一、单选题
1、信息分级的目的是()。
A、确保信息按照其对组织的重要程度受到适当级别的保护
B、确保信息按照其级别得到适当的保
C、确保信息得到保护
D、确保信息按照其级别得到处建
解析:【喵呜刷题小喵解析】:根据题目给出的选项,我们可以逐一分析:A选项“确保信息按照其对组织的重要程度受到适当级别的保护”表示信息分级的目的是根据信息对组织的重要程度来给予适当的保护,这是符合信息分级的基本概念的。B选项“确保信息按照其级别得到适当的保”中的“适当的保”表达不清晰,而且“级别”这个词没有明确定义,所以不是正确答案。C选项“确保信息得到保护”没有指明保护的标准或依据,过于笼统,不是最佳答案。D选项“确保信息按照其级别得到处建”中的“处建”显然是一个错别字,应该是“处理”,但这个选项的表述仍然不清楚,且不符合信息分级的常规目的。因此,正确答案是A选项,即“确保信息按照其对组织的重要程度受到适当级别的保护”。
2、()属于管理脆弱性的识别对象。
A、物理环境
B、网路结构
C、应用系统组
D、技术管理
解析:【喵呜刷题小喵解析】:管理脆弱性的识别对象主要包括与技术管理相关的内容。因此,选项D“技术管理”属于管理脆弱性的识别对象。而选项A“物理环境”、选项B“网络结构”和选项C“应用系统组”虽然与管理相关,但更偏向于技术或物理层面的内容,不是专门针对管理脆弱性的识别对象。因此,正确答案为D。
3、关于备份下说法正确的是()。
A、备份介质的数据应定期进行恢复测试
B、如果组织删减了“信息安全连续性”要求,同机备份或备份本地存放是可接受的
C、发现备份介质退化后应考虑数据迁移
D、备份信息不是管理体系运行记录,不须规定保存期
解析:【喵呜刷题小喵解析】:A选项提到“备份介质的数据应定期进行恢复测试”,这是确保备份数据可用性的重要措施,因为即使进行了备份,如果备份数据无法恢复,那么备份也就失去了意义。B选项提到“如果组织删减了‘信息安全连续性’要求,同机备份或备份本地存放是可接受的”,这实际上可能增加了数据丢失的风险,因为同机备份或本地备份可能无法应对硬件故障或自然灾害等意外情况。C选项提到“发现备份介质退化后应考虑数据迁移”,这是正确的,因为备份介质的退化可能导致数据损坏或丢失,及时的数据迁移可以确保数据的完整性。D选项提到“备份信息不是管理体系运行记录,不须规定保存期”,这是错误的,因为备份信息同样是管理体系运行的重要记录,应该规定适当的保存期,以确保在需要时能够回溯和恢复数据。因此,A选项是正确的。
4、()是建立有效的计算机病毒防御体系所需要的技术措施。
A、防火墙、网络入侵检测和防火墙
B、漏洞扫描、网络入侵检测和防火墙
C、漏洞扫描、补丁管理系统和防火墙
D、网络入侵检测、防病毒系统和防火墙
解析:【喵呜刷题小喵解析】:在建立有效的计算机病毒防御体系时,需要采用多种技术措施来确保系统的安全性和稳定性。在给出的选项中,A选项“防火墙、网络入侵检测和防火墙”存在重复,因为防火墙已经包含了网络入侵检测的部分功能,因此A选项不正确。B选项“漏洞扫描、网络入侵检测和防火墙”虽然包括了漏洞扫描和网络入侵检测,但缺少了防病毒系统,因此B选项也不完全正确。C选项“漏洞扫描、补丁管理系统和防火墙”虽然包括了漏洞扫描和防火墙,但缺少了防病毒系统,因此C选项也不完全正确。而D选项“网络入侵检测、防病毒系统和防火墙”则包括了建立有效计算机病毒防御体系所需要的所有技术措施,因此D选项是正确的。因此,正确答案是D。
5、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源,在评估这样一个软件产品时最重要的标准是什么?()
A、要保护什么样的信息?
B、有多少信息要保护?
C、为保护这些重要信息你准备有多大的投入?
D、不保护这些重要信息,你将付出多大的代价?
解析:【喵呜刷题小喵解析】:在评估一个适合多种系统的访问控制软件包时,最重要的是考虑不保护这些重要信息将付出的代价。这是因为,如果重要信息没有得到保护,可能会面临数据泄露、系统被攻击等风险,从而给组织带来不可预知的损失。因此,选择软件包时,应该首先考虑不保护这些重要信息将付出的代价,以确保选择的产品能够有效地保护关键信息资源。其他选项,如要保护什么样的信息、有多少信息要保护以及为保护这些重要信息准备有多大的投入,虽然也很重要,但相较于不保护重要信息的代价,这些因素并不是最重要的评估标准。
6、《计算机信息系统安全保护条例》中所称计算机信息系统,是指()。
A、对信息进行采集、加工、存储、传输、检索等处理的人机系统
B、计算机及其相关的设备、设施,不包括软件
C、计算机运算环境的总和,但不含网络
D、一个组织所有计算机的总和,包括未联网的微型计算机
解析:【喵呜刷题小喵解析】:《计算机信息系统安全保护条例》中所称计算机信息系统,是指进行信息采集、加工、存储、传输和检索等人机系统。它不仅仅包括计算机及其相关设备、设施,还涉及软件的处理和运算环境,甚至可能包括网络。因此,选项A“对信息进行采集、加工、存储、传输、检索等处理的人机系统”是最符合定义的。选项B“计算机及其相关的设备、设施,不包括软件”是不准确的,因为软件是计算机信息系统的重要组成部分。选项C“计算机运算环境的总和,但不含网络”和选项D“一个组织所有计算机的总和,包括未联网的微型计算机”也都没有全面涵盖计算机信息系统的定义。
7、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密信息系统每()至少进行一次保密检查或系统测评。
A、半年
B、l年
C、1.5年
D、2年
解析:【喵呜刷题小喵解析】:《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查,对秘密级、机密信息系统每两年至少进行一次保密检查或系统测评。因此,正确答案为D,即“2年”。
8、A公司进行风险评估后发现公司的无线网络存在大的安全隐患,网络用于办公,这种处置方式属于()。
A、风险接受
B、风险规避
C、风险转移
D、风险减缓
解析:【喵呜刷题小喵解析】:题目中提到A公司进行了风险评估,发现无线网络存在大的安全隐患,网络用于办公。根据这个描述,公司发现了风险,并采取了措施来应对这个风险,即评估并发现了风险,然后采取措施来规避这个风险。因此,这种处置方式属于风险规避。选项B“风险规避”符合题意。
9、管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的管理方式不包括()。
A、自动恢复其IP至原绑定状态
B、断开网络并持续阻断
C、弹出提示窗口对其发出警告
D、锁定键盘鼠标
解析:【喵呜刷题小喵解析】:当管理员通过桌面系统下发IP、MAC绑定策略后,如果终端用户修改了IP地址,以下几种管理方式是可能发生的:A. 自动恢复其IP至原绑定状态:如果系统设置了自动恢复功能,那么用户的IP地址会被自动恢复到原先绑定的状态。B. 断开网络并持续阻断:这是一种安全措施,当检测到IP地址被修改时,系统可能会断开用户的网络连接,并持续阻断其访问。C. 弹出提示窗口对其发出警告:系统可能会弹出一个警告窗口,提示用户其IP地址已被修改,并可能告知其相关的安全策略或风险。D. 锁定键盘鼠标:这不是一种常见的管理方式。通常,当IP地址被修改时,系统不会锁定用户的键盘和鼠标。锁定键盘和鼠标通常与物理安全或特定的安全策略有关,而不是与IP地址修改直接相关。因此,正确答案是D,即“锁定键盘鼠标”不是管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址时的管理方式。
10、ISO/IEC27001从()的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。
A、组织整体业务风险
B、客户安全要求
C、信息安全法律法规
D、职能部门监管
