一、单选题
1、()属于管理脆弱性的识别对象。
A、物理环境
B、网络结构
C、应用系统
D、技术管理
解析:【喵呜刷题小喵解析】:管理脆弱性是指组织在管理和运营过程中存在的漏洞或不足,可能导致安全威胁或风险。识别管理脆弱性需要关注组织的管理流程、政策、程序以及人员的行为等方面。技术管理是组织在技术应用和管理方面所采取的措施和策略,它直接涉及到组织如何管理其技术环境,包括物理环境、网络结构和应用系统等。因此,技术管理是管理脆弱性的识别对象之一。物理环境、网络结构和应用系统虽然与技术管理相关,但它们更多地是技术脆弱性的识别对象。所以,正确答案是D,即技术管理是管理脆弱性的识别对象。
2、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括()。
A、业务要求变更
B、合同义务变更
C、安全要求的变更
D、以上都不对
解析:【喵呜刷题小喵解析】:题目中要求找出ISMS管理评审的输出中不应包括的内容。根据ISMS(信息安全管理体系)的管理实践,管理评审的输出通常会考虑各种变更对安全规程和控制措施的影响。这些变更可能包括业务要求的变更、合同义务的变更以及安全要求的变更。因此,选项A“业务要求变更”、选项B“合同义务变更”和选项C“安全要求的变更”都是管理评审输出中应考虑的变更类型。而选项D“以上都不对”表示上述所有变更类型都是管理评审输出中应考虑的内容,这与题目要求找出不应包括的内容相矛盾。因此,正确答案是选项C“安全要求的变更”。
3、()是指系统、服务或网络的一种可识别的状态的发生,他可能是对信息安全方针的违反或控制措施的失效,或是利安全相关的一个先前未知的状态。
A、信息安全事态
B、信息安全事件
C、信息安全事故
D、信息安全故障
解析:【喵呜刷题小喵解析】信息安全事态是指系统、服务或网络的一种可识别的状态的发生,他可能是对信息安全方针的违反或控制措施的失效,或是利安全相关的一个先前未知的状态。信息安全事态可能是对信息安全方针的违反或控制措施的失效,也可能是一个先前未知的状态。根据给出的选项,选项A“信息安全事态”与题干描述相符。因此,答案为A。
4、关于“关键信息基础设施”的行业和领域,以下说法不正确的是()。
A、关键信息基础设施包括公共通信和信息服务、能源、交通、公共服务
B、关键信息基础设施包括能源、交通、医疗、教育、电子政务
C、关键信息基础设施包括能源、交通、水利、电子政务
D、关键信息基础设施包括能源、交通、水利、金融、金融、公共服务、电子政务
解析:【喵呜刷题小喵解析】:关键信息基础设施包括能源、交通、水利、金融、公共服务、电子政务等多个行业和领域。选项B中的医疗并没有包含在关键信息基础设施的行业和领域中,因此不正确。其他选项A、C、D都正确描述了关键信息基础设施的部分行业和领域。因此,答案是B。
5、关于中国认证认可相关活动的监督管理机制,以下说法正确的是()。
A、CNCA对CNAS、CCAA、认证机构依法实施监督管理
B、CNCA依法监管CNAS,CNAS依法监管认证机构
C、CCAA依法监管认证机构,CNCA依法监管CNAS
D、CCAA依法监管认证人员,CNAS依法监管认证机构,CNCA依法监管CNAS
解析:【喵呜刷题小喵解析】:根据《中华人民共和国认证认可条例》的规定,国家认证认可监督管理委员会(CNCA)对认证机构、认可机构以及认证培训、咨询机构等相关机构和人员依法实施监督管理。其中,CNAS(中国合格评定国家认可委员会)和CCAA(中国认证认可协会)都是CNCA监管下的机构。因此,选项A“CNCA对CNAS、CCAA、认证机构依法实施监督管理”是正确的说法。选项B、C、D的说法均不符合条例的规定。
6、ISO/IEC2700标准族中关于信息安全管理测量的标准是()。
A、ISO/IEC27002
B、ISO/IEC27003
C、ISO/IEC27004
D、ISO/IEC27005
解析:【喵呜刷题小喵解析】:在ISO/IEC2700标准族中,关于信息安全管理测量的标准是ISO/IEC27004。该标准提供了对信息安全管理体系(ISMS)的测量、监视和审查的指南,以确保组织的信息安全管理体系持续有效并符合相关要求。因此,正确答案是C选项,即ISO/IEC27004。
7、GB/T22080-2016/ISO/IEC27001:2013标准从()的角度,为建立、实施、运行、监视、评审、保持和改变文件化的ISMS规定了要求。
A、客户安全要求
B、组织整体业务风险
C、信息安全法律法规
D、以上都不对
解析:【喵呜刷题小喵解析】题目中提到的是GB/T22080-2016/ISO/IEC27001:2013标准,这个标准主要是关于信息安全管理体系(ISMS)的规定。信息安全管理体系是从组织整体业务风险的角度来建立的,用于确保组织的信息资产得到适当保护。因此,该标准从组织整体业务风险的角度为建立、实施、运行、监视、评审、保持和改变文件化的ISMS规定了要求。因此,正确选项是B,即“组织整体业务风险”。其他选项A、C、D均不符合题意。
8、保密协议或不泄露协议至少应包括()。
A、组织和员工双方的信息安全职责和责任
B、员工的信息安全职责和责任
C、组织的信息安全职责和责任
D、纪律处罚规定
解析:【喵呜刷题小喵解析】:保密协议或不泄露协议是为了确保组织和员工在信息安全方面的职责和责任得到明确和遵守。因此,这样的协议应该包括组织和员工双方的信息安全职责和责任,以确保双方都能遵守协议,保护组织的信息安全。所以,正确选项是A。选项B只涉及员工的信息安全职责和责任,而选项C只涉及组织的信息安全职责和责任,都没有涵盖双方的信息安全职责和责任,因此都不正确。选项D与保密协议或不泄露协议的主要内容无关,因此也不正确。
9、对于外部供方提供的软件包,以下说法正确的是()。
A、组织的人员可随时对其进行实用性调整
B、应严格限制对软件包的调整以保护软件包的保密性
C、应严格限制对软件包的调整以保护其完整性和可用性
D、以上都不对
解析:【喵呜刷题小喵解析】对于外部供方提供的软件包,应严格限制对软件包的调整以保护其完整性和可用性。这是因为软件包可能包含关键的商业逻辑、算法或安全机制,对其进行随意调整可能会影响软件的功能、性能和安全性。同时,保持软件包的完整性也是尊重知识产权的表现。因此,选项C“应严格限制对软件包的调整以保护其完整性和可用性”是正确的。其他选项A、B和D的说法都不符合这一原则。
10、以下说法不正确的是()。
A、信息安全事件管理不包括工业控制系统安全事件
B、工业控制系统由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件构成
C、工业控制系统资产的吸引力是影响信息安全事件可能性的因素之一
D、工业控制系统的保密性、完整性可用性决定了其资产价值
解析:【喵呜刷题小喵解析】本题为选非题,主要考查工业控制系统安全事件的相关信息。A选项表示“信息安全事件管理不包括工业控制系统安全事件”,这一说法是错误的。信息安全事件管理实际上包含了工业控制系统安全事件的管理,工业控制系统作为重要的基础设施,其安全性也是信息安全事件管理的重要组成部分。B选项表示“工业控制系统由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件构成”,这是正确的描述,工业控制系统确实是由这些组件构成的。C选项表示“工业控制系统资产的吸引力是影响信息安全事件可能性的因素之一”,这也是正确的。工业控制系统的资产价值越高,其吸引力也越大,从而更容易成为攻击目标,信息安全事件的可能性也就越高。D选项表示“工业控制系统的保密性、完整性可用性决定了其资产价值”,这一说法并不完全准确。虽然保密性、完整性和可用性都是工业控制系统的重要属性,但它们并不能完全决定其资产价值。资产价值还受到其他多种因素的影响。因此,不正确的说法是A选项。
11、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。
A、内容监控
B、安全数育和培训
C、责任追查和惩处
D、访问控制
解析:【喵呜刷题小喵解析】:在信息安全管理中,解决人员安全意识薄弱问题的有效方法是进行安全教育和培训。通过安全教育和培训,可以提高员工的安全意识,使他们了解并遵守相关的安全规定和操作流程,从而降低安全风险。因此,选项B“安全数育和培训”是正确答案。其他选项如内容监控、责任追查和惩处、访问控制等,虽然与信息安全有关,但并不直接解决人员安全意识薄弱的问题。
12、在风险评估中进行资产的价值估算时,下列哪个不会影响资产的价值()。
A、资产的替代阶值
B、资产丧失或损坏的业务影响
C、资产本身的购买价值
