一、单选题
1、依据GBT22080/ISO/IEC27001,制定信息安全管理体系方针,应予以考虑的输入是()。
A、业务战略
B、法律法规要求
C、合同要求
D、以上全部
解析:【喵呜刷题小喵解析】:根据GBT22080/ISO/IEC27001标准,制定信息安全管理体系方针时,应予以考虑的输入包括业务战略、法律法规要求和合同要求。因此,选项D“以上全部”是正确的答案。
2、信息安全中的可用性是指()。
A、根据授权实体的要求可访问和利用的特性
B、信息不能被未授权的个人,实体或者过程利用或知悉的特性
C、保护资产的准确和完整的特性
D、反应失误真是情况的程度
解析:【喵呜刷题小喵解析】:信息安全中的可用性是指根据授权实体的要求可访问和利用的特性。可用性是指系统或信息在需要时能够被授权用户访问和使用的程度,即信息或服务能够在需要时被获取和使用。这与未授权的个人、实体或过程无关,也不涉及信息的准确性和完整性,更不是反应失误真是情况的程度。因此,正确答案是A。
3、依据GBT22080/ISO/IEC27001,以下符合责任分割原则的是()。
A、某数据中心机房运维工程师权某负责制定机房访问控制策略,为方便巡检,登录门禁系统为自己配置了各个机房的不限时门禁权限。
B、A公司由信息安全官(CIO)负责制定访问控制策略,为信息系统管理员的登录权限授权时,由另外5位副总到场分别输入自己的口令然后完成授权。
C、A公司制定了访问权限列表,信息系统权限分配为:董事长拥有全部权限,某次为副总,再某次为主管经理,依次类推,运维工程师因职务最低,故拥有最少权限。
D、以上均符合责任分割原则。
解析:【喵呜刷题小喵解析】根据GBT22080/ISO/IEC27001标准,责任分割原则要求将信息资产的管理责任分配给不同的个人或团队,以避免单一个体拥有过多的权力。A选项中,运维工程师权某为自己配置了各个机房的不限时门禁权限,这可能导致权某拥有过多的门禁权限,不符合责任分割原则。B选项中,信息安全官(CIO)负责制定访问控制策略,而授权过程需要另外5位副总到场分别输入自己的口令,这符合责任分割原则,因为多个个体共同决策,降低了单一个体拥有过多权力的风险。C选项中,虽然制定了访问权限列表,但董事长拥有全部权限,这可能使得董事长拥有过多的权力,不符合责任分割原则。D选项中,没有明确指出哪一个选项符合或不符合责任分割原则,因此不能直接判断。综上所述,符合责任分割原则的是B选项。
4、依据GB/T22080/IS0/IEC27001,建立资产清单即()。
A、列明信息生命周期内关联到的资产,明确其对组织业务的关键性。
B、完整采用组织的固定资产台账,同时指定资产负责人。
C、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
D、A+B
解析:【喵呜刷题小喵解析】:在GB/T22080/IS0/IEC27001中,建立资产清单的主要目的是列明信息生命周期内关联到的资产,明确其对组织业务的关键性。这是资产管理的核心,有助于组织了解和控制其资产,确保信息安全和合规性。选项B提到的固定资产台账虽然与资产有关,但并不是建立资产清单的主要目的。选项C将资产的重要性和价格挂钩,这是不准确的,因为资产的重要性不仅取决于其价格,还取决于其在组织业务中的关键性。选项D将A和B的选项合并,但这不是建立资产清单的正确方法。因此,正确答案是A。
5、为信息系统用户注册时,以下正确的是()。
A、按用户的职能或业务角色设定访问权
B、组共享用户ID按组任务的最大权限注册
C、预设固定用户ID并留有冗余,以保障可用性
D、避免频繁变更用户访问权
解析:【喵呜刷题小喵解析】在为用户注册信息系统时,确保访问权限的适当和合理分配至关重要。根据提供的选项:A. 按用户的职能或业务角色设定访问权 - 这是一个合理的做法,因为它确保每个用户根据其职责或业务角色获得适当的访问权限,从而增加了系统的安全性和效率。B. 组共享用户ID按组任务的最大权限注册 - 这可能导致权限过大,因为整个组可能拥有超出其实际需要的权限,增加了误操作或不当访问的风险。C. 预设固定用户ID并留有冗余,以保障可用性 - 这种做法可能会导致资源的浪费和安全性问题,因为过多的冗余ID可能会成为潜在的安全隐患。D. 避免频繁变更用户访问权 - 这确实是一个重要的考虑因素,但并不能直接关联到用户注册时的正确做法,它更多的是关于访问权限管理的长期策略。因此,选项A "按用户的职能或业务角色设定访问权" 是最合适的。
6、信息分类方案的目的是()。
A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘。
B、划分信息载体所属的职能以便于明确管理责任。
C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则。
D、划分信息的数据类型如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析。
解析:【喵呜刷题小喵解析】:信息分类方案的目的是划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则。这是因为不同的信息对于组织的业务有不同的重要性和敏感性,需要采取不同的存储、处理和处置措施。例如,一些信息可能需要高度保密,需要采取严格的安全措施;而另一些信息可能只需要普通的存储和处理方式。因此,通过信息分类方案,可以明确不同信息的存储、处理和处置原则,从而更好地保护组织的利益。其他选项如划分信息载体的不同介质、划分信息载体所属的职能、划分信息的数据类型等,虽然也是信息管理中需要考虑的因素,但并不是信息分类方案的主要目的。
7、以下做法不正确的是()。
A、保贸者矗危信息的介质的处置记录
B、将大量含有信息的介质汇集在一起时提高其总体敏感性等级
C、将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略
D、依据风险评估的结果将维修更换下来的磁盘交第三方按双方约定的程序进行处置
解析:【喵呜刷题小喵解析】:选项A“保贸者矗危信息的介质的处置记录”是正确的,因为对于敏感信息的介质,确实需要妥善记录其处置情况,确保信息安全。选项B“将大量含有信息的介质汇集在一起时提高其总体敏感性等级”也是正确的,因为将大量敏感介质汇集在一起时,其总体敏感性等级确实会提高,需要采取更严格的保护措施。选项C“将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略”是不正确的。这是因为已经使用过的复印纸可能包含敏感信息,如果随意分配给各部门复用,可能会泄露机密信息,带来安全隐患。选项D“依据风险评估的结果将维修更换下来的磁盘交第三方按双方约定的程序进行处置”是正确的,因为维修更换下来的磁盘可能包含敏感信息,需要依据风险评估的结果,交给第三方按照约定的程序进行安全处置。
8、保密性是指()。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护信息准确和完整的特性
D、以上都不对
解析:【喵呜刷题小喵解析】:保密性是指信息不被未授权的个人、实体或过程利用或知悉的特性。这是信息安全领域中的一个重要概念,旨在确保信息仅被授权的人员或实体访问和使用,防止未经授权的人员获取或泄露敏感信息。因此,选项B“信息不被未授权的个人、实体或过程利用或知悉的特性”是保密性的定义。其他选项与保密性的定义不符,所以答案为B。
9、在建立信息安全管理体系时所用的风险评估方法必须()。
A、遵循风险评估的国际标准
B、使用定性的方法
C、使用定量的方法
D、选用能够产生可比较和可再现结果的方法
解析:【喵呜刷题小喵解析】:在建立信息安全管理体系时,风险评估方法的选择非常重要。我们需要确保所选方法能够产生可比较和可再现的结果,这样我们才能够准确地评估信息安全风险,并采取相应的措施来降低这些风险。因此,选项D“选用能够产生可比较和可再现结果的方法”是正确的选择。其他选项,如遵循风险评估的国际标准、使用定性的方法或定量的方法,虽然可能在某些情况下有用,但不一定能够确保评估结果的准确性和可比较性。
10、关于网络服务的访问控制策略,以下正确的是()。
A、没有陈述为禁止访问的网络服务,视为允许访问的网络服务。
B、对于允许访问的网络服务,默认可通过无线、VPN等多种手段链接
C、对于允许访问的网络服务,按照规定的授权机制进行授权
D、以上都对
解析:【喵呜刷题小喵解析】在网络服务的访问控制策略中,选项C "对于允许访问的网络服务,按照规定的授权机制进行授权" 是正确的。访问控制策略的目的就是为了确保只有被授权的用户才能访问网络服务。如果没有明确的授权机制,就无法确定哪些用户可以访问哪些网络服务,这可能会导致安全漏洞。因此,对于允许访问的网络服务,必须按照规定的授权机制进行授权,以确保网络的安全性。选项A "没有陈述为禁止访问的网络服务,视为允许访问的网络服务" 并不完全正确。虽然这是一个常见的原则,但它并不是访问控制策略的核心。访问控制策略的核心是确定哪些用户可以访问哪些网络服务,而不是默认允许所有未明确禁止的访问。选项B "对于允许访问的网络服务,默认可通过无线、VPN等多种手段链接" 也不完全正确。虽然无线和VPN等连接方式可以提供访问网络服务的手段,但这并不是访问控制策略的核心。访问控制策略的核心是确定哪些用户可以通过哪些手段访问哪些网络服务。选项D "以上都对" 显然是不正确的,因为选项A和B都存在问题。因此,正确答案是选项C。
11、关于特权访问,以下说法正确的是()。
A、特权访问用户通常须包含顾客
B、特权访问用户必须包含最高管理者
C、特权访问用户的访问权限最大权限原则的应用
D、特殊访问权应与其职能角色一致
解析:【喵呜刷题小喵解析】:特权访问用户通常指的是拥有特殊权限的用户,这些权限可能超过普通用户的权限。特权访问用户的选择和权限分配应该与其职能角色一致,以确保系统的安全性和稳定性。因此,选项D“特殊访问权应与其职能角色一致”是正确的。选项A“特权访问用户通常须包含顾客”不正确,因为顾客通常不是特权访问用户,他们可能只拥有普通用户的权限。选项B“特权访问用户必须包含最高管理者”也不正确,特权访问用户可能包括多个角色,而不仅仅是最高管理者。选项C“特权访问用户的访问权限最大权限原则的应用”没有给出具体的解释或上下文,因此无法判断其正确性。
12、描述组织釆取适当的控制措施的文档是()。
A、管理手册
B、适用性声明
C、风险处置计划
D、风险评估程序
解析:【喵呜刷题小喵解析】:根据题目描述,我们需要找到描述组织采取适当控制措施的文档。选项A管理手册通常包含组织的政策和程序,但它并不特指控制措施。选项C风险处置计划描述了如何响应和处理特定风险,但它并不是描述控制措施本身的文档。选项D风险评估程序描述了如何评估风险,但它也不直接描述控制措施。而选项B适用性声明通常描述控制措施如何适用于特定的环境或业务活动,因此,它最符合题目描述组织采取适当控制措施的文档的要求。因此,正确答案是B适用性声明。
13、管理者应()。
A、制定ISMS方针
B、制定ISMS目标和计划
C、实施ISMS内部审核
D、确保ISMS管理评审的执行