解析:【喵呜刷题小喵解析】:根据ISO/IEC27001标准,该标准从组织整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(ISMS)规定了要求。因此,正确答案为A选项,即组织整体业务风险。其他选项如客户安全要求、信息安全法律法规和职能部门监管虽然与信息安全有关,但不是ISO/IEC27001标准的核心要求。
11、对于较大范围的网络,网络隔离是()。
A、可以降低成本
B、可以降低不同用户组之间非授权访问的风险
C、必须物理离和必须禁止无线网络
D、以上都对
解析:【喵呜刷题小喵解析】:对于较大范围的网络,网络隔离的主要目的是降低不同用户组之间非授权访问的风险。网络隔离可以通过物理隔离、逻辑隔离或两者结合的方式实现,以确保不同用户组之间的访问受到严格控制,从而防止未经授权的数据访问和潜在的安全威胁。因此,选项B“可以降低不同用户组之间非授权访问的风险”是正确的。选项A“可以降低成本”并不是网络隔离的主要目的,选项C“必须物理隔离和必须禁止无线网络”过于绝对,选项D“以上都对”也不准确,因为并非所有选项都是网络隔离的正确描述。
12、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么下列选项中哪一项不是针对该问题的纠正措施?()
A、要求员工立即改正
B、对员工进行优质口令设置方法的培训
C、通过域控进行强制管理
D、对所有员工进行意识教育
解析:【喵呜刷题小喵解析】:公司A在内审时发现部分员工计算机开机密码少于6位,而公司文件规定员工计算机密码必须6位及以上。针对这一问题,我们需要考虑有效的纠正措施。A选项要求员工立即改正,这更像是一个紧急应对措施,而不是长期的纠正措施。B选项对员工进行优质口令设置方法的培训,可以提高员工的安全意识,教授他们如何设置强密码,从而防止类似问题的再次发生。C选项通过域控进行强制管理,可以确保所有员工的密码都符合公司规定,是一种有效的管理手段。D选项对所有员工进行意识教育,可以提高员工对密码安全性的重视程度,从而降低密码泄露的风险。因此,A选项要求员工立即改正不是针对该问题的纠正措施,而是应急措施。
13、局域网环境下与大型计算机环境下的本地备份方式在()方面有主要区别。
A、主要结构
B、容错能力
C、网络拓扑
D、局域网协议
解析:【喵呜刷题小喵解析】:在局域网环境下,本地备份方式主要关注如何有效地在局域网内部进行数据备份,而大型计算机环境下的本地备份方式则更注重系统的容错能力。大型计算机通常处理高负荷的任务,数据丢失可能带来严重的后果,因此其本地备份方式需要具备更高的容错能力。因此,局域网环境下与大型计算机环境下的本地备份方式在容错能力方面有主要区别。所以,正确答案是nB容错能力。
14、关于关于涉密信息系统的管理,以下说法不正确的是()。
A、涉密计算机、存储设备不得接入互联网及其他公共信息网络
B、涉密计算机只有采取了适当防护措施才可接入互联网
C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载
D、涉密计算机未经安全技术处理不得改作其他用途
解析:【喵呜刷题小喵解析】:根据《涉密信息系统安全保密管理要求》的规定,涉密计算机、存储设备不得接入互联网及其他公共信息网络,因此选项A正确。而选项B“涉密计算机只有采取了适当防护措施才可接入互联网”与这一规定相悖,因此不正确。选项C“涉密信息系统中的安全技术程序和管理程序不得擅自卸载”和选项D“涉密计算机未经安全技术处理不得改作其他用途”均符合涉密信息系统的管理要求,因此正确。因此,不正确的说法是B。
15、关于信息安全风险评估,以下说法正确的是()。
A、如果集团企业的各地分/子公司业务性质相同,则针对一个分/子公司识别,评价风险即可,其风险评估过程和结果文件其他分/子公司可直接采用,以节省重复识别和计算的工作量
B、风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性
C、组织应基于其整体业务活动所在的环境和风险考虑其ISMS的设计
D、以上都对
解析:【喵呜刷题小喵解析】信息安全风险评估是为了识别、评估潜在的信息安全风险,为制定风险控制措施提供依据。对于选项A,即使集团企业的各地分/子公司业务性质相同,但由于各公司的具体情况(如系统配置、员工行为等)可能有所不同,因此针对一个分/子公司识别的风险可能不完全适用于其他分/子公司。对于选项B,风险评估过程中各参数的赋值应基于实际情况进行,如果情况发生变化,参数赋值也应相应调整,以维持风险评估的准确性。对于选项D,由于A和B的说法都不正确,所以D选项“以上都对”也是不正确的。因此,正确答案是C,即组织应基于其整体业务活动所在的环境和风险考虑其ISMS的设计。
16、GB/T22080-2016/IS0/IEC27001:2013标准附录A有()安全域。
A、18个
B、16个
C、15个
D、14个
解析:【喵呜刷题小喵解析】根据GB/T22080-2016/ISO/IEC27001:2013标准附录A的规定,该标准附录中明确列出了14个安全域,因此答案为D,即14个安全域。其他选项A、B、C均不符合标准附录A的规定。
17、下列管理评审的方式,哪个不满足标准的要求?()
A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审
B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性的评审
C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审
D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审
解析:【喵呜刷题小喵解析】管理评审是一种重要的质量管理体系活动,其目的是确保组织的管理体系能够持续有效地满足组织的需求,包括适宜性、充分性和有效性。标准对管理评审的要求是应由组织的最高管理层来进行,并且应当考虑质量管理体系的适宜性、充分性和有效性。选项A提到的是“组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审”,这种方式不满足标准的要求,因为管理评审应当由组织的最高管理层来进行,而不是外部评审团队。选项B提到的是“通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性的评审”,这符合标准的要求。选项C提到的是“通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审”,这也符合标准的要求。选项D提到的是“通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审”,这也符合标准的要求。因此,不符合标准要求的管理评审方式是A选项,即“组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审”。
18、下列哪一种情况下,网络数据管理协设(NDP)可用于备份?()
A、需要使用网络附加存储设备(NAS)时
B、不能使用TCP/IP的环境中
C、需要备份旧的备份系统不能处理的文件许可时
D、要保证跨多个数据卷的备份连续、一致时
解析:【喵呜刷题小喵解析】:网络数据管理协议(Network Data Management Protocol,简称NDP)是一种用于管理网络数据流的协议,它通常用于在网络环境中进行数据的备份和恢复。在需要使用网络附加存储设备(NAS)时,NDP可以用于备份,因为NAS设备通常通过网络进行数据存储和管理,而NDP协议可以确保数据在网络中的传输和备份的准确性和可靠性。因此,选项A“需要使用网络附加存储设备(NAS)时”是正确答案。其他选项与NDP协议的应用场景不太匹配,所以不是正确答案。
19、依据GB/T22080/IEC27001,不属于第三方服务监视和评审范畴的是()。
A、监视和评审服务级别协议的符合性
B、监视和评本服务方人员聘用和考核的流程
C、监视和解事服务交付遵从协议规定的安全要求的程度
D、监视和评审服务方跟踪处理信息安全事件的能力
