一、单选题
1、关于信息安全管理体系认证,以下说法正确的是()。
A、认证决定人员不宜推翻审核组的正面结论
B、认证决定人员不宜推翻审核组的负面结论
C、认证决定人员宜与审核组长协商做出以证决定
D、认证决定人员宜与受审核方协商做出认证决定
解析:【喵呜刷题小喵解析】:信息安全管理体系认证的核心是确保受审核方的信息安全管理体系符合相关的标准或要求。审核组在进行审核后,会给出审核结论,无论是正面还是负面。认证决定人员在此基础上进行认证决定。对于审核组的负面结论,认证决定人员不宜推翻,因为这涉及到对受审核方信息安全管理体系的客观评价。因此,选项B“认证决定人员不宜推翻审核组的负面结论”是正确的。而选项A“认证决定人员不宜推翻审核组的正面结论”与这一逻辑不符,因为正面结论通常表示受审核方表现良好,没有需要特别推翻的情况。选项C和D中的“宜与审核组长协商”和“宜与受审核方协商”也与信息安全管理体系认证的基本逻辑不符,因为认证决定人员是根据审核组的结论进行独立决策的。
2、根据GB/T 29246标准,保密性是指( )。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护信息准确和完整的特性
D、保证信息不被其他人使用
解析:【喵呜刷题小喵解析】:保密性是指信息不被未授权的个人、实体或过程利用或知悉的特性。根据GB/T 29246标准,这是保密性的定义。其他选项与保密性的定义不符。A选项“根据授权实体的要求可访问的特性”是可用性的一种特性;C选项“保护信息准确和完整的特性”是完整性的一种特性;D选项“保证信息不被其他人使用”没有明确“未授权”的前提,因此不是保密性的准确描述。因此,正确答案是B选项。
3、漏洞检测的方法分为()。
A、静态检测
B、动态测试
C、混合检测
D、以上都是
解析:【喵呜刷题小喵解析】:根据题目中的信息,我们需要选择出漏洞检测的方法。静态检测、动态测试和混合检测都是漏洞检测的方法,因此选项D“以上都是”是正确的答案。其他选项A、B、C都是部分正确的,但不足以涵盖所有的检测方法。因此,选项D是最佳答案。
4、我国网络安全等级保护共分几个级别?()
A、7
B、4
C、5
D、6
解析:【喵呜刷题小喵解析】:根据中国的网络安全等级保护制度,网络安全等级保护共分五个级别,从第一级到第五级依次增高。所以,选项C“5”是正确的。其他选项A“7”、B“4”、D“6”都是错误的。
5、下列说法不正确的是()。
A、残余风险需要获得管理者的批准
B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果
C、所有的信息活动都必须有记录
D、管理评审至少每年进行一次
解析:【喵呜刷题小喵解析】题目考查的是关于风险评估和风险控制过程的一些基本原则。A选项表示“残余风险需要获得管理者的批准”。这是正确的,因为在实施控制措施后,可能仍然会存在残余风险,这些风险需要得到管理层的认可,并可能需要进一步的措施来降低。B选项表示“体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果”。这也是正确的,因为体系文件应该能够清晰地展示整个风险评估和风险控制过程,包括所选择的控制措施及其背后的理由。D选项表示“管理评审至少每年进行一次”。这也是正确的,管理评审是评估整个管理体系的有效性、适宜性和充分性的过程,通常建议至少每年进行一次。而C选项“所有的信息活动都必须有记录”是不正确的。虽然记录是信息活动的一部分,但并不是所有的信息活动都必须有记录。有些信息活动可能是口头交流或者非正式的,不一定需要记录。因此,不正确的说法是C选项“所有的信息活动都必须有记录”。
6、对于可能超越系统和应用控制的实用程序,以下说法正确的是()。
A、实用程序的使用不在审计范围内
B、建立禁止使用的实用程序清单
C、应急响应时需使用的实用程序不需额外授权
D、建立鉴别,授权机制和许可使用的实用程序清单
解析:【喵呜刷题小喵解析】:对于可能超越系统和应用控制的实用程序,建立鉴别,授权机制和许可使用的实用程序清单是正确的做法。这样可以确保实用程序的使用在审计范围内,并且只有经过授权的人员才能使用。同时,对于应急响应时可能使用的实用程序,也需要建立相应的授权和许可机制,以确保其使用符合安全要求。因此,选项D“建立鉴别,授权机制和许可使用的实用程序清单”是正确的。选项A“实用程序的使用不在审计范围内”是错误的,因为实用程序的使用应该受到审计和监控。选项B“建立禁止使用的实用程序清单”虽然是一种安全措施,但并不是直接针对可能超越系统和应用控制的实用程序的。选项C“应急响应时需使用的实用程序不需额外授权”也是错误的,因为即使是应急响应时使用的实用程序,也需要符合安全和授权的要求。
7、以下可认定审核范围变更的事项是()。
A、受审核组织增加一个制造场所
B、受审核组织职能单元和人员规模增加
C、受审核组织业务过程增加
D、以上全部
解析:【喵呜刷题小喵解析】审核范围变更是指审核的范围发生了变化,这通常涉及到受审核组织的结构、职能、过程等方面的变化。根据给出的选项,我们来逐一分析:A选项“受审核组织增加一个制造场所”,这涉及到受审核组织的物理结构变化,可能影响到审核的范围。B选项“受审核组织职能单元和人员规模增加”,这涉及到受审核组织的组织和人员变化,同样可能影响到审核的范围。C选项“受审核组织业务过程增加”,这涉及到受审核组织的业务过程变化,审核的范围也会相应地发生变化。D选项“以上全部”,包括了上述三个变化,因此,任何一项的变化都可能引起审核范围的变更。综上所述,A、B、C选项的变化都可能引起审核范围的变更,因此,正确答案是D选项,即“以上全部”。
8、下面是关于计算机病毒的两种论断,经判断()。①计算机病毒也是一种程序,它在某些条件下激活,起干扰破坏作用,并能传染到其他程序中去②计算机病毒只会破坏磁盘上的数据
A、只有①正确
B、只有②正确
C、①②都正确
D、①②都不正确
解析:【喵呜刷题小喵解析】:计算机病毒是一种程序,它在某些条件下激活,起干扰破坏作用,并能传染到其他程序中去。因此,论断①是正确的。而论断②只提到了计算机病毒会破坏磁盘上的数据,没有提到它还能传染到其他程序中去,因此论断②是不完整的。因此,只有论断①是正确的,答案为A。
9、关于可信计算机基,以下说法正确的是()
A、指计算机系统中用作保护装置的硬件、固件、软件等的组合体
B、指配置有可信赖安全防护硬件、软件产品的计算机环境
C、指通过了国家有关安全机构认证的计算机信息系统
D、指通过了国家有关机构评测的计算机基础设施,含硬件、软件的配置