解析:【喵呜刷题小喵解析】:ISMS是信息安全管理体系(Information Security Management System)的缩写。在信息安全管理体系中,制定ISMS方针是管理者的首要任务。ISMS方针是组织信息安全管理的总体方向和原则,它明确了组织对信息安全的承诺和期望,并为信息安全管理体系的建立、实施和改进提供了指导。因此,管理者应制定ISMS方针,以确保组织信息安全管理体系的有效运行。选项A“制定ISMS方针”是正确答案。选项B“制定ISMS目标和计划”虽然也是ISMS中重要的一环,但它并不是管理者的首要任务,而是根据ISMS方针来制定的。选项C“实施ISMS内部审核”和选项D“确保ISMS管理评审的执行”都是ISMS实施和监控阶段的活动,也不是管理者的首要任务。
14、完整性是指()。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护资产准确和完整的特性
D、以上都不对
解析:【喵呜刷题小喵解析】:完整性是指保护资产准确和完整的特性。它确保数据或信息在传输、存储或处理过程中不被篡改或损坏,保持其原始状态。这是信息安全领域中的一个重要概念,对于保护敏感信息、维护系统稳定和数据可靠性至关重要。因此,选项C“保护资产准确和完整的特性”是正确的答案。
15、关于用户访问权,以下做法正确的是()。
A、用户岗位变更时,其原访问权应终止或撤销
B、抽样进行针对信息系统用户访问权的定期评审
C、组织主动解聘员工时可不必复审员工访问权
D、使用监控系统可替代用户访问权评审
解析:【喵呜刷题小喵解析】:根据题目描述,我们需要判断哪个选项关于用户访问权的做法是正确的。A选项提到,用户岗位变更时,其原访问权应终止或撤销。这是正确的做法,因为当用户的岗位发生变化时,他们可能不再需要访问某些信息系统或数据,因此应该终止或撤销他们的访问权。B选项提到,抽样进行针对信息系统用户访问权的定期评审。虽然定期评审是一个好的做法,但抽样进行可能无法确保所有用户的访问权都得到充分的评审,因此不是最佳实践。C选项提到,组织主动解聘员工时可不必复审员工访问权。这是不正确的,因为当员工被解聘时,他们可能仍然拥有访问某些信息系统或数据的权限,因此应该进行复审以确保他们的访问权被正确终止。D选项提到,使用监控系统可替代用户访问权评审。这也是不正确的,因为监控系统只是用于监视用户的访问行为,而不能替代对访问权的正式评审。综上所述,A选项是正确的做法。
16、关于密码技术和密码产品,以下说法正确的是()。
A、未经批准,禁止出口密码技术和密码产品,但进口不受限
B、未经许可,禁止销售商用密码产品,但自行研发供自行使用不受限
C、未经指定,禁止生产商用密码产品
D、密码技术和密码产品均是国家秘密,须实行专控管理
解析:【喵呜刷题小喵解析】根据《中华人民共和国密码法》的规定,国家采取多种形式支持密码科学研究和技术开发,保护自主创新的密码科研成果,健全统一、开放、竞争、有序的密码科研体系和市场体系。国家鼓励密码从业单位自主选择商用密码标准,支持密码从业单位依法参与制定商用密码国际标准。国家鼓励商用密码从业单位采用商用密码标准,提升产品和服务质量。国家推动商用密码与物联网、人工智能等新技术融合应用,促进商用密码产业高质量发展。对于商用密码产品,未经指定,禁止生产或者进口在境内销售或者在境内使用;商用密码产品应当在显著位置标注商用密码产品型号和密级。因此,选项C“未经指定,禁止生产商用密码产品”是正确的说法。选项A“未经批准,禁止出口密码技术和密码产品,但进口不受限”、选项B“未经许可,禁止销售商用密码产品,但自行研发供自行使用不受限”、选项D“密码技术和密码产品均是国家秘密,须实行专控管理”均不符合上述法律规定。
17、以下属于计算机病毒感染事件的纠正措施的是()。
A、对计算机病毒事件进行响应和处理
B、将感染病毒的计算机从网络隔离
C、对相关责任人进行处罚
D、以上都不对
解析:【喵呜刷题小喵解析】根据题目所描述的内容,选项A、B和C均不符合计算机病毒感染事件的纠正措施。选项A“对计算机病毒事件进行响应和处理”虽然是对病毒事件的一种处理方式,但并不是纠正措施。选项B“将感染病毒的计算机从网络隔离”虽然是一种预防措施,但也不是纠正措施。选项C“对相关责任人进行处罚”更不符合纠正措施的定义。因此,选项D“以上都不对”是正确答案,表明前面给出的选项都不是计算机病毒感染事件的纠正措施。纠正措施应该是针对已发生的事件进行修正和补救,而题目中的选项并未体现这一点。
18、物理安全周边的安全设置应考虑()。
A、区域内信息和资产的敏感性分类
B、重点考虑计算机机房,不是苏公区或其他功能区
C、入侵探测和报警机榈
D、A+C
解析:【喵呜刷题小喵解析】:根据题目描述,我们需要考虑物理安全周边的安全设置。选项A提到“区域内信息和资产的敏感性分类”,这涉及到对信息和资产的安全级别进行划分,是物理安全设置的一部分,但不是全部。选项B“重点考虑计算机机房,不是苏公区或其他功能区”似乎存在笔误或信息错误,因为“苏公区”并不是一个常见的术语,可能是输入错误。选项C“入侵探测和报警机榈”指的是入侵检测和报警系统,是物理安全设置中的重要部分,用于检测和防止未经授权的访问。因此,选项D“A+C”包含了上述两个重要的物理安全设置要素,是最全面的选择。所以,正确答案是D。
19、以下哪一项不属于物理入口控制的措施?()
A、仅允许佩戴规定类型工牌的人员进入
B、人门处使用指纹识别系统
C、仅允许穿戴规定防护服的人员进入
D、保安核实来访人员的登记信息
解析:【喵呜刷题小喵解析】:物理入口控制是组织为保护其资产和信息安全而采取的一种措施,通过物理手段限制未经授权的人员进入。选项A“仅允许佩戴规定类型工牌的人员进入”和选项B“人门处使用指纹识别系统”都是物理入口控制的措施,因为它们通过物理手段限制了进入。选项D“保安核实来访人员的登记信息”虽然涉及核实来访人员的信息,但它不是通过物理手段实现的,因此不属于物理入口控制的措施。选项C“仅允许穿戴规定防护服的人员进入”虽然与人员进入有关,但它更像是安全或卫生方面的措施,不属于物理入口控制的范畴。因此,正确答案是C。
20、关于信息安全策略,下列说法正确的是()。
A、信息安全策略可以分为上层策略和下层策略
B、信息安全方针是信息安全策略的上层部分
C、信息安全策略必须在体系建设之初确定并发布
D、信息安全策略需要定期或在重大变化时进行评审
解析:【喵呜刷题小喵解析】:信息安全策略是一个重要的概念,它涉及到如何保护组织的信息资产。对于给出的选项,我们可以逐一分析:A选项提到信息安全策略可以分为上层策略和下层策略。然而,这个选项并没有在题目中明确提及,因此我们不能确定其正确性。B选项说信息安全方针是信息安全策略的上层部分。同样,这个选项也没有在题目中明确提及,所以我们不能确认其准确性。C选项提到信息安全策略必须在体系建设之初确定并发布。虽然在实际操作中,信息安全策略的确需要在体系建设之初进行规划,但题目中并没有明确提到必须在体系建设之初确定并发布,因此这个选项也不能确定为正确。D选项说信息安全策略需要定期或在重大变化时进行评审。这是信息安全策略管理中的一个重要环节,因为随着组织的发展和外部环境的变化,信息安全策略可能需要进行调整。因此,定期或在重大变化时进行评审是确保信息安全策略有效性的关键。综上所述,正确答案是D选项。
21、下列说法不正确的是()。
A、残余风险需要获得风险责任人的批准
B、适用性声明需要包含必要的控制及其选择的合理性说明
C、所有的信息安全活动都必须有记录
D、组织控制下的员工应了解信息安全方针
解析:【喵呜刷题小喵解析】:A选项提到“残余风险需要获得风险责任人的批准”,这是正确的,因为残余风险是指即使采取了控制措施后仍然存在的风险,需要得到相关责任人的审批。B选项提到“适用性声明需要包含必要的控制及其选择的合理性说明”,这也是正确的,适用性声明是对控制措施适用性的声明,其中必须包含对控制措施及其选择的合理性说明。D选项表示“组织控制下的员工应了解信息安全方针”,这也是正确的,因为员工了解信息安全方针是确保信息安全的重要前提。而C选项“所有的信息安全活动都必须有记录”是不正确的。虽然信息安全活动应该尽可能地进行记录,但并不是所有的信息安全活动都需要有记录。有些活动可能由于各种原因(如涉及敏感信息或实时处理等)而不适合或无法进行记录。因此,C选项是不正确的。
22、以下属于安全办公区域控制的措施是()。
A、敏感信息处理设施避免放置在和外部方共用的办公区
B、显著标记“敏感档案存储区,闲人免进”标识牌
C、告知全体员工敏感区域的位置信息,教育员工保护其安全
D、以上都对
解析:【喵呜刷题小喵解析】:本题考查的是安全办公区域控制的措施。A选项“敏感信息处理设施避免放置在和外部方共用的办公区”是安全办公区域控制的措施之一,因为这样可以减少敏感信息被外部方获取的风险。B选项“显著标记‘敏感档案存储区,闲人免进’标识牌”也是安全办公区域控制的措施,通过明显的标识牌可以提醒员工和非授权人员不要进入敏感区域。C选项“告知全体员工敏感区域的位置信息,教育员工保护其安全”同样是安全办公区域控制的措施,通过告知员工敏感区域的位置信息,可以增强员工对敏感信息的保护意识。综上,A、B、C选项均属于安全办公区域控制的措施,故正确答案为D。
23、对于交接区域的信息安全管理,以下说法正确的是()。
A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证
B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证
C、对于进入和离开组织的设备设施均须检查验证
D、对于进入和离开组织的设备设施,验证携带者身份信息,可替代对设备设施的验证
解析:【喵呜刷题小喵解析】:交接区域的信息安全管理,对进入和离开组织的设备设施均须检查验证,这是确保组织信息安全的重要措施。选项A和B都存在偏见,只对一侧的设备设施进行检查,可能带来安全漏洞。而选项D建议验证携带者身份信息,替代对设备设施的验证,这种方法不足以保证设备设施的安全,因为身份信息可能被伪造或盗用。因此,正确答案是C,即对进入和离开组织的设备设施均须检查验证。
24、附录A有()安全域。
A、18个
B、16个
C、15个
D、14个
解析:【喵呜刷题小喵解析】:根据题目,我们需要确定附录A中安全域的数量。根据给出的选项,我们可以逐一考虑:A选项表示有18个安全域,但题目中并没有明确提到这个数量,所以A选项不正确。B选项表示有16个安全域,同样,题目中也没有提到这个数量,所以B选项也不正确。C选项表示有15个安全域,但这也不是题目中给出的答案。D选项表示有14个安全域,这是题目中给出的正确答案。因此,正确答案是D选项,附录A中有14个安全域。
25、文件化信息是指()。
A、组织创建的文件
B、组织拥有的文件
C、组织要求控制和维护的信息及包含该信息的介质
D、对组织有价值的文件
解析:【喵呜刷题小喵解析】本题主要考查对“文件化信息”概念的理解。文件化信息指的是组织创建、使用或保留的,要求控制和维护的,包含该信息的介质。它不仅仅是组织创建或拥有的文件,而是涵盖了所有与组织活动相关的信息及其载体。因此,选项C“组织要求控制和维护的信息及包含该信息的介质”最符合文件化信息的定义。选项A“组织创建的文件”和选项B“组织拥有的文件”都过于片面,只涉及到文件化信息的某一方面,没有涵盖所有内容。选项D“对组织有价值的文件”则没有突出“要求控制和维护的信息及包含该信息的介质”这一点,因此也不是最佳选择。