解析:【喵呜刷题小喵解析】:依据GB/T22080/IEC27001,第三方服务监视和评审主要包括对服务级别协议、服务交付的安全要求以及信息安全事件处理能力的监视和评审。因此,监视和评审服务方人员聘用和考核的流程并不属于第三方服务监视和评审的范畴。因此,答案为B。
20、依据GB/T22080/ISO/IEC27001,制定信息安全管理体系方针,应予以考虑的输入是()。
A、业务战略
B、法律法规要求
C、合同要求
D、以上全部
解析:【喵呜刷题小喵解析】:依据GB/T22080/ISO/IEC27001,制定信息安全管理体系方针时,应予以考虑的输入包括业务战略、法律法规要求和合同要求。因此,正确答案是“以上全部”,即选项D。
21、在信息安全管理体系审核时,应遵循()原则。
A、保密性和基于准则的
B、保密性和基于风险的
C、系统性和基于风险的
D、系统性和基于准则的
解析:【喵呜刷题小喵解析】:在信息安全管理体系审核时,应遵循保密性和基于风险的原则。保密性是指确保信息安全管理体系中的敏感信息不被未经授权的人员获取,而基于风险的原则则是根据信息安全管理体系面临的风险来制定和实施相应的审核策略。因此,选项B“保密性和基于风险的”是正确答案。其他选项,如系统性、基于准则的,并不直接涉及到信息安全管理体系审核的核心原则。
22、开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
A、配置
B、系统
C、终端
D、运行
解析:【喵呜刷题小喵解析】:在信息安全领域,开发、测试和运行设施分离是一种重要的安全实践。这种分离有助于减少未授权访问或改变运行系统的风险。选项A“配置”通常指的是对系统或应用的配置过程,而不是设施;选项B“系统”是一个更宽泛的术语,不足以明确指出与开发和测试设施相区别的设施;选项C“终端”通常指的是用户与系统交互的界面,也不足以明确指出与开发和测试设施相区别的设施。因此,选项D“运行”最符合题目描述,指的是运行系统或应用的设施,与开发和测试设施相分离。
23、跨国公司的IS经理打算把现有的虚拟专用网(VPN)升级,釆用通道技术使用其支持语音IP电话、(VOIP)服务,那么,需要首要关注的是()。
A、服务的可靠性和质量(QOS,quality of service)
B、身份的验证方式
C、语音传输的保密
D、数据传输的保密
解析:【喵呜刷题小喵解析】:虚拟专用网(VPN)升级采用通道技术支持语音IP电话(VOIP)服务时,首要关注的是服务的可靠性和质量(QOS)。因为服务的可靠性和质量直接影响到语音通话的清晰度和稳定性,如果服务不可靠或质量不佳,可能会导致通话中断、声音失真等问题,影响通话效果。因此,首要关注的是服务的可靠性和质量,确保语音通话的清晰度和稳定性。其他选项如身份的验证方式、语音传输的保密和数据传输的保密虽然也很重要,但并不是首要关注的问题。
24、密码技术可以保护信息的()。
A、保密性
B、完整性
C、可用性
D、A+B
解析:【喵呜刷题小喵解析】:密码技术是一种保护信息安全的手段,它可以保护信息的保密性和完整性。保密性是指信息不被未经授权的人员获取,而完整性是指信息在传输过程中不被篡改或损坏。因此,选项D“A+B”即保密性和完整性,是密码技术可以保护的信息属性。
25、下列控制措施中哪个不是用来确保信息处理设施可用性的()。
A、建立同城备份
B、建立异地备份
C、对设备中数据进行定期备份
D、釆用双机热备
解析:【喵呜刷题小喵解析】:为了确保信息处理设施的可用性,通常采取的控制措施包括建立同城备份、对设备中数据进行定期备份以及采用双机热备。建立异地备份虽然也是一种备份策略,但其主要目的是在发生灾难性事件时,确保数据的安全性和完整性,而不是直接确保设施的可用性。因此,选项B“建立异地备份”不是用来确保信息处理设施可用性的控制措施。
26、审核原则要求()是审核的公正性和审核结果客观性的基础。
A、系统性
B、严格性
C、独立性
D、可追踪性
解析:【喵呜刷题小喵解析】:审核原则要求独立性是审核的公正性和审核结果客观性的基础。独立性意味着审核人员或机构在执行审核工作时,不受任何外部干扰或压力,能够客观、公正地评估被审核对象的情况。这种独立性保证了审核结果的客观性和公正性,使得审核结果更具可信度和说服力。因此,选项C“独立性”是正确答案。
27、文件化信息是指()。
A、组织创建的文件
B、组织拥有的文件
C、组织要求控制和维护的信息及包含该信息的介质
D、对组织有价值
解析:【喵呜刷题小喵解析】:根据给出的选项,我们需要确定文件化信息的定义。文件化信息是指组织要求控制和维护的信息及包含该信息的介质。选项A“组织创建的文件”和选项B“组织拥有的文件”只是文件的一种形式,没有涵盖到“组织要求控制和维护的信息”这一核心要素。选项D“对组织有价值”虽然提到了价值,但没有明确说明是组织要求控制和维护的信息及包含该信息的介质。因此,正确答案是选项C。
28、加强网络安全性的最重要的基础措施是()。
A、设计有效的网络安全策略
B、选择更安全的操作系统
C、安装杀毒软件
D、加强安全教育
解析:【喵呜刷题小喵解析】:网络安全性的基础措施是设计有效的网络安全策略。有效的网络安全策略能够指导组织和个人如何保护其网络资产,包括数据、应用程序和基础设施,从而确保网络的安全性。选择更安全的操作系统、安装杀毒软件和加强安全教育都是重要的补充措施,但它们不能替代设计有效的网络安全策略作为最基础的措施。因此,设计有效的网络安全策略是加强网络安全性的最重要的基础措施。
29、在形成信息安全管理体系审核发现时,应()。
A、考虑适用性声明的完备性和可用性
B、考虑适用性声明的完备性和合理性
C、考虑适用性声明的充分性和可用性
D、考虑适用性声明的充分性和合理性
解析:【喵呜刷题小喵解析】:在形成信息安全管理体系审核发现时,应考虑适用性声明的完备性和合理性。这是因为完备性指的是适用性声明是否涵盖了所有相关的信息安全管理体系要素,而合理性则是指适用性声明是否符合实际情况,是否具有可行性。因此,选项B“考虑适用性声明的完备性和合理性”是正确的。选项A“考虑适用性声明的完备性和可用性”和选项C“考虑适用性声明的充分性和可用性”中的“可用性”和“充分性”在题目中并未提及,因此不是正确答案。选项D“考虑适用性声明的充分性和合理性”中的“充分性”也与题目中的“完备性”相重复,因此也不是正确答案。
30、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()。
A、认证
B、认可
C、审核
D、评审
解析:【喵呜刷题小喵解析】:题目中提到的“由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动”描述的是认可机构对认证活动人员的能力和执业资格进行承认的过程。在认证、认可、审核和评审中,认可是指权威机构对机构或人员的能力、资格、结果等进行承认的行为。因此,答案为B,即认可。
31、在进行技术符合性评审时,以下说法正确的是()。
A、技术符合性评审即渗透测试
B、技术符合性评审即漏洞扫描与渗透测试的结合
C、渗透测试和漏洞扫描可以替代风险评估
D、渗透测试和漏洞扫描不可替代风险评估
解析:【喵呜刷题小喵解析】:技术符合性评审是一个全面的过程,用于评估技术系统或产品是否符合预定的标准、规范或要求。渗透测试和漏洞扫描是其中的一部分,它们可以帮助发现潜在的安全漏洞,但并不能完全替代风险评估。风险评估是一个更广泛的过程,它考虑了多种因素,包括技术、操作、物理和环境等,以全面评估系统的安全性和风险。因此,渗透测试和漏洞扫描不可替代风险评估,而是作为其中的一部分。所以,选项D“渗透测试和漏洞扫描不可替代风险评估”是正确的说法。
32、关于信息安全管理体系认证,以下说法正确的是()。
A、负责作出认证决定的人员中应至少有一人参与了审核
B、负责作出认证决定的人员必须是审核组组长
C、负责作出认证决定的人员不应参与审核
D、负责作出认证决定的人员应包含参与了预审核的人员