解析:【喵呜刷题小喵解析】可信计算机基(TCB)是计算机系统中用作保护装置的硬件、固件、软件等的组合体。因此,选项A“指计算机系统中用作保护装置的硬件、固件、软件等的组合体”是正确的。选项B“指配置有可信赖安全防护硬件、软件产品的计算机环境”虽然提到了可信赖安全防护硬件和软件,但并未明确指出这是TCB,因此不正确。选项C“指通过了国家有关安全机构认证的计算机信息系统”和选项D“指通过了国家有关机构评测的计算机基础设施,含硬件、软件的配置”都提到了认证和评测,但这并不是TCB的定义,因此也不正确。
10、下列措施中哪一个是用来记录事态并生产证据的?()
A、时钟同步
B、信息备份
C、软件安装限制
D、信息系统审计的控制
解析:【喵呜刷题小喵解析】:题目询问的是哪一个措施是用来记录事态并生产证据的。A选项“时钟同步”主要是用于确保各个系统或设备的时间同步,以便于协调工作和避免时间冲突,但它并不直接记录事态或生产证据。B选项“信息备份”虽然可以保存重要信息,但它主要是为了数据安全,防止数据丢失,并不直接用于记录事态或生产证据。C选项“软件安装限制”是为了确保系统安全,防止恶意软件的安装,但它并不涉及记录事态或生产证据。D选项“信息系统审计的控制”则是一种监控和记录系统活动的方法,它可以记录事态并生产证据,用于审计和调查。因此,正确答案是D选项“信息系统审计的控制”。
11、关于互联网信息服务,以下说法正确的是()。
A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案
B、非经营性互联网信息服务未取得许可不得进行
C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求
D、经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动
解析:【喵呜刷题小喵解析】本题主要考察互联网信息服务的相关法规知识。A选项提到“互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案”,但实际上,《互联网信息服务管理办法》规定的是“互联网信息服务分为经营性和非经营性两类”,并且“从事经营性互联网信息服务,应当获得增值电信业务经营许可证;未经许可或未履行备案手续,不得从事互联网信息服务”。所以A选项错误。B选项提到“非经营性互联网信息服务未取得许可不得进行”,但实际上,《互联网信息服务管理办法》规定的是“非经营性互联网信息服务实行备案制度”,即非经营性互联网信息服务在取得备案后是可以进行的。所以B选项错误。C选项提到“从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求”,这是符合《互联网信息服务管理办法》的规定的,所以C选项正确。D选项提到“经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动”,但实际上,《互联网信息服务管理办法》对经营性互联网信息服务的定义是“通过互联网向上网用户有偿提供信息或者网上服务等经营活动或者其他商业行为”,与D选项不符,所以D选项错误。因此,正确答案是C选项。
12、关于保密性,以下说法正确的是()。
A、规定被授权的个人和实体,同时规定访问时间和访问范围以及访问类型
B、职级越高可访问信息范围越大
C、默认情况下|Ⅱ系统维护人员可以任何类型访问所有信息
D、顾客对信息的访问权按顾客需求而定
解析:【喵呜刷题小喵解析】保密性要求明确被授权的个人和实体,同时规定访问时间和访问范围以及访问类型。这是为了确保只有经过授权的人员在特定的时间和范围内,以特定的方式访问信息,从而保护信息的机密性。因此,选项A“规定被授权的个人和实体,同时规定访问时间和访问范围以及访问类型”是正确的说法。选项B“职级越高可访问信息范围越大”并不符合保密性的原则,因为访问权限应该基于授权,而不是职级。选项C“默认情况下|Ⅱ系统维护人员可以任何类型访问所有信息”也不符合保密性的要求,因为系统维护人员的访问权限应该受到限制。选项D“顾客对信息的访问权按顾客需求而定”同样不符合保密性的原则,因为访问权限应该基于授权,而不是顾客需求。
13、依据GB/Z 20986,信息安全事件的分级为()。
A、特别严重事件、严重事件、一般事件
B、特别重大事件、重大事件、较大事件、一般事件
C、1级、II级、Ⅲ级、IV级、V级
D、严重事件、较严重事件、一般事件
解析:【喵呜刷题小喵解析】信息安全事件的分级依据GB/Z 20986标准,分为特别重大事件、重大事件、较大事件和一般事件。选项A中的“特别严重事件”和选项C中的“1级、II级、Ⅲ级、IV级、V级”以及选项D中的“严重事件、较严重事件”均不是该标准中的分级方式。因此,正确答案为B,即特别重大事件、重大事件、较大事件和一般事件。
14、桌面系统级联状态下,关于上级服务器制定的强制策略,以下说法正确的是()。
A、下级管理员无权修改,不可删除
B、下级管理员无权修改,可以删除
C、下级管理员可以修改,可以删除
D、下级管理员可以修改,不可删除
解析:【喵呜刷题小喵解析】根据题目描述,桌面系统级联状态下,上级服务器制定的强制策略是强制性的,下级管理员无权修改,也不可删除。因此,选项A“下级管理员无权修改,不可删除”是正确的说法。其他选项与题目描述不符。
15、组织选择信息安全风险评估方法,应考虑()。
A、适合于组织的ISMS、已识别的安全要求和法律法规要求
B、只有采用准确性高的概率模型才能得出可信的结果
C、必须采用易学易用的定性评估方法才能提高效率
D、)必须采用国家标准规定的相加法或相乘法
解析:【喵呜刷题小喵解析】:组织在选择信息安全风险评估方法时,应考虑到适合于组织的ISMS(信息安全管理体系)、已识别的安全要求和法律法规要求。这是因为风险评估方法应当与组织的具体情况和需求相匹配,以便准确评估安全风险,并为信息安全管理提供有力支持。而其他选项要么过于强调准确性、易用性或特定的评估方法,可能并不适合所有组织的情况。因此,选择A选项是更合适和全面的。
16、审核计划中不应包括()。
A、本次以及其后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的日程安排
解析:【喵呜刷题小喵解析】:审核计划是审核活动的重要组成部分,它应明确审核的目的、范围、准则、审核组成员及分工以及审核的日程安排等内容。但是,审核计划不应该包括“本次以及其后续审核的时间安排”,因为这涉及到具体的时间点,而审核计划更注重的是整体的时间安排和规划,而不是具体的时间点。因此,选项A不应包括在审核计划中。
17、一家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到的资料没有被修改?()
