一、单选题
1、信息安全风险评估的基本要素包括()。
A、资产、可能性、影响
B、资产、脆弱性、威胁
C、可能性、资产、脆弱性
D、脆弱性、威胁、后果
解析:【喵呜刷题小喵解析】:信息安全风险评估的基本要素包括资产、脆弱性和威胁。资产是指组织或系统中需要保护的信息资源,脆弱性是指资产易受攻击或威胁的程度,威胁是指可能引发安全事件的外部因素。因此,选项B“资产、脆弱性、威胁”是正确的。选项A中的“可能性”并不是信息安全风险评估的基本要素,选项C和D中的排列顺序也不正确。
2、在ISO组织框架中,负贵ISO/IEC27000系列标准编制工作的技术委员会是()。
A、ISO/IECJTC1SC27
B、ISO/IECJTC1SC40
C、ISO/IECT27
D、ISO/IECTC40
解析:【喵呜刷题小喵解析】ISO/IEC 27000系列标准是由ISO/IEC JTC 1 SC 27负责编制的,所以选项A是正确的。而选项B、C、D分别是错误的技术委员会名称。因此,答案为A。
3、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响。
A、隔离和迁移
B、评审和测试
C、评审和隔离
D、验证和确认
解析:【喵呜刷题小喵解析】:当操作系统发生变更时,为了确保对组织的运行和安全没有负面影响,应该对业务的关键应用进行评审和测试。评审是为了评估变更对应用的影响,测试是为了验证变更后的应用是否满足要求,并且没有发现新的问题。因此,选项B“评审和测试”是正确答案。选项A“隔离和迁移”通常用于将关键应用与系统变更隔离开来,以便进行单独的测试,但这并不是变更后确保对组织的运行和安全没有负面影响的关键步骤。选项C“评审和隔离”和选项D“验证和确认”也不符合题意。
4、下列关于DMZ区的说法错误的是()。
A、DMZ可以访问内部网络
B、通常DMZ包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等
C、内部网络可以无限制地访问外部网络以及DMZ
D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
解析:【喵呜刷题小喵解析】:A选项表示“DMZ可以访问内部网络”,这是错误的。DMZ(Demilitarized Zone,非军事化区)通常被设置为一个位于内部网络和外部网络之间的隔离区域,它包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等。然而,DMZ通常不直接访问内部网络,以防止外部攻击者利用DMZ的设备访问内部网络。B选项表示“通常DMZ包含允许来自互联网的通信可进行的设备”,这是正确的。DMZ的主要目的是允许外部网络访问某些设备,同时保护内部网络不受外部攻击。C选项表示“内部网络可以无限制地访问外部网络以及DMZ”,这也是错误的。通常,内部网络对外部网络和DMZ的访问是受限制的,以防止内部网络被外部攻击者利用。D选项表示“有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作”,这是正确的。NAT(Network Address Translation,网络地址转换)是一种将私有网络地址转换为公共网络地址的技术,用于在多个设备之间共享一个公共IP地址。在有两个DMZ的防火墙环境中,主防火墙可能会采用NAT方式工作,以实现地址转换和访问控制。因此,A选项“DMZ可以访问内部网络”是错误的。
5、信息安全管理中,关于脆弱性,以下说法正确的是()。
A、组织使用的开源软件不须考虑其技术脆弱性
B、软件开发人员为方便维护留的后门是脆弱性的一种
C、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施
D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会
解析:【喵呜刷题小喵解析】:在信息安全管理中,关于脆弱性的理解是:A选项提到“组织使用的开源软件不须考虑其技术脆弱性”,这是错误的,因为开源软件同样可能存在技术脆弱性,需要对其进行评估和管理。C选项“识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施”也是错误的,因为识别资产脆弱性时,不仅需要考虑资产的固有特性,还需要考虑当前的安全控制措施,因为安全控制措施可以降低脆弱性。D选项“使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会”也是错误的,因为即使信息系统与网络物理隔离,仍然可能存在其他途径的威胁,因此不能杜绝其脆弱性被威胁利用的机会。因此,正确答案是B选项,即“软件开发人员为方便维护留的后门是脆弱性的一种”。
6、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么下列选项中哪一项不是针对该问题的纠正措施?()
A、要求员工立即改正
B、对员工进行优质口令设置方法的培训
C、通过域鮑行强制管理
D、对所有员工进行意识教育
解析:【喵呜刷题小喵解析】:根据题目描述,公司A在内审时发现部分员工计算机开机密码少于6位,而公司文件规定员工计算机密码必须6位及以上。针对这一问题,我们需要找到一种纠正措施。A选项要求员工立即改正,这更像是一种应急措施,而不是纠正措施。因为即使员工立即改正,如果他们没有意识到问题的严重性,很可能再次犯同样的错误。B选项对员工进行优质口令设置方法的培训,这是一种有效的纠正措施。通过培训,员工可以学习到如何设置符合规定的密码,从而避免类似问题的再次发生。C选项通过域鮋行强制管理,也是一种有效的纠正措施。通过域管理,可以强制要求所有员工设置符合规定的密码,从而确保公司文件的规定得到执行。D选项对所有员工进行意识教育,同样是一种有效的纠正措施。通过意识教育,员工可以认识到设置符合规定的密码的重要性,从而自觉遵守公司文件的规定。因此,A选项要求员工立即改正更像是一种应急措施,而不是纠正措施,所以正确答案是A。