解析:【喵呜刷题小喵解析】信息安全管理体系认证中,负责作出认证决定的人员不应参与审核。这是为了确保审核的公正性和独立性。审核组组长虽然重要,但并不能单独作出认证决定,参与预审核的人员也不一定是作出认证决定的人员。因此,选项C“负责作出认证决定的人员不应参与审核”是正确的。
33、依据GB/T22O80-2016/ISO/IEC27001:2013标准,组织应()。
A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力
B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力
C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力
D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力
解析:【喵呜刷题小喵解析】在GB/T22080-2016/ISO/IEC27001:2013标准中,关于组织应如何管理影响信息安全绩效的员工能力,标准明确指出:“组织应确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力”。这一条款明确了组织在信息安全方面的职责,即需要识别、评估和控制那些对信息安全绩效产生影响的员工。选项A的“识别”并不完全符合标准中的要求,因为识别只是第一步,组织还需要确定这些员工的必要能力;选项B的“确保”一词过于模糊,没有明确指出组织应如何确保这些员工的必要能力;选项D的“鉴定”与标准中的“确定”含义不符。因此,正确答案是C,即“确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力”。
34、审核计划中不应包括()。
A、本次及其后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的日程安排
解析:【喵呜刷题小喵解析】:在审核计划中,审核准则、审核组成员及分工、审核的日程安排等信息通常会被明确列出。但是,本次及其后续审核的时间安排并不属于审核计划的内容。审核计划主要是为审核活动提供一个框架和指导,而时间安排通常会在具体的审核任务或活动安排中详细规划。因此,选项A“本次及其后续审核的时间安排”不应包括在审核计划中。
35、在现场审核时,审核组待枚自行决定变更的事项是()。
A、审核人日
B、入审核的业务范围
C、审核日期
D、审核组任务调整
解析:【喵呜刷题小喵解析】:根据审核的相关规定,审核组在进行现场审核时,应当遵循事先确定的审核计划,包括审核的范围、日期、任务等。然而,在现场审核过程中,如果确实需要变更某些事项,审核组有权自行决定,但这些变更应当在保持审核的公正性和有效性的前提下进行。在这些可变更的事项中,审核组任务调整是一个例外,因为它涉及到审核计划的核心内容,审核组有权根据现场实际情况自行决定调整审核任务,以确保审核的顺利进行。因此,正确答案是D,即审核组任务调整。
36、关于信息安全管理中的“完整性”,以下说法正确的是()。
A、数据未被非授权变更或销毁,意味着保持了完整性
B、系统增加了较以前更强的功能但未得到授权,不属于完整性受损
C、硬件维修时,如使用同型号、同规格的部件更换备件,不需要授权
D、以上都对
解析:【喵呜刷题小喵解析】:选项A“数据未被非授权变更或销毁,意味着保持了完整性”是正确的。保持完整性意味着数据或系统在没有得到授权的情况下不会被更改或销毁,这是信息安全管理中的一项重要原则。选项B“系统增加了较以前更强的功能但未得到授权,不属于完整性受损”是错误的。即使系统增加了功能,但如果没有得到授权,这仍然可能破坏系统的完整性。选项C“硬件维修时,如使用同型号、同规格的部件更换备件,不需要授权”也是错误的。在信息安全管理中,即使是更换同型号、同规格的部件,也需要得到授权,以确保系统的完整性和安全性。因此,选项D“以上都对”也是错误的。只有选项A是正确的。
37、在运行阶段,组织应()。
A、策划信息安全风险处置计划,保留文件化信息
B、实现信息安全风险处置计划,保留文件化信息
C、测量信息安全风险处置计划,保留文件化信息
D、改进信息安全风险处置计划,保留文件化信息
解析:【喵呜刷题小喵解析】在信息安全管理体系的运行阶段,组织应实现信息安全风险处置计划,并保留相关的文件化信息。这是因为在运行阶段,组织需要将策划好的信息安全风险处置计划付诸实施,确保信息安全风险得到有效控制。同时,保留文件化信息有助于组织对信息安全风险处置计划的执行情况进行跟踪和审计,确保信息安全管理体系的有效运行。因此,选项B“实现信息安全风险处置计划,保留文件化信息”是正确的选择。
38、对于可能超越系统和应用控制的实用程序,以下说法正确的是()。
A、实用程序的使用不在审计范围内
B、建立禁止使用的实用程序清单
C、应急响应时需使用的实用程序不需额外授权
D、建立鉴别、授权机制和许可使用的实用程序清单
解析:【喵呜刷题小喵解析】对于可能超越系统和应用控制的实用程序,应建立鉴别、授权机制和许可使用的实用程序清单,以确保使用的合法性和安全性。选项A错误,实用程序的使用应在审计范围内,以确保其合规性;选项B错误,建立禁止使用的实用程序清单并不能完全解决问题,因为可能存在绕过禁止的情况;选项C错误,应急响应时需使用的实用程序同样需要额外授权,以确保安全。因此,正确答案为D。
39、对于信息安全方针,以下哪个不是GB/T22080-2016/ISO/IEC27001:2013标准所要求的()。
A、信息安全方针应形成文件
B、信息安全方针文件应由管理者批准发布,并传达给所有员工和外部相关方
C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义
D、信息安全方针应定期实施评审
解析:【喵呜刷题小喵解析】在信息安全管理体系(ISMS)中,信息安全方针是组织关于信息安全管理的指导原则和方向。根据GB/T22080-2016/ISO/IEC27001:2013标准,信息安全方针应形成文件,并由管理者批准发布,传达给所有员工和外部相关方。同时,信息安全方针文件应包括对信息安全管理的一般和特定职责的定义。然而,题目中提到的“信息安全方针应定期实施评审”并不是该标准所明确要求的。因此,选项D“信息安全方针应定期实施评审”是不符合GB/T22080-2016/ISO/IEC27001:2013标准的内容。
40、管理评审是为了确保信息安全管理体系持续的()。
A、适宜性
B、充分性
C、有效性
D、以上都是
解析:【喵呜刷题小喵解析】:管理评审是为了确保信息安全管理体系持续的适宜性、充分性和有效性。适宜性指的是管理体系是否适合组织的业务需求和目标;充分性指的是管理体系是否具备足够的资源和能力来支持其运行;有效性指的是管理体系是否能够实现预期的效果。因此,选项D“以上都是”是正确的。
41、下列哪个选项不属于审核组长的职责?()
A、确定审核的需要和目的
B、组织编制现场审核有关的工作文件
C、主持首末次会议和审核组会议
D、代表审核方与受审核方领导进行沟通
解析:【喵呜刷题小喵解析】:根据审核组长的职责,其主要负责审核的组织和协调,确保审核的顺利进行。选项A“确定审核的需要和目的”通常是审核委托方或审核机构的任务,而不是审核组长的职责。因此,选项A不属于审核组长的职责。选项B“组织编制现场审核有关的工作文件”是审核组长需要组织的工作之一,以确保审核的顺利进行。选项C“主持首末次会议和审核组会议”是审核组长需要主持的重要会议,以确保审核组内部的沟通和协调。选项D“代表审核方与受审核方领导进行沟通”是审核组长需要与受审核方领导进行的重要沟通,以确保审核的顺利进行。因此,正确答案是A。
42、最高管理层应(),以确保信息安全管理体索符合本标准要求。
A、分配职责与权限
B、分配岗位与权限
C、分配责任和权限
D、分配角色和权限