26、信息安全管理中,支持性基础设施指()。
A、供电、通信设施
B、消防、防雷设施
C、空调及新风系统、水气暖供应系统
D、以上全部
解析:【喵呜刷题小喵解析】:信息安全管理中,支持性基础设施包括供电、通信设施、消防、防雷设施、空调及新风系统、水气暖供应系统等等,这些设施对于信息安全保障有着至关重要的作用。因此,选项D“以上全部”是正确的答案。供电、通信设施、消防、防雷设施等是确保信息安全的基础设施,而空调及新风系统、水气暖供应系统虽然不是直接的安全设施,但它们的正常运行对于保障信息安全环境同样重要。
27、设施维护维修时,应考虑的安全措施包括()。
A、维护维修前,按规定程序处理或清除其中的信息
B、维护维修后,检査是否有未授权的新增功能
C、敏感部件进行物理销毁而不予送修
D、以上全部
解析:【喵呜刷题小喵解析】:在设施维护维修时,为了确保安全,需要考虑多种安全措施。首先,维护维修前,需要按规定程序处理或清除其中的信息,以防止信息泄露或误操作。其次,维护维修后,需要检查是否有未授权的新增功能,确保设施的功能正常且未被篡改。最后,对于敏感部件,应该进行物理销毁而不予送修,以防止敏感信息被非法获取。因此,上述所有的安全措施都是必要的,故答案选D,即以上全部。
28、信息安全管理中,变更管理应予以控制的风险包括()。
A、组织架构、业务流程变更的风险
B、信息系统配置、物理位置变更的风险
C、信息系统新的组件、功能模块发布的风险
D、以上全部
解析:【喵呜刷题小喵解析】在信息安全管理中,变更管理需要予以控制的风险涵盖了多个方面。组织架构和业务流程的变更可能导致原有的安全策略失效或管理失效,增加安全漏洞的风险;信息系统的配置和物理位置的变更可能改变原有的安全环境,使系统更容易受到攻击;而信息系统新的组件或功能模块的发布,如果没有经过严格的安全评估,也可能引入新的安全风险。因此,变更管理应予以控制的风险包括组织架构、业务流程变更的风险,信息系统配置、物理位置变更的风险,以及信息系统新的组件、功能模块发布的风险,即选项D所述“以上全部”。
29、关于容量管理,以下说法不正确的是()。
A、根据业务对系统性能的需求,设置阈值和监视调整机制
B、针对业务关键性,设置资源占用的优先级
C、对于关键业务,通过放宽阈值以避免或减少报警的干扰
D、依据资源使用趋势数据进行容量规划
解析:【喵呜刷题小喵解析】:对于选项C,“对于关键业务,通过放宽阈值以避免或减少报警的干扰”这一说法是不正确的。容量管理的核心目标之一是确保系统性能的稳定和资源的合理分配。如果对于关键业务放宽阈值,可能会导致系统性能下降,资源分配不合理,甚至可能引发报警干扰,影响业务的正常运行。因此,选项C的说法是不正确的。选项A“根据业务对系统性能的需求,设置阈值和监视调整机制”是正确的。这符合容量管理的基本原则,根据业务需求设置合适的阈值,并设置监视和调整机制来确保系统性能。选项B“针对业务关键性,设置资源占用的优先级”也是正确的。在资源有限的情况下,根据业务的关键性设置资源占用的优先级是确保关键业务得到足够资源的重要手段。选项D“依据资源使用趋势数据进行容量规划”是正确的。通过分析资源使用趋势数据,可以更好地预测未来的资源需求,从而进行更加准确和有效的容量规划。
30、信息安全管理体系国际标准族中关于信息安全管理测量的标准是()。
A、ISO/IEC27002
B、ISO/IEC27003
C、ISO/IEC27004
D、ISO/IEC27005
解析:【喵呜刷题小喵解析】:信息安全管理体系国际标准族中关于信息安全管理测量的标准是ISO/IEC27004。该标准提供了信息安全管理测量框架和方法,包括选择、实施和报告信息安全指标的过程。ISO/IEC27002是信息安全管理体系的标准,ISO/IEC27003是信息安全管理体系实施指南,ISO/IEC27005是信息安全管理体系的信息安全风险管理指南。因此,选项C“ISO/IEC27004”是正确的选择。
31、关于防范恶意软件,以下说法正确的是()。
A、备份介质应定期进行恢复测试
B、安装入侵探测系统即可防范恶意软件
C、建立白名单即可范恶意软件
D、备份信息不是管理购乌祥记录,不须规定保存期
解析:【喵呜刷题小喵解析】:A选项提到“备份介质应定期进行恢复测试”,这主要是关于数据备份和恢复的策略,与防范恶意软件没有直接关系。B选项“安装入侵探测系统即可防范恶意软件”过于简化。虽然入侵探测系统可以检测并响应恶意活动,但它并不能完全防范所有类型的恶意软件。C选项“建立白名单即可防范恶意软件”也是片面的。白名单可以限制执行未经授权的程序,但恶意软件可能伪装成合法程序,从而绕过白名单。D选项“备份信息不是管理购乌祥记录,不须规定保存期”中的“购乌祥”似乎是一个拼写错误,应该是“购买”和“记录”。但即使忽略这个错误,该选项的表述也是错误的。备份信息和管理购买记录都是重要的,并且通常都需要规定保存期。因此,正确答案是D选项,但考虑到D选项中的拼写错误,实际上没有一个选项是正确的。如果题目中的D选项表述正确,那么它应该是关于备份信息和管理记录的重要性,与防范恶意软件没有直接关系。(注:由于原始答案中的D选项存在明显的错误,上述解析是基于对原始答案的理解。如果原始答案中的D选项表述正确,那么它实际上与防范恶意软件没有直接关系,因此没有正确答案。)
32、关于备份,以下说法正确的是()。
A、备份介质应定期进行恢复测试
B、如果组织删减了“信息安全连接性”要求,同机备份或备份本地存放时可接受的
C、备份介质的退化是质量管理体系的范畴
D、备份信息不是管理体系运行记录,不须规定保存期
解析:【喵呜刷题小喵解析】A选项:备份介质应定期进行恢复测试。这是正确的,因为定期进行恢复测试可以确保备份介质的完整性和可用性,保证在需要时能够成功恢复数据。B选项:如果组织删减了“信息安全连接性”要求,同机备份或备份本地存放时可接受的。这个选项没有明确的依据支持,且“信息安全连接性”与备份的存储位置没有直接关系,因此B选项不正确。C选项:备份介质的退化是质量管理体系的范畴。备份介质的退化与质量管理体系没有直接关系,它更多的是与数据保护和存储管理相关,因此C选项不正确。D选项:备份信息不是管理体系运行记录,不须规定保存期。备份信息通常是非常重要的管理体系运行记录,因为它们记录了关键的业务数据。这些数据在发生问题时可能需要用于恢复,因此通常需要规定保存期,以确保数据的长期可用性,因此D选项不正确。
33、关于系统运行日志以下说法正确的是()。
A、系统管理员负贵对日态信息进行编辑、保存
B、日志信息文件的保存应纳入容量管理
C、志管理即系统审计日志管理
D、组织的安全策略应决定系统管理员的活动是否有记入日志
解析:【喵呜刷题小喵解析】A选项提到系统管理员负责对日志信息进行编辑、保存,这是不正确的。系统管理员通常负责管理和维护系统,但他们不应该直接编辑或修改日志信息。日志信息应该由系统自动生成,并保存在指定的日志文件中,以确保其完整性和真实性。B选项表示日志信息文件的保存应纳入容量管理,这是正确的。随着系统的运行,日志信息会不断增加,如果不加以管理,可能会消耗大量的存储空间。因此,对日志信息进行适当的容量管理,确保其存储空间不会过度占用,是确保系统正常运行的重要措施。C选项提到日志管理即系统审计日志管理,这是不准确的。日志管理包括系统审计日志管理,但还包括其他类型的日志,如系统运行日志、应用日志等。系统审计日志主要用于记录与安全相关的操作,如用户登录、访问控制等。D选项提到组织的安全策略应决定系统管理员的活动是否有记入日志,这是不准确的。系统管理员的活动应该被记入日志,这是为了确保系统的透明度和可追踪性。组织的安全策略可能会规定哪些活动需要被记录,但系统管理员的活动本身就应该被记录,以确保系统的安全性和稳定性。因此,正确答案是B选项,即日志信息文件的保存应纳入容量管理。
34、A公司为软件开发企业,在建立ISMS时却对附录A的“A14.1.1安全要求分析和说明”进行了删减,删减理由为公司使用的系统为非定制系统,相关风险可以接受()。
A、不合理
B、合理
C、不一定
D、以上都不对
解析:【喵呜刷题小喵解析】:《信息安全管理体系(ISMS)要求》(GB/T 22080-2008/ISO/IEC 27001:2005)附录A中“A14.1.1安全要求分析和说明”明确指出:“组织应确定适用于其活动的安全要求,并说明这些要求是如何得到满足的。”这一条款要求组织对其活动进行安全要求分析,并说明这些要求是如何得到满足的。如果A公司使用的系统为非定制系统,相关风险可以接受,那么公司可能认为这些非定制系统的安全要求已经满足,因此可以省略这一步骤。然而,即使是非定制系统,也可能存在未被识别或未被充分评估的安全风险,因此直接删减这一步骤是不合理的。因此,答案选A“不合理”。
35、文件化信息创建和更新时,下列哪个活动不是必须的?()
A、组织应确保适当的标识和描述
B、组织应确保适当的格式和介质
C、组织应确保适当的对适应性和充分性迸行评审和批准
D、组织应确保适当的访问控制
解析:【喵呜刷题小喵解析】:在文件化信息创建和更新时,选项D“组织应确保适当的访问控制”不是必须的。这是因为适当的访问控制虽然是文件管理的一个重要环节,但并不是文件创建和更新的必要条件。而选项A“组织应确保适当的标识和描述”、选项B“组织应确保适当的格式和介质”和选项C“组织应确保适当的对适应性和充分性进行评审和批准”都是文件创建和更新过程中必要的活动。因此,正确答案是D。
36、在运行系统上安装软件,以下说法不正确的是()。
A、对于复杂的系统应釆取分步部署的策略
B、应在安装前在隔离的环境中完成验收测试
C、应在安装前完成单元测试,随之进行安装然后进行验收测试
D、安装运行后应评审对关键业务应用的影响
解析:【喵呜刷题小喵解析】:在安装软件时,应确保按照正确的步骤和策略进行。选项A提到对于复杂的系统应采取分步部署的策略,这是合理的,因为分步部署可以降低风险并确保系统的稳定性。选项B建议在安装前在隔离的环境中完成验收测试,这也是必要的,因为这样可以确保软件在正式环境中运行之前已经通过了必要的测试。选项D提到安装运行后应评审对关键业务应用的影响,这也是重要的,因为这样可以及时发现并解决可能对关键业务应用造成的问题。然而,选项C提到应在安装前完成单元测试,随之进行安装然后进行验收测试,这是不正确的。单元测试通常是在软件开发阶段进行的,而不是在安装阶段。因此,不正确的说法是C。
37、关于技术脆弱性管理,以下说法正确的是()。
A、技术脆弱性应单独管理,与事件管理没有关联
B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小
C、针对技术脆弱性的补丁安装应按变更管理进行控制
D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关网朦農佳途径