7、下面哪个不是《中华人民共和国密码法》中密码的分类?()
A、核心'密码
B、普通密码
C、国家密码
D、商用密码
解析:【喵呜刷题小喵解析】:《中华人民共和国密码法》中规定的密码分类包括核心密码、普通密码和商用密码。国家密码并不是该法规定的密码分类之一,因此选项C“国家密码”不是《中华人民共和国密码法》中密码的分类。
8、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督对秘密、机密级信息系统每()至少进行一次保密检查或系统测评。
A、半年
B、1年
C、1.5年
D、2年
解析:【喵呜刷题小喵解析】:《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督,对秘密、机密级信息系统每2年至少进行一次保密检查或系统测评。因此,正确答案为D,即“2年”。
9、ISMS不一定必须保留的文件化信息有()。
A、适用性声明
B、信息安全风酬估过程记录
C、管理评审结果
D、重要业务系统操佛南
解析:【喵呜刷题小喵解析】:ISMS(信息安全管理体系)通常要求保留一系列文件化信息,以确保信息安全管理的有效性和合规性。然而,并非所有与信息安全相关的文件都需要被保留为文件化信息。在给出的选项中,A、B、C都是ISMS中通常要求保留的文件化信息,如适用性声明、信息安全风险评估过程记录和管理评审结果。而D选项“重要业务系统操作”则不一定需要作为文件化信息保留。因此,答案为D。
10、访问控制是确保对资产的访问,是基于()要求进行授权和限制的手段。
A、用户权限
B、可给予哪些主体访问权
C、可被用户访问的资源
D、系统是否遭受人侵
解析:【喵呜刷题小喵解析】:访问控制是确保对资产的访问,是基于可给予哪些主体访问权的要求进行授权和限制的手段。因此,选项B“可给予哪些主体访问权”是正确答案。选项A“用户权限”是访问控制的其中一个方面,但不是基于这个要求进行的授权和限制。选项C“可被用户访问的资源”描述了资源,而不是授权和限制的主体。选项D“系统是否遭受人侵”与访问控制无关。
11、依据GB/T22080/ISO/1EC27001,信息分类方案的目的是()。
A、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析
B、确保信息按照其对组织的重要程度受到适当水平的保护
C、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘
D、划分信息载体所属的职能以便于明确管理责任
解析:【喵呜刷题小喵解析】:在GB/T22080/ISO/1EC27001中,信息分类方案的主要目的是确保信息按照其对组织的重要程度受到适当水平的保护。选项A涉及的是信息的数据类型,而不是分类方案的目的;选项C关于信息载体的不同介质,也不是分类方案的核心目的;选项D关于信息载体所属的职能,与分类方案的目的不直接相关。因此,正确答案是B,即确保信息按照其对组织的重要程度受到适当水平的保护。
12、关于《中华人民共和国保密法》,以下说法正确的是()。
A、该法的目的是为了保守国家秘密而定
B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系
C、该法适用于所有组枷其敏瞧息的阱
D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护
解析:【喵呜刷题小喵解析】:《中华人民共和国保密法》的立法目的是为了保守国家秘密,维护国家安全和利益,保障改革开放和社会主义建设事业的顺利进行。所以A选项“该法的目的是为了保守国家秘密而定”是正确的。B选项“该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系”是不正确的。ISO/IEC27001是一个国际信息安全管理体系标准,而《中华人民共和国保密法》是我国的保密法律,两者属于不同的法律标准,不可相互替代。C选项“该法适用于所有组枷其敏瞧息的阱”存在表述错误,该法适用于一切国家机关、武装力量、政党、社会团体、企业事业单位和公民。它针对的是国家秘密,而不是所有组织的敏感信息。D选项“国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护”也是不正确的。根据《中华人民共和国保密法》,国家秘密分为绝密、机密、秘密三级,而不是秘密、机密、绝密。同时,国家秘密的定级和保密工作由国家保密行政管理部门主管,而不是由组织自主定级、自主保护。
13、依据GB/T22080/ISO/IEC27001中控制措施的要求,关于网络服务的访问控制策略,以下正确的是()。
A、网络管理员可以通过telnet在家里远程登录、维护核心交换机
B、应关闭服务器上不需要的网络服务
C、可以通过防病毒产品实现对内部用户的网络访问控制
D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制