解析:【喵呜刷题小喵解析】:在信息安全管理体系中,最高管理层应分配责任和权限,以确保信息安全管理体系符合标准要求。这是因为最高管理层作为企业的决策者和领导者,需要明确其在信息安全管理体系中的责任和权限,以便能够有效地推动信息安全管理体系的建立、实施和改进。因此,选项C“分配责任和权限”是正确答案。选项A“分配职责与权限”和选项B“分配岗位与权限”虽然与责任和权限有关,但不如选项C明确和准确。选项D“分配角色和权限”则与信息安全管理体系的标准要求不符。
43、防止计算机中信息被动来取的手段不包括()。
A、用户识别
B、权限控制
C、数据加密
D、病毒控制
解析:【喵呜刷题小喵解析】:在计算机信息安全领域,防止信息被动获取的手段通常包括用户识别、权限控制和数据加密。用户识别用于确认用户的身份,确保只有授权的用户能够访问信息。权限控制则是根据用户的角色和职责,赋予他们适当的访问权限。数据加密则是对信息进行编码,使未授权的用户无法读取。而病毒控制主要是为了防止计算机受到恶意软件的攻击,与防止信息被动获取的手段不直接相关。因此,选项D“病毒控制”是不包括在防止计算机中信息被动获取的手段中的。
44、访问控制是为了保护信息的()。
A、完格性和机密性
B、可用性和机密性
C、可用性和完整性
D、以上都是
解析:【喵呜刷题小喵解析】:访问控制是保护信息安全的一种重要手段,其主要目的是确保信息的完整性和机密性。完整性指的是信息在传输或存储过程中不被篡改或破坏,而机密性则是指信息只能被授权的用户访问,不会被未经授权的用户获取。因此,选项A“完整性和机密性”是正确的答案。其他选项如“可用性”虽然也是信息安全的重要方面,但并不是访问控制直接关注的核心,因此不是最佳答案。
45、关于互联网信息服务,以下说法正确的是()。
A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案
B、非经营性互联网信息服务未取得许可不得进行
C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求
D、经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动
解析:【喵呜刷题小喵解析】本题主要考察互联网信息服务的相关法规知识。A选项提到“互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案”,但实际上,《互联网信息服务管理办法》规定的是“互联网信息服务分为经营性和非经营性两类”,并且“从事经营性互联网信息服务,应当获得增值电信业务经营许可证;未经许可或未履行备案手续,不得从事互联网信息服务”。所以A选项错误。B选项提到“非经营性互联网信息服务未取得许可不得进行”,但实际上,《互联网信息服务管理办法》规定的是“非经营性互联网信息服务实行备案制度”,即非经营性互联网信息服务在取得备案后是可以进行的。所以B选项错误。C选项提到“从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求”,这是符合《互联网信息服务管理办法》的规定的,所以C选项正确。D选项提到“经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动”,但实际上,《互联网信息服务管理办法》对经营性互联网信息服务的定义是“通过互联网向上网用户有偿提供信息或者网上服务等经营活动或者其他商业行为”,与D选项不符,所以D选项错误。因此,正确答案是C选项。
46、组织应(),以确信相关过程按计划得到执行。
A、处理文件化信息达到必要的程度
B、保持文件化信息达到必要的程度
C、保持文件化信息达到可用的程度
D、产生文件化信息达到必要的程度
解析:【喵呜刷题小喵解析】:在质量管理体系中,组织需要确保相关过程按计划得到执行。为了达到这一目的,组织需要保持文件化信息达到必要的程度。文件化信息包括程序、规程、记录等,它们对于确保过程的有效执行至关重要。因此,选项B“保持文件化信息达到必要的程度”是正确的选择。其他选项如处理、产生文件化信息虽然也是重要的活动,但在此上下文中,保持文件化信息达到必要的程度更为直接和关键。
47、在信息安全管理体系()阶段应测量控制措施的有效性?
A、建立
B、实施和运行
C、监视和评审
D、保持和改进
解析:【喵呜刷题小喵解析】:在信息安全管理体系中,监视和评审阶段应测量控制措施的有效性。这是为了确保控制措施能够按照预期的方式运行,并有效地防止潜在的安全威胁和攻击。监视和评审阶段会对控制措施的效果进行持续的检查和评估,以确保信息安全管理体系的有效性和可靠性。因此,正确答案是C选项,即“监视和评审”。
48、关于GB/T22081标准,以下说法正确的是()。
A、提供了选择控制措施的指南,可用作信息安全管理体系认证的依据
B、提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据
C、提供了信息安全风险评估的指南,是ISO/IEC27001的构成部分
D、提供了信息安全风险评估的依据,是实施ISO/IEC27000的支持性标准
解析:【喵呜刷题小喵解析】根据题目给出的选项,我们需要判断哪个选项关于GB/T22081标准的说法是正确的。A选项提到“提供了选择控制措施的指南,可用作信息安全管理体系认证的依据”,但题目中并未明确说明GB/T22081标准可以用作信息安全管理体系认证的依据,因此A选项不正确。B选项说“提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据”,这与题目中的描述是一致的,因为题目中并没有提到GB/T22081标准可以用作信息安全管理体系认证的依据,所以B选项是正确的。C选项提到“提供了信息安全风险评估的指南,是ISO/IEC27001的构成部分”,但题目中并未明确说明GB/T22081标准与ISO/IEC27001的关系,因此C选项不正确。D选项说“提供了信息安全风险评估的依据,是实施ISO/IEC27000的支持性标准”,同样,题目中并没有提到GB/T22081标准与ISO/IEC27000的关系,因此D选项也不正确。综上所述,正确答案是B选项。
49、关于不符合,下列说法错误的是()。
A、确定不符合发现的原因
B、必须确定不符合的纠正措施
C、记录釆取措施的结果
D、评价纠正措施
解析:【喵呜刷题小喵解析】:本题考察的是不符合处理的相关知识。不符合发现后,应首先确定不符合的原因,然后确定纠正措施,并记录采取措施的结果,最后评价纠正措施的有效性。选项B“必须确定不符合的纠正措施”错误,纠正措施并不是必须的,而是在确定了不符合的原因后,根据实际情况采取的,所以选项B是错误的。选项A“确定不符合发现的原因”、选项C“记录采取措施的结果”和选项D“评价纠正措施”均符合不符合处理的正确流程,故不选。
50、下列措施中哪一个是用来记录事态并生产证据的()。
A、时钟同步
B、信息备份
C、软件安装限制
D、信息系统审计的控制
解析:【喵呜刷题小喵解析】:根据题目要求,我们需要找到一种用来记录事态并生产证据的措施。在给出的选项中:A. 时钟同步 - 这是用来确保各个系统或设备的时间同步,以便于在出现问题时能够准确地追溯和定位,但它本身并不直接记录事态或生产证据。B. 信息备份 - 信息备份是确保数据安全的一种重要手段,当原始数据丢失或损坏时,备份数据可以用来恢复或重建。同时,备份数据也可以作为证据使用,因为它记录了事态的发展过程,并为可能的问题或争议提供了证据。C. 软件安装限制 - 这是为了限制或控制软件安装的一种措施,与记录事态或生产证据没有直接关系。D. 信息系统审计的控制 - 这是对信息系统进行审计和控制的措施,虽然审计过程中可能会发现并记录一些事态,但它本身并不是用来记录事态或生产证据的直接手段。综上所述,只有B选项“信息备份”符合题目要求,因为它不仅记录了事态的发展过程,而且为可能的问题或争议提供了证据。因此,正确答案是B. 信息备份。
二、多选题
51、对于信息安全方针,()。
A、形成文件化信息并可用
B、与组织内外相关方全面进行沟通
C、确保符合组织的战略方针
D、适当时,对相关方可用