D、资产的存放位置
解析:【喵呜刷题小喵解析】:在风险评估中进行资产的价值估算时,资产的替代价值、资产丧失或损坏的业务影响以及资产本身的购买价值都会影响资产的价值。而资产的存放位置通常不会直接影响资产的价值,它更多地是一个物理属性,与资产的实际价值无直接关系。因此,选项D“资产的存放位置”不会影响资产的价值。
13、依据GBT22080/ISOIEC27001,以下符合责任分割原则的是()。
A、某数据中心机房运维工程师权某负责制定机房访问控制策略,为方便巡检,登录门禁系统为自己配置个机房的不限时门禁权限
B、A公司由信息安全官(CIO)负责制定访问控制策略,为信息系统管理员的登录权限授权时,由另外5位副总到场分别输入自己的口令然后完成授权
C、A公司制定了访问权限列表,信息系统权限分配为:董事长拥有全部权限,某次为副总,再某次为主管经理,依次类推,运维工程师因职务最低,故拥有最少权限
D、以上均符合责任分割原则
解析:【喵呜刷题小喵解析】在GB/T 22080/ISO/IEC 27001中,责任分割原则要求组织内部不同的责任部门或人员不能共享访问权限,确保不能出现单独一人拥有过多的权力。A选项中,运维工程师权某为自己配置不限时门禁权限,这违反了责任分割原则,因为权某独自拥有过多的权限。B选项中,信息安全官(CIO)负责制定访问控制策略,并为信息系统管理员的登录权限授权时,需要另外5位副总到场分别输入自己的口令然后完成授权。这符合责任分割原则,因为授权过程需要多人参与,没有单独一人拥有过多的权力。C选项中,虽然制定了访问权限列表,但董事长拥有全部权限,这同样违反了责任分割原则,因为董事长独自拥有过多的权限。D选项中,虽然提到“以上均符合责任分割原则”,但实际上只有B选项符合。因此,符合责任分割原则的是B选项。
14、关于信息安全管理体系认证,以下说法正确的是()。
A、授予认证决定的实体不宜推翻审核组的正面结论
B、授予认证决定的实体不宜推翻审核组的负面结论
C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核
D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期
解析:【喵呜刷题小喵解析】在信息安全管理体系认证中,审核组会基于客户的ISMS(信息安全管理体系)进行评估,并给出正面或负面的结论。根据审核的准则,授予认证决定的实体(如认证机构)不应轻易推翻审核组的结论,特别是当审核组给出负面结论时。这是因为审核组是基于专业的知识和经验进行评估的,他们的结论应该得到尊重。因此,选项B“授予认证决定的实体不宜推翻审核组的负面结论”是正确的。对于选项A“授予认证决定的实体不宜推翻审核组的正面结论”,虽然在实际操作中,认证机构通常不会随意推翻正面的结论,但这并不是绝对的,因为认证机构有权进行进一步的审核和验证。选项C“认证机构应对客户组织的ISMS至少进行一次完整的内部审核”并不准确。认证机构通常不会直接进行内部审核,而是基于客户组织提供的内部审核报告和其他相关文件进行评估。选项D“认证机构必须遵从客户组织规定的内部审核和管理评审的周期”也不正确。认证机构有自己的审核周期和准则,他们不会完全遵从客户组织的内部审核和管理评审周期。综上所述,正确答案是B。
15、甲乙二人在同一公司工作,甲是内审员,那么甲是否可以审核乙的工作()。
A、可以
B、不可以
C、不确定
D、如果是一个部门就不可以
解析:【喵呜刷题小喵解析】内审员审核工作,一般是审核与其工作不直接相关的人员或部门的工作。甲作为内审员,理论上可以审核乙的工作,但具体能否审核,还取决于公司的内部规定和乙的工作性质。因此,无法直接确定甲是否可以审核乙的工作,答案为“不确定”。选项D“如果是一个部门就不可以”也不准确,因为审核与部门归属无直接关系。因此,正确答案为C“不确定”。
16、密码技术可以保护信息的()。
A、保密性
B、完整性
C、可用性
D、A+B
解析:【喵呜刷题小喵解析】:密码技术是一种保护信息安全的手段,它可以保护信息的保密性和完整性。保密性是指信息不被未经授权的人员获取,而完整性是指信息在传输过程中不被篡改或损坏。因此,选项D“A+B”即保密性和完整性,是密码技术可以保护的信息属性。
17、下列哪一种情况下,网络数据管理协议(NDMP)可用于备份?()
A、需要使用网络附加存储设备(NAS)时
B、不能使用TCP/IP的环境中
C、需要备份旧的备份系统不能处理的文件许可时
D、要保证跨多个数据卷的备份连续、一致时
解析:【喵呜刷题小喵解析】网络数据管理协议(NDMP)是一种用于备份网络存储设备的协议,它主要用于支持网络附加存储设备(NAS)的备份。因此,当需要使用网络附加存储设备时,网络数据管理协议(NDMP)可用于备份。其他选项如不能使用TCP/IP的环境中、需要备份旧的备份系统不能处理的文件许可时、要保证跨多个数据卷的备份连续、一致时等,并不是网络数据管理协议(NDMP)的典型应用场景。
18、网络上数据传输时,如何保证数据的保密性?()
A、数据在传输前经加密处理
B、所有消息附加在HASH值
C、网络设备所在的区域加强安全警戒
D、电缆作安全保护
解析:【喵呜刷题小喵解析】:在网络上数据传输时,保证数据的保密性非常重要。为了确保数据的安全,需要在传输前对数据进行加密处理。这种加密技术可以对数据进行编码,使其无法被未经授权的人员读取或理解。加密处理可以有效防止数据在传输过程中被窃取或篡改,从而保护数据的机密性和完整性。选项A提到“数据在传输前经加密处理”,这与保护数据保密性的目标相符。选项B提到“所有消息附加在HASH值”,HASH值主要用于验证数据的完整性和真实性,而不是用于加密。因此,它与保护数据的保密性无关。选项C提到“网络设备所在的区域加强安全警戒”,虽然这可以加强网络安全,但与确保数据传输时的保密性没有直接关系。选项D提到“电缆作安全保护”,虽然电缆的安全保护可以防止物理破坏,但并不能直接保证数据传输的保密性。因此,正确答案是A,即“数据在传输前经加密处理”。
19、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()。
A、认证
B、认可
C、审核
D、评审
解析:【喵呜刷题小喵解析】:题目中提到的“由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动”描述的是认可机构对认证活动人员的能力和执业资格进行承认的过程。在认证、认可、审核和评审中,认可是指权威机构对机构或人员的能力、资格、结果等进行承认的行为。因此,答案为B,即认可。
20、下列哪项不是监督审核的目的?()
A、验证认证通过的ISMS是否得以持续实现
B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化
C、确认是否持续符合认证要求
D、做出是否换发证书的决定
解析:【喵呜刷题小喵解析】:监督审核的目的是验证认证通过的ISMS是否得以持续实现,验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化,以及确认是否持续符合认证要求。而做出是否换发证书的决定并不是监督审核的目的,而是认证机构根据审核结果和组织的持续符合性来决定的。因此,选项D不是监督审核的目的。
21、下列哪项事情是审核员不必要做的?()
A、对接触到的客户信息进行保密
B、客观公正的给出审核结论
C、关注客户的喜好
D、尽量使用客户熟悉的表达方式
解析:【喵呜刷题小喵解析】:审核员的主要职责是确保审核过程的客观公正,并基于审核结果给出结论。因此,选项A“对接触到的客户信息进行保密”、选项B“客观公正的给出审核结论”和选项D“尽量使用客户熟悉的表达方式”都是审核员应该做的事情。然而,选项C“关注客户的喜好”并不是审核员的核心职责。审核员应该专注于审核过程和结果,而不是客户的个人喜好。因此,C选项是审核员不必要做的事情。
22、在现场审核结束之前,下列哪项活动不是必须的?()
A、关于客户组织ISMS与认证要求之间的符合性说明
B、审核现场发现的不符合
C、提供审核报告
D、听取客户对审核发现提出的问题
解析:【喵呜刷题小喵解析】:本题考查的是审核流程的相关知识。在现场审核结束之前,审核组需要确保完成所有的审核活动,以确保审核的准确性和有效性。关于客户组织ISMS与认证要求之间的符合性说明、审核现场发现的不符合和听取客户对审核发现提出的问题,都是在现场审核过程中必要的步骤。然而,提供审核报告是在现场审核结束后进行的,不是在现场审核结束之前必须的。因此,正确答案是C,即提供审核报告。