A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值
B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值
C、电子邮件发送前,用投资顾问商的私钥数字签名邮件
D、电子邮件发送前,用投资顾问商的私钥加密邮件
解析:【喵呜刷题小喵解析】为了保证客户收到的资料没有被修改,应该使用数字签名技术。数字签名技术可以确保邮件的完整性和真实性,防止邮件在传输过程中被篡改。在电子邮件发送前,用投资顾问商的私钥对邮件进行数字签名,接收方可以使用投资顾问商的公钥对签名进行验证,如果签名有效,则说明邮件没有被修改。因此,选项C是正确的。选项A和D使用加密技术,虽然可以保护邮件的机密性,但不能保证邮件的完整性;选项B使用公钥加密邮件的HASH值,但HASH值本身并不能保证邮件的完整性,还需要与原始邮件进行比对。
18、内部审核是为了确定信息安全体系的()。
A、有效性和适宜性
B、适宜性和充分性
C、有效性和符合性
D、适宜性和充分性
解析:【喵呜刷题小喵解析】:内部审核是为了确定信息安全体系的有效性和符合性。有效性是指信息安全体系是否能够实现预期的目标和效果,符合性是指信息安全体系是否符合相关的法律法规、标准和规范的要求。因此,选项C“有效性和符合性”是正确的答案。选项A“有效性和适宜性”中的“适宜性”在此题目中并没有明确提及,选项B“适宜性和充分性”中的“充分性”同样没有明确提及,选项D“适宜性和充分性”中的两个选项在此题目中都没有明确提及,因此都不是正确答案。
19、T面哪一种属于网络上的被动攻击()。
A、消息篡改
B、伪装
C、拒绝服务
D、流量分析
解析:【喵呜刷题小喵解析】:被动攻击是指攻击者通过截获、分析网络上传输的信息来实施攻击,而不是直接对目标进行破坏。选项A消息篡改、选项B伪装和选项C拒绝服务都是主动攻击的方式,它们会直接对目标进行破坏或干扰。而选项D流量分析是被动攻击的一种方式,攻击者通过分析网络上传输的数据流量来获取敏感信息或进行其他恶意活动。因此,正确答案是D。
20、关于“审核发现”,以下说法正确的是()。
A、人审核发现即审核员观察到的事实
B、人审核发现可以表明正面的或负面的结果
C、审核发现即审核组提出的不符合项报告
D、审核发现即审核结论意见
解析:【喵呜刷题小喵解析】题目中要求选出关于“审核发现”的正确说法。A选项提到“人审核发现即审核员观察到的事实”,但“人审核发现”这一表述本身并不准确,应该是“审核发现”。因此A选项不正确。C选项说“审核发现即审核组提出的不符合项报告”,这也不准确。审核发现不仅仅是不符合项报告,还包括其他观察结果和事实。D选项提到“审核发现即审核结论意见”,这同样不准确。审核结论意见是基于审核发现得出的,而不是审核发现本身。因此,B选项“人审核发现可以表明正面的或负面的结果”是正确的。审核发现可以揭示出正面的或负面的情况,从而帮助改进过程或系统。
21、根据ISO/IEC 27000标准,()为组织提供了信息安全管理体系实施指南。
A、ISO/IEC 27013
B、ISO/IEC 27002
C、ISO/IEC 27003
D、ISO/IEC 27007
解析:【喵呜刷题小喵解析】:根据ISO/IEC 27000标准,ISO/IEC 27003为组织提供了信息安全管理体系实施指南。因此,正确答案为C。ISO/IEC 27000是一个信息安全管理体系的标准,它定义了信息安全管理体系的基本原则和概念。而ISO/IEC 27003则是基于ISO/IEC 27000标准的信息安全管理体系实施指南,为组织提供了如何实施信息安全管理体系的具体步骤和指南。因此,选择C选项是正确的。
22、在根据组织规模确定基本申核时问的前提下,下列咖一条属于増加审核时间的要素()。
A、其产品/过程无风险或有低的风险
B、客户的认证准备
C、仅涉及单一的活动过程
D、具有高风险的产品或过程
解析:【喵呜刷题小喵解析】:在根据组织规模确定基本审核时间的前提下,增加审核时间的要素通常与产品或过程的复杂性和风险性有关。选项A提到“其产品/过程无风险或有低的风险”,这实际上暗示了风险较低,因此不太可能需要增加审核时间。选项B“客户的认证准备”虽然可能影响审核的进度,但不一定直接导致审核时间的增加。选项C“仅涉及单一的活动过程”同样暗示了产品或过程的简单性,因此不太可能需要增加审核时间。而选项D“具有高风险的产品或过程”则明确指出了风险性,这通常意味着需要更多的时间来确保审核的准确性和全面性,因此是增加审核时间的要素。因此,正确答案是D。
23、关于中国认证认可相关活动的监督管理机制,以下说法正确的是()。
A、CNCA对CNAS、CCAA、认证机构依法实施监督管理
B、CNCA依法监管CNAS,CNAS依法监管认证机构
C、CCAA依法监管认证机构,CNCA依法监管CNAS
D、CCAA依法监管认证人员,CNAS依法监管认证机构,CNCA依法监管CNAS
解析:【喵呜刷题小喵解析】:根据《中华人民共和国认证认可条例》的规定,国家认证认可监督管理委员会(CNCA)对认证机构、认可机构以及认证培训、咨询机构等相关机构和人员依法实施监督管理。其中,CNAS(中国合格评定国家认可委员会)和CCAA(中国认证认可协会)都是CNCA监管下的机构。因此,选项A“CNCA对CNAS、CCAA、认证机构依法实施监督管理”是正确的说法。选项B、C、D的说法均不符合条例的规定。
24、ISMS标准族中,要求类标准是()。
A、ISO27002
B、ISO27001和ISO27003
C、ISO27002和ISO27006;
D、ISO27001和ISO27006
解析:【喵呜刷题小喵解析】:ISMS标准族中,要求类标准包括ISO27001和ISO27006。ISO27001是信息安全管理体系标准,它提供了一个框架,用于建立、实施、监控、评审和改进信息安全管理体系。ISO27006则是提供关于物理安全控制指南的标准,它提供了关于如何实施物理安全控制的信息,以确保信息资产的安全。因此,选项D“ISO27001和ISO27006”是正确的。
25、信息安全管理中,关于脆弱性,以下说法正确的是:()。
A、组织使用的开源软件不须考虑其技术脆弱性
B、软件开发人员为方便维护留的后门是脆弱性的一种
C、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施
D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会