解析:【喵呜刷题小喵解析】:选项A提到技术脆弱性应单独管理,与事件管理没有关联,这是不正确的。技术脆弱性管理和事件管理是两个相互关联的领域,事件管理需要考虑到技术脆弱性的存在,以便在发生事件时采取适当的措施。选项B说了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小,这也是不正确的。公众范围越广,意味着有更多的潜在攻击者可能利用该脆弱性,从而增加组织的风险。选项D提到及时安装针对技术脆弱性的所有补丁是应对脆弱性相关网朦农佳途径,这里的“网朦农佳”可能是输入错误,应该是“网络安全”。即使忽略这个错误,该选项也不完全正确。虽然及时安装补丁是应对脆弱性的重要步骤,但还需要采取其他措施,如配置管理、访问控制等,来确保网络安全。因此,正确答案是选项C,即针对技术脆弱性的补丁安装应按变更管理进行控制。这意味着在安装补丁之前,需要进行适当的评估和测试,以确保补丁不会引入新的问题或风险。
38、信息系统审核()。
A、是发现信息系统脆弱性的手段之一
B、应在系统运行期间进行,以便于准确地发现弱点
C、审核工具在组织内应公开可获取,以便于提升员工的能力
D、只要定期进行,就可以替代内部ISMS审核
解析:【喵呜刷题小喵解析】:信息系统审核是发现信息系统脆弱性的手段之一,因此选项A是正确的。选项B虽然提到了在系统运行期间进行审核,但这并不是审核的主要目的,审核的目的在于发现弱点,而不是仅仅在系统运行期间进行。选项C虽然提到了审核工具在组织内应公开可获取,但这并不是审核的必要条件,审核的关键在于发现弱点,而不是提升员工的能力。选项D提出了定期进行审核可以替代内部ISMS审核的观点,但这并不准确,因为内部ISMS审核和信息系统审核虽然都是对系统进行审核,但审核的侧重点和目的是不同的。因此,正确答案是A。
39、在ISO/IEC27005《信息安全风险管理》中风险管理过程包括确定环境、风险评估、风险处置、()、风险沟通和风险监视和评审。
A、风险接受
B、风险再评估
C、风险保持
D、风险维护
解析:【喵呜刷题小喵解析】:在ISO/IEC27005《信息安全风险管理》中,风险管理过程包括确定环境、风险评估、风险处置、风险接受、风险沟通和风险监视和评审。根据题目给出的选项,风险接受是风险管理过程中的一个环节,因此答案为A。选项B、C、D在题目中均未提及。
40、以下不属于可降低信息传输中的信息安全风险的措施是()。
A、规定使用通信设施的限制规定
B、使用铠甲线缆以及数据加密
C、双路供电以及定期测试备份电机
D、记录物理介质运输全程的交接信息
解析:【喵呜刷题小喵解析】:题目要求找出不属于可降低信息传输中的信息安全风险的措施。A选项“规定使用通信设施的限制规定”是有效的安全措施,有助于控制对通信设施的访问,减少潜在的安全风险。B选项“使用铠甲线缆以及数据加密”同样是有效的安全措施,能够增强数据传输的安全性,降低被截获和破解的风险。D选项“记录物理介质运输全程的交接信息”也是一个安全措施,能够追踪物理介质的安全,降低物理安全风险。而C选项“双路供电以及定期测试备份电机”与信息安全风险的降低没有直接关系。双路供电和定期测试备份电机主要是为了提高系统的可用性和可靠性,与信息安全风险的降低没有直接联系。因此,C选项是不属于可降低信息传输中的信息安全风险的措施。
41、对于可能超越系统和应用控制的实用程序,以下说法正确的是()。
A、实用程序的使用不在审计范围内
B、建立禁止使用的实用程序清单
C、应急响应时需使用的实用程序不需额外授权
D、建立鉴别,授权机制和许可使用的实用程序清单
解析:【喵呜刷题小喵解析】:对于可能超越系统和应用控制的实用程序,建立鉴别,授权机制和许可使用的实用程序清单是正确的做法。这样可以确保实用程序的使用在审计范围内,并且只有经过授权的人员才能使用。同时,对于应急响应时可能使用的实用程序,也需要建立相应的授权和许可机制,以确保其使用符合安全要求。因此,选项D“建立鉴别,授权机制和许可使用的实用程序清单”是正确的。选项A“实用程序的使用不在审计范围内”是错误的,因为实用程序的使用应该受到审计和监控。选项B“建立禁止使用的实用程序清单”虽然是一种安全措施,但并不是直接针对可能超越系统和应用控制的实用程序的。选项C“应急响应时需使用的实用程序不需额外授权”也是错误的,因为即使是应急响应时使用的实用程序,也需要符合安全和授权的要求。
42、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为( )。
A、设备要求和网络要求
B、硬件要求和软件要求
C、物理要求和应用要求
D、技术要求和管理要求
解析:【喵呜刷题小喵解析】在我国信息系统安全等级保护的基本要求中,针对每一级的基本要求分为技术要求和管理要求。这包括了物理安全、网络安全、数据安全等方面的技术要求,以及安全管理、安全管理机构、人员管理等方面的管理要求。因此,正确选项是D。选项A中的设备要求和网络要求、选项B中的硬件要求和软件要求、选项C中的物理要求和应用要求都没有涵盖完整的信息系统安全等级保护基本要求。
43、在风险评估中进行资产的价值估算时,下列哪个不会影响资产的价值()。
A、资产的替代价值
B、资产丧失或损坏的业务影响
C、资产本身的购买价值
D、资产的存放位置
解析:【喵呜刷题小喵解析】:在风险评估中进行资产的价值估算时,资产的替代价值、资产丧失或损坏的业务影响以及资产本身的购买价值都会影响资产的价值。然而,资产的存放位置通常不会直接影响资产的价值。因此,选项D“资产的存放位置”是不会影响资产的价值的因素。
44、A公司进行风险评估后发现公司的无线网络存在大的安全隐惠,为了处置这个风险,公司不再提供无线网络用于办公,这种处置方式属于()。
A、风险接受
B、风险规避
C、风险转移
D、风险减缓
解析:【喵呜刷题小喵解析】风险接受是指企业承担风险带来的后果,而公司不再提供无线网络用于办公,这是主动避免风险,属于风险规避。风险规避是指企业预先设定风险限额,当风险超过限额时,企业便采取回避措施或放弃原有业务,属于主动的风险控制活动。风险转移是指企业以购买保险的方式将风险转移给保险公司承担,而公司不再提供无线网络用于办公并没有涉及保险,因此不属于风险转移。风险减缓是指企业采取措施减少风险或降低风险的影响程度,而公司不再提供无线网络用于办公是主动避免风险,不属于风险减缓。因此,公司不再提供无线网络用于办公的处置方式属于风险规避。
45、密码技术可以保护信息的()。
A、保密性
B、完整性
C、可用性
D、A+B
解析:【喵呜刷题小喵解析】:密码技术是一种保护信息安全的手段,它可以保护信息的保密性和完整性。保密性是指信息不被未经授权的人员获取,而完整性是指信息在传输过程中不被篡改或损坏。因此,选项D“A+B”即保密性和完整性,是密码技术可以保护的信息属性。
46、设置防火墙策略是为了()。
A、进行访问控制
B、进行病毒防范
C、进行邮件内容过滤
D、进行流量控制
解析:【喵呜刷题小喵解析】:设置防火墙策略是为了进行访问控制。防火墙的主要作用就是阻止非法的访问和请求,控制访问权限,防止外部网络中的攻击者未经授权访问内部网络资源,保证内部网络的安全。因此,选项A“进行访问控制”是正确的答案。选项B“进行病毒防范”并不是防火墙的主要功能,病毒防范通常需要通过防病毒软件来实现。选项C“进行邮件内容过滤”和选项D“进行流量控制”虽然也是网络安全中需要考虑的问题,但并不是防火墙策略的主要目的。
47、信息系统开发过程中正确的安全措施是()。
A、通过开发成果物的访问控制确保保密性、完整性可用性
B、开发过程中的成果物仅需考虑保密性保护不需保护完整性和可用性
C、只有完成了集成测试的成果物才需要保护其保密性、完整性和可用性
D、由具体担当开发任务的人员决定其成果物的保密性、完整性和可用性是否需要
解析:【喵呜刷题小喵解析】:在信息系统开发过程中,确保保密性、完整性和可用性是非常重要的安全措施。这些措施不仅适用于开发成果物,还应在整个开发过程中得到实施。因此,选项A“通过开发成果物的访问控制确保保密性、完整性可用性”是正确的选择。选项B只考虑了保密性保护,忽略了完整性和可用性;选项C仅指出完成集成测试的成果物需要保护,而开发过程中其他阶段的成果物则没有提及;选项D提到由具体担当开发任务的人员决定其成果物的保密性、完整性和可用性是否需要,这种决策方式缺乏统一性和标准化,可能导致安全措施的不一致和漏洞。因此,A选项是最符合信息系统开发过程中正确安全措施的选项。
48、对于外部方提供的软件包,以下说法正确的是()。
A、组织的人员可随时对其进行适用性调整
B、应严格限制对软件包的调整以保护软件包的保密性
C、应严格限制对软件包的调整以保护软件包的完整性和可用性
D、以上都不对
解析:【喵呜刷题小喵解析】对于外部方提供的软件包,应严格限制对软件包的调整以保护软件包的完整性和可用性。这是因为软件包可能包含重要的知识产权和敏感信息,对其进行任意调整可能会侵犯他人的权益,并可能导致软件包的功能失效或不稳定。因此,选项C“应严格限制对软件包的调整以保护软件包的完整性和可用性”是正确的。选项A“组织的人员可随时对其进行适用性调整”可能会导致软件包的完整性和可用性受到损害,选项B“应严格限制对软件包的调整以保护软件包的保密性”并没有明确指出软件包的完整性和可用性也需要保护,而选项D“以上都不对”明显是不正确的。
49、不属于第三方服务监视和评审范畴的是()。
A、监视和评审服务级别桃议的符合性
B、监视和评审服务方入员聘用和考核的流程
C、监视和评服务交付遵从协议规定的安全要求的程度
D、监视和评律服务方跟踪处理信息安全事件的能力
解析:【喵呜刷题小喵解析】:第三方服务监视和评审通常关注服务级别协议(SLA)的符合性、服务交付对协议规定的安全要求的遵从程度以及服务方跟踪处理信息安全事件的能力。这些方面都是确保服务质量和安全性的重要环节。而服务方人员聘用和考核的流程,虽然对于服务提供方来说非常重要,但并不属于第三方服务监视和评审的范畴。因此,选项B“监视和评审服务方人员聘用和考核的流程”是不属于第三方服务监视和评审范畴的。
50、息安全事件管理须包括()。
A、事件升级流程
B、事件报告和处理流程以及事件类型的定义
C、事态和脆弱性发现者立即对其进行测试和处理的规则
D、事态和脆弱性监控和审计软件工具
解析:【喵呜刷题小喵解析】本题考察的是信息安全事件管理应包含的内容。A选项“事件升级流程”不是信息安全事件管理的必须部分,升级流程可以包含在事件处理流程中。C选项“事态和脆弱性发现者立即对其进行测试和处理的规则”过于片面,这只是对事态和脆弱性的处理,并未涉及到事件报告、处理等整个流程。D选项“事态和脆弱性监控和审计软件工具”并不是信息安全事件管理的必须部分,而是用于辅助监控和审计的工具。B选项“事件报告和处理流程以及事件类型的定义”涵盖了信息安全事件管理的主要内容,包括事件的报告、处理以及事件的分类和定义,符合题目要求。因此,正确答案是B。
51、国家保密的保密期限应为()。
A、绝密不超过三十年,机密不超过二十年,秘密不超过十年
B、绝密不低于三十年,机密不低于二十年,秘密不低于十年
C、绝密不超过二十五年,机密不超过十五年,秘密不超过五年
D、绝密不低于二十五年,机密不低于十五年,秘密不低于五年
解析:【喵呜刷题小喵解析】:《中华人民共和国保守国家秘密法》第十九条规定,国家秘密的保密期限,除另有规定外,绝密级不超过三十年,机密级不超过二十年,秘密级不超过十年。因此,正确答案为A选项,即“绝密不超过三十年,机密不超过二十年,秘密不超过十年”。
52、关于互联网信息服务,以下说法正确的是()。
A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案
B、非经营性互联网信息服务未取得许可不得进行