23、下列不属于GB/T22080-2016与GB/T22080-2008主要关键词变化的是()。
A、将GB/T20080-2016版中的“control”的定义由2008版的“控制措施”改为2016版的“控制”
B、将GB/T20080-2016版中的“Implement"的定义由2008版的“实施”改为“实现”
C、将GB/T20080-2016版中的“Asset owner”的定义由2008版的“资产责任人”改为"资产拥有者"
D、将GB/T20080-2016版中的“Context of the organization”的定义由2008版的"组织背景”改为“组织环境”
解析:【喵呜刷题小喵解析】:题目中提到的变化是GB/T22080-2016与GB/T22080-2008之间的关键词变化。根据题目选项,我们需要找出不属于这两个版本之间关键词变化的选项。A选项提到的是将“control”的定义由“控制措施”改为“控制”,这是GB/T22080-2008到GB/T22080-2016的变化。B选项提到的是将“Implement”的定义由“实施”改为“实现”,这也是GB/T22080-2008到GB/T22080-2016的变化。C选项提到的是将“Asset owner”的定义由“资产责任人”改为“资产拥有者”,这也是GB/T22080-2008到GB/T22080-2016的变化。而D选项提到的是将“Context of the organization”的定义由“组织背景”改为“组织环境”,但这并不是GB/T22080-2008到GB/T22080-2016的变化,因为在题目中提到的两个版本中都没有出现“组织背景”这个词,所以D选项是不属于GB/T22080-2016与GB/T22080-2008主要关键词变化的。因此,正确答案是D选项。
24、《中华人民共和国网络安全法》的实施时间是()。
A、42522
B、42681
C、42887
D、43046
解析:【喵呜刷题小喵解析】:《中华人民共和国网络安全法》的实施时间是2017年6月1日,即42887。因此,正确答案为C。其他选项A、B、D都不是正确的实施时间。
25、下列哪种方式会消耗掉有价值的网络宽带?()
A、特洛伊木马
B、陷阱门
C、蠕虫
D、疫苗
解析:【喵呜刷题小喵解析】:特洛伊木马、陷阱门和疫苗都是计算机安全领域中的术语,但它们不会直接消耗有价值的网络宽带。特洛伊木马是一种恶意软件,通常用于攻击或控制受害者的计算机,但它本身不会直接占用网络带宽。陷阱门是一种安全漏洞,允许授权用户访问受限资源,但它也不会直接消耗网络带宽。疫苗则是用于预防计算机病毒或恶意软件的程序,它同样不会消耗网络带宽。而蠕虫是一种能够自我复制并通过网络传播的恶意软件,它会占用大量的网络带宽来传播自身,因此会消耗有价值的网络宽带。因此,正确答案是C,即蠕虫。
26、风险评估过程一般应包括()。
A、风险识别
B、风险分析
C、风险评价
D、以上全部
解析:【喵呜刷题小喵解析】:在风险评估过程中,通常会依次进行风险识别、风险分析和风险评价这三个步骤。风险识别是对潜在的风险进行识别和列举的过程,风险分析是对已识别的风险进行定性或定量分析的过程,而风险评价则是对风险的程度进行判断,并根据风险的程度采取相应的措施。因此,题目中的选项“D以上全部”是正确的,因为它包括了风险评估过程中的所有步骤。
27、关于GB/T 22081-2016/ISO/IEC 27002:2013,以下说法错误的是()。
A、该标准是指南类标准
B、该标准中给出了ISO/IEC 27001附录A中所有控制措施的应用指南
C、该标准给出了ISMS的实施指南
D、该标准的名称是《信息技术 安全技术 信息安全管理实用规则》
解析:【喵呜刷题小喵解析】:A选项提到GB/T 22081-2016/ISO/IEC 27002:2013是一个指南类标准,这是正确的,因为它确实为信息安全管理体系(ISMS)提供了实施指南。B选项提到该标准中给出了ISO/IEC 27001附录A中所有控制措施的应用指南,这也是正确的,因为ISO/IEC 27002确实提供了对ISO/IEC 27001中控制措施的应用指南。C选项说该标准给出了ISMS的实施指南,这也是正确的。然而,D选项提到该标准的名称是《信息技术 安全技术 信息安全管理实用规则》,这是错误的。实际上,该标准的名称是《信息技术 安全技术 信息安全管理体系 要求》,与D选项中的描述不符。因此,D选项是错误的。
28、关于备份,以下说法正确的是()。
A、备份介质应定期进行恢复测试
B、如果组织删减了“信息安全连续性”要求,同机备份或备份本地存放是可接受的
C、退化的备份介质一定会影响备份信息的恢复
D、备份信息不是管理体系运行记录,不须规定保存期
解析:【喵呜刷题小喵解析】:A选项提到“备份介质应定期进行恢复测试”,这是正确的。定期恢复测试可以确保备份介质在需要时能够成功恢复数据,这是备份策略中非常重要的一部分。B选项说“如果组织删减了‘信息安全连续性’要求,同机备份或备份本地存放是可接受的”。这个说法是不准确的。即使组织削减了信息安全连续性的要求,备份策略仍然应该确保数据的完整性和可用性,同机备份或备份本地存放可能无法满足这一要求。C选项提到“退化的备份介质一定会影响备份信息的恢复”,这个说法过于绝对。退化的备份介质可能会影响备份信息的恢复,但并非所有退化的备份介质都会影响。D选项说“备份信息不是管理体系运行记录,不须规定保存期”,这也是不正确的。备份信息通常也是管理体系运行记录的一部分,因此应该规定适当的保存期,以确保在需要时能够恢复数据。因此,正确答案是A选项:“备份介质应定期进行恢复测试”。
29、关于访问控制策略,以下不正确的是()。
A、须考虑被访问客体的敏感性分类,访问主体的授权方式、时限和访问类型
B、对于多任务访问,一次性赋予全任务权限
C、物理区域的管理规定须遵从物理区域的访问控制策略
D、物理区域访问控制策略应与其中的资产敏感性一致
解析:【喵呜刷题小喵解析】:访问控制策略是确保系统安全的关键措施之一,它规定了哪些用户或系统可以访问哪些资源以及如何进行访问。A选项提到,访问控制策略需要考虑被访问客体的敏感性分类,访问主体的授权方式、时限和访问类型。这是访问控制策略的核心内容,确保只有经过授权的用户才能访问特定的资源,并且访问的权限和范围得到合理控制。B选项说,对于多任务访问,一次性赋予全任务权限。这与访问控制策略的原则相悖。访问控制策略的目的是限制用户的访问权限,而不是一次性赋予全任务权限。C选项提到,物理区域的管理规定须遵从物理区域的访问控制策略。这是访问控制策略在实际应用中的体现,确保了物理区域的安全性和受控性。D选项指出,物理区域访问控制策略应与其中的资产敏感性一致。这意味着不同敏感性的资产应受到不同程度的保护,这也是访问控制策略的一个重要方面。综上所述,B选项是不正确的,因为它与访问控制策略的基本原则相悖。因此,正确答案是B。
30、关于技术脆弱性管理,以下正确的是()。
A、技术脆弱性应单独管理
B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小
C、针对技术脆弱性的补丁安装应按变更管理进行控制
D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径
解析:【喵呜刷题小喵解析】:针对技术脆弱性的补丁安装应按变更管理进行控制,这是正确的做法。变更管理是一种组织对变更进行规划、实施和监控的方法,确保变更过程能够顺利进行,并且不会对企业的运营产生负面影响。补丁的安装涉及到对系统的更改,因此应当遵循变更管理的原则,确保补丁的安装不会对组织的业务产生影响,并且能够及时修复系统的安全漏洞。因此,选项C是正确的。选项A“技术脆弱性应单独管理”没有明确指出为何需要单独管理,也没有说明单独管理的具体方法和优势,因此无法判断其正确性。选项B“了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小”是错误的。技术脆弱性的公众范围越广,意味着更多的人知道这个漏洞的存在,可能会被攻击者利用。因此,这种情况可能会增加组织的风险。选项D“及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径”也是错误的。虽然补丁是修复脆弱性的有效方法,但并非所有补丁都需要立即安装。一些补丁可能需要更多的测试和时间来确定是否会对组织的业务产生负面影响。此外,如果不考虑补丁的优先级和组织的实际情况,盲目安装所有补丁可能会导致系统不稳定或其他问题。因此,应当根据具体情况和补丁的优先级来制定合适的补丁安装计划。
31、建立资产清单即()。