解析:【喵呜刷题小喵解析】:A选项错误,组织使用的开源软件同样需要考虑其技术脆弱性。开源软件虽然公开源代码,但并不意味着没有安全漏洞或脆弱性。B选项正确,软件开发人员为方便维护留的后门是脆弱性的一种。后门是未经授权访问系统的方法,它们为攻击者提供了机会,因此可以被视为脆弱性。C选项错误,识别资产脆弱性时应考虑资产的固有特性,并包括当前安全控制措施。安全控制措施是组织为减少或消除脆弱性而采取的措施,因此在评估脆弱性时,必须考虑这些控制措施的效果。D选项错误,使信息系统与网络物理隔离虽然可以增加系统的安全性,但不能杜绝其脆弱性被威胁利用的机会。攻击者可能会利用其他途径或方法来访问或利用系统的脆弱性。因此,仅仅物理隔离是不够的,还需要其他安全措施来增强系统的安全性。
26、已获得认证的组织,第二年拟在认证范围上新增加一个场所,针对此情况,以下说法正确的是()。
A、新增场所需实施现场审核,在监督审核人天数基础上加一个人天
B、新增场所需实施现场审核,新增场所按初审计算人天数
C、若组织内审已覆盖该新增场所,监督审核时对组织内审报告进行评审,不必去该新场所现场审核
D、新增场所需实施现场审核,按监督审核计算人天数
解析:【喵呜刷题小喵解析】根据题目描述,已获得认证的组织第二年拟在认证范围上新增加一个场所。对于这种情况,我们需要考虑如何实施现场审核以及审核人天数的计算。选项A提到“新增场所需实施现场审核,在监督审核人天数基础上加一个人天”。这个选项没有明确说明新增场所的审核人天数如何计算,只是简单地提出在监督审核人天数基础上加一个人天,没有明确的依据。选项B提到“新增场所需实施现场审核,新增场所按初审计算人天数”。这个选项将新增场所的审核人天数按照初审来计算,但题目中并没有提到新增场所需要进行初审,因此这个选项也不正确。选项C提到“若组织内审已覆盖该新增场所,监督审核时对组织内审报告进行评审,不必去该新场所现场审核”。这个选项虽然提到了组织内审已经覆盖新增场所,但监督审核时仍然需要对组织内审报告进行评审,并没有明确说明可以免去现场审核,因此这个选项也不正确。选项D提到“新增场所需实施现场审核,按监督审核计算人天数”。这个选项明确指出新增场所需实施现场审核,并且审核人天数按照监督审核来计算。这是符合认证审核的基本要求的,因此这个选项是正确的。综上所述,答案为选项D。
27、依据GB/T 22080-2016/ISO/IEC 27001:2013,以下关于资产清单正确的是()。
A、做好资产分类是其基础
B、采用组织固定资产台账即可
C、无需关注资产产权归属者
D、A+B
解析:【喵呜刷题小喵解析】依据GB/T 22080-2016/ISO/IEC 27001:2013,关于资产清单,做好资产分类是其基础。这是因为资产分类有助于组织了解和管理其资产,包括资产的类型、价值、使用情况和风险等方面。采用组织固定资产台账虽然可以提供一些信息,但可能不足以全面反映组织的资产情况,因此不能仅依赖固定资产台账来建立资产清单。同时,关注资产产权归属者也是重要的,因为不同的产权归属者可能有不同的管理要求和风险。因此,选项A“做好资产分类是其基础”是正确的。选项B“采用组织固定资产台账即可”和选项C“无需关注资产产权归属者”都不符合GB/T 22080-2016/ISO/IEC 27001:2013的要求。选项D“A+B”虽然包含了选项A,但本身并不符合标准的要求。
28、审核抽样时,可以不考虑的因素是()。
A、场所差异
B、管理评审的结果
C、最高管理者
D、内审的结果
解析:【喵呜刷题小喵解析】:在审核抽样时,我们主要关注的是样本的代表性,以确保样本能够反映总体的实际情况。场所差异、管理评审的结果和内审的结果都是与审核抽样相关的因素,它们可能影响抽样的结果和样本的代表性。而最高管理者虽然对审核有决策性的影响,但在抽样过程中,他的个人意见或决策通常不会对样本的选择产生直接影响。因此,最高管理者不是审核抽样时必须考虑的因素。所以,正确答案是C。
29、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()和()。
A、识别可能性和影响
B、识别脆弱性和识别后果
C、识别脆弱性和可能性
D、识别脆弱性和影响
解析:【喵呜刷题小喵解析】:风险识别是风险管理过程的第一步,旨在识别和评估潜在的风险。在风险识别过程中,需要识别以下几个主要方面:资产识别、识别威胁、识别现有控制措施、识别脆弱性和识别后果。选项A的“可能性和影响”只涵盖了“可能性”和“影响”两个方面,选项C的“脆弱性和可能性”同样只涵盖了“脆弱性”和“可能性”两个方面,选项D的“脆弱性和影响”只涵盖了“脆弱性”和“影响”两个方面,均不完整。因此,正确答案是B,即“识别脆弱性和识别后果”。
30、设置防火墙策略是为了()。
A、进行访问控制
B、进行病毒防范
C、进行邮件内容过滤
D、进行流量控制
解析:【喵呜刷题小喵解析】:设置防火墙策略是为了进行访问控制。防火墙的主要作用就是阻止非法的访问和请求,控制访问权限,防止外部网络中的攻击者未经授权访问内部网络资源,保证内部网络的安全。因此,选项A“进行访问控制”是正确的答案。选项B“进行病毒防范”并不是防火墙的主要功能,病毒防范通常需要通过防病毒软件来实现。选项C“进行邮件内容过滤”和选项D“进行流量控制”虽然也是网络安全中需要考虑的问题,但并不是防火墙策略的主要目的。
31、下列哪一种属于网络上的被动攻击()。
A、消息篡改
B、伪装
C、拒绝服务
D、流量分扬
解析:【喵呜刷题小喵解析】:被动攻击是指攻击者通过截获、分析网络上传输的信息来实施攻击,而不是直接对目标系统发起攻击。流量分析是一种被动攻击方式,攻击者通过监听网络上的流量,分析其中的数据内容,从而获取敏感信息或进行其他恶意行为。因此,选项D“流量分析”属于网络上的被动攻击。而选项A“消息篡改”是指攻击者修改网络上传输的消息内容,属于主动攻击;选项B“伪装”是指攻击者假冒合法用户或系统发送消息,也是主动攻击;选项C“拒绝服务”是指攻击者通过发送大量请求或数据包来使目标系统无法正常工作,也是主动攻击。因此,这三个选项都不符合被动攻击的定义。
32、对于较大范围的网络,网络隔离是()。
A、可以降低成本
B、可以降低不同用户组之间非授权访问的风险
C、必须物理离和必须禁止无线网络
D、以上都对
解析:【喵呜刷题小喵解析】:对于较大范围的网络,网络隔离的主要目的是降低不同用户组之间非授权访问的风险。网络隔离可以通过物理隔离、逻辑隔离或两者结合的方式实现,以确保不同用户组之间的访问受到严格控制,从而防止未经授权的数据访问和潜在的安全威胁。因此,选项B“可以降低不同用户组之间非授权访问的风险”是正确的。选项A“可以降低成本”并不是网络隔离的主要目的,选项C“必须物理隔离和必须禁止无线网络”过于绝对,选项D“以上都对”也不准确,因为并非所有选项都是网络隔离的正确描述。