解析:【喵呜刷题小喵解析】根据GB/T22080/ISO/IEC27001中的控制措施要求,针对网络服务的访问控制策略,我们来看每一个选项:A选项提到网络管理员可以通过telnet在家里远程登录、维护核心交换机。然而,telnet是一种明文传输协议,这意味着所有传输的数据都是明文,容易被截获和破解。因此,使用telnet进行远程登录和维护是不安全的,不符合访问控制策略的要求。B选项建议应关闭服务器上不需要的网络服务。这是正确的,因为关闭不需要的网络服务可以减少潜在的安全风险,提高系统的安全性。C选项提到可以通过防病毒产品实现对内部用户的网络访问控制。虽然防病毒产品可以帮助检测和清除病毒,但它并不能直接实现对内部用户的网络访问控制。访问控制通常涉及到身份认证、授权和审计等方面,而防病毒产品主要关注于病毒检测和清除。D选项提到可以通过常规防火墙实现对内部用户访问外部网络的访问控制。虽然防火墙可以帮助控制网络访问,但它通常用于控制外部用户访问内部网络,而不是内部用户访问外部网络。综上所述,只有B选项符合GB/T22080/ISO/IEC27001中的控制措施要求,因此正确答案是B。
14、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在()向当地县级以上人民政府公安机关报告。
A、8小时内
B、12小时内
C、24小时内
D、48小时内
解析:【喵呜刷题小喵解析】:《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。因此,正确答案为C选项,即24小时内。
15、ISMS关键成功因素之一是用于评价信息安全管理执行情赫口改进反馈建议的()系统。
A、测量
B、报告
C、传递
D、评价
解析:【喵呜刷题小喵解析】:题目中提到“用于评价信息安全管理执行情赫口改进反馈建议的()系统”,而选项A“测量”恰好符合这一描述。测量系统可以用于评价信息安全管理执行的情况,并根据反馈进行改进。因此,正确答案是A。
16、关于投诉处理过程的设计,以下说法正确的是()。
A、投诉处理过程应易于所有岫者使用
B、投诉处理过程应易于所有投诉响应者使用
C、投诉处理过程应易于所有投诉处理者使用
D、投诉处理过程应易于为投诉处理付费的投诉者使用
解析:【喵呜刷题小喵解析】:在处理投诉时,应该考虑投诉过程的易用性,以便所有的利益相关者都可以使用。这包括了那些可能会发起投诉的人(投诉者),以及处理投诉的相关人员。A选项表示“投诉处理过程应易于所有岫者使用”,这里的“岫者”可能是输入错误,应该是“用户”或“相关者”。但即使如此,这个选项仍然传达了投诉处理过程应该易于使用,这包括了所有可能涉及的人员。B选项“投诉处理过程应易于所有投诉响应者使用”只考虑了处理投诉的人员,没有考虑到发起投诉的投诉者。C选项“投诉处理过程应易于所有投诉处理者使用”也只是考虑了处理投诉的人员,没有包括所有的利益相关者。D选项“投诉处理过程应易于为投诉处理付费的投诉者使用”过于具体,并且提到了“付费”,这与一般的投诉处理过程不相关。综上所述,最符合普遍性和全面性的描述是A选项“投诉处理过程应易于所有岫者使用”(或者说“投诉处理过程应易于所有相关者使用”),因此正确答案应为A。
17、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()。
A、ISO/IEC27002
B、ISO/IEC27003
C、[SO/IEC27004
D、ISO/IEC27005
解析:【喵呜刷题小喵解析】:《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为ISO/IEC27003。因此,正确答案为B。
18、下列()不是创建和维护测量要执行的活动。
A、开展测量活动
B、识别当前支持信息需求的安全实践
C、开发和更新测量
D、建立测量文档并确定实施优先级
解析:【喵呜刷题小喵解析】:在创建和维护测量的过程中,我们需要开展测量活动、识别当前支持信息需求的安全实践以及开发和更新测量。而建立测量文档并确定实施优先级并不是创建和维护测量要执行的活动,因此,选项D“建立测量文档并确定实施优先级”不是创建和维护测量要执行的活动。
19、ISMS文件评审需考虑()。
A、收集信息,以准备审核活动和适当的工作文件
B、请受审核方文件与标准的符合性,并提出改进意见
C、确以受审核方文件与标准的符合性,并提出改进意见
D、双方就ISMS文件框架交换不同意见
解析:【喵呜刷题小喵解析】:题目要求选择ISMS文件评审需要考虑的内容。选项A提到“收集信息,以准备审核活动和适当的工作文件”,这符合ISMS文件评审的基本步骤,即首先需要收集足够的信息,以便进行后续的审核活动,并准备相应的工作文件。选项B和C都提到了“请受审核方文件与标准的符合性,并提出改进意见”,但选项B表述不明确,而选项C中的“确以”可能是笔误,应为“确认”。选项D提到“双方就ISMS文件框架交换不同意见”,这更像是审核过程中的一个环节,而不是文件评审需要考虑的内容。因此,正确答案是A。
20、信息安全的机密性是指()。
A、保证信息不被其他人使用
B、信息不被未授权的个人实体或过程利用或知悉的特性
C、根撼受权实体的要求可访问的特性
D、保护信,息准确和完整的特性
解析:【喵呜刷题小喵解析】:信息安全中的机密性是指信息不被未授权的个人实体或过程利用或知悉的特性。因此,选项B“信息不被未授权的个人实体或过程利用或知悉的特性”是正确答案。其他选项与机密性的定义不符。A选项“保证信息不被其他人使用”没有明确授权的概念,C选项“根据授权实体的要求可访问的特性”涉及到了授权,但并未明确表达不被未授权的个人或过程利用或知悉,D选项“保护信息准确和完整的特性”与机密性无直接关系。
21、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()。
A、国家经营
B、地方经营
C、许可制度
D、备案制度
解析:【喵呜刷题小喵解析】:《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行许可制度。因此,正确答案为C选项,即“许可制度”。其他选项A、B、D均不符合该法规的规定。