A、列明信息生命周期内关联到的资产,列明其对组织业务的作用
B、完整采用组织的固定资产台账,同时指定资产责任人
C、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
D、A+B
解析:【喵呜刷题小喵解析】:建立资产清单的主要目的是列明信息生命周期内关联到的资产,列明其对组织业务的作用。这有助于组织全面了解和管理其资产,确保资产的有效利用和资源的合理分配。选项A正确描述了这一目的。选项B虽然提到了固定资产台账和资产责任人,但没有明确说明这是建立资产清单的目的。选项C将资产价格与功能、重要性等级联系起来,这并非建立资产清单的主要目的。选项D是选项A和B的组合,但同样没有说明这是建立资产清单的目的。因此,正确答案是A。
32、经过风险处理后遗留的风险通常为()。
A、重大风险
B、有条件接受的风险
C、不可接受的风险
D、残余风险
解析:【喵呜刷题小喵解析】风险处理通常是为了降低风险或消除风险。当风险得到处理后,通常会遗留一部分风险,这部分风险被称为残余风险。重大风险、有条件接受的风险和不可接受的风险都不是经过风险处理后通常遗留的风险类型。因此,正确答案为D,即残余风险。
33、依据GB/T22080-2016/ISO/IEC27001:2013标准,应形成文件的信息应包括()。
A、ISMS的范围、适用性声明
B、信息安全风险评估过程
C、信息安全风险处置过程
D、以上全部
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016/ISO/IEC27001:2013标准,应形成文件的信息应包括信息安全管理体系的范围、适用性声明,信息安全风险评估过程和信息安全风险处置过程。因此,正确答案为“D.以上全部”。
34、依据GB/T22080-2016/ISO/IEC27001:2013标准,以下说法正确的是()。
A、对于进入组织的设备和资产须验证其是否符合安全策略,对于离开组织的设备设施则不须验证
B、对于离开组织的设备和资产须验证其合格证,对于进入组织的设备设施则不必验证
C、对于离开组织的设备和资产须验证相关授权信息
D、对于进入和离开组织的设备和资产,验证携带者身份信息,可替代对设备设施的验证
解析:【喵呜刷题小喵解析】首先,我们需要了解GB/T22080-2016/ISO/IEC27001:2013标准中对于设备和资产的管理要求。该标准强调了在组织内部和外部的设备与资产管理中的安全策略。针对A选项,它提到“对于进入组织的设备和资产须验证其是否符合安全策略,对于离开组织的设备设施则不须验证”。这个说法与标准中对于设备与资产在组织内外都应受到验证的原则不符,因此A选项不正确。对于B选项,它说“对于离开组织的设备和资产须验证其合格证,对于进入组织的设备设施则不必验证”。这个描述同样与标准中的原则不符,因为无论是进入还是离开组织的设备与资产,都应受到验证。所以B选项也是不正确的。再来看D选项,它提出“对于进入和离开组织的设备和资产,验证携带者身份信息,可替代对设备设施的验证”。虽然验证携带者身份信息是一种安全措施,但它并不能完全替代对设备设施的验证。因此,D选项也不符合标准的原则。最后,C选项提到“对于离开组织的设备和资产须验证相关授权信息”。这完全符合GB/T22080-2016/ISO/IEC27001:2013标准中关于设备与资产管理的要求,因为无论设备是进入还是离开组织,都应受到适当的验证,以确保其符合安全策略。因此,C选项是正确的。
35、组织()实施风险评估。
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔且当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
解析:【喵呜刷题小喵解析】:风险评估应该按计划的时间间隔或当重大变更提出或发生时进行。这意味着风险评估不是只在重大变更发生时进行,也不是只按计划的时间间隔进行,而是两者都需要。因此,选项A“应按计划的时间间隔或当重大变更提出或发生时”是正确的。选项B“应按计划的时间间隔且当重大变更提出或发生时”虽然包含了两者,但使用了“且”这个连词,意味着两者必须同时满足,这与题目要求不符。选项C和D都只涉及了其中一个条件,因此都是错误的。
36、关于用户访问权,以下做法正确的是()。
A、用户岗位变更时,其原访问权应终止或撤销
B、抽样进行针对信息系统用户访问权的定期评审
C、组织主动解聘员工时可不必复审员工访问权
D、使用监控系统可替代用户访问权评审
解析:【喵呜刷题小喵解析】:根据题目描述,我们需要判断哪个选项关于用户访问权的做法是正确的。A选项提到,用户岗位变更时,其原访问权应终止或撤销。这是正确的做法,因为当用户的岗位发生变化时,他们可能不再需要访问某些信息系统或数据,因此应该终止或撤销他们的访问权。B选项提到,抽样进行针对信息系统用户访问权的定期评审。虽然定期评审是一个好的做法,但抽样进行可能无法确保所有用户的访问权都得到充分的评审,因此不是最佳实践。C选项提到,组织主动解聘员工时可不必复审员工访问权。这是不正确的,因为当员工被解聘时,他们可能仍然拥有访问某些信息系统或数据的权限,因此应该进行复审以确保他们的访问权被正确终止。D选项提到,使用监控系统可替代用户访问权评审。这也是不正确的,因为监控系统只是用于监视用户的访问行为,而不能替代对访问权的正式评审。综上所述,A选项是正确的做法。
37、信息安全管理体系适用性声明应包括()。
A、对整个标准进行删减的理由
B、对四到八章进行删减的理由
C、对附录A的控制进厂
D、对标准全文中
解析:【喵呜刷题小喵解析】信息安全管理体系适用性声明通常用于说明组织如何应用信息安全管理体系标准,并可能涉及对标准的删减或修改。在给出的选项中,只有“对附录A的控制进厂”与适用性声明直接相关。适用性声明可能涉及对标准中某些部分的选择性应用,而不是对整个标准或特定章节的删减。因此,选项C“对附录A的控制进厂”是最符合题目要求的答案。
38、关于信息系统登录门令的管理,以下做法不正确的是()。
A、必要时使用密码技术、生物识别等替代口令
B、用提示信息告知用户输入的口令是否正确
C、明确告知用户应遵从的优质口令策略
D、适用互动式管理确保用户使用优质口令
解析:【喵呜刷题小喵解析】:在关于信息系统登录口令的管理中,不正确的做法是B选项“用提示信息告知用户输入的口令是否正确”。这是因为提示用户口令是否正确会增加口令被猜测或破解的风险,因为攻击者可能会利用这些提示信息来尝试猜测正确的口令。其他选项如A、C和D都是正确的做法,包括使用密码技术、生物识别等替代口令,明确告知用户应遵从的优质口令策略,以及适用互动式管理确保用户使用优质口令。
39、对于信息安全方针,()是GB/T22080-2016/ISO/IEC27001:2013所要求的。
A、信息安全方针应形成文件
B、信息安全方针文件为公司内部重要信息,不得向外部泄露
C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义
D、信息安全方针是建立信息安全工作的总方向和原则,不可变更
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016/ISO/IEC27001:2013的要求,信息安全方针应形成文件。这是信息安全管理体系的基础,为组织的信息安全活动提供了方向和原则。因此,选项A“信息安全方针应形成文件”是正确答案。选项B“信息安全方针文件为公司内部重要信息,不得向外部泄露”并不是该标准的要求;选项C“信息安全方针文件应包括对信息安全管理的一般和特定职责的定义”虽然可能是一个好的做法,但不是该标准所强制要求的;选项D“信息安全方针是建立信息安全工作的总方向和原则,不可变更”与标准中的“信息安全方针应定期评审和更新,以反映组织业务环境和威胁环境的变化”相矛盾。
40、风险评价是指()。
A、系统地使用信息来识别风险来源和估计风险
B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程
C、指导和控制一个组织相关风险的协调活动
D、以上都不对
解析:【喵呜刷题小喵解析】:风险评价是指将估算的风险与给定的风险准则加以比较以确定风险严重性的过程。A选项描述了风险来源的识别,C选项描述了风险协调活动,D选项表示以上都不对,因此B选项是正确的。风险评价是风险管理的关键步骤之一,它涉及到对风险进行量化评估,并与预设的风险准则进行比较,以确定风险是否可接受或需要进一步采取措施来降低风险。
41、防止计算机中信息被窃取的手段不包括()。
A、用户识别