33、根据ISO/IEC 27006标准,认证决定应基于审核报告中()对客户ISMS是否通过认证的建议。
A、审核组
B、观察员
C、认证决定人员
D、审核员
解析:【喵呜刷题小喵解析】:根据ISO/IEC 27006标准,认证决定应基于审核报告中审核组的建议来决定客户ISMS是否通过认证。审核组是负责进行客户ISMS审核的专业团队,他们会根据审核结果给出是否通过认证的建议。因此,选项A“审核组”是正确答案。观察员、认证决定人员和审核员虽然与ISMS认证有关,但都不是基于审核报告中的建议来决定认证结果的。
34、组织应进行安全需求分析,规定对安全控制的要求,当()。
A、组织需建立新的文件系统时
B、组织的原有信息系统扩容或升级时
C、组织向顾客交付软件系统时
D、A+B
解析:【喵呜刷题小喵解析】:题目中要求组织进行安全需求分析,并规定对安全控制的要求。根据给出的选项,我们需要找到符合这一要求的情境。A选项提到“组织需建立新的文件系统时”,这确实是一个可能需要进行安全需求分析的情况,因为新的文件系统可能涉及到新的安全风险,需要相应的安全控制要求。B选项提到“组织的原有信息系统扩容或升级时”,这也是一个可能需要进行安全需求分析的情况。因为扩容或升级可能引入新的安全风险,或者原有的安全控制可能不再适用。C选项提到“组织向顾客交付软件系统时”,虽然向顾客交付软件系统可能需要满足一定的安全要求,但这一选项并不直接涉及到组织自身进行安全需求分析的过程。D选项“A+B”同时包括了建立新的文件系统和组织原有信息系统扩容或升级两种情况,这两种情况都需要进行安全需求分析,并规定相应的安全控制要求。因此,最符合题目要求的选项是D。
35、形成ISMS审核发现时,不需要考虑的是()。
A、所实施控制措施的有效性
B、所实施控制措施的时效性
C、适用性声明的完备性和合理性
D、所实施控制措施与适用性声明的符合性
解析:【喵呜刷题小喵解析】:在形成ISMS(信息安全管理体系)审核发现时,我们主要关注以下几个方面:A. 所实施控制措施的有效性:这是审核发现的核心内容之一,确保控制措施在实际操作中能够产生预期的效果。C. 适用性声明的完备性和合理性:适用性声明是组织对信息安全管理体系的适用性进行声明的文件,其完备性和合理性对于确保信息安全管理体系的适用性至关重要。D. 所实施控制措施与适用性声明的符合性:审核发现应确保所实施的控制措施与适用性声明中描述的内容一致,确保控制措施能够按照适用性声明的要求得到实施。B. 所实施控制措施的时效性:虽然控制措施的实施时间是一个重要的考虑因素,但在形成审核发现时,我们更关注控制措施的有效性、适用性和符合性,而不是其具体的实施时间。审核发现应关注控制措施是否能够有效地实施,以及是否符合适用性声明的要求,而不是其是否在特定的时间点上实施。因此,在形成ISMS审核发现时,不需要考虑的是所实施控制措施的时效性,所以答案为B。
36、()是建立有效的计算机病毒防御体系所需要的技术措施。
A、防火墙、网络入侵检测和防火墙
B、漏洞扫描、网络入侵检测和防火墙
C、漏洞扫描、补丁管理系统和防火墙
D、网络入侵检测、防病毒系统和防火墙
解析:【喵呜刷题小喵解析】:在建立有效的计算机病毒防御体系时,需要采用多种技术措施来确保系统的安全性和稳定性。在给出的选项中,A选项“防火墙、网络入侵检测和防火墙”存在重复,因为防火墙已经包含了网络入侵检测的部分功能,因此A选项不正确。B选项“漏洞扫描、网络入侵检测和防火墙”虽然包括了漏洞扫描和网络入侵检测,但缺少了防病毒系统,因此B选项也不完全正确。C选项“漏洞扫描、补丁管理系统和防火墙”虽然包括了漏洞扫描和防火墙,但缺少了防病毒系统,因此C选项也不完全正确。而D选项“网络入侵检测、防病毒系统和防火墙”则包括了建立有效计算机病毒防御体系所需要的所有技术措施,因此D选项是正确的。因此,正确答案是D。
37、入侵检测技术可以分为误用检测和()两大类。
A、病毒检测
B、详细检测
C、异常检测
D、漏洞检测
解析:【喵呜刷题小喵解析】:入侵检测技术可以分为误用检测和异常检测两大类。误用检测主要是基于已知的攻击模式或签名来识别入侵行为,而异常检测则是通过监测系统的正常行为模式,当检测到与正常模式偏差较大的行为时,认为可能是入侵行为。因此,正确答案为C,即异常检测。其他选项A、B、D与入侵检测技术的分类无关。
38、在风险评估中进行资产的价值估算时,下列哪个不会影响资产的价值()。
A、资产的替代价值
B、资产丧失或损坏的业务影响
C、资产本身的购买价值
D、资产的存放位置
解析:【喵呜刷题小喵解析】:在风险评估中进行资产的价值估算时,资产的替代价值、资产丧失或损坏的业务影响以及资产本身的购买价值都会影响资产的价值。然而,资产的存放位置通常不会直接影响资产的价值。因此,选项D“资产的存放位置”是不会影响资产的价值的因素。
39、风险处置计划应包含()。
A、管理措施
B、资源需求
C、职责分配
D、A+B+C
解析:【喵呜刷题小喵解析】:风险处置计划是为了应对潜在的风险而制定的,它应该包含多个方面的内容。从给出的选项来看,A选项“管理措施”指的是针对风险所采取的具体行动或策略,B选项“资源需求”指的是为实施这些措施所需的资源,如人力、物力、财力等,C选项“职责分配”指的是明确各个相关部门或人员在风险处置中的责任和角色。因此,一个完整的风险处置计划应该包含这三个方面的内容,即A+B+C。所以,正确答案是D。
40、以下关于认证机构的监督要求表述错误的是()。
A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性
B、认证机构的监督方案应由认证机构和客户共同来指定
C、监督审核可以与其他管理体系的审核相结合
D、认证机构应对认证证书的使用进行监督
解析:【喵呜刷题小喵解析】:本题考查的是认证机构的监督要求。A选项提到认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性,这是正确的,因为认证机构需要确保监督方案的有效性。B选项提到认证机构的监督方案应由认证机构和客户共同来指定,这是错误的。实际上,监督方案应由认证机构独立制定,而不是与客户共同制定。C选项提到监督审核可以与其他管理体系的审核相结合,这是正确的,因为这样可以提高审核效率,减少重复工作。D选项提到认证机构应对认证证书的使用进行监督,这也是正确的,因为认证机构需要确保客户按照认证要求使用证书。综上所述,B选项表述错误,因此正确答案为B。
二、多选题
41、“云计算机服务”包括哪几个层面?()
