件夹。因此,题目的说法是正确的。
63、信息系统中的“单点故障”指仅有一个故障点,因此属于较低风险等级的事件。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:在信息系统中,“单点故障”是指系统中仅有一个故障点,当这个故障点出现问题时,整个系统可能会受到影响。因此,单点故障通常被认为是较高风险等级的事件,因为它可能导致系统不可用或性能下降。所以,题目中的说法“属于较低风险等级的事件”是不正确的。因此,正确答案是B。
64、计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:计算机信息系统的安全保护工作,确实重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。这些领域的信息系统一旦受到攻击或泄露,可能对国家安全和利益造成重大损失。因此,对这些领域的信息系统进行重点保护是十分必要的。所以,题目的说法是正确的。
65、2008年6月19日,全国信息安全标准化技术委员会等同采用ISO/IEC27001:2005《信息安全管理体系要求》,仅有编辑性修改。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目中明确提到“2008年6月19日,全国信息安全标准化技术委员会等同采用ISO/IEC27001:2005《信息安全管理体系要求》,仅有编辑性修改。”,这表示全国信息安全标准化技术委员会采用了ISO/IEC27001:2005标准,并且只做了编辑性的修改,没有实质性的变动。因此,答案为A,表示题目中的陈述是正确的。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