22、根据GB/T22080-2016中控制措施的要求,关于技术脆弱性管理,以下说法正确的是()。
A、技术脆弱性应单独管理,与事件管理没有关联
B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小
C、针对技术脆弱性的补丁安装应按变更管理进行控制
D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016中控制措施的要求,关于技术脆弱性管理,说法正确的是C. 针对技术脆弱性的补丁安装应按变更管理进行控制。A选项错误,技术脆弱性管理应与事件管理相关联,因为技术脆弱性可能导致事件,而事件管理是对这些事件进行响应和处理的过程。B选项错误,了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险不一定越小。公众范围广泛意味着更多的潜在攻击者可能知道并利用该脆弱性,从而增加组织的风险。D选项错误,及时安装针对技术脆弱性的所有补丁并不一定是应对脆弱性相关风险的最佳途径。虽然补丁安装是减少脆弱性的重要步骤,但还需要考虑其他因素,如补丁的兼容性、安全性以及组织的实际情况。因此,正确答案是C选项,即针对技术脆弱性的补丁安装应按变更管理进行控制。
23、对保密文件复印件张数核对是确保保密文件的()。
A、保密性
B、完整性
C、可用性
D、连续性
解析:【喵呜刷题小喵解析】:保密文件复印件张数核对是确保保密文件的完整性。保密文件的完整性是指文件内容的完整性和准确性,复印件张数核对可以确保复印件与原件内容一致,从而保障文件的完整性。保密性、可用性和连续性虽然也是保密文件需要考虑的因素,但与复印件张数核对直接相关的主要是完整性。因此,答案为B,即完整性。
24、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于()对信息系统造成物理破坏而导致的信息安全事件。
A、人为因素
B、自然灾唯
C、不可抗力
D、网络故障
解析:【喵呜刷题小喵解析】:《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。因此,正确答案为C,即不可抗力。其他选项如人为因素、自然灾唯、网络故障都不是灾害性事件的主要原因。
25、关于顾客满意,以下说法正确的是()。
A、顾客没有抱怨,表示顾客满意
B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意
C、顾客认为其要求已得到满足,即意味着顾客满意
D、组织认为顾客要求已得到满足,即意味着顾客满
解析:【喵呜刷题小喵解析】:根据顾客满意的定义,顾客满意是指顾客对其接受的产品或服务的评价超过其预期的一种心理状态。其中,顾客对其要求已得到满足是顾客满意的一个基本表现。因此,选项C“顾客认为其要求已得到满足,即意味着顾客满意”是正确的说法。对于其他选项:A. 顾客没有抱怨,表示顾客满意。这个说法并不准确,因为顾客没有抱怨并不代表顾客一定满意,可能是顾客没有注意到产品或服务的问题,或者顾客对问题的容忍度较高。B. 信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意。这个说法也不准确,因为信息安全事件没有给顾客造成实质性的损失,只能说明顾客在信息安全方面没有受到直接的经济损失,但并不能代表顾客对整体的产品或服务满意。D. 组织认为顾客要求已得到满足,即意味着顾客满意。这个说法同样不准确,因为顾客满意是顾客自己的主观感受,而不是组织的主观判断。组织认为顾客要求已得到满足,并不代表顾客真的满意。因此,正确答案是C选项。
26、()对于信息安全管理负有责任。
A、高级管理层
B、安全管理员
C、IT管理员
D、所有与信息系统有关人员
解析:【喵呜刷题小喵解析】:信息安全管理的责任应该由所有与信息系统有关的人员共同承担,而不是仅由某一特定人员或部门负责。高级管理层、安全管理员和IT管理员虽然都在信息安全管理中扮演着重要角色,但他们不能独自承担全部责任。因此,正确答案是“所有与信息系统有关人员”。
27、形成ISMS审核发现时不需要考虑的是()。
A、所实施控制措施与适用性声明的符合性
B、适用性声明的完备性和适宜性
C、所实施控制措施的时效性
D、所实施控制措施的有效性
解析:【喵呜刷题小喵解析】:ISMS审核发现的形成主要关注所实施的控制措施与适用性声明的符合性、适用性声明的完备性和适宜性以及所实施控制措施的有效性。而所实施控制措施的时效性并不在考虑范围内,因为审核关注的是当前控制措施的状态和效果,而不是它们何时开始实施。因此,选项C“所实施控制措施的时效性”是形成ISMS审核发现时不需要考虑的因素。
28、关于信息系统登录口令的管理,以下做法不正确的是()。
A、必要时,使用密码技术、生物识别等替代口令
B、用提示信息告知用户输入的口令是否正确
C、明确告知用户应遵从的优质口令策略
D、使用互动式管理确保用户使用优质口令
解析:【喵呜刷题小喵解析】:根据题目中的选项,我们需要判断哪一项关于信息系统登录口令的管理是不正确的。A选项提到“必要时,使用密码技术、生物识别等替代口令”,这是正确的,因为使用更安全的身份验证方式可以提高系统的安全性。C选项“明确告知用户应遵从的优质口令策略”也是正确的,因为这可以帮助用户生成更难以被猜测的口令。D选项“使用互动式管理确保用户使用优质口令”也是合理的,互动式管理可以帮助确保用户遵循优质口令策略。而B选项“用提示信息告知用户输入的口令是否正确”是不正确的,因为这会暴露用户输入的口令是否正确,从而增加了口令被猜测的风险。因此,不正确的做法是B选项。
29、信息安全目标应()。
A、可测量
B、与信息安全方针一致
C、适当时,对相关方可用
D、定期更新