解析:【喵呜刷题小喵解析】:信息安全方针需要形成文件化信息并可用,以确保其明确性和一致性。同时,信息安全方针需要确保符合组织的战略方针,以确保与组织整体目标和策略的一致性。在适当时,信息安全方针还需要与相关方进行沟通,以确保各方对信息安全方针的理解和遵守。因此,选项A、C和D都是正确的。选项B“与组织内外相关方全面进行沟通”虽然是一个重要的方面,但不是信息安全方针本身的内容,而是实施信息安全方针时需要考虑的因素。因此,选项B是不正确的。
52、为确保员工和合同方理解其职责、并适合其角色,在员工任用之前,必须()。
A、对其进行试用
B、对员工的背景进行适当验证检查
C、在任用条款和合同中指明安全职责
D、面试
解析:【喵呜刷题小喵解析】:首先,我们要明确题目的核心要求:确保员工和合同方理解其职责并适合其角色。这涉及到在任用之前,公司需要采取哪些措施来确保员工的资质和职责明确。A选项“对其进行试用”虽然是一种评估员工能力的方式,但它并不能确保员工理解其职责并适合其角色。试用期间,员工可能只是尝试性地工作,并不一定能完全理解其职责。B选项“对员工的背景进行适当验证检查”是一个重要的步骤。通过背景调查,公司可以了解员工的学历、工作经验、个人品质等,从而判断其是否适合担任该职位。C选项“在任用条款和合同中指明安全职责”也是一个必要的步骤。明确的安全职责可以确保员工知道他们在工作中需要承担的责任,从而更好地履行其角色。D选项“面试”虽然是一个常规的招聘步骤,但它并不能保证员工理解其职责并适合其角色。面试更多地是了解应聘者的基本信息和求职动机,而不是确保他们适合该职位。综上所述,为确保员工和合同方理解其职责并适合其角色,在员工任用之前,公司需要对员工的背景进行适当验证检查,并在任用条款和合同中指明安全职责。因此,正确答案为B和C。
53、以下属于信息安全管理体系审核的证据是()。
A、信息系统运行监控中心显示的实时资源占用数据
B、信息系统的阈值列表
C、数据恢复测试的日志
D、信息系统漏洞测试分析报告
解析:【喵呜刷题小喵解析】:信息安全管理体系审核的证据应当能够证明信息安全管理体系的有效性和符合性。A选项“信息系统运行监控中心显示的实时资源占用数据”是信息系统运行监控的直接证据,能够反映系统的实时运行状况,是审核证据之一。B选项“信息系统的阈值列表”是信息系统安全策略的一部分,能够证明系统对于各种资源使用、安全事件的阈值设置情况,也是审核证据之一。C选项“数据恢复测试的日志”记录了数据恢复测试的过程和结果,能够证明数据恢复的有效性和可靠性,同样是审核证据。D选项“信息系统漏洞测试分析报告”记录了信息系统漏洞测试的过程和结果,能够证明系统漏洞的存在和修复情况,也是审核证据之一。因此,A、B、C、D四个选项都属于信息安全管理体系审核的证据。
54、按覆盖的地理范围进行分类,计算机网络可分为()。
A、局域网
B、城域网
C、广域网
D、区域网
解析:【喵呜刷题小喵解析】:计算机网络按照覆盖的地理范围进行分类,可以分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)和广域网(Wide Area Network,WAN)。局域网通常覆盖范围较小,如一个建筑物或校园;城域网覆盖范围稍大,通常是一个城市或地区;广域网覆盖范围最广,可以跨越多个城市、省份甚至国家。因此,选项A、B、C都是正确的,而选项D“区域网”不是标准的分类,因此不正确。
55、组织建立的信息安全目标,应()。
A、是可测量的
B、与信息安全方针一致
C、得到沟通
D、适当时更新
解析:【喵呜刷题小喵解析】:根据题目描述,组织建立的信息安全目标应该与信息安全方针保持一致,确保所有相关人员都了解并遵循这些目标。同时,这些目标应该得到适当的沟通,以便所有相关人员都能够理解并参与其中。此外,信息安全目标应根据组织的需要和变化适当更新,以确保其持续有效性和适用性。因此,选项BCD是正确的答案。
56、含有敏感信息的设备的处置可釆取()。
A、格式化处理
B、釆取使原始信息不可获取的技术破坏或删除
C、多次的写覆盖
D、彻底摧毁
解析:【喵呜刷题小喵解析】:在处理含有敏感信息的设备时,为了确保信息的安全性和保密性,需要采取一系列措施来确保原始信息无法获取。这些措施包括技术破坏或删除、多次的写覆盖以及彻底摧毁。技术破坏或删除可以通过特定的技术手段使原始信息变得不可获取,从而保护敏感信息不被泄露。多次的写覆盖可以通过反复写入数据来覆盖原有的敏感信息,使得原始信息无法恢复。彻底摧毁则是一种极端的方式,通过物理手段彻底销毁设备,确保敏感信息无法被获取。因此,选项B、C和D都是正确的选择。
57、关于审核方案,以下说法正确的是()。
A、审核方案是审核计划的一种
B、审核方案可包括一段时期内各种类型的审核
C、审核方案即年度内部审核计划
D、审核方案是审核计划的输入
解析:【喵呜刷题小喵解析】:A选项:审核方案是审核计划的一种。这个说法是不准确的。审核方案是对审核计划的一种描述或规划,它通常包含审核的目的、范围、频次、方法等,但并非审核计划的一种。B选项:审核方案可包括一段时期内各种类型的审核。这个说法是正确的。审核方案可以涵盖一段时间内各种类型的审核,包括内部审核、外部审核、过程审核等。C选项:审核方案即年度内部审核计划。这个说法是不准确的。审核方案是一个更广泛的概念,可以包括不同类型的审核,而不仅仅是年度内部审核计划。D选项:审核方案是审核计划的输入。这个说法是正确的。审核方案为审核计划提供了必要的信息和指导,是制定审核计划的重要依据。因此,正确答案为BD。
58、风险评估过程一般应包括()。
A、风险识别
B、风险分析
C、风险评价
D、风险处置
解析:【喵呜刷题小喵解析】:根据风险评估的常规流程,风险评估过程通常包括风险识别、风险分析和风险评价三个主要步骤。风险识别是确定可能存在的风险来源和类型;风险分析是对识别的风险进行量化评估,包括风险的可能性和影响程度;风险评价则是基于风险分析的结果,对风险进行整体的评价和排序。因此,选项A、B和C都是风险评估过程的一部分。选项D中的风险处置并不属于风险评估过程,而是风险应对的一部分,故不选。
59、管理评审的输出应包括()。
A、与持续改进机会相关的决定
B、变更信息安全管理体系的任何需求
C、相美的反馈
D、气息安全方针执行情况
解析:【喵呜刷题小喵解析】:根据管理评审的定义和目的,其输出应包括与持续改进机会相关的决定和变更信息安全管理体系的任何需求。管理评审的目的是评价信息安全管理体系的适宜性、充分性和有效性,识别可能的改进领域,以及评估是否需要更改信息安全管理体系。因此,输出的内容应当围绕这两方面进行展开。而“相关的反馈”和“信息安全方针执行情况”虽然与信息安全管理体系有关,但并不属于管理评审的直接输出。因此,答案选项C和D均不符合管理评审的输出内容。
60、以下属于“信息处理设施”的是()。
A、信息处理系统
B、与信息处理相关的服务
C、与信息处理相关的设备
D、安置信息处理设备的物理场所与设施
解析:【喵呜刷题小喵解析】:信息处理设施是指与信息处理相关的各种设备和物理场所与设施。信息处理系统是一种能够接收、存储、处理、传输和输出信息的系统,属于信息处理设施的一部分。与信息处理相关的服务是为了支持信息处理系统而提供的各种服务,也是信息处理设施的一部分。与信息处理相关的设备包括计算机、打印机、扫描仪等,这些设备是信息处理设施的核心组成部分。安置信息处理设备的物理场所与设施则是为这些设备提供物理空间的场所,也是信息处理设施的重要组成部分。因此,选项A、B、C、D都属于信息处理设施。
61、以下不属于信息安全特有审核原则的是()。
A、保密性
B、基于风险
C、独立性
D、基于证据的方法