B、权限控制
C、数据加密
D、数据备份
解析:【喵呜刷题小喵解析】:在防止计算机中信息被窃取的手段中,A选项“用户识别”用于确认用户的身份,确保只有授权用户能够访问敏感信息;B选项“权限控制”用于限制用户访问特定资源或执行特定操作,确保只有具备相应权限的用户能够访问敏感信息;C选项“数据加密”用于对敏感信息进行加密,即使信息被窃取,攻击者也无法直接读取其中的内容。而D选项“数据备份”主要用于在数据丢失或损坏时恢复数据,与防止信息被窃取没有直接关系。因此,防止计算机中信息被窃取的手段不包括数据备份。
42、跨国公司的IS经理打算把现有的虚拟专用网(VPN)升级,釆用通道技术使用其支持语音IP服务,那么,需要首要关注的是()。
A、服务的可靠性和质量(quality of service)
B、身份的验证方式
C、语音传输的保密
D、数据传输的保密
解析:【喵呜刷题小喵解析】:在升级虚拟专用网(VPN)以支持语音IP服务时,首要关注的是服务的可靠性和质量。因为语音通信对实时性和稳定性要求非常高,如果服务质量不可靠,可能会导致语音通话中断、延迟或音质下降,从而影响用户的通信体验。因此,确保服务的可靠性和质量是首要考虑的因素。其他选项如身份的验证方式、语音传输的保密和数据传输的保密虽然也很重要,但在升级VPN以支持语音IP服务时,首要关注的是服务的可靠性和质量。
43、利用残留在现场的指纹等人体生物特征侦破非授权的访问(如:盗窃入室),属于哪一类攻击?()
A、重用、重放、重演(replay)
B、暴力攻击
C、解密
D、假装、模仿
解析:【喵呜刷题小喵解析】:根据题目描述,利用残留在现场的指纹等人体生物特征侦破非授权的访问,属于重用、重放、重演(replay)攻击。这类攻击利用已经获得的合法用户的凭证(如指纹、密码等)进行非法访问,而不需要重新进行身份验证。因此,选项A“重用、重放、重演(replay)”是正确的答案。其他选项如暴力攻击、解密、假装、模仿与题目描述的场景不符。
44、A公司计划升级现有的所有PC机,使其用户可以使用指纹识别登录系统,访问关键数据。实施时需要()。
A、所有受信的PC机用户履行的登记、注册手续(或称为:初始化手续)
B、完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险)
C、在指纹识别的基础上增加口令保护
D、保护非授权用户不可能访问到关键数据
解析:【喵呜刷题小喵解析】:实施指纹识别登录系统时,需要所有受信的PC机用户履行登记、注册手续(或称为:初始化手续)。这是因为指纹识别系统需要收集用户的指纹信息,并将其与用户的账户关联起来,以便在登录时进行比对验证。因此,选项A是正确的。选项B“完全避免失误接受的风险”虽然重要,但不是实施时的必要步骤,因为任何身份验证系统都存在一定的误识别风险,只能通过不断的技术改进和验证策略优化来降低风险,但不能完全避免。选项C“在指纹识别的基础上增加口令保护”虽然可以增加系统的安全性,但不是实施时的必要步骤。指纹识别系统本身已经是一种身份验证方式,增加口令保护会增加用户的操作复杂性,并且可能降低用户体验。选项D“保护非授权用户不可能访问到关键数据”是实施后的目标,而不是实施时的必要步骤。实施时只需要确保系统能够正确验证授权用户的身份,并允许其访问关键数据。保护非授权用户访问关键数据是系统实施后的安全策略,而不是实施时的具体步骤。
45、《信息技术安全技术信息安全治理》对应的国际标准号为()。
A、ISO/IEC27011
B、ISO/IEC27012
C、ISO/IEC27013
D、ISO/IEC27014
解析:【喵呜刷题小喵解析】:《信息技术安全技术信息安全治理》对应的国际标准号为ISO/IEC27014。这是根据题目给出的选项进行匹配的结果。因此,正确答案为D。
46、审核方案是指()。
A、对一次审核活动和安排的描述
B、针对特定时间段所策戏划拼具有特定目的的一组(一次或多次)审核
C、对“查什么”和“怎么查”的策划
D、以上都不对
解析:【喵呜刷题小喵解析】:审核方案是指针对特定时间段所策划的具有特定目的的一组(一次或多次)审核。它是对审核活动的整体规划和安排,明确了审核的目的、范围、时间、方法等要素。因此,选项B“针对特定时间段所策划的具有特定目的的一组(一次或多次)审核”是正确的。选项A“对一次审核活动和安排的描述”过于狭隘,只涉及一次审核,而审核方案可能包括多次审核;选项C“对“查什么”和“怎么查”的策划”虽然涉及了审核的内容和方法,但不够全面;选项D“以上都不对”显然是不正确的。
47、按照《信息安全等级保护管理办法》的规定,信息系统的安全保护等级可以分为()级,其中第()级发生时,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。
A、一,二
B、二,三
C、五、四
D、五,六
解析:【喵呜刷题小喵解析】:《信息安全等级保护管理办法》规定,信息系统的安全保护等级可以分为五个级别,从第一级到第五级依次增加保护强度。其中,第五级发生信息系统破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。因此,选项C“五、四”是错误的,选项A“一,二”、选项B“二,三”和选项D“五,六”也均不符合规定。所以正确答案为C。
48、内联网(Intranet)可以建立在一个组织的内部网络上,也可以建立在互联网(Internet)上,下面哪项针对内联网的控制在安全上是最弱的?()
A、用加密的通道传输数据
B、安装加密路由器
C、安装加密防火墙
D、对私有WWW服务器实现口令控制
解析:【喵呜刷题小喵解析】:内联网(Intranet)通常是一个组织内部的网络,用于内部通信和资源共享。为了保障内联网的安全,需要采取一系列控制措施。A选项“用加密的通道传输数据”可以确保数据在传输过程中不被窃取或篡改,增强了数据的安全性。B选项“安装加密路由器”可以提供加密的网关,确保内外网之间的通信安全。C选项“安装加密防火墙”可以过滤内外网之间的通信,只允许符合安全策略的数据包通过,增强了网络的安全性。而D选项“对私有WWW服务器实现口令控制”虽然可以限制对服务器的访问,但如果口令过于简单或容易被猜测,仍然存在安全风险。此外,如果口令被泄露,攻击者可能能够轻易地访问服务器。因此,从安全角度来看,D选项“对私有WWW服务器实现口令控制”可能是最弱的控制措施。
49、下列哪个选项不属于审核组长的职责?()
A、确定审核的需要和目的
B、组织编制现场审核有关的工作文件
C、主持首末次会议和审核组会议
D、代表审核方与受审核方领导进行沟通
解析:【喵呜刷题小喵解析】:根据审核组长的职责,其主要负责审核的组织和协调,确保审核的顺利进行。选项A“确定审核的需要和目的”通常是审核委托方或审核机构的任务,而不是审核组长的职责。因此,选项A不属于审核组长的职责。选项B“组织编制现场审核有关的工作文件”是审核组长需要组织的工作之一,以确保审核的顺利进行。选项C“主持首末次会议和审核组会议”是审核组长需要主持的重要会议,以确保审核组内部的沟通和协调。选项D“代表审核方与受审核方领导进行沟通”是审核组长需要与受审核方领导进行的重要沟通,以确保审核的顺利进行。因此,正确答案是A。
50、依据《中华人民共和国网络安全法》,以下说法不正确的是()。
A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息
B、属于个人信息自然人的身份证号码、电话号码属于个人信息
C、自然人的姓名、住址不属于个人信息
D、自然人的出生日期属于个人信息
解析:【喵呜刷题小喵解析】:《中华人民共和国网络安全法》规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、个人电话等。因此,自然人的姓名、住址和电话号码都属于个人信息,而自然人的身份证号码和出生日期也属于个人信息。所以,选项C“自然人的姓名、住址不属于个人信息”是不正确的说法。
二、多选题
51、针对敏感应用系统安全,以下正确的做法是()。
A、用户尝试登陆失败时,明确提示其用户名错误或口令错误
B、登陆之后,不活动超过规定时间强制使其退出登录
C、对于修改系统核心业务运行数据的豫作限定操作时间
D、对于数据库系统审计人员开放不限时权限