C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求
D、经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。
解析:【喵呜刷题小喵解析】根据《中华人民共和国电信条例》规定,经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。从事经营性互联网信息服务,应当符合《中华人民共和国电信条例》规定的要求,取得电信主管部门颁发的经营性互联网信息服务备案编号。非经营性互联网信息服务未取得备案编号不得进行。因此,选项C“从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求”是正确的。选项A“互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案”表述不准确,因为非经营性互联网信息服务也需要在电信主管部门备案。选项B“非经营性互联网信息服务未取得许可不得进行”表述错误,非经营性互联网信息服务不需要取得许可,但需要备案。选项D“经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动”表述错误,经营性互联网信息服务是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。
53、《计算机信息系统安全保护条例》中所称计算机信息系统,是指()。
A、对信息进行采集、加工、存储、传输、检索等处理的人机系统版权所
B、计算机及其相关的设备、设施,不包括软件
C、计算机运算环境的总和,但不含网络
D、一个组织所有计算机的总和,包括未联网的微型计算机
解析:【喵呜刷题小喵解析】:《计算机信息系统安全保护条例》中所称计算机信息系统,是指进行信息采集、加工、存储、传输、检索等处理的人机系统。因此,选项A“对信息进行采集、加工、存储、传输、检索等处理的人机系统”是正确的。选项B“计算机及其相关的设备、设施,不包括软件”和选项C“计算机运算环境的总和,但不含网络”都没有涵盖到计算机信息系统的主要功能,即信息处理。选项D“一个组织所有计算机的总和,包括未联网的微型计算机”虽然提到了计算机,但没有明确说明这些计算机是用于信息处理的。因此,正确答案是A。
54、以下哪个选项不属于审核组长的职责()。
A、确定审核的需要和目的
B、组织编制现场审核有关的工作文件
C、主持首末次会议和审核组会议
D、代表审核方与受审核方领导进行沟通
解析:【喵呜刷题小喵解析】:根据题目描述,我们需要找出不属于审核组长的职责的选项。A选项“确定审核的需要和目的”通常是由审核委托方或审核委托单位来确定的,而不是审核组长。审核组长的主要职责包括组织编制现场审核有关的工作文件、主持首末次会议和审核组会议以及代表审核方与受审核方领导进行沟通。因此,A选项“确定审核的需要和目的”不属于审核组长的职责。
55、审核计划中不包括()。
A、本次及其后续审核的时间安排
B、审核准则
C、审核组城员及分工
D、审核的日程安排
解析:【喵呜刷题小喵解析】:根据题目所给的信息,审核计划应该包含审核准则、审核组成员及分工、审核的日程安排等内容。而选项A“本次及其后续审核的时间安排”并不在审核计划中应该包含的内容里,因此答案为A。所以,选项A“本次及其后续审核的时间安排”是不包括在审核计划中的。
56、审核发现是指()。
A、审核中观察到的事实
B、审核的不符合项
C、审核中收集到的审核证据对照审核准则评价的结果
D、审核中的观察项
解析:【喵呜刷题小喵解析】:审核发现是指审核中收集到的审核证据对照审核准则评价的结果。审核发现是通过收集审核证据,并对照审核准则进行评价,从而得出的结果。A选项“审核中观察到的事实”只是审核过程中观察到的情况,不一定是审核发现;B选项“审核的不符合项”只是审核发现的一种形式,不是审核发现的定义;D选项“审核中的观察项”同样只是审核过程中的观察,不是审核发现。因此,正确答案是C选项。
57、以下哪个选项不是ISMS第一桥段审核的目的()。
A、获取对组织信息安全管理体系的了解和认识
B、了解客户组织的审核准备状态
C、为计划二阶段审核提供重点
D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求
解析:【喵呜刷题小喵解析】ISMS(信息安全管理体系)的第一阶段审核的主要目的是获取对组织信息安全管理体系的了解和认识,了解客户组织的审核准备状态,以及为计划第二阶段审核提供重点。而确认组织的信息安全管理体系符合标准或规范性文件的所有要求,是第二阶段审核的目的。因此,选项D不是ISMS第一阶段审核的目的。
58、以下不属于密钥管理内容的是()。
A、密钥材料复制、转移、更新和确认
B、密钥材料的生成、等级、认证、注销
C、密钥材料的撤销、衍生、销毁,和恢复
D、密钥材料的分发、安装、存储和归档
解析:【喵呜刷题小喵解析】:在密钥管理中,关于密钥材料的操作包括生成、等级、认证、注销、分发、安装、存储和归档,以及撤销、衍生、销毁和恢复。这些操作涵盖了密钥生命周期的各个环节。然而,选项A中的“密钥材料复制、转移、更新和确认”并不属于密钥管理的内容。因此,正确答案是A。
59、灾难备份系统指()。
A、由数据备份系统,备用数据处理系统备用网络系统组成的用于灾难恢复目的的信息系统
B、有UPS、备份电机、冗余供电线路组成的用于灾难恢复目的的支持系统
C、由数据备份系统、备用数据处理系统和备用网络系统组成的用于为灾难恢复目的备份的的系统
D、以上全部
解析:【喵呜刷题小喵解析】:灾难备份系统是由数据备份系统、备用数据处理系统和备用网络系统组成的用于灾难恢复目的的信息系统。因此,选项A的描述是正确的。选项B描述的是UPS、备份电机、冗余供电线路组成的支持系统,这更像是电源备份系统,而不是灾难备份系统。选项C的描述中“用于为灾难恢复目的备份的的系统”存在语法错误,且其描述与选项A重复,因此不正确。选项D虽然包含了所有可能的描述,但灾难备份系统的核心组成部分是数据备份系统、备用数据处理系统和备用网络系统,因此选项D也不正确。
60、信息安全连续性计划应进行测试或演练,目的是()。
A、备份信息系统功能的正确性和性能水平
B、强化人员的安全意识
C、对冗余信息系统进行预防性维护
D、评价连续性计划对于恢复目标的可行性和有效性
解析:【喵呜刷题小喵解析】:信息安全连续性计划应进行测试或演练,目的是评价连续性计划对于恢复目标的可行性和有效性。通过测试或演练,可以评估连续性计划在实际操作中的表现,验证其是否能够有效地恢复信息系统,从而达到预期的恢复目标。因此,选项D“评价连续性计划对于恢复目标的可行性和有效性”是正确答案。其他选项如备份信息系统功能的正确性和性能水平、强化人员的安全意识、对冗余信息系统进行预防性维护虽然也是连续性计划的一部分,但不是测试或演练的主要目的。
61、下列那些事情是审核员不必要做的?()
A、对接触到的客户信息进行保密
B、客观公正的给出审核结论
C、关注客户的喜好
D、尽量使用客户熟悉的表达方式
解析:【喵呜刷题小喵解析】:本题考察的是审核员不必要做的事情。审核员的核心职责是确保审核的公正性和准确性,以及保护客户的信息安全。A选项提到“对接触到的客户信息进行保密”,这是审核员的基本职责之一,他们需要确保客户的信息安全,防止信息泄露,因此A选项是审核员需要做的。B选项提到“客观公正的给出审核结论”,这也是审核员的核心职责,他们需要基于事实和数据,给出客观、公正的审核结论,因此B选项是审核员需要做的。C选项提到“关注客户的喜好”,这并不是审核员的核心职责。审核员的主要任务是进行客观、公正的审核,而不是关注客户的个人喜好。因此,C选项是审核员不必要做的。D选项提到“尽量使用客户熟悉的表达方式”,虽然这有助于与客户更好地沟通,但并不是审核员的核心职责。审核员的主要任务是确保审核的准确性和公正性,而不是关注如何与客户沟通。因此,D选项也是审核员不必要做的。综上所述,选项C和D都是审核员不必要做的事情,但题目只要求选择一个,因此正确答案是C。
62、以下可表达知识产权方面符合GB/T22080要求的是()。
A、禁止安装未列入白名单的软件
B、禁止使用通过互联网下载的免费软件
C、禁止安装未经验证的软件包
D、禁止软件安装超出许可证规定的最大用炉数
解析:【喵呜刷题小喵解析】GB/T22080是关于信息安全管理体系的要求,它涉及了信息安全管理过程中的各个方面,包括物理安全、网络安全、数据安全等。对于给出的选项,我们来一一分析:A. 禁止安装未列入白名单的软件:这个选项更偏向于物理安全或网络安全,而不是直接涉及知识产权。它可能涉及到软件来源的验证,但不一定与知识产权直接相关。B. 禁止使用通过互联网下载的免费软件:这个选项带有一定的偏见,因为免费软件并不等同于非法或侵犯知识产权的软件。很多免费软件是合法且受到版权保护的。C. 禁止安装未经验证的软件包:这个选项与软件来源的验证有关,但同样不直接涉及知识产权。它可能涉及到软件的安全性,但不一定与知识产权直接相关。D. 禁止软件安装超出许可证规定的最大用炉数:这个选项直接与知识产权相关。软件许可证规定了软件的使用范围和使用数量,超出这些规定可能涉及到版权侵权。因此,正确答案是D. 禁止软件安装超出许可证规定的最大用炉数。
63、信息系统的安全保护等级分为()。
A、三级
B、五级
C、四级
D、二级
解析:【喵呜刷题小喵解析】:根据《信息安全等级保护管理办法》的规定,信息系统的安全保护等级分为五级,从低到高依次为:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。因此,信息系统的安全保护等级分为五级,选项B正确。
64、关于涉密信息系统的管理,以下说法不正确的是()。
A、涉密计算机、存储设备不得接入互联网及其他公共信息网络
B、涉密计算机只有采取了适当防护措施才可接入联网
C、涉密信息系统中的安全技术程序和管理程家不得擅自卸载
D、涉密计算机未经安全技术处理不得改作其他用途
解析:【喵呜刷题小喵解析】:根据《涉密信息系统安全保密管理要求》的规定,涉密计算机、存储设备不得接入互联网及其他公共信息网络,因此选项A正确。选项B中“涉密计算机只有采取了适当防护措施才可接入联网”与上述规定相矛盾,故选项B错误。涉密信息系统中的安全技术程序和管理程家不得擅自卸载,故选项C正确。涉密计算机未经安全技术处理不得改作其他用途,故选项D正确。因此,不正确的是B选项。
65、A公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?()
A、机房设备面临被盗的风险
B、机房设备面临受破坏的风险
C、机房设备面临灰尘的风险
D、机房设备面临人员误入的风险
解析:【喵呜刷题小喵解析】题目描述的是A公司的机房有一扇临街的窗户,我们需要找出与这种情况无关的风险。A选项提到机房设备面临被盗的风险,这是合理的,因为临街的窗户可能给不法分子提供了进入机房的机会,从而盗取设备。B选项提到机房设备面临受破坏的风险,这也是可能的,因为临街的窗户可能受到外部因素(如天气、人为破坏等)的影响,导致设备受损。C选项提到机房设备面临灰尘的风险,这也是相关的。临街的窗户可能会让灰尘进入机房,对设备造成损害。D选项提到机房设备面临人员误入的风险,这与临街的窗户关系不大。人员误入通常指的是非授权人员进入机房,而临街的窗户虽然可能给外部人员提供进入的机会,但并不直接导致人员误入。人员误入的风险更多地与机房的门禁系统、标识等安全措施有关。因此,与临街的窗户情况无关的风险是D选项,即机房设备面临人员误入的风险。