解析:【喵呜刷题小喵解析】:信息安全特有审核原则主要包括保密性、完整性和可用性。保密性是指确保信息不被未经授权的人员获取和使用;完整性是指确保信息在传输和存储过程中不被篡改或损坏;可用性是指确保信息在需要时可以被授权人员访问和使用。选项A保密性属于信息安全特有审核原则,因为它确保了信息不被未经授权的人员获取和使用。选项B基于风险并不是信息安全特有的审核原则,它是安全管理的一个基本原则,旨在识别和评估潜在的安全风险,并采取相应的措施来减轻这些风险。信息安全管理会基于风险来确定安全策略和措施,但它不是信息安全特有的审核原则。选项C独立性是审核过程的一个重要原则,但它并不是信息安全特有的。独立性原则要求审核人员独立于被审核的对象,以确保审核的客观性和公正性。选项D基于证据的方法也是审核过程的基本原则,它要求审核人员依据充分的证据来做出审核结论。然而,这并不是信息安全特有的审核原则。因此,选项C和D不属于信息安全特有的审核原则。
62、组织的信息安全管理体系初次认证应包括的审核活动是()。
A、审核准备
B、第一阶段审核
C、第二阶段审核
D、认证决定
解析:【喵呜刷题小喵解析】:根据信息安全管理体系的审核流程,初次认证审核通常包括两个阶段:第一阶段审核和第二阶段审核。第一阶段审核主要是审核组织的信息安全管理体系文件,确认其符合相关标准的要求,并确定第二阶段审核的范围和重点。第二阶段审核则是对组织的信息安全管理体系进行实际的现场审核,验证其运行的有效性和符合性。因此,选项B“第一阶段审核”和选项C“第二阶段审核”都是组织的信息安全管理体系初次认证应包括的审核活动。而选项A“审核准备”通常指的是审核前的准备工作,不是审核活动本身,因此不应选。选项D“认证决定”是审核完成后,由认证机构根据审核结果作出的决定,不是审核活动,也不应选。因此,正确答案是B和C。
63、某工程公司意图采用更为灵活的方式建立信息安全管理体系,以下说法不正确的()。
A、信息安全可以按过程管理,采用这种方法时不必再编制资产清单
B、信息安全可以按项目来管理,原项目管理机制中的风险评估可替代GB/T22080-2016/ISO/IEC27001:2013标准中的风险评估
C、公司各类项目的临时场所存在时间都较短,不必纳入ISMS范围
D、工程项目方案因包含设计图纸等核心技术信息,其敏感性等级定义为“最高”
解析:【喵呜刷题小喵解析】:A选项中提到“信息安全可以按过程管理,采用这种方法时不必再编制资产清单”。这是不正确的。信息安全管理体系(ISMS)中,资产清单是识别、记录和管理组织资产的重要工具,不论采用何种管理方式,编制资产清单都是必要的。B选项表示“信息安全可以按项目来管理,原项目管理机制中的风险评估可替代GB/T22080-2016/ISO/IEC27001:2013标准中的风险评估”。这也是不正确的。信息安全管理体系中的风险评估是一个独立且重要的环节,不能简单地由原项目管理机制中的风险评估替代。C选项提到“公司各类项目的临时场所存在时间都较短,不必纳入ISMS范围”。这也是不正确的。信息安全管理体系应覆盖组织的所有场所,包括临时场所。D选项“工程项目方案因包含设计图纸等核心技术信息,其敏感性等级定义为“最高””是正确的。对于包含敏感信息的工程项目方案,其敏感性等级应被正确地定义为“最高”。综上所述,不正确的选项是A、B、C。
64、针对敏感应用系统安全,以下正确的做法是()。
A、用户尝试登陆失败时,明确提示其用户名错误或口令错误
B、登陆之后,不活动超过规定时间强制使其退出登录
C、对于修改系统核心业务运行数据的操作限定操作时间
D、对于数据库系统审计人员开放不限时权限
解析:【喵呜刷题小喵解析】:A选项:用户尝试登陆失败时,明确提示其用户名错误或口令错误。这一做法本身没有问题,但在敏感应用系统中,直接明确提示用户名或口令错误可能会暴露敏感信息,给攻击者提供额外的线索。因此,更安全的做法是提供一个通用的失败消息,而不是具体的信息。B选项:登陆之后,不活动超过规定时间强制使其退出登录。这是正确的做法,可以帮助防止长时间未使用的会话被恶意利用。C选项:对于修改系统核心业务运行数据的操作限定操作时间。这也是正确的做法,限制操作时间可以防止长时间的操作被恶意利用,同时减少系统资源的占用。D选项:对于数据库系统审计人员开放不限时权限。这是不正确的做法,审计人员应该只拥有他们完成工作所需的最小权限,不应该拥有不限时的权限,这会增加系统被攻击的风险。综上所述,正确的做法是B和C。
65、以下场景中符合GB/T22080-2016/ISO/IEC27001:2013标准要求的情况是()。
A、A公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡,方便其在每天上班前和下班后打扫这些房间
B、A公司将其物理区域敏感性划分为四个等级,分别给这些区域入口的门上贴上红、橙、黄、蓝色标志
C、A公司为少数核心项目人员发放了手机,允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP,但不允许将手机带离指定区域
D、A公司门禁系统的时钟比公司视频监视系统的时钟慢约10分钟
解析:【喵呜刷题小喵解析】:A选项描述的是A公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡,方便其在每天上班前和下班后打扫这些房间。这个场景并不符合GB/T22080-2016/ISO/IEC27001:2013标准的要求,因为这个标准主要关注的是信息安全,而不是物理访问控制。B选项描述的是A公司将其物理区域敏感性划分为四个等级,并给这些区域入口的门上贴上红、橙、黄、蓝色标志。这符合标准中物理和环境安全的要求,因为这样可以清楚地标识出不同敏感性的区域,从而加强物理安全。C选项描述的是A公司为少数核心项目人员发放了手机,并允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP,但不允许将手机带离指定区域。这符合标准中访问控制的要求,因为这样可以限制对敏感信息的访问,并减少信息泄露的风险。D选项描述的是A公司门禁系统的时钟比公司视频监视系统的时钟慢约10分钟。这不符合标准中系统安全的要求,因为时钟不同步可能会导致安全事件难以追踪和调查。综上所述,符合GB/T22080-2016/ISO/IEC27001:2013标准要求的情况是B和C选项。
66、在信息安全事件管理中,()是所有员工应该完成的活动。
A、报告安全方面的漏洞或弱点
B、对漏洞进行修补
C、发现并报告安全事件
D、发现立即处理安全事件
解析:【喵呜刷题小喵解析】:在信息安全事件管理中,员工需要承担一定的责任来确保信息的安全性。选项A“报告安全方面的漏洞或弱点”指的是员工在发现任何可能威胁信息安全的问题时,应及时向相关部门报告,以便及时采取措施。选项C“发现并报告安全事件”指的是员工在发现任何安全事件时,应立即报告,以便及时应对和减少损失。这两个选项都是员工在信息安全事件管理中应该完成的活动。选项B“对漏洞进行修补”和选项D“发现立即处理安全事件”虽然也是信息安全事件管理中的重要环节,但它们更多地是由专业安全团队或管理部门来完成的,而不是所有员工。因此,正确答案应为A和C。
67、“云计算机服务”包括哪几个层面?()
A、Paas
B、SaaS
C、TaaS
D、PIIS
解析:【喵呜刷题小喵解析】:云计算机服务通常包括三个主要层面:IaaS(基础设施即服务)、PaaS(平台即服务)和SaaS(软件即服务)。TaaS(技术即服务)虽然也是一种云服务模式,但在题目中并未提及。因此,正确答案为A、B、C,即IaaS、PaaS和SaaS。
68、对于渉密信息系统,以下说法正确的是()。
A、使用的信息安全保密产品原则上应当选用国产品
B、使用的信息安全保密产品应当通过国家保密局授权的检测机构的检测
C、使用的信息安全保密产品应从由国家保密局审核发布的目录中选取
D、总体保护水平应不低于国家信息安全等级保护第四级水平