解析:【喵呜刷题小喵解析】:针对敏感应用系统安全,我们来分析每一个选项:A. 用户尝试登陆失败时,明确提示其用户名错误或口令错误这个选项涉及到用户身份验证的失败反馈。虽然明确提示用户名或口令错误有助于用户了解问题所在,但这样的提示可能泄露了部分信息,如用户确实存在于系统中,只是密码错误。在敏感应用系统中,这样的提示可能增加被攻击者利用的风险。因此,A选项不是最佳实践。B. 登陆之后,不活动超过规定时间强制使其退出登录这个选项涉及到用户会话管理。强制用户在一定时间内保持活动,否则自动退出登录,有助于减少未授权访问的风险。这是敏感应用系统中常见的安全实践。C. 对于修改系统核心业务运行数据的豫作限定操作时间这个选项涉及到数据操作的时间限制。限定操作时间可以减少数据被误操作或恶意篡改的风险。这也是敏感应用系统中常见的安全实践。D. 对于数据库系统审计人员开放不限时权限这个选项涉及到权限管理。为审计人员开放不限时权限可能增加数据泄露或误操作的风险。在敏感应用系统中,应该根据实际需求为审计人员分配合适的、受限制的权限。因此,D选项不是最佳实践。综上所述,正确的选项是B和C。
52、GB/T22080-2016/ISO/IEC27001:2013标准中A12.3.1条款要求()。
A、设定备份策略
B、定期测试备份介质
C、定期备份
D、定期测试信息和软件
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016/ISO/IEC27001:2013标准中A12.3.1条款,要求组织“应建立、实施和维护一个备份和恢复策略,包括定期测试备份介质、恢复过程和备份数据的有效性”。其中,A选项“设定备份策略”是建立备份和恢复策略的一部分,B选项“定期测试备份介质”是确保备份介质的有效性,D选项“定期测试信息和软件”与“定期测试备份介质”有相似之处,可能指的是定期测试备份的数据或软件,以确保其可用性和完整性。C选项“定期备份”虽然与备份策略相关,但并未明确在A12.3.1条款中提及。因此,正确答案为A、B和D。
53、不同组织的ISMS文件的详略程度取决于()。
A、文件编写人员的态度和能力
B、组织的规模和活动的类型
C、人员的能力
D、管理系统的复杂程度
解析:【喵呜刷题小喵解析】:ISMS文件(信息安全管理体系文件)的详略程度通常取决于多个因素。根据题目选项,我们可以分析如下:A. 文件编写人员的态度和能力:虽然编写人员的态度和能力可能会影响文件的质量,但它并不是决定文件详略程度的直接因素。详略程度更多地与组织本身的情况有关。B. 组织的规模和活动的类型:组织的规模和活动的类型会直接影响需要管理的信息安全范围和复杂性。例如,大型企业或活动类型复杂(如涉及多个地区或涉及高度敏感信息)的组织可能需要更详细的ISMS文件来确保信息安全。C. 人员的能力:人员的能力,特别是信息安全管理人员的能力,可能会影响ISMS文件的详略程度。如果人员具备足够的专业知识,他们可能能够更准确地评估组织的需要,从而制定更合适的文件。D. 管理系统的复杂程度:管理系统的复杂程度也会影响ISMS文件的详略程度。如果系统复杂,需要更多的细节和规定来确保信息安全。综上所述,不同组织的ISMS文件的详略程度主要取决于组织的规模和活动的类型、人员的能力以及管理系统的复杂程度。因此,答案选项B、C和D是正确的。
54、防范内部人员破坏的做法有()。
A、严格访问控制管理
B、完善的管理措施
C、内部审计制度
D、适度的安全防范措施
解析:【喵呜刷题小喵解析】:防范内部人员破坏需要采取一系列措施。首先,严格访问控制管理是非常重要的,它确保只有授权的人员能够访问敏感信息或执行关键操作。其次,完善的管理措施能够确保内部人员遵循规定和程序,减少人为错误和不当行为。最后,内部审计制度可以定期审查内部操作,发现潜在的安全隐患,并及时采取纠正措施。适度的安全防范措施虽然重要,但在此题目中并未明确提及为防范内部人员破坏的具体做法,因此不选D。
55、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块,我方便各项目组讨论,公司创建了一个share folder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹。以下做法正确的是()。
A、各项目人员访问该share folder需要得到授权
B、获得share folder访问权者可访问该目录下所有子文件夹
C、IT人员与各项目负责人共同定期评审share folder访问权
D、IT人员不定期删除share folder数据以释放容量,此活动是容量管理,游戏开发人员不参与
解析:【喵呜刷题小喵解析】:对于选项A,考虑到share folder中存储的是公司的重要游戏场景和任务的基础要素模块,这些数据可能包含公司的商业机密或敏感信息。因此,为了确保数据的安全性和完整性,各项目人员访问该share folder需要得到授权,这是合理的。对于选项B,虽然获得share folder访问权者可以访问该文件夹,但题目中明确指出share folder下还有项目数据子文件夹,这些子文件夹可能对应不同的客户或项目。因此,仅仅获得share folder的访问权并不意味着可以访问所有子文件夹,还需要针对每个子文件夹进行授权。所以,选项B是不正确的。对于选项C,IT人员与各项目负责人共同定期评审share folder访问权,这是一个很好的做法。定期评审可以确保只有授权的人员可以访问share folder及其子文件夹,从而保护公司的数据安全。对于选项D,IT人员不定期删除share folder数据以释放容量,虽然这确实是一种容量管理的方式,但题目中并没有提到删除数据是否得到了游戏开发人员的同意或是否通知了相关人员。因此,不能简单地认为这是一种容量管理活动,游戏开发人员不参与。所以,选项D是不正确的。
56、下列哪些选项是ISMS第一阶段审核的目的?()
A、获取对组织信息安全管理体系的了解和认识
B、了解客户组织的审核准备状况
C、为计划二阶段审核提供重点
D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求
解析:【喵呜刷题小喵解析】:ISMS第一阶段审核的主要目的是获取对组织信息安全管理体系的了解和认识,了解客户组织的审核准备状况,并为计划二阶段审核提供重点。因此,选项A、B和C是正确的。选项D描述的是二阶段审核的目的,即确认组织的信息安全管理体系符合标准或规范性文件的所有要求,因此不正确。
57、对于涉密信息系统,以下说法正确的是()。
A、使用的信息安全保密产品原则上应当选用国产产品
B、使用的信息安全保密产品应当通过国家保密局授权的检测机构的检测
C、使用的信息安全保密产品应从由国家保密局审核发布的目录中选取
D、总体保护水平应不低于国家信息安全等级保护第四级水平
解析:【喵呜刷题小喵解析】:根据《涉及国家秘密的计算机信息系统保密管理要求》,涉密信息系统的信息安全保密产品应当选用符合国家保密标准的国产产品,并且这些产品应当通过国家保密局授权的检测机构的检测,从由国家保密局审核发布的目录中选取。因此,选项A、B和C都是正确的。而选项D中的“总体保护水平应不低于国家信息安全等级保护第四级水平”并不是针对涉密信息系统的明确要求,所以选项D是错误的。
58、风险处置的可选措施包括()。
A、风险识别
B、风险分析
C、风险转移
D、风险减缓
解析:【喵呜刷题小喵解析】:题目要求列出风险处置的可选措施。风险处置通常包括风险转移和风险减缓两种策略。风险转移是将风险从一个实体转移到另一个实体,例如通过保险或合同将风险转移给第三方。风险减缓则是通过采取措施来降低风险的可能性或影响,例如改进安全措施或增加备份系统。因此,正确答案是风险转移和风险减缓,即选项C和D。选项A风险识别是风险管理的第一步,涉及识别和记录潜在的风险,但不属于风险处置措施。选项B风险分析是对风险进行定量或定性评估的过程,也不属于风险处置措施。
59、信息安全体系文件应包含()。
A、风险评估报告
B、风险处置计划
C、服务目录
D、适用性声明
解析:【喵呜刷题小喵解析】:信息安全体系文件是组织为确保信息安全而制定的一系列文件,其中包括风险评估报告、风险处置计划以及适用性声明。风险评估报告用于识别和评估潜在的信息安全风险,风险处置计划则提供了针对这些风险的应对措施,而适用性声明则说明了信息安全体系文件适用于哪些组织、系统和业务。因此,选项A、B和D都是信息安全体系文件应包含的内容。而选项C“服务目录”并不直接属于信息安全体系文件的范畴,故不选。
60、在设计和平应用安全区域工作规程时,宜考虑()。
A、基于“须知”原则,员工宜仅规定安全区的存在或其中的活动
B、为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作
C、使用的安全区域宜上锁并定期予以评审
D、经授权,不宜允许携带摄影、视频或其他记录设备,例如移动设备中的相机