66、下列措施中。不能用于防止非授权访问的是()。
A、采取密码技术
B、采用最小授权
C、采用权限复查
D、采用日志记录
解析:【喵呜刷题小喵解析】:在这个问题中,我们需要找出不能用于防止非授权访问的措施。选项A的密码技术是防止非授权访问的常见手段,通过密码保护可以确保只有授权用户能够访问系统。选项B的采用最小授权原则意味着只授予用户完成其任务所需的最小权限,这有助于减少非授权访问的风险。选项C的权限复查是对用户权限的定期检查,确保用户权限的准确性和安全性,也是防止非授权访问的有效手段。而选项D的日志记录主要用于记录系统的操作记录,虽然可以帮助识别非授权访问,但它本身并不能直接防止非授权访问。因此,不能用于防止非授权访问的是选项D,即采用日志记录。
67、于信息安全管理中的“脆弱性”,以下正确的是()。
A、脆弱性是威胁的一种,可以导致信息安全风险
B、网络中“钓鱼”软件的存在,是网络的脆弱性
C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性
D、以上全部
解析:【喵呜刷题小喵解析】这道题目考察的是对信息安全管理中“脆弱性”的理解。A选项提到“脆弱性是威胁的一种,可以导致信息安全风险”。实际上,脆弱性是指系统、产品或服务存在可能被威胁利用,从而导致信息安全风险的问题。但它本身并不是威胁,而是威胁利用的条件。因此,A选项不正确。B选项说“网络中‘钓鱼’软件的存在,是网络的脆弱性”。钓鱼软件是一种威胁,而不是网络的脆弱性。网络的脆弱性通常指的是网络本身存在的可能被攻击者利用的问题,如未打补丁的漏洞、未加密的数据传输等。因此,B选项也不正确。C选项提到“允许使用‘1234’这样容易记忆的口令,是口令管理的脆弱性”。这是正确的。在口令管理中,如果允许使用过于简单或容易猜测的口令,那么就为攻击者提供了利用的机会,从而增加了信息安全风险。因此,C选项是正确的。D选项说“以上全部”,由于A和B选项都是错误的,所以D选项也是错误的。综上所述,正确答案是C选项。
68、残余风险是指()。
A、风险评估前,以往活动遗留的风险
B、风险评估后,对以往活动遗留的风险的估值
C、风险处置后剩余的风险,比可接受风险低
D、风险处置后的剩余的风险,不一定比可接受风险低
解析:【喵呜刷题小喵解析】:残余风险是指风险处置后的剩余的风险,不一定比可接受风险低。在风险评估和处置过程中,尽管已经采取了措施来降低风险,但仍然可能存在未被完全消除的风险,即残余风险。这些残余风险可能仍然高于或低于可接受的风险水平,因此选项D“风险处置后的剩余的风险,不一定比可接受风险低”是正确的。其他选项A、B、C都与残余风险的定义不符。
69、信息安全风险(R)计算中涉及威胁(T)脆弱性(V)资产价值(F)等参数,以下说法正确的是()。
A、R由T、V、F共同决定,并与T、V、F同向增减
B、R由T、V、F共同决定,并与T、V、F同反增减
C、V由T、F共同决定,并与T、F同向增减
D、F由R、V共同决定,并与R、V同向增减
解析:【喵呜刷题小喵解析】:信息安全风险(R)计算中涉及威胁(T)、脆弱性(V)和资产价值(F)等参数。根据信息安全风险的一般模型,风险(R)是由威胁(T)和脆弱性(V)共同决定的,并且与这两者同向增减。资产价值(F)虽然对风险有一定的影响,但并不是决定风险的主要因素。因此,正确选项是A:“R由T、V、F共同决定,并与T、V、F同向增减”。选项B的说法与A相反,不正确;选项C和D中的关系描述也不准确,与风险计算的常规理解不符。
70、关于信息安全管理体系认证,以下说法正确的是()。
A、授予认证决定的实体不宜推翻审核组的正面结论
B、授予认证决定的实体不宜推翻审核组的负面结论
C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核
D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期
解析:【喵呜刷题小喵解析】在信息安全管理体系认证中,审核组会基于客户的ISMS(信息安全管理体系)进行评估,并给出正面或负面的结论。根据审核的准则,授予认证决定的实体(如认证机构)不应轻易推翻审核组的结论,特别是当审核组给出负面结论时。这是因为审核组是基于专业的知识和经验进行评估的,他们的结论应该得到尊重。因此,选项B“授予认证决定的实体不宜推翻审核组的负面结论”是正确的。对于选项A“授予认证决定的实体不宜推翻审核组的正面结论”,虽然在实际操作中,认证机构通常不会随意推翻正面的结论,但这并不是绝对的,因为认证机构有权进行进一步的审核和验证。选项C“认证机构应对客户组织的ISMS至少进行一次完整的内部审核”并不准确。认证机构通常不会直接进行内部审核,而是基于客户组织提供的内部审核报告和其他相关文件进行评估。选项D“认证机构必须遵从客户组织规定的内部审核和管理评审的周期”也不正确。认证机构有自己的审核周期和准则,他们不会完全遵从客户组织的内部审核和管理评审周期。综上所述,正确答案是B。
71、关于《中华人民共和国保密法》,以下说法正确的是()。
A、该法的目的是为了保守国家秘密而定
B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理
C、该法适用于所有组织对其敏感信息的保护
D、国家秘密分为秘密、机密、绝密三级,由组织自注定级、自主保护
解析:【喵呜刷题小喵解析】:《中华人民共和国保密法》的主要目的是保守国家秘密,因此选项A是正确的。关于选项B,该法并不替代以ISO/IEC27001为依据的信息安全管理,因此B是错误的。选项C提到该法适用于所有组织对其敏感信息的保护,但实际上,该法主要适用于国家机关和涉及国家秘密的单位,因此C也是错误的。选项D提到国家秘密分为秘密、机密、绝密三级,并由组织自定级别和自主保护,但实际上,国家秘密的密级和保密期限是由国家保密行政管理部门规定的,因此D也是错误的。因此,正确答案是A。
72、以下哪个场景表明了对保密性的保护?()
A、将含有敏感信息的介质集中在一个地方存放
B、组织安全策略中规定所有的变更必须得到评审、批准和授权
C、针对某一系统服务,用有在通过了指纹验证,才可在允许的时间段使用
D、为计算机机房配备双路供电、PS电源、柴油发动机等多重保障措施
解析:【喵呜刷题小喵解析】本题考察的是保密性的保护。A选项提到“将含有敏感信息的介质集中在一个地方存放”,这更像是物理安全性的措施,用于确保敏感信息介质的安全存储,而不是直接针对保密性的保护。B选项提到“组织安全策略中规定所有的变更必须得到评审、批准和授权”,这是变更管理的策略,主要是为了保证系统的稳定性和安全性,虽然间接地涉及到保密性,但不是直接针对保密性的保护。C选项提到“针对某一系统服务,用有在通过了指纹验证,才可在允许的时间段使用”,这是针对系统访问的控制措施,确保只有授权的人员在允许的时间段内才能访问系统,从而保护系统数据的保密性。D选项提到“为计算机机房配备双路供电、PS电源、柴油发动机等多重保障措施”,这是为了保证计算机机房的电源供应,与保密性保护无直接关系。因此,最符合保密性保护的是C选项。
73、旨在评估信息安全管理体系有效性的标准是()。
A、ISO/IEC27001
B、ISO/IEC27002
C、ISO/IEC27006
D、ISO/IEC27004
解析:【喵呜刷题小喵解析】:评估信息安全管理体系的有效性需要参考相关的标准。在给出的选项中,ISO/IEC27001是一个信息安全管理体系的标准,但它主要关注管理体系的要求,而不是评估其有效性。ISO/IEC27002是一个信息安全控制的标准,它提供了各种控制措施,但同样不直接涉及评估有效性。ISO/IEC27006是关于信息安全管理体系的指南,但它主要提供了一般性的指导,而不是具体的评估标准。而ISO/IEC27004是一个信息安全管理体系的度量方法和指南,它提供了一套方法和标准来评估信息安全管理体系的有效性,因此,选项D“ISO/IEC27004”是正确的。
74、对违反CCAA注册人员行为准则和不满足CCAA相关注册准则要求的注册人员,做出()资格处置决定。
A、撤销、暂停、降级
B、通报、暂停、降级
C、通报、暂停、撤销
D、批评、暂停、降级
解析:【喵呜刷题小喵解析】:根据题目描述,对违反CCAA注册人员行为准则和不满足CCAA相关注册准则要求的注册人员,需要做出某种资格处置决定。在给出的选项中,撤销、暂停、降级是常见的资格处置方式。其中,撤销意味着取消其注册资格,暂停意味着暂时停止其注册资格,降级意味着降低其注册级别。因此,最符合题目要求的选项是“撤销、暂停、降级”,即选项A。其他选项如通报、批评等不符合题目要求的资格处置方式,因此可以排除。
75、关于顾客满意以下说法正确的是()。
A、顾客没有抱怨,表示顾客满意
B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意
C、顾客认为其要求己得到满足,即意味着顾客满意
D、组织认为顾客要求已得到满足,即意味着顾客满意
解析:【喵呜刷题小喵解析】:顾客满意是指顾客对其所购买的产品或服务感到满意,认为其要求已经得到满足。因此,选项C“顾客认为其要求己得到满足,即意味着顾客满意”是正确的。而选项A“顾客没有抱怨,表示顾客满意”并不准确,因为顾客没有抱怨并不代表他们一定满意,可能是因为他们没有注意到任何问题或者选择了忍受问题。选项B“信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意”也不准确,因为即使信息安全事件没有造成实质性的损失,顾客仍然可能感到不满意,因为他们可能感到自己的信息安全受到了威胁。选项D“组织认为顾客要求已得到满足,即意味着顾客满意”同样不准确,因为组织认为顾客要求已得到满足并不代表顾客真的满意,因为顾客和组织对“满足”的定义可能存在差异。因此,正确答案是选项C。
76、关于GB/T22081标准,以下说法正确的是()。
A、提供了选择控制措施的指南,可用作信息安全管理体系认证的依据
B、提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据
C、提供了信息安全风险评估的指南,是ISO/IEC27001的构成部分
D、提供了信息安全风险评估的依据,是实施ISO/IEC27000的支持性标准
解析:【喵呜刷题小喵解析】根据题目给出的选项,我们需要判断哪个选项关于GB/T22081标准的说法是正确的。A选项提到“提供了选择控制措施的指南,可用作信息安全管理体系认证的依据”,但题目中并未明确说明GB/T22081标准可以用作信息安全管理体系认证的依据,因此A选项不正确。B选项说“提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据”,这与题目中的描述是一致的,因为题目中并没有提到GB/T22081标准可以用作信息安全管理体系认证的依据,所以B选项是正确的。C选项提到“提供了信息安全风险评估的指南,是ISO/IEC27001的构成部分”,但题目中并未明确说明GB/T22081标准与ISO/IEC27001的关系,因此C选项不正确。D选项说“提供了信息安全风险评估的依据,是实施ISO/IEC27000的支持性标准”,同样,题目中并没有提到GB/T22081标准与ISO/IEC27000的关系,因此D选项也不正确。综上所述,正确答案是B选项。