解析:【喵呜刷题小喵解析】:信息安全目标应与信息安全方针一致,以确保信息安全工作能够按照预定的方向和目标进行。可测量、适当时对相关方可用和定期更新都是信息安全目标实现过程中需要考虑的因素,但它们不是信息安全目标本身。因此,正确答案为B。
30、完整性是指()。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护资产准确和完整的特性
D、保护资产保密和可用的特性
解析:【喵呜刷题小喵解析】:完整性是指保护资产准确和完整的特性,它确保数据在传输和存储过程中没有被篡改或损坏,从而保持其准确性和完整性。选项A“根据授权实体的要求可访问的特性”描述的是访问控制的概念,与完整性无关;选项B“信息不被未授权的个人、实体或过程利用或知悉的特性”描述的是保密性;选项D“保护资产保密和可用的特性”描述的是可用性和保密性,均与完整性的定义不符。因此,正确答案是C。
31、风险偏好是组织寻求或保留风险的( )。
A、行动
B、计划
C、意愿
D、批复
解析:【喵呜刷题小喵解析】:风险偏好是组织在决策过程中对于风险的态度,它决定了组织在面临风险时是否愿意寻求或保留风险。因此,风险偏好是组织寻求或保留风险的意愿,选项C“意愿”最符合题意。其他选项如行动、计划和批复虽然与风险有关,但都不直接描述组织对于风险的态度,因此不是最佳答案。
32、下面哪个不是典型的软件开发模型?()
A、变换型
B、渐增型
C、瀑布型
D、结构型
解析:【喵呜刷题小喵解析】:题目询问的是哪个不是典型的软件开发模型。选项中,A变换型、B渐增型、C瀑布型都是软件开发中常见的模型。而D结构型并不是典型的软件开发模型,它更多地用于描述软件系统的结构或组织方式,而不是软件开发的过程或方法。因此,D选项不是典型的软件开发模型。
33、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力。
A、确定
B、制定
C、落实
D、确保
解析:【喵呜刷题小喵解析】:在信息安全管理体系中,组织需要确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的因素。因此,选项A“确定”是正确答案。其他选项如制定、落实、确保都不符合题意。
34、组织的风险责任人不可以是()。
A、组织的某个部门
B、某个系统
C、风险转移到组织
D、组织的某个虚拟小组负责人
解析:【喵呜刷题小喵解析】:风险责任人在组织中的定义通常指的是对特定风险负有管理责任的个体或团队。在选项中,A、B和D分别描述了组织中的部门、系统和虚拟小组负责人,这些都可以是风险的责任人。然而,选项C“风险转移到组织”并不符合风险责任人的定义。风险转移是将风险从一个实体转移到另一个实体,但这并不意味着转移后的实体就是风险的责任人。因此,正确答案是C。
35、GB/T 29246标准为组织和个人提供()。
A、建立信息安全管理体系的基础信息
B、信息安全管理体系的介绍
C、ISMS标准族已发布标准的个绍
D、ISMS标准族中使用的所有术语和定义
解析:【喵呜刷题小喵解析】题目中询问的是GB/T 29246标准为组织和个人提供什么。根据给出的选项,我们可以逐一分析:A. 建立信息安全管理体系的基础信息 - 这个选项没有直接提到GB/T 29246标准,因此可以排除。B. 信息安全管理体系的介绍 - GB/T 29246是信息安全管理体系标准族(ISMS标准族)的一部分,因此该标准很可能为组织和个人提供信息安全管理体系的相关介绍。C. ISMS标准族已发布标准的个绍 - 这个选项提到了ISMS标准族,但题目中并未明确询问关于已发布标准的信息,因此可以排除。D. ISMS标准族中使用的所有术语和定义 - 这个选项虽然与ISMS标准族有关,但题目中并未明确询问关于术语和定义的信息,因此可以排除。综上所述,GB/T 29246标准很可能为组织和个人提供信息安全管理体系的相关介绍,因此正确答案是B。
36、下列不一定要进行风险评估的是()。
A、发布新的法律法规
B、ISMS最高管理者人员变更
C、ISMS范围内的网络采用新的网络架构
D、计划的时间间隔
解析:【喵呜刷题小喵解析】:风险评估是信息安全管理体系(ISMS)中的一个重要环节,用于识别和评估潜在的安全风险。A选项“发布新的法律法规”可能带来新的合规要求,需要进行风险评估。C选项“ISMS范围内的网络采用新的网络架构”可能引入新的安全风险,也需要进行风险评估。D选项“计划的时间间隔”可能是指定期进行风险评估的时间间隔,这本身就需要进行风险评估。而B选项“ISMS最高管理者人员变更”虽然涉及到管理层的变动,但并不一定直接带来新的安全风险,因此不一定需要进行风险评估。所以,正确答案是B。
37、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()
A、2019
B、2017
C、2016
D、2018
解析:【喵呜刷题小喵解析】:《互联网信息服务管理办法》现行有效的版本是2011年修订的版本,于2011年7月1日起施行,因此,题目中给出的选项中,只有2018年发布的版本是现行有效的。因此,正确答案为D。
38、根据GB/T 22080-2016标准的要求,组织()实施风险评估。
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔且当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
解析:【喵呜刷题小喵解析】根据GB/T 22080-2016标准的要求,组织“应按计划的时间间隔或当重大变更提出或发生时”实施风险评估。所以选项A是正确的。选项B表述为“按计划的时间间隔且当重大变更提出或发生时”,但原标准并未使用“且”这样的连接词,所以B错误。选项C和D都只涉及到了重大变更或时间间隔的其中一个条件,没有涵盖标准要求的两个条件,所以也是错误的。