A、Paas
B、SaaS
C、IaaS
D、PIIS
解析:【喵呜刷题小喵解析】:云计算机服务通常包括三个主要的层面:平台即服务(PaaS)、软件即服务(SaaS)和基础设施即服务(IaaS)。这三个层面构成了云计算的核心,提供了不同的资源和服务供用户使用。因此,选项A、B和C是正确的答案。选项D“PIIS”在题目中并未提及,因此不是正确答案。
42、信息安全的符合性检查包括()。
A、法律法规符合性
B、技术标准符合性
C、安全策略符合性
D、内部审核活动
解析:【喵呜刷题小喵解析】:在信息安全领域,符合性检查主要关注三个方面:法律法规符合性、技术标准符合性和安全策略符合性。这三个方面共同构成了信息安全符合性检查的主要内容。内部审核活动虽然与信息安全有关,但在此题目中并未明确提及,因此不应选入答案中。因此,正确答案为法律法规符合性、技术标准符合性和安全策略符合性。
43、《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活功,提高产品、服务的()促进经济和社会的发展。
A、质量
B、数量
C、管理水平
D、竞争力
解析:【喵呜刷题小喵解析】:根据《中华人民共和国认证认可条例》制定的目的,是为了规范认证认可活动,提高产品、服务的质量和管理水平,从而促进经济和社会的发展。因此,选项A“质量”和选项C“管理水平”都是正确的答案。选项B“数量”和选项D“竞争力”与条例的目的不符,因此不应被选择。
44、编制ISMS审核计划需充分理解审核方案,计划需考虑()。
A、需要的技术与工具准备
B、前期抽样情况和本期抽样原则
C、组织资源保障程度
D、人员派遣要求
解析:【喵呜刷题小喵解析】:编制ISMS审核计划时,需要全面考虑审核方案的相关内容,以确保审核的顺利进行。在计划编制过程中,需要考虑以下几个方面:A. 需要的技术与工具准备:审核过程中可能涉及到各种技术和工具,如审计软件、安全测试工具等。因此,在计划编制时,需要明确所需的技术和工具,并进行相应的准备。B. 前期抽样情况和本期抽样原则:审核计划需要明确抽样方法和原则,以便在审核过程中进行抽样。同时,还需要考虑前期抽样情况,以便对本期抽样进行调整和优化。C. 组织资源保障程度:审核计划需要明确所需的组织资源,如人力、物力、财力等,并进行相应的保障。这有助于确保审核的顺利进行,并避免资源不足导致审核失败。D. 人员派遣要求:审核计划需要明确审核人员的派遣要求,包括人员数量、技能水平、工作经验等。这有助于确保审核人员具备相应的能力和素质,能够完成审核任务。综上所述,编制ISMS审核计划需要充分理解审核方案,并考虑以上四个方面,以确保审核的顺利进行。因此,选项A、B、C和D都是正确的。
45、信息安全管理体系审核应遵循的原则包括()
A、诚实守信
B、保密性
C、基于风险
D、基于事实的决策方法
解析:【喵呜刷题小喵解析】:信息安全管理体系审核的目的是为了验证组织的信息安全管理体系是否有效运行,并识别可能存在的改进机会。根据信息安全管理体系的相关标准,审核应遵循以下原则:A. 诚实守信:这不是信息安全管理体系审核的直接原则,诚实守信更多的是一种职业道德和行为准则,用于指导审核员在审核过程中的行为。B. 保密性:审核过程中涉及大量的敏感信息,包括组织的业务流程、技术细节、人员信息等。保密性是确保这些信息不被泄露,保护组织的商业机密和信息安全的重要原则。C. 基于风险:信息安全管理体系的审核应基于风险进行,即审核员应识别和评价信息安全管理体系可能面临的各种风险,并基于这些风险来确定审核的重点和深度。D. 基于事实的决策方法:这是审核过程中的一种方法,但不是审核的直接原则。基于事实的决策方法要求审核员基于客观的证据和事实进行决策,而不是主观臆断。因此,信息安全管理体系审核应遵循的原则包括B.保密性和C.基于风险。
46、信息安全管理体系审核的范围即()。
A、组织的全部经尊管理
B、组织的都信息安全管理范围
C、组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息安全管理体系范围
D、组织承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系的范围
解析:【喵呜刷题小喵解析】:根据题目中的描述,信息安全管理体系审核的范围需要依据组织的实际情况来确定。这包括组织的业务、组织、位置、资产和技术等方面的特性。同时,组织还需要承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系。因此,选项C和D都是正确的答案。选项A“组织的全部经尊管理”与题目无关,选项B“组织的都信息安全管理范围”表述不明确,均不符合题意。
47、信息有其固有的生命周期,即从其()。
A、创建和产生
B、使用、传输
C、存储、处理
D、销毁或消失
解析:【喵呜刷题小喵解析】:题目考察的是信息的生命周期,信息的生命周期通常包括从创建到销毁或消失的过程。因此,选项A“创建和产生”、B“使用、传输”、C“存储、处理”和D“销毁或消失”都是信息生命周期中可能涉及的过程。因此,正确答案是ABCD。
48、某工程公司意图采用更为灵活的方式建立信息安全管理体系,以下说法不正确的()。
A、信息安全可以按过程管理,采用这种方法时不必再编制资产清单
B、信息安全可以按项目来管理,原项目管理机制中的风险评估可替代GB/T22080-2016/ISO/IEC27001:2013标准中的风险评估
C、公司各类项目的临时场所存在时间都较短,不必纳入ISMS范围
D、工程项目方案因包含设计图纸等核心技术信息,其敏感性等级定义为“最高”
解析:【喵呜刷题小喵解析】:A选项中提到“信息安全可以按过程管理,采用这种方法时不必再编制资产清单”。这是不正确的。信息安全管理体系(ISMS)中,资产清单是识别、记录和管理组织资产的重要工具,不论采用何种管理方式,编制资产清单都是必要的。B选项表示“信息安全可以按项目来管理,原项目管理机制中的风险评估可替代GB/T22080-2016/ISO/IEC27001:2013标准中的风险评估”。这也是不正确的。信息安全管理体系中的风险评估是一个独立且重要的环节,不能简单地由原项目管理机制中的风险评估替代。C选项提到“公司各类项目的临时场所存在时间都较短,不必纳入ISMS范围”。这也是不正确的。信息安全管理体系应覆盖组织的所有场所,包括临时场所。D选项“工程项目方案因包含设计图纸等核心技术信息,其敏感性等级定义为“最高””是正确的。对于包含敏感信息的工程项目方案,其敏感性等级应被正确地定义为“最高”。综上所述,不正确的选项是A、B、C。
49、完整的体系审核末次会议的内容包括()。