解析:【喵呜刷题小喵解析】:在设计和平应用安全区域工作规程时,需要考虑的因素包括员工对安全区的认知以及安全区内的活动监督。选项A提到基于“须知”原则,员工宜仅规定安全区的存在或其中的活动。这意味着在设计规程时,应确保员工明确知道安全区的存在,并了解他们在安全区内的活动范围。选项B提到为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作。这强调了在工作规程中,需要对安全区内的活动进行适当的监督,以减少潜在的安全风险或恶意行为。因此,这两个选项都是设计安全区域工作规程时应考虑的重要因素。
61、降低系统失效风险的措施包括( )。
A、监视资源的使用,做出对于未来系统容量要求的预测
B、在系统开发中使用密码猎施来保护信息的策略
C、在系统投入运行前,进行验收
D、对系统进行备份
解析:【喵呜刷题小喵解析】:降低系统失效风险是一个综合性的工作,需要多个方面的措施来共同实现。选项A“监视资源的使用,做出对于未来系统容量要求的预测”是对于系统容量和资源的管理措施,可以及时发现并预测未来可能出现的资源瓶颈,从而提前进行规划和调整,降低系统失效的风险。选项B“在系统开发中使用密码策略来保护信息的策略”是对于信息安全的管理措施,通过密码策略保护系统的信息安全,避免信息被非法获取或篡改,从而降低系统失效的风险。选项C“在系统投入运行前,进行验收”是对于系统质量的控制措施,通过验收可以发现系统存在的问题并及时修复,从而确保系统的稳定性和可靠性,降低系统失效的风险。选项D“对系统进行备份”是对于系统灾难恢复的管理措施,通过备份可以在系统出现故障时快速恢复,从而降低系统失效对业务的影响。综上所述,降低系统失效风险的措施包括监视资源的使用,做出对于未来系统容量要求的预测;在系统开发中使用密码策略来保护信息的策略;在系统投入运行前,进行验收;对系统进行备份。因此,选项A、B、C、D都是正确的。
62、下列哪些措施可以实现和保持对组织资产的适当保护?()
A、形成重要资产清单,并加以维护
B、购买相同设备类型中价值最高的产品
C、确定所有资产的责任人
D、制定合乎公司要求的资产使用规则
解析:【喵呜刷题小喵解析】对于组织资产的适当保护,需要采取一系列有效的措施。首先,形成重要资产清单并加以维护,这是确保资产得到准确记录和追踪的关键步骤。其次,确定所有资产的责任人,明确每个人对特定资产的责任,有助于确保资产得到妥善管理和保护。最后,制定合乎公司要求的资产使用规则,规定资产的使用方式、维护要求以及报废标准等,有助于确保资产得到合理、高效的使用,并减少不必要的损失和浪费。至于选项B,购买相同设备类型中价值最高的产品,虽然可能提高单个资产的价值,但并不直接涉及对组织资产的适当保护。高价值的产品可能更容易受到损害或被盗,因此,单纯的购买高价值产品并不足以确保资产的安全。此外,高价值产品可能并不适合所有组织的需求和预算,因此,这一措施并不是普遍适用的。
63、在规划如何达到信息安全目标时,组织应确定()。
A、要做什么,需要什么资源
B、由谁负责,什么时候完成
C、完成的目标是什么
D、如何评价结果
解析:【喵呜刷题小喵解析】:在规划如何达到信息安全目标时,组织需要明确以下几个关键方面:A. 要做什么,需要什么资源:这涉及到确定具体的安全措施和策略,以及为实现这些措施所需的资源,如人力、物力、财力等。B. 由谁负责,什么时候完成:这涉及到明确责任分配和时间表,确保信息安全工作有明确的负责人和完成期限。C. 完成的目标是什么:虽然题目中未提及,但通常规划信息安全目标时,组织会明确具体的安全目标,如达到某一安全等级、防止特定类型的攻击等。但根据题目给出的选项,这个部分并未在选项中列出。D. 如何评价结果:这涉及到确定如何评价信息安全工作的效果,包括评估标准、评估周期和评估方法等。因此,根据题目给出的选项,组织在规划如何达到信息安全目标时,应确定的是A、B和D三个选项。但题目给出的答案中只包含了ABD,可能是答案在编辑过程中出现了错误,正确答案应该只有A和D。
64、审核计划中应涵盖()。
A、本次及其后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的日程安排
解析:【喵呜刷题小喵解析】:审核计划是用于规划和管理审核过程的重要文件,其应包含与审核相关的关键信息。从提供的选项来看:A选项“本次及其后续审核的时间安排”虽然是审核计划中可能涉及的一个方面,但仅是一个具体的时间表,而非审核计划的核心内容。B选项“审核准则”是审核计划中必须明确的内容,它规定了审核的依据和标准。C选项“审核组成员及分工”是审核计划中的关键部分,明确了审核团队的组成和各自的任务。D选项“审核的日程安排”是审核计划中的另一个重要方面,它详细规划了审核的日程和流程。综上所述,审核计划应涵盖B、C、D三个选项,即审核准则、审核组成员及分工和审核的日程安排。因此,正确答案为BCD。
65、信息安全的特有审核原则有()。
A、保密性
B、独立性
C、基于风险
D、基于证据的方法
解析:【喵呜刷题小喵解析】:信息安全特有审核原则主要包括保密性和基于风险。保密性是指确保信息不被未经授权的人员获取和使用,这是信息安全的核心原则之一。基于风险则意味着在信息安全审核中,应基于潜在的安全风险来评估系统的安全性和可靠性,确保系统能够抵御潜在的安全威胁。选项B独立性并不是信息安全特有的审核原则,选项D基于证据的方法也不是信息安全特有的审核原则,因此,答案选A和C。
66、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是()。
A、与N签署协议规定服务级别及安全要求
B、在对N公司人员服务时,接入M公司的移动电脑事前进行安全扫描
C、将多张核心机房门禁卡统一登记在N公司项目组组长名下,由其按需发给进入机房的N公司人员使用
D、对N公司带入带出机房的电脑进行检查登记,硬盘和U盘不在此检查登记范围内
解析:【喵呜刷题小喵解析】:A选项:与N签署协议规定服务级别及安全要求。这一做法符合GB/T22080-2016标准的要求,因为该标准强调外包服务中的服务级别和安全要求应在合同中明确规定。B选项:在对N公司人员服务时,接入M公司的移动电脑事前进行安全扫描。这也是符合标准的做法,因为对外部设备进行安全扫描是确保信息系统安全的重要措施。C选项:将多张核心机房门禁卡统一登记在N公司项目组组长名下,由其按需发给进入机房的N公司人员使用。这一做法存在安全隐患,因为门禁卡的管理权被过度集中,可能导致未经授权的人员进入机房。D选项:对N公司带入带出机房的电脑进行检查登记,硬盘和U盘不在此检查登记范围内。这一做法不符合标准,因为硬盘和U盘等存储设备可能携带恶意软件或敏感信息,应进行检查和登记以确保安全。综上所述,符合GB/T22080-2016标准要求的做法是A和B。
67、以下说法正确的是()。
A、认证审核的委托方即受审核方
B、受审核方是第一方审核的委托方
C、受审核方的行政上级作为委托方时是第二方审核
D、组织对其外包服务提供方的审核是第二方审核
解析:【喵呜刷题小喵解析】根据题目,我们需要分析每个选项的正确性。A选项提到“认证审核的委托方即受审核方”,这是不正确的。认证审核通常是由独立的第三方机构进行的,委托方和受审核方是两个不同的实体。委托方可能是希望获得认证的组织,而受审核方可能是该组织本身或其外包服务提供方。B选项指出“受审核方是第一方审核的委托方”,这是正确的。第一方审核是由组织自身进行的,受审核方即组织本身,所以委托方自然也是组织本身。C选项说“受审核方的行政上级作为委托方时是第二方审核”,这并不完全正确。第二方审核是由采购方或其他利益相关方委托进行的,而行政上级并不一定是采购方,所以不能说受审核方的行政上级作为委托方时一定是第二方审核。D选项表示“组织对其外包服务提供方的审核是第二方审核”,这是正确的。第二方审核是由采购方或其他利益相关方进行的,当组织对其外包服务提供方进行审核时,组织作为委托方,外包服务提供方是受审核方,因此这确实是第二方审核。综上所述,正确的选项是B和D。
68、含有敏感信息的设备的处置可采取()。
A、格式化处理
B、采取使原始信息不可获取的技术破坏或删除
C、多次的写覆盖
D、彻底摧毁
解析:【喵呜刷题小喵解析】:根据题目描述,含有敏感信息的设备处置需要确保原始信息无法获取。选项A格式化处理虽然可以清除设备上的信息,但可能不能完全保证敏感信息的彻底删除,因此不够稳妥。选项B采取使原始信息不可获取的技术破坏或删除,可以确保原始信息无法获取,是合适的处置方式。选项C多次的写覆盖也是一种有效的信息清除方式,通过多次覆盖可以确保敏感信息无法恢复。选项D彻底摧毁虽然是最彻底的处置方式,但在某些情况下可能不适用,例如设备需要回收或再利用。因此,选项B、C和D都是正确的处置方式。