39、按照PDCA思路进行审核,是指()。
A、按照认可规范中规定的PDCA流程进行审核
B、按照认证机构的PDCA跡进行审核
C、按照受审核区域活动的PDCA过程进行审核
D、按照检査表策划的PDCA进行审核
解析:【喵呜刷题小喵解析】PDCA是Plan(计划)、Do(执行)、Check(检查)和Act(处理)的首字母缩写,它是质量管理中常用的一个循环模式。在审核中,PDCA通常指的是审核员按照被审核对象的活动过程进行,即首先了解并计划审核,然后执行审核,接着检查审核结果,最后根据检查结果进行处理。所以,按照PDCA思路进行审核,指的是按照受审核区域活动的PDCA过程进行审核,即选项C。其他选项A、B、D与PDCA的直接应用不吻合。
40、ISMS文件的多少和详细程度取决于()。
A、组织的规模和活动的类型
B、过程及魅互作用的复杂疊
C、人员的能力
D、以上都对
解析:【喵呜刷题小喵解析】:ISMS文件的多少和详细程度取决于组织的规模和活动的类型、过程及相互作用的复杂程度以及人员的能力。因此,选项D“以上都对”是正确的。具体来说,组织的规模越大,活动类型越复杂,过程相互作用越复杂,以及人员能力越高,ISMS文件就需要越详细,数量也可能越多。因此,选项A、B、C都是影响ISMS文件多少和详细程度的重要因素。
二、多选题
41、常规控制图主要用于区分()。
A、过程处于稳态还是非稳态
B、过程能力的大小
C、过程加工的不合格品率
D、过程中存在偶然波动还是异常波动
解析:【喵呜刷题小喵解析】:常规控制图是一种用于统计过程控制的工具,主要用于监控生产过程中的质量特性。它可以用来区分过程的稳态和非稳态,以及过程能力的大小。此外,控制图还可以用来监控不合格品率,并区分过程中的偶然波动和异常波动。因此,选项A、B、C和D都是正确的。
42、下列哪些是SSL支持的内容类型?()
A、chang cipher spec
B、alert
C、hand shakle
D、application data
解析:【喵呜刷题小喵解析】:SSL(Secure Sockets Layer)是一种安全协议,用于在网络上提供安全通信。它支持多种内容类型,包括:A. Change Cipher Spec:这是SSL握手过程中用于通知对方即将更改加密规范的消息。B. Alert:用于通知对方在SSL/TLS连接中发生的错误或警告。C. Handshake:这是SSL握手过程,用于建立安全连接。D. Application Data:这是SSL/TLS连接上传输的应用程序数据。因此,A、B、C和D都是SSL支持的内容类型。
43、GBT28450审核方案管理的内容包括()。
A、信息安全风险管理要求
B、ISMS的复杂度
C、是否存在相似场所
D、ISMS的规模
解析:【喵呜刷题小喵解析】:GBT28450是信息安全管理体系标准,它涉及到审核方案管理的内容。在信息安全管理体系(ISMS)中,审核方案管理的内容主要包括信息安全风险管理要求、ISMS的复杂度和ISMS的规模。题目中给出的选项A、B和D与这些信息直接相关。选项C“是否存在相似场所”与GBT28450审核方案管理的内容没有直接关系,因此不应选。因此,正确答案为A、B和D。
44、ISO/IEC 27000系列标准主要包括哪几类标准?()
A、要求类
B、应用类
C、指南类
D、术语类
解析:【喵呜刷题小喵解析】:ISO/IEC 27000系列标准主要包括要求类、指南类和术语类。这些标准在信息安全管理体系(ISMS)的建立、实施、监视、评审、改进以及提供信息安全保证等方面提供了指导。其中,要求类标准定义了组织需要满足的信息安全控制要求;指南类标准提供了如何实施这些控制要求的建议;术语类标准则定义了信息安全领域的相关术语。因此,选项A、C和D是正确的。选项B“应用类”并不在ISO/IEC 27000系列标准的主要分类中。
45、信息安全风险分析包括()。
A、分析风险发生的原因
B、确定风险级别
C、评估识别的风险发生后,可能导致的潜在后果
D、评估所识别的风险实际发生的可能性
解析:【喵呜刷题小喵解析】:信息安全风险分析是一个全面的过程,它涉及确定风险的级别、评估风险可能导致的潜在后果,以及评估风险实际发生的可能性。这三个方面构成了信息安全风险分析的核心内容。A选项“分析风险发生的原因”虽然重要,但在信息安全风险分析过程中,更重要的是评估风险的实际影响和可能性,而不是仅仅分析风险发生的原因。因此,A选项并不符合信息安全风险分析的核心内容。B选项“确定风险级别”是信息安全风险分析的一个重要步骤,它帮助我们对风险进行分类,以便更好地管理和应对。C选项“评估识别的风险发生后,可能导致的潜在后果”是评估风险的重要部分,它帮助我们了解风险可能带来的负面影响,从而制定有效的应对措施。D选项“评估所识别的风险实际发生的可能性”是信息安全风险分析的关键部分,它帮助我们了解风险的实际发生概率,从而制定更为精确的风险应对策略。
46、信息安全管理中,支持性基础设施指()。
A、供电、通信颇
B、消防、防雷设施
C、空调及新风系统、水气暖供应系统
D、网络设备
解析:【喵呜刷题小喵解析】:在信息安全管理中,支持性基础设施指的是那些为信息系统提供基本运行环境和保障措施的基础设施。供电、通信、消防、防雷设施、空调及新风系统、水气暖供应系统等都是支持性基础设施的重要组成部分。这些设施能够确保信息系统的稳定运行,防止因供电中断、通信故障、火灾、雷电等意外情况导致的信息安全问题。因此,选项A、B、C都是正确的。选项D“网络设备”虽然也是信息系统的重要组成部分,但它并不属于支持性基础设施的范畴。
47、《中华人民共和国网络安全法》是为了保障网络安全,()。