77、纠正措施是指()。
A、消除已发现的不符合的措施
B、消除已发现的不符合的原因的措施
C、消除潜在不符合的措施
D、消除潜在不符合的原因的措施
解析:【喵呜刷题小喵解析】:纠正措施的定义是指消除已发现的不符合的原因的措施。它是对问题的根源进行分析,找出问题的原因,并采取有效的措施消除这些原因,以防止问题再次发生。选项A的“消除已发现的不符合的措施”只针对不符合的现象进行消除,而没有解决根本原因,不符合纠正措施的定义。选项C和D涉及“潜在不符合”,而题目要求的是“已发现的不符合”,所以这两个选项也不符合题目要求。因此,正确答案是选项B。
78、计算机信息系统安全专用产品是指()。
A、用于保护计算机信息系统安全的专用硬件和软件品
B、按安全加固要求设计的专用计算机
C、安装了专用安全协议的专用计算机
D、特定用途(如高保密)专用的什算机软件和硬件产品
解析:【喵呜刷题小喵解析】计算机信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。根据题目选项,A选项“用于保护计算机信息系统安全的专用硬件和软件产品”与题目描述相符,因此是正确答案。B、C、D选项都与题目描述不符,因此不是正确答案。
79、关于信息安全产品的使用,以下说法正确的是()。
A、对于所有的信息系统倩息安全产品的核心技术、关键部件须具有我国自主知识产权
B、对于三级以上信息系统,已列入信息安全产品认证目录的,应取得国家信息安全产品认证机构颁发的认证证书
C、对于四级以上信息系统,信息安全产品研制的主要技术人员须无犯罪记录
D、对于四级以上信息系统,信息安全产品研制单位须声明没有故意留有或设置漏洞
解析:【喵呜刷题小喵解析】本题考察的是信息安全产品的使用相关知识。A选项提到“对于所有的信息系统,信息安全产品的核心技术、关键部件须具有我国自主知识产权”。这个说法过于绝对,不是所有信息系统都需要具有我国自主知识产权的核心技术和关键部件,所以A选项错误。B选项提到“对于三级以上信息系统,已列入信息安全产品认证目录的,应取得国家信息安全产品认证机构颁发的认证证书”。这是符合信息安全产品使用规定的,所以B选项正确。C选项提到“对于四级以上信息系统,信息安全产品研制的主要技术人员须无犯罪记录”。这个说法并不准确,信息安全产品研制的主要技术人员无犯罪记录并不是必要条件,所以C选项错误。D选项提到“对于四级以上信息系统,信息安全产品研制单位须声明没有故意留有或设置漏洞”。虽然信息安全产品研制单位应该尽可能避免故意留有或设置漏洞,但声明没有故意留有或设置漏洞并不是必要的条件,所以D选项错误。综上所述,正确答案是B选项。
80、对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由以下部门归口管理()。
A、工业和信息化部
B、公安部
C、信息产业部
D、国家安全部
解析:【喵呜刷题小喵解析】:根据题目描述,对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,应由公安部归口管理。因此,正确答案为B选项,即公安部。其他选项如工业和信息化部、信息产业部和国家安全部与题目描述不符。
二、多选题
81、计算机信息系统的安全保护,应保障()。
A、计算机及相关和配套设备的安全
B、设施(含网络)的安全
C、运行环境的安全
D、计算机功能的正常发挥
解析:【喵呜刷题小喵解析】:计算机信息系统的安全保护是一个综合性的概念,它涉及到多个方面。首先,计算机及相关和配套设备的安全是基础,这些设备是信息系统运行的基础,必须得到保障。其次,设施(含网络)的安全也是至关重要的,因为网络是信息系统的重要组成部分,必须确保网络的安全性和稳定性。运行环境的安全也是不可忽视的,因为运行环境的安全直接影响到信息系统的运行效率和稳定性。最后,计算机功能的正常发挥是信息系统运行的核心,必须得到保障。因此,选项A、B、C和D都是正确的。
82、风险评估过程一般应包括()。
A、风险识别
B、风险分析
C、风险评价
D、风险处置
解析:【喵呜刷题小喵解析】:根据风险评估的常规流程,风险评估过程通常包括风险识别、风险分析和风险评价三个主要步骤。风险识别是确定可能存在的风险来源和类型;风险分析是对识别的风险进行量化评估,包括风险的可能性和影响程度;风险评价则是基于风险分析的结果,对风险进行整体的评价和排序。因此,选项A、B和C都是风险评估过程的一部分。选项D中的风险处置并不属于风险评估过程,而是风险应对的一部分,故不选。
83、信息安全管理体系绩效测量的开发包括()。
A、选择目标和特性
B、确定分析模型
C、确定分析模型测量指标
D、确定决策准则
解析:【喵呜刷题小喵解析】:信息安全管理体系绩效测量的开发是一个系统性的过程,涉及到多个环节。首先,需要确定目标和特性,明确绩效测量的目标和需要测量的特性;其次,需要确定分析模型,选择合适的模型来描述和分析信息安全管理体系的绩效;然后,需要确定分析模型测量指标,即确定用于测量绩效的具体指标;最后,需要确定决策准则,即根据绩效测量结果做出决策的依据和标准。因此,选项A、B、C、D都是信息安全管理体系绩效测量的开发过程中不可或缺的部分。
84、不同组织的ISMS文件的详略程度取决于()。
A、文件编写人员的态度和能力
B、组织的规模和活动的类型
C、人员的能力
D、管理系统的复杂程度
解析:【喵呜刷题小喵解析】:ISMS文件(信息安全管理体系文件)的详略程度通常取决于多个因素。根据题目选项,我们可以分析如下:A. 文件编写人员的态度和能力:虽然编写人员的态度和能力可能会影响文件的质量,但它并不是决定文件详略程度的直接因素。详略程度更多地与组织本身的情况有关。B. 组织的规模和活动的类型:组织的规模和活动的类型会直接影响需要管理的信息安全范围和复杂性。例如,大型企业或活动类型复杂(如涉及多个地区或涉及高度敏感信息)的组织可能需要更详细的ISMS文件来确保信息安全。C. 人员的能力:人员的能力,特别是信息安全管理人员的能力,可能会影响ISMS文件的详略程度。如果人员具备足够的专业知识,他们可能能够更准确地评估组织的需要,从而制定更合适的文件。D. 管理系统的复杂程度:管理系统的复杂程度也会影响ISMS文件的详略程度。如果系统复杂,需要更多的细节和规定来确保信息安全。综上所述,不同组织的ISMS文件的详略程度主要取决于组织的规模和活动的类型、人员的能力以及管理系统的复杂程度。因此,答案选项B、C和D是正确的。
85、关于信息安全管理体质隧祢督审核方案,以下说法正确的是()。
A、必须包含ISMS内审,可不包含管理评审
B、所选择的GB/T22080ISO/IEC27001要素
C、变更所涉及的区域
D、由企业制定的监督方案,须得到认证机构的确认
解析:【喵呜刷题小喵解析】:根据题目描述,我们需要判断关于信息安全管理体质隧祢督审核方案的说法哪个是正确的。A选项提到“必须包含ISMS内审,可不包含管理评审”,这与题目中的信息安全管理体质隧祢督审核方案不符,因为管理评审是信息安全管理体系(ISMS)的一个重要组成部分,它是对体系的整体性能进行评估和审查的过程,所以A选项不正确。B选项提到“所选择的GB/T22080ISO/IEC27001要素”,这符合信息安全管理体质隧祢督审核方案的要求,因为GB/T22080和ISO/IEC27001是信息安全管理体系的国际标准,审核方案需要基于这些标准来选择适当的要素。C选项提到“变更所涉及的区域”,这也是信息安全管理体系审核方案需要考虑的因素,因为变更管理是信息安全管理体系中的一个重要环节,审核方案需要涵盖变更所涉及的区域。D选项提到“由企业制定的监督方案,须得到认证机构的确认”,这虽然是一个合理的建议,但题目中并没有明确提到这一点,所以D选项不正确。综上所述,正确答案是B和C。
86、下属于信息安全管理体系审核的证据是()。
A、信息系统运行监控中心显示的实时资源占用数据
B、信息系统的阈值列表
C、数据恢复测试的日志
D、信息系统漏洞测试分析报告
解析:【喵呜刷题小喵解析】:信息安全管理体系审核是对组织信息安全管理体系的有效性和符合性进行评估的过程,旨在验证组织是否按照预定的信息安全政策和程序实施信息安全管理,并确保信息安全管理体系的有效性和符合性。在审核过程中,审核员需要收集证据来支持其审核结论。A选项“信息系统运行监控中心显示的实时资源占用数据”是信息系统运行监控中心产生的实时数据,这些数据可以反映信息系统的资源使用情况,是信息安全管理体系审核中重要的证据之一。B选项“信息系统的阈值列表”是信息系统安全策略的一部分,它定义了信息系统资源使用的限制和条件,是审核员评估信息系统是否符合安全策略的重要依据。C选项“数据恢复测试的日志”记录了数据恢复测试的过程和结果,审核员可以通过这些数据了解组织的数据恢复能力,是信息安全管理体系审核中的重要证据。D选项“信息系统漏洞测试分析报告”记录了信息系统漏洞测试的过程和结果,审核员可以通过这些数据了解信息系统的安全性,是信息安全管理体系审核中不可或缺的证据。综上所述,A、B、C、D选项都属于信息安全管理体系审核的证据。
87、以下措施可以实现和保持对信息资产的适当保护()。
A、形成重要资产清单,并加以维护
B、购买相同设备类型中价值最高的产品
C、确定所有资产的责任人
D、制定合乎公司要求的资产使用规则
解析:【喵呜刷题小喵解析】:选项A“形成重要资产清单,并加以维护”是确保对信息资产适当保护的重要措施。通过形成资产清单,可以明确知道公司拥有的资产种类和数量,从而进行有针对性的保护和管理。选项C“确定所有资产的责任人”也是保护信息资产的关键。明确责任人有助于确保资产得到适当的维护和保护,出现问题时也能及时找到责任人进行解决。选项D“制定合乎公司要求的资产使用规则”同样重要。规则可以规范员工对资产的使用,防止因不当使用导致的资产损失或信息泄露。而选项B“购买相同设备类型中价值最高的产品”虽然可能提高设备的安全性和性能,但并不一定能够实现和保持对信息资产的适当保护。因为保护信息资产不仅仅取决于设备的价值,还涉及其他方面的管理和操作。因此,该选项不应被选作答案。
88、用以确定审核范围的信息须包括()。
A、适用性声明版本及内容
B、受审核方的业务过程和活动
C、受审核方的业务过程和活动的运行场所
D、受审核方业务过程和活动的组织单元
解析:【喵呜刷题小喵解析】:在审核过程中,确定审核范围的信息非常重要,这涉及到审核的全面性和准确性。根据给出的选项,我们需要明确这些信息涵盖的范围。适用性声明版本及内容可以帮助了解审核的标准和准则;受审核方的业务过程和活动则提供了审核的具体对象;受审核方的业务过程和活动的运行场所则确定了审核发生的地点;受审核方业务过程和活动的组织单元则明确了审核的组织结构。因此,所有这些信息都是确定审核范围所必需的,故选择ABCD。
89、以下属于“信息处理设施”的是()。
A、信息处理系统
B、与信息处理相关的服务