A、宣读不合格报告
B、宣布审核结论
C、递交审核报告
D、监督要求
解析:【喵呜刷题小喵解析】:体系审核末次会议是审核过程中的重要环节,其内容包括宣读不合格报告、宣布审核结论以及监督要求。这些内容都是确保审核过程公正、透明,以及确保审核结果得到有效执行的关键。选项C递交审核报告通常不是末次会议的内容,而是在审核结束后由审核组向被审核方或相关方递交审核报告。因此,正确答案为A、B、D。
50、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度。
A、新闻、岀版
B、医疗、保健
C、知识类
D、教育类
解析:【喵呜刷题小喵解析】:根据《互联网信息服务管理办法》的规定,互联网信息服务分为经营性和非经营性两类。对于新闻、出版、医疗保健、药品和医疗器械等关系国家利益和社会公共利益的系统使用的互联网信息服务,以及生产、销售或者提供有毒有害的信息内容等破坏国家和社会公共利益、危害信息安全的互联网信息服务,实行许可制度。也就是说,这些类别的互联网信息服务需要主管部门审核通过后才能提供。因此,选项A新闻、出版,选项B医疗、保健,选项D教育类,都是需要进行主管部门审核的互联网信息服务类别。选项C知识类并没有明确规定需要主管部门审核,因此不正确。
51、访问信息系统的用户注册的管理是()。
A、对用户访问信息系统和服务的授权的管理
B、对用户予以注册时须同时考虑与访问控制策略的一致性
C、当ID资源充实时可允许用户使用多个ID
D、用户在组织内变换工作岗位时不必重新评审其所用ID的访问权
解析:【喵呜刷题小喵解析】:这道题目考查的是对访问信息系统的用户注册管理的理解。A选项“对用户访问信息系统和服务的授权的管理”是正确的。在访问信息系统中,用户注册管理通常涉及对用户访问权限的授权,即确定用户可以访问哪些信息系统和服务,以及他们拥有何种访问权限。B选项“对用户予以注册时须同时考虑与访问控制策略的一致性”也是正确的。在注册用户时,需要确保用户的访问权限与组织的访问控制策略保持一致,以确保信息系统的安全性和完整性。C选项“当ID资源充实时可允许用户使用多个ID”与题目要求不符。题目并没有提到ID资源是否充足,也没有提到允许用户使用多个ID。D选项“用户在组织内变换工作岗位时不必重新评审其所用ID的访问权”也是不正确的。当用户在组织内变换工作岗位时,通常需要重新评审其访问权限,以确保其访问的信息系统和服务与其新的工作职责相符。综上所述,正确答案是A和B。
52、关于审核发现,以下说法正确的是:()。
A、审核发现是收集的审核证据对照审核准则进行评价的结果
B、审核发现包括正面的和负面的发现
C、审核发现是审核结论的输入
D、审核发现是制定审核准则的依据
解析:【喵呜刷题小喵解析】:审核发现是指将收集的审核证据对照审核准则进行评价的结果,包括正面的和负面的发现,是审核结论的输入。因此,选项A、B、C的说法都是正确的。而审核发现并不是制定审核准则的依据,审核准则是在审核开始之前就已经确定的,因此选项D的说法是错误的。
53、可用于信息安全风险分析的方法包括()。
A、场景分析法
B、ATA(攻击路径分析)法
C、FMEA(失效模式分析)法
D、HACCP(危害分析与关键控制点)法
解析:【喵呜刷题小喵解析】:本题要求选择可用于信息安全风险分析的方法。根据题目给出的选项,我们来逐一分析:A. 场景分析法 - 这种方法通常用于分析特定的安全事件或场景,例如模拟攻击者如何攻击系统,或者分析系统在特定情况下的表现。因此,场景分析法是一种适用于信息安全风险分析的方法。B. ATA(攻击路径分析)法 - 虽然ATA法可能涉及分析攻击路径,但它更侧重于分析攻击者如何成功攻击系统,而不是分析风险。因此,ATA法不是直接用于信息安全风险分析的方法。C. FMEA(失效模式分析)法 - FMEA法主要用于分析系统的失效模式,而不是风险。虽然它可能间接地涉及到风险分析,但它并不是专门为信息安全风险分析设计的。D. HACCP(危害分析与关键控制点)法 - HACCP法是一种专门用于食品安全管理的方法,但它也可以被应用于其他领域,包括信息安全。HACCP法通过识别危害并确定关键控制点来降低风险,因此,它是一种适用于信息安全风险分析的方法。综上所述,场景分析法和HACCP(危害分析与关键控制点)法是可以用于信息安全风险分析的方法。因此,正确答案为A和D。
54、以下做法正确的是()。
A、使用生产系统数据测试时,应先将数据进行脱敏处理
B、为强化新员工培训效果,应尽可能使用真实业务案例和数据
C、员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D、信息系统管理域内所有的终端启动屏幕保护时间应一致
解析:【喵呜刷题小喵解析】:选项A提到使用生产系统数据测试时,应先将数据进行脱敏处理。这是正确的,因为直接使用生产数据可能会导致数据泄露或违反数据保护政策。脱敏处理是一种保护敏感数据的方法,确保在测试或开发环境中使用数据时不会泄露敏感信息。选项B提到为强化新员工培训效果,应尽可能使用真实业务案例和数据。这一选项可能引发争议,因为使用真实业务案例和数据可能会涉及到数据保护和隐私问题。虽然真实案例和数据可能有助于培训效果,但必须在遵守相关法规的前提下进行。选项C提到员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用。这是正确的,因为员工从一个项目组转到另一个项目组时,应该确保他们带走的数据不会包含敏感或专有信息,以避免数据泄露或侵犯知识产权。选项D提到信息系统管理域内所有的终端启动屏幕保护时间应一致。这一选项与数据保护或隐私没有直接关系,因此不是本题考查的重点。综上所述,选项A和C是正确的。
55、关于31000标准,以下哪些说法是正确的?()
A、该标准可用于任何公有、私有企业、协会、团体或个体。因此,该标准不针对任何行业或部门
B、尽管该标准提供了风险管理的通用性指南,但不要求组织风险管理的统一性
C、该标准可以应用于任何类型的风险,无论其性质及是否有积极或消极的后果
D、风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践