A、维护网络空间主权
B、维护国家安全
C、维护社会公共利益
D、保护公民、法人和其他组织的合法权益
解析:【喵呜刷题小喵解析】:《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权、国家安全、社会公共利益,保护公民、法人和其他组织的合法权益。因此,选项A、B、C和D都是正确的。
48、信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。
A、可用性
B、机密性
C、完备性
D、完整性
解析:【喵呜刷题小喵解析】:信息安全是指确保信息的机密性、完整性和可用性。机密性是指信息不被未经授权的人员获取,完整性是指信息在传输或存储过程中不被篡改或破坏,可用性是指信息可以被授权人员合法、及时地使用。所以,题目中给出的选项中,A、B、D都是正确的,而C选项“完备性”并不是信息安全的主要特性。因此,正确答案为A、B、D。
49、网络常见的拓扑形式有()。
A、星型
B、环型
C、总线
D、树型
解析:【喵呜刷题小喵解析】:网络拓扑结构是指网络中的计算机和通信设备的布置方式。星型拓扑、环型拓扑、总线拓扑和树型拓扑是常见的网络拓扑形式。星型拓扑以中央节点为中心,把各节点连接起来;环型拓扑中节点形成一个闭合环;总线拓扑中所有计算机共享一条总线进行通信;树型拓扑可以看作是星型拓扑的扩展,它像树一样分层。因此,选项A、B、C和D都是网络常见的拓扑形式。
50、访问控制包括()。
A、网络和网络服务的访问控制
B、逻辑访问控制
C、用户访问控制
D、物理访问控制
解析:【喵呜刷题小喵解析】:访问控制是信息安全领域的一个重要概念,它涉及到对系统资源(如文件、目录、设备、网络服务等)的访问权限的管理。在给出的选项中,A选项“网络和网络服务的访问控制”和D选项“物理访问控制”是访问控制的两个方面。其中,网络和网络服务的访问控制涉及对网络资源(如数据库、文件服务器、电子邮件服务器等)的访问权限的管理,而物理访问控制则涉及对物理设备(如服务器、数据中心、办公区域等)的访问权限的管理。B选项“逻辑访问控制”和C选项“用户访问控制”在给出的选项中并未明确提及,因此不应选。因此,正确答案是A和D。
51、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度。
A、新闻出版
B、医疗、保健
C、知识类
D、教育类
解析:【喵呜刷题小喵解析】:根据《互联网信息服务管理办法》的规定,互联网信息服务分为经营性和非经营性两类。对于新闻、出版、医疗保健、药品和医疗器械等关系国家利益和社会公共利益的系统使用的互联网信息服务,实行主管部门审核制度。因此,选项A“新闻出版”和选项B“医疗、保健”是需要主管部门审核的互联网信息服务类别。选项C“知识类”和选项D“教育类”并未明确说明需要主管部门审核,因此不应选。
52、以下()活动是ISMS建立阶段应完成的内容。
A、确定ISMS的范围和边界
B、确定ISMS方针
C、确定风险评估方法和实施
D、实施体系文件培训
解析:【喵呜刷题小喵解析】:在ISMS(信息安全管理体系)建立阶段,需要完成一系列关键活动以确保体系的有效性和完整性。根据给出的选项:A. 确定ISMS的范围和边界:这是建立ISMS的首要步骤,需要明确体系适用的范围以及与其他管理体系的边界。B. 确定ISMS方针:这涉及到制定信息安全管理的目标和原则,确保组织内的所有成员都了解并遵循这些方针。C. 确定风险评估方法和实施:风险评估是ISMS的核心部分,需要确定合适的方法并实施,以识别潜在的安全威胁和脆弱性。D. 实施体系文件培训:虽然培训是ISMS运行阶段的重要活动,但在建立阶段,主要是完成上述三个关键活动,而不是立即进行体系文件的培训。因此,正确答案是ABC。
53、在开展信息安全绩效和ISMS有效,性评价时,组织应确定()。
A、监视、测量、分析和评价的过程
B、适用的监视、测量、分析和评价的方法
C、需要被监祈厢测量的内容
D、监视、测量、分析和评价的执行人员
解析:【喵呜刷题小喵解析】:根据题目描述,组织在开展信息安全绩效和ISMS有效性评价时,需要确定监视、测量、分析和评价的过程。这个过程涉及几个关键要素,包括适用的方法、需要被监视和测量的内容以及执行人员。A选项“监视、测量、分析和评价的过程”虽然是一个重要的概念,但它本身并不是一个具体的确定项,而是一个更广泛的概念框架。因此,它不应该被单独选择作为答案。B选项“适用的监视、测量、分析和评价的方法”指的是具体的、可以用来进行信息安全绩效和ISMS有效性评价的技术或工具。这是评价过程中不可或缺的一部分。C选项“需要被监视和测量的内容”指的是组织需要关注的具体信息安全绩效指标或ISMS有效性指标。明确了这些指标,组织才能有针对性地进行监视和测量。D选项“监视、测量、分析和评价的执行人员”指的是负责执行整个评价过程的人员。明确了执行人员,可以确保评价过程的顺利进行。综上所述,B、C和D选项都是组织在开展信息安全绩效和ISMS有效性评价时需要确定的要素,因此它们都是正确答案。
54、依据GB/Z20986,确定为重大社会影响的情况包括()。
A、涉及到一个或多个地市的大部分地区
B、威胁到国家安全
C、扰乱社会秩序
D、对经济建设有重大负面影响
解析:【喵呜刷题小喵解析】:重大社会影响的情况依据GB/Z20986标准,包括涉及到一个或多个地市的大部分地区、威胁到国家安全以及对经济建设有重大负面影响。这些情况都可能对社会产生广泛而深远的影响,因此被确定为重大社会影响的情况。选项C“扰乱社会秩序”并未在GB/Z20986标准中明确列为重大社会影响的情况,因此不应选。
55、管理评审是为了确保信息安全管理体系持续的()。
A、适宜性
B、充分性
C、有效性
D、可靠性