解析:【喵呜刷题小喵解析】:根据题目给出的信息,我们来看各个选项的正确性。A选项:使用的信息安全保密产品原则上应当选用国产品。这一选项指的是,对于涉密信息系统的产品,应该优先考虑使用国产产品。这是基于国家保密的需要,确保信息的安全性和可控性。B选项:使用的信息安全保密产品应当通过国家保密局授权的检测机构的检测。这一选项强调了产品需要经过权威机构的检测,以确保其符合保密要求。C选项:使用的信息安全保密产品应从由国家保密局审核发布的目录中选取。这一选项指的是,涉密信息系统使用的产品应该来源于经过国家保密局审核并发布的目录,这样可以确保产品的质量和保密性。D选项:总体保护水平应不低于国家信息安全等级保护第四级水平。这一选项涉及的是信息安全的等级保护,与涉密信息系统的保密要求不完全吻合。涉密信息系统有其特定的保密要求,不一定需要达到国家信息安全等级保护第四级水平。综上所述,A、B、C选项都是关于涉密信息系统保密的正确说法。因此,正确答案为A、B、C。
69、以下说法不正确的是()。
A、信息安全管理体系审核是信息系统审计的一种
B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论
C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素
D、如果组织已获得业务连续性管理体系认证,则信息安全管理体系审核可略过风险评估
解析:【喵呜刷题小喵解析】:A选项:信息安全管理体系审核不等同于信息系统审计。信息安全管理体系审核是对组织信息安全管理体系的符合性和有效性进行评估,而信息系统审计是对信息系统安全性的全面检查,两者在目的、方法和内容上都有所不同。因此,A选项不正确。B选项:信息安全技术应用的程度并不能决定信息安全管理体系认证审核的结论。信息安全管理体系认证审核关注的是组织信息安全管理体系的符合性和有效性,而不是信息安全技术应用的程度。因此,B选项不正确。C选项:组织对信息安全威胁的分析确实是信息安全管理体系审核关注的要素之一。信息安全管理体系审核需要评估组织对信息安全威胁的识别、评估和控制能力,以确保组织能够应对各种信息安全威胁。因此,C选项是正确的。D选项:即使组织已获得业务连续性管理体系认证,信息安全管理体系审核仍然需要进行风险评估。业务连续性管理体系认证关注的是组织在业务中断时的恢复能力,而信息安全管理体系审核关注的是组织信息安全管理体系的符合性和有效性,两者并不等同。因此,D选项不正确。综上所述,不正确的选项是A、B和D。
70、以下属于“关键信息基础设施”的是()。
A、输配电骨干网监控系统
B、计算机制造企业IDC供电系统
C、高等院校网络接入设施
D、高铁信号控制系统
解析:【喵呜刷题小喵解析】:关键信息基础设施(Critical Information Infrastructure)是指对国家安全、经济安全、社会稳定、公众利益有重大影响的信息设施,包括但不限于能源、交通、通信、金融、水资源、教育科研等领域的信息系统及其支撑保障系统。因此,A输配电骨干网监控系统、B计算机制造企业IDC供电系统、C高等院校网络接入设施、D高铁信号控制系统都属于关键信息基础设施。这些设施一旦遭受攻击或破坏,将对国家安全、经济安全、社会稳定、公众利益造成重大影响。
三、判断题
71、通过修改某种已知计算机病毒的代码,使其能够躲过计算机病毒检测程序时,可以称这种新出现的计算机病毒是原来计算机病毒的变形()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:通过修改已知计算机病毒的代码,使其能够躲过计算机病毒检测程序,这种新出现的计算机病毒可以被认为是原来计算机病毒的变形。因此,选项A“正确”是正确的答案。
72、考虑了组织所实现的活动,即可确定组织信息安全管理体系范围()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目中的描述“考虑了组织所实现的活动,即可确定组织信息安全管理体系范围”是不准确的。确定组织信息安全管理体系范围需要考虑更多的因素,而不仅仅是组织所实现的活动。因此,该说法是错误的,答案选B。
73、组织的业务连续性策略即其信息安全连续性策略()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:组织的业务连续性策略与信息安全连续性策略是两个不同的概念。业务连续性策略主要关注组织在面临各种中断(如自然灾害、技术故障等)时如何保持运营。信息安全连续性策略则侧重于保护组织的信息资产,确保信息的保密性、完整性和可用性,即使在遭受攻击或灾难的情况下也能维持正常的信息安全运行。两者虽然都是为了提高组织的韧性和稳定性,但具体关注点和应用范围不同,因此,组织的业务连续性策略并非其信息安全连续性策略。所以,此题的答案为B,即“错误”。
74、最高管理层应通过“确保持持续改进”活动,证实对信息安全管理体系的领导和承诺()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:根据给出的题目,我们了解到“最高管理层应通过‘确保持续改进’活动,证实对信息安全管理体系的领导和承诺”。但是,实际上,确保持续改进并不能直接证明对信息安全管理体系的领导和承诺。领导和承诺更可能是通过制定明确的信息安全政策、分配足够的资源、建立安全意识和文化以及定期进行安全审查等方式来体现。因此,该题目中的说法是不准确的,所以答案选B。
75、从审核开始直到审核完成,审核组长都应对审核的实施负责()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:审核组长在审核过程中起着重要的角色,从审核开始到审核完成,他/她应对审核的实施负责。这是审核组长的基本职责之一,确保审核过程的顺利进行,并对审核结果负责。因此,选项A“正确”是正确的选择。
76、拒绝服务攻击包括消耗标服务器的可用资源和/或消耗网络的有效带宽()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:拒绝服务攻击(DoS攻击)是一种通过消耗目标服务器的可用资源或消耗网络的有效带宽来使目标系统无法提供正常服务的攻击方式。因此,题目中的描述是正确的。
77、利用生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:生物信息进行身份鉴别包括生物行为特征鉴别及生物特征鉴别,这是正确的。生物行为特征鉴别是指通过分析个体的行为模式、习惯、姿势等来识别身份,而生物特征鉴别则是利用个体的生理特征,如指纹、虹膜、面部特征等进行身份鉴别。因此,答案为A。
78、风险处置计划和信息安全残余风险应获得最高管理者的授受和批准()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:风险处置计划和信息安全残余风险应获得最高管理者的授受和批准,这一说法存在错误。在信息安全领域,风险处置计划和残余风险的批准通常是由信息安全管理团队或相关负责部门来完成的,而不是最高管理者直接授受和批准。最高管理者通常会对这些计划和风险进行总体上的了解和认可,但具体的批准过程通常由专业团队负责。因此,该题目中的说法是不准确的,答案为B。
79、创建和更新文件化信息时,组织应确保对其适宜性和充分性进行评审和批准()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:在创建和更新文件化信息时,组织应确保对其适宜性和充分性进行评审和批准。这是确保文件化信息质量的关键步骤,有助于确保信息的准确性和有效性,从而支持组织的运营和决策。因此,选项A“正确”是正确的。
80、访问控制列表指由主体以及主体对客体的访问权限所组成列表()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:访问控制列表确实是由主体以及主体对客体的访问权限所组成的列表。访问控制列表(Access Control List,ACL)是一种安全机制,用于控制对计算机资源(如文件、目录、设备或网络端口)的访问。它定义了一组规则,这些规则指定了哪些主体(如用户或进程)可以对哪些客体(如文件或目录)执行哪些操作(如读取、写入或执行)。因此,题目中的描述是正确的。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