C、与信息处理相关的设备
D、安置信息处理设备的物理场所与设施
解析:【喵呜刷题小喵解析】:信息处理设施是指与信息处理相关的各种设备和物理场所与设施。信息处理系统是一种能够接收、存储、处理、传输和输出信息的系统,属于信息处理设施的一部分。与信息处理相关的服务是为了支持信息处理系统而提供的各种服务,也是信息处理设施的一部分。与信息处理相关的设备包括计算机、打印机、扫描仪等,这些设备是信息处理设施的核心组成部分。安置信息处理设备的物理场所与设施则是为这些设备提供物理空间的场所,也是信息处理设施的重要组成部分。因此,选项A、B、C、D都属于信息处理设施。
90、在未得到授权的前提下,以下属于信息安全“攻击”的是()。
A、盗取、暴露、变更资产的行为
B、破坏、或使资产失去预期功能的行为
C、访问、使用资产的行为
D、监视和获取资产使用状态信息的行为
解析:【喵呜刷题小喵解析】:信息安全“攻击”通常指的是未经授权对信息系统进行的有害行为。根据给出的选项,我们可以逐一分析:A. 盗取、暴露、变更资产的行为 - 这属于对资产的不当操作,未经授权获取、更改或暴露资产,是信息安全攻击的一种。B. 破坏、或使资产失去预期功能的行为 - 这也是一种未经授权对资产的有害行为,导致资产无法正常工作或功能受损。C. 访问、使用资产的行为 - 在未经授权的情况下访问和使用资产,同样属于信息安全攻击。这可能涉及到非法访问敏感信息或未经许可使用系统资源。D. 监视和获取资产使用状态信息的行为 - 未经授权地监视和获取资产的使用状态信息,也属于信息安全攻击的一种。这种行为可能用于窃取敏感信息、监控用户活动或进行其他恶意目的。因此,选项A、B、C和D都属于信息安全“攻击”的行为。
91、为确保员工和合同方理解其职责、并适合其角色,在员工任用之前,必须()。
A、对其进行试用
B、对员工的背景进行适
C、在任用条款和合同中指明安全职责
D、以上都不对
解析:【喵呜刷题小喵解析】:为了确保员工和合同方明确自己的职责并适合其角色,在任用之前,应该明确说明他们的安全职责,这通常是通过在任用条款和合同中明确指出的。此外,对员工的背景进行适当审查也是非常重要的,以确保他们具备履行其职责所需的资格和能力。选项A“对其进行试用”虽然是一个常见的做法,但它并不直接确保员工理解其职责或适合其角色。因此,正确答案是B和C。
92、要将失效的风险降至最小,需要()。
A、监视资源的使用,做出对于未来系统容量要求的预测
B、在系统开发和使用密码措施来保护信息的策略
C、在系统投入运行前,进行验收
D、对系统进行备份
解析:【喵呜刷题小喵解析】:为了将失效的风险降至最小,需要确保系统的正常运行和高效利用资源。选项A提到“监视资源的使用,做出对于未来系统容量要求的预测”。这种做法可以帮助了解系统资源的使用情况,并提前预测未来可能需要的系统容量,从而避免因资源不足或过度分配导致的失效风险。选项C提到“在系统投入运行前,进行验收”。这是一种确保系统在正式运行之前符合预期要求和质量标准的做法,可以减少因系统不符合要求而导致的失效风险。选项B“在系统开发和使用密码措施来保护信息的策略”虽然与信息安全有关,但与降低失效风险不直接相关。选项D“对系统进行备份”虽然可以减少数据丢失的风险,但与降低系统失效风险不直接相关。因此,正确答案是A和C。
93、信息安全管理体系审核应遵循的原则包括()。
A、诚实守信
B、保密性
C、基于风险
D、基于事实的决策方法
解析:【喵呜刷题小喵解析】:信息安全管理体系审核是确保组织信息安全管理体系有效运行和持续改进的重要环节。在审核过程中,需要遵循一系列原则以确保审核的公正性、客观性和有效性。选项A“诚实守信”虽然是一个重要的职业道德原则,但在信息安全管理体系审核中并不是直接相关的原则。审核员应遵守职业道德,但这一选项更偏向于一般性的道德准则。选项B“保密性”是信息安全管理体系审核的核心原则之一。保密性是确保审核过程中获取的敏感信息安全不被泄露,保障组织信息安全的重要保障。选项C“基于风险”是信息安全管理体系审核的基本原则之一。基于风险的审核方法强调对组织面临的信息安全风险的评估和管理,确保审核能够针对组织最关键的信息安全领域进行。选项D“基于事实的决策方法”虽然是一个重要的决策原则,但在信息安全管理体系审核中并不是直接相关的原则。虽然审核员需要基于事实进行决策,但这更偏向于审核过程中的具体操作方法,而不是审核应遵循的基本原则。综上所述,信息安全管理体系审核应遵循的原则包括保密性和基于风险。因此,正确答案为B和C。
94、投诉处理过程应包括()。
A、投诉受理、跟踪和告知
B、投诉初步评审、投诉调査
C、投诉响应、沟通决定
D、投诉终止
解析:【喵呜刷题小喵解析】:投诉处理过程通常包括多个阶段,以确保客户的投诉得到妥善处理和回应。A选项“投诉受理、跟踪和告知”指的是接收客户的投诉,对其进行跟踪,并及时告知客户处理进展。B选项“投诉初步评审、投诉调査”涉及对投诉进行初步评估,并展开调查以了解具体情况。C选项“投诉响应、沟通决定”是在调查基础上,与客户进行沟通,并做出决定以解决问题。D选项“投诉终止”表示投诉处理过程的结束,确保问题得到解决或得到妥善的回应。因此,这四个选项都是投诉处理过程中不可或缺的部分。
95、风险评估过程中威胁的分类一般应包括()。
A、软硬件故障、物理环境影响
B、无作为或操作失误、管理不到位、越权或滥用
C、网络攻击、物理攻击
D、泄密、篡改、抵赖
解析:【喵呜刷题小喵解析】:风险评估过程中威胁的分类通常包括多种可能的风险来源。在给出的选项中,A选项“软硬件故障、物理环境影响”涵盖了技术层面的威胁;B选项“无作为或操作失误、管理不到位、越权或滥用”涉及了人为操作和管理层面的威胁;C选项“网络攻击、物理攻击”则是对系统的直接攻击;D选项“泄密、篡改、抵赖”则涉及到信息安全和数据完整性的威胁。因此,这四个选项都全面地涵盖了风险评估过程中可能面临的威胁分类。
96、关于审核方案,以下说法正确的是()。
A、审核方案是审核计划的一种
B、审核方案可包括一段时期内各种类型的审核
C、审核方案即年度内部审核计划
D、审核方案是审核计划的输入
解析:【喵呜刷题小喵解析】:A选项:审核方案是审核计划的一种。这个说法是不准确的。审核方案是对审核计划的一种描述或规划,它通常包含审核的目的、范围、频次、方法等,但并非审核计划的一种。B选项:审核方案可包括一段时期内各种类型的审核。这个说法是正确的。审核方案可以涵盖一段时间内各种类型的审核,包括内部审核、外部审核、过程审核等。C选项:审核方案即年度内部审核计划。这个说法是不准确的。审核方案是一个更广泛的概念,可以包括不同类型的审核,而不仅仅是年度内部审核计划。D选项:审核方案是审核计划的输入。这个说法是正确的。审核方案为审核计划提供了必要的信息和指导,是制定审核计划的重要依据。因此,正确答案为BD。
97、以下说法正确的是()。
A、认证审核的委托方即受审核方
B、受审核方是第一方审核的委托方
C、受审核方的行政上级作为委托方是第二方审核
D、组织对其外包服务提供方的审核时二方审核
解析:【喵呜刷题小喵解析】:A选项错误,认证审核的委托方并不一定是受审核方,认证审核通常是由独立的第三方机构进行,他们接受委托方的委托,对受审核方进行审核。B选项正确,受审核方是第一方审核的委托方。第一方审核通常是由组织内部进行的审核,受审核方作为被审核的对象,同时也是审核的发起方,因此他们是第一方审核的委托方。C选项错误,受审核方的行政上级作为委托方并不是第二方审核。第二方审核是由与受审核方有某种关系(如供需关系)的外部组织或机构进行的审核,这种关系通常不是行政上的上下级关系。D选项正确,组织对其外包服务提供方的审核时二方审核。在这种情况下,组织作为委托方,委托独立的第三方机构对其外包服务提供方进行审核,以确保服务提供方符合组织的要求和标准。
98、关于“不可否认性”,以下说法正确的是()。
A、数字签名是实现“不可否认性”的有效技术手段
B、身份认证是实现“不可否认性”的重要环节
C、数字时间戳是“不可否认性”的关键属性
D、具有证实一个声称的事态或行为的发生熒弟金的能力即不可否认性
解析:【喵呜刷题小喵解析】:根据给出的题目选项,我们需要对关于“不可否认性”的相关知识点进行分析。A选项提到“数字签名是实现‘不可否认性’的有效技术手段”。数字签名是一种确保数据完整性和验证数据来源的技术,它可以确保发送者不能否认发送了消息,接收者也不能否认接收了消息,因此是实现“不可否认性”的有效技术手段。B选项提到“身份认证是实现‘不可否认性’的重要环节”。身份认证是确认用户身份的过程,通过身份认证可以确认用户身份的真实性和合法性,从而确保用户不能否认自己的行为,因此是实现“不可否认性”的重要环节。C选项提到“数字时间戳是‘不可否认性’的关键属性”。数字时间戳是一种技术,用于记录数据或事件的创建或修改时间,它确保了数据或事件的时间戳不能被篡改,从而确保了数据的完整性和真实性,是“不可否认性”的关键属性。D选项提到“具有证实一个声称的事态或行为的发生熒弟金的能力即不可否认性”。这实际上是对“不可否认性”的定义,它指的是能够证实一个声称的事态或行为的发生,从而确保双方不能否认自己的行为和声称。综上所述,A、B、C、D选项都是关于“不可否认性”的正确说法。
99、关于“信息安全连续性”,以下正确的做法包括()。
A、人员、设备、设施、场所等的利
B、定期或实时进行数据备份
C、考虑业务关键性确辱顺序和目标
D、有保障信息安全连电以平的过程和程序文件
解析:【喵呜刷题小喵解析】:信息安全连续性是指确保信息系统在遭受攻击或故障时能够持续运行,保持业务连续性。为了保障信息安全连续性,需要采取一系列措施。A选项提到“人员、设备、设施、场所等的利”,这里可能存在笔误,应该是“人员、设备、设施、场所等的利用和管理”,确保这些资源得到合理、安全的使用,这是保障信息安全连续性的基础。B选项“定期或实时进行数据备份”是确保数据安全的关键措施,能够在数据丢失时快速恢复。C选项“考虑业务关键性确辱顺序和目标”意味着要根据业务的重要性来确定系统的优先级和保护措施,确保关键业务不受影响。D选项“有保障信息安全连电以平的过程和程序文件”存在笔误,应该是“有保障信息安全连续性的过程和程序文件”,这些文件和流程可以指导如何应对各种安全事件,确保信息安全连续性。综上所述,选项A、B、C和D都是保障信息安全连续性的正确做法,但选项A和D存在笔误,实际内容应该是关于资源利用、数据备份、业务关键性考虑以及过程和程序文件的描述。
100、不符合项报告应包括()。
A、不符合事实的描述
B、不符合的标准条款及内容
C、不符合的原因
D、不符合的性质
解析:【喵呜刷题小喵解析】:
不符合项报告通常用于描述和记录审核或检查过程中发现的不符合标准或规定的情况。在描述不符合项时,报告应包含以下内容:
A 不符合事实的描述:这是不符合项的核心内容,描述了实际发现的问题或情况。
B 不符合的标准条款及内容:这是对于不符合项所依据的标准或规定的引用,明确指出是哪些条款或内容不符合。
D 不符合的性质:这是对不符合项性质的描述,例如严重性、偶然性或系统性等。
而C 不符合的原因通常不是不符合项报告的核心内容,原因的分析和解释可以在报告的其他部分进行。因此,C选项不符合题目要求。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