解析:【喵呜刷题小喵解析】:管理评审是组织对其信息安全管理体系的定期评价,目的是确保该体系持续满足组织的要求,适应外部环境的变化,并有效实施和保持。因此,管理评审需要确保信息安全管理体系的适宜性、充分性和有效性。适宜性指的是体系是否适合组织的业务需求和外部环境;充分性指的是体系是否具备足够的资源和能力来实施和保持信息安全;有效性指的是体系是否能够有效地实现预期的信息安全目标。因此,选项A、B和C都是正确的。选项D“可靠性”通常用于描述系统或产品在规定条件下和规定时间内完成规定功能的能力,与管理评审的目的不直接相关,因此不应选。
三、判断题
56、较低的恢复时间目标会有更长的中断时间()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:恢复时间目标(RTO)是指系统或应用恢复所需的最大可接受时间。较低的恢复时间目标意味着恢复时间更短,即系统或服务中断后需要更快的时间来恢复。因此,较长的中断时间意味着恢复时间目标较高,而不是较低。所以,题目中的说法是错误的,答案应选择B。
57、组织的内外部相关方要求属于组织的内部和外部事项()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:组织的内外部相关方要求属于组织的外部事项,而非内部事项。因此,题目的陈述是错误的,正确答案是B。组织的内部事项通常指的是组织内部的运营、管理、流程等方面,而组织的外部事项则涉及到组织与外部环境的互动,包括客户、供应商、竞争对手、法律法规等。组织的内外部相关方要求,如客户的需求、供应商的能力、法律法规的规定等,都是组织的外部事项,需要组织进行响应和满足。因此,题目中的陈述是错误的。
58、破坏、摧毁、控制网络基础设施是网络攻击行为之一()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:网络攻击行为包括多种手段,其中破坏、摧毁、控制网络基础设施是其中的一种。这些行为旨在破坏网络的稳定性、可用性或安全性,可能导致网络服务的中断、数据泄露或其他严重后果。因此,题目中的陈述是正确的。
59、所有联网和未联网的微型计算机的安全保护办法都应遵循《中华人民共和国计算机信息系统安全保护条例》规定()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:根据《中华人民共和国计算机信息系统安全保护条例》的规定,该条例适用于联网和未联网的微型计算机,但并不意味着所有联网和未联网的微型计算机的安全保护办法都必须遵循该条例。因此,题目中的说法过于绝对,是错误的。所以,正确答案是B。
60、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:风险处置计划和信息安全残余风险应获得最高管理者的授受和批准,这一说法存在错误。在信息安全领域,风险处置计划和残余风险的批准通常是由信息安全管理团队或相关负责部门来完成的,而不是最高管理者直接授受和批准。最高管理者通常会对这些计划和风险进行总体上的了解和认可,但具体的批准过程通常由专业团队负责。因此,该题目中的说法是不准确的,答案为B。
61、纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:纠正措施是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。但是题目中表述为“消除已发现的不符合或其他不期望情况”,缺少了“的原因”这一关键词,因此原题表述不完整,存在错误。所以,答案选B,即题目表述错误。
62、完全备份就是对全部数据库数据进行备份()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:完全备份并不是指对全部数据库数据进行备份,而是指对某一时间点的整个数据库或系统的完整拷贝。虽然这包括了所有的数据,但它更强调的是一个“时间点”的备份,而不仅仅是数据量的多少。因此,此题的描述是不准确的,答案为B。
63、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围()。
A 正确
B 错误
解析:【喵呜刷题小u解析】:确定组织信息安全管理体系的范围是一个复杂的过程,不能仅仅考虑组织所实施的活动。还需要考虑其他因素,如组织的信息资产、潜在的信息安全风险、以及适用的法律法规等。因此,仅仅基于组织所实施的活动来确定信息安全管理体系的范围是不准确的,故选择B选项“错误”。
64、对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:对于不同类型的风险,确实可以采用不同的风险接受准则。在这个问题中,提到导致对法律法规不符合的风险可能是不可接受的,这通常意味着这类风险是不能容忍的,因此它很可能属于不可接受的风险类别。然而,问题中也提到可能允许接受导致违背合同要求的高风险。这意味着对于这类风险,组织或个体可能愿意接受一定的风险,尽管它可能导致合同违约。因此,这种风险是可以接受的,与法律法规不符合的风险不可接受的情况形成对比。所以,答案为A,表示这个陈述是正确的。
65、ISO/IEC27006是ISO/IEC17021的相关要求的补充()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:ISO/IEC27006是ISO/IEC17021的相关要求的补充,因此选项A“正确”是正确的。ISO/IEC27006提供了对ISO/IEC17021要求的进一步解释和详细指导,以确保其正确和一致的应用。因此,题目中的陈述是正确的。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