69、投诉处理过程应包括()。
A、投诉受理、跟踪和告知
B、投诉初步评审、投诉调查
C、投诉响应、沟通决定
D、投诉终止
解析:【喵呜刷题小喵解析】:投诉处理过程是一个完整的流程,从客户提出问题开始,到最终问题得到解决或得到客户认可结束。其中,投诉受理、跟踪和告知是处理过程的起点,确保客户的问题被接受并记录;投诉初步评审、投诉调查是对问题进行初步评估和调查,了解问题的具体情况;投诉响应、沟通决定是与客户进行沟通,决定是否接受投诉,并给出解决方案;投诉终止是处理过程的终点,表示问题已得到解决或客户已接受处理结果。因此,这四个选项都是投诉处理过程中不可或缺的环节。
70、当规划信息安全管理体系时,组织应考虑相关要求,确定需要应对的风险和机会,以()。
A、确保信息安全管理体系可达到预期结果
B、预防或减少不良影响
C、实施有效控制
D、达到持续改进
解析:【喵呜刷题小喵解析】:在规划信息安全管理体系时,组织需要考虑相关要求,确定需要应对的风险和机会。这涉及到对信息安全管理体系的预期结果、不良影响以及持续改进的考虑。A选项“确保信息安全管理体系可达到预期结果”是规划信息安全管理体系时需要考虑的核心目标,确保体系能够按照预期运行并达到设定的目标。B选项“预防或减少不良影响”意味着组织需要采取措施来预防或减少由于信息安全问题可能带来的不良影响,这是信息安全管理体系的重要组成部分。D选项“达到持续改进”意味着组织需要不断地改进和优化信息安全管理体系,以适应不断变化的信息安全威胁和挑战。C选项“实施有效控制”虽然也是信息安全管理体系的一部分,但在此题目中并未明确提及,因此不应选。综上所述,正确答案为A、B和D。
三、判断题
71、某组织釆用了第三方安全服务公司的漏洞扫描服务,因该安全服务公司较该组织更为专业,因此不必再对该公司的服务进行管理。这不符合GB/T22080-2016/ISO/IEC27001:2013标准的A15.2条款的要求()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:该组织采用了第三方安全服务公司的漏洞扫描服务,但认为因为该公司更为专业,所以不需要对其服务进行管理。然而,根据GB/T22080-2016/ISO/IEC27001:2013标准的A15.2条款,组织应确保外部处理的信息安全,包括选择的服务提供商。这意味着,即使第三方安全服务公司更为专业,组织仍然需要对其服务进行适当的管理和监控,以确保其服务符合组织的信息安全需求。因此,该组织的做法不符合A15.2条款的要求,所以答案是A,即该说法是正确的。
72、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:在《中华人民共和国网络安全法》中,“网络运营者”一词被明确定义为“网络产品和服务提供者”。这一法律文件并未涵盖其他类型的网络所有者和管理者。因此,题目中的说法是不正确的,选项B为正确答案。
73、个人信息包括且限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目中的句子“个人信息包括且限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码()”存在逻辑错误。个人信息包括但不限于上述内容,因此,题目中的“包括且限于”表达不准确。所以,答案为B,即错误。
74、敏感信息通过网络传输时必须加密处理()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:在网络传输中,敏感信息包括个人隐私、商业机密、重要数据等,如果不加密处理,可能会被非法获取并用于不法行为。因此,为了保护这些信息的安全,必须在传输过程中对其进行加密处理。因此,答案为A,即“正确”。
75、某运维团队在生产系统上安装升级包前制定了回退计划,这符合GB/T22080-2016/ISO/IEC27001:2013标准A12.5.1条款的要求()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:根据GB/T22080-2016/ISO/IEC27001:2013标准A12.5.1条款,组织应确保在更改其信息资产时,有适当的回退计划。运维团队在生产系统上安装升级包前制定了回退计划,符合这一标准的要求。因此,选项A“正确”是正确的。
76、某组织将其生产系统中的数据敏感性等级定义为“高”,将存储备份生产系统数据的光盘敏感性标记为“一般”,这不符合GB/T22080-2016/ISO/IEC27001:2013标准A8.2.3条款的要求()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:在GB/T22080-2016/ISO/IEC27001:2013标准A8.2.3条款中,明确规定了对于数据的敏感性等级和存储媒介的敏感性标记应保持一致。如果某组织的生产系统数据敏感性等级被定义为“高”,那么存储备份这些数据的媒介(如光盘)的敏感性标记也应为“高”,而不是“一般”。因此,题目中的描述不符合该标准的要求,所以答案是B,即错误。
77、实习审核员是审核组成员,只进行观察实习,不具体实施审核()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目中提到“实习审核员是审核组成员,只进行观察实习,不具体实施审核”。根据审核工作的常规理解,审核员通常负责具体实施审核工作,包括收集信息、评估证据、提出意见等。而实习审核员作为审核组的成员,虽然可能处于学习或观察阶段,但通常也会参与审核的某些环节,只是可能不承担全部审核任务。因此,题目中的说法“只进行观察实习,不具体实施审核”是不准确的,所以答案是B,即错误。
78、通过域控策略将生产人员组、开发人员组的访问权隔离,可满足GB/T22080-2016/ISO/IEC27001:2013标准A6.1.2条款的职责分离要求()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目询问的是通过域控策略将生产人员组、开发人员组的访问权隔离,是否满足GB/T22080-2016/ISO/IEC27001:2013标准A6.1.2条款的职责分离要求。根据该标准,职责分离要求确保不同职责之间的权限和访问控制得到适当的隔离,以防止潜在的误操作或不当访问。当使用域控策略将生产人员组与开发人员组的访问权隔离时,实际上是在实施一种访问控制机制,以确保不同组别的用户只能访问与其职责相关的资源,而不能访问其他组别的资源。这种隔离措施有助于减少误操作或不当访问的风险,从而满足职责分离的要求。因此,通过域控策略将生产人员组、开发人员组的访问权隔离,确实可以满足GB/T22080-2016/ISO/IEC27001:2013标准A6.1.2条款的职责分离要求,所以答案是A。
79、“资产清单”包含与信息生命周期有关的资产,与信息的创建、处理、存储、传输、删除和销毁无关联的资产不在“资产清单”的范围内()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目中的“资产清单”指的是与信息生命周期有关的资产,这意味着它只包含与信息的创建、处理、存储、传输、删除和销毁等过程直接相关的资产。与这些过程无关联的资产自然不在“资产清单”的范围内。因此,选项A“正确”是正确的。
80、某组织申请ISMS认证的范围为“为海关提供数据处理服务”,服务方式为派出人员在海关部门办公场所现场工作。该组织还为其所属集团提供服务器运维服务,这些服务器未列入“资产清单”中,这在认证审核时是可接受的()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目中描述了一个组织申请ISMS认证的范围,该组织主要为海关提供数据处理服务,并在海关部门办公场所现场工作。此外,该组织还为其所属集团提供服务器运维服务,但这些服务器并未列入“资产清单”中。对于ISMS认证,资产清单是一个重要的组成部分,它详细列出了组织需要保护的信息资产。如果组织的服务器未列入资产清单中,那么这些服务器可能无法得到充分的安全保护,从而可能导致数据泄露、系统崩溃等风险。因此,在认证审核时,如果组织的服务器未列入资产清单中,这是不可接受的。所以,题目中的描述“这在认证审核时是可接受的”是错误的,答案选择B。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