解析:【喵呜刷题小喵解析】:A选项提到“该标准可用于任何公有、私有企业、协会、团体或个体。因此,该标准不针对任何行业或部门”。从题干中的信息来看,这一说法是正确的,因为标准本身具有广泛的适用性,并不特定针对某一行业或部门。B选项提到“尽管该标准提供了风险管理的通用性指南,但不要求组织风险管理的统一性”。从题干中我们可以看到,标准确实提供了关于风险管理的通用性指南,但它并不强制要求所有组织采用统一的风险管理方式。因此,B选项也是正确的。C选项提到“该标准可以应用于任何类型的风险,无论其性质及是否有积极或消极的后果”。题干中并未明确提到这一点,但考虑到风险管理通常涉及所有类型的风险,无论其性质如何,因此我们可以推断出C选项也是正确的。D选项提到“风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践”。这一说法与题干中的描述相符,因为每个组织都有其独特的需求和情况,所以在设计和实施风险管理计划和框架时,必须考虑到这些因素。因此,D选项也是正确的。综上所述,A、B、C和D选项都是正确的。
三、判断题
56、访问控制列表指由主体以及主体对客体的访问权限所组成列表()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:访问控制列表确实是由主体以及主体对客体的访问权限所组成的列表。访问控制列表(Access Control List,ACL)是一种安全机制,用于控制对计算机资源(如文件、目录、设备或网络端口)的访问。它定义了一组规则,这些规则指定了哪些主体(如用户或进程)可以对哪些客体(如文件或目录)执行哪些操作(如读取、写入或执行)。因此,题目中的描述是正确的。
57、纠正是指为消除已发现的不符合或其他不期望情况的原因所釆取的措施。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:纠正是指为消除已发现的不符合或其他不期望情况所采取的措施,但题目中提到的“消除已发现的不符合或其他不期望情况的原因所釆取的措施”是不准确的。纠正应该是针对不符合或其他不期望的情况本身,而不是针对其原因。因此,题目的表述是错误的。
58、客户资料不属于组织的信息资产。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:客户资料通常包含客户的姓名、联系方式、购买记录等敏感信息,这些信息对于组织来说具有极高的价值。它们不仅有助于组织了解客户的需求和偏好,还能用于市场营销、客户关系管理等重要业务活动。因此,客户资料是组织的重要信息资产之一,本题答案为B,即错误。
59、实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或重管理轻技术,都是不科学的,并且有局限性的错误观点。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目中提到实现信息安全的途径需要借助两方面的控制措施,即技术措施和管理措施。这表明了技术和管理并重的基本思想。如果只重视技术而轻视管理,或者只重视管理而轻视技术,都是不科学的,并且有局限性的错误观点。因此,题目的陈述是正确的。
60、某组织将其生产系统中的数据敏感性等级定义为“高”,将存储备份生产系统数据的光盘敏感性标记为“一般”,这不符合GB/T22080-2016/ISO/IEC27001:2013标准A8.2.3条款的要求()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:在GB/T22080-2016/ISO/IEC27001:2013标准A8.2.3条款中,明确规定了对于数据的敏感性等级和存储媒介的敏感性标记应保持一致。如果某组织的生产系统数据敏感性等级被定义为“高”,那么存储备份这些数据的媒介(如光盘)的敏感性标记也应为“高”,而不是“一般”。因此,题目中的描述不符合该标准的要求,所以答案是B,即错误。
61、ISO/IEC27006是ISO/IEC17021的相关要求的补充()。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:ISO/IEC27006是ISO/IEC17021的相关要求的补充,因此选项A“正确”是正确的。ISO/IEC27006提供了对ISO/IEC17021要求的进一步解释和详细指导,以确保其正确和一致的应用。因此,题目中的陈述是正确的。
62、A公司核心业务系统MTPD=4小时,非核心业务系统MTPD=36小时,公司取其平均值,规定业务系统的RTO=20小时。这符合GB/T 22080-2016标准A.17.1.1的要求。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:题目中给出的公司核心业务系统MTPD=4小时,非核心业务系统MTPD=36小时,公司取其平均值,规定业务系统的RTO=20小时。但题目没有提供关于如何计算平均值的具体方法,无法直接判断其是否符合GB/T 22080-2016标准A.17.1.1的要求。因此,无法直接判断题目中的陈述是否正确。另外,GB/T 22080-2016标准A.17.1.1是关于业务连续性管理(BCM)的标准,其中规定了业务影响分析(BIA)的相关要求。该标准并未直接涉及MTPD和RTO的计算和规定,因此无法直接判断公司的规定是否符合该标准。因此,题目中的陈述无法直接判断正确与否,答案为B,即错误。
63、建设网络中的一个设备发生故障星型局域网更容易面临全面的瘫痪。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:星型局域网中,各个设备通过中央集线器或交换机连接。当中央设备发生故障时,确实可能导致整个网络瘫痪,因为所有的数据都通过这个中央设备传输。但是,这种情况并不意味着星型局域网更容易面临全面的瘫痪。实际上,许多网络设计都采用了冗余措施,如使用备份路由器、交换机或链路,以确保在主设备发生故障时,网络仍然能够继续运行。因此,说星型局域网更容易面临全面的瘫痪是不准确的,答案为B,即错误。
64、根据GB/Z 20986标准,信息安全事件分级考虑的要素主要包括信息系统的重要程度和社会影响,系统损失( )。
A 正确
B 错误
解析:【喵呜刷题小喵解析】:根据GB/Z 20986标准,信息安全事件分级考虑的要素主要包括信息系统的重要程度、社会影响和系统损失。所以,题目中的说法是正确的。因此,答案为A。
65、所有联网和未联网的微型计算机的安全保护办法都应遵循《中华人民共和国计算机信息系统安全保护条例》规定。()
A 正确
B 错误
解析:【喵呜刷题小喵解析】:《中华人民共和国计算机信息系统安全保护条例》是中华人民共和国国务院发布的关于计算机信息系统安全保护的法规,但它并不涵盖所有联网和未联网的微型计算机的安全保护办法。因此,题目中的说法是不准确的,答案为B。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
