2020年11月ISMS信息安全管理体系审核员考试试题（网友回忆版）

2020年11月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.关于GB/T22（江南博哥）080-2016/ISO/IEC27001:2013标准，下列说法错误的是()A.标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B.标准中所表述要求的顺序反映了这些要求要实现的顺序C.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D.信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性参考答案：B参考解析：引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序[单选题]5.《中华人民共和国密码法》规定了国家秘密的范围和密级，国家秘密的密级分为()。A.普密、商密两个级别B.低级和高级两个级别C.绝密、机密、秘密三个级别D.—密、二密、三密、四密四个级别参考答案：C参考解析：《中华人民共和国保守国家秘密法》第十条，国家秘密的密级分为绝密，机密，秘密三级[单选题]6.创建和更新文件化信息时，组织应确保适当的()A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准参考答案：D参考解析：27001,7,5,2创建和更新，创建和更新文件化信息时，组织应确保适当的标识和描述；格式和介质；对适宜性和充分性的评审和批准[单选题]7.根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是()A.保留含有敏感信息的介质的处置记录B.离职人员自主删除敏感信息的即可C.必要时采用多路线路供电D.应定期检查机房空调的有效性参考答案：B[单选题]8.下面哪一种属于网络上的被动攻击()A.消息篡改B.伪装C.拒绝服务D.流量分析参考答案：D参考解析：主动攻击会导致某些数据流的篡改和虚假数据流的产生，这类攻击分篡改，伪造消息数据和终端（拒绝服务）。被动攻击中攻击者不对数据信息做任何修改，截取/窃听是指为未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听，流量分析，破解弱加密的数据流等攻击方式。故选D[单选题]9.当操作系统发生变更时，应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A.隔离和迀移B.评审和测试C.评审和隔离D.验证和确认参考答案：B参考解析：2700214,2,3运行平台变更后对应用的技术评审，当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。故选B[单选题]10.()是风险管理的重要一环。A.管理手册B.适用性声明C.风险处置计划D.风险管理程序参考答案：C参考解析：参考iso/iec27005，风险管理包括风险评估，风险处置，风险接受，风险沟通，风险监视和风险评审。因此风险处置计划是风险管理的重要一环，故选C[单选题]11.风险评价是指()A.系统地使用信息来识别风险来源和评估风险B.将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C.指导和控制一个组织相关风险的协调活动D.以上都对参考答案：B参考解析：风险评价，将估算的风险与给定的风险准则加以比较以确定风险严重性的过程，故选B[单选题]12.关于GB/T22081标准，以下说法正确的是：()A.提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B.提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C.提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D.提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准参考答案：B参考解析：iso/iec27002本标准可作为组织基于gb/t22080实现信息安全管理体系过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。cnas-cc1702认证规范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms认证的依据，故选B[单选题]13.TCP/IP协议层次结构由()A.网络接口层、网络层组成B.网络接口层、网络层、传输层组成C.网络接口层、网络层、传输层和应用层组成D.其他选项均不正确参考答案：C[单选题]14.()属于管理脆弱性的识别对象A.物理环境B.网络结构C.应用系统D.技术管理参考答案：D参考解析：27001附录A12,6，技术方面的脆弱性管理，应及时获取在用的信息系统的技术方面的脆弱性信息，评价组织对这些脆弱性的暴露情况并采取适当的措施来应对相关风险。故选D[单选题]15.漏洞检测的方法分为()A.静态检测B.动态测试C.混合检测D.以上都是参考答案：D参考解析：漏洞检测分为被动检测（静态），主动检测（动态），综合检测（混合检测）。故选D[单选题]16.gb17859-1999提出将信息系统的安全等级划分为()个等级，并提出每个级别的安全功能要求A.2B.3C.5D.7参考答案：C参考解析：《计算机信息系统安全保护等级划分准则》规定了计算机系统安全保护能力的五个等级[单选题]17.风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、()。A.识别可能性和影响B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影响参考答案：B参考解析：27005信息安全风险管理8,2,,1风险识别，包括资产识别，威胁识别，现有控制措施识别，脆弱性识别，后果识别。故选B[单选题]18.关于容量管理，以下说法不正确的是()A.根据业务对系统性能的需求，设置阈值和监视调整机制B.针对业务关键性，设置资源占用的优先级C.对于关键业务，通过放宽阈值以避免或减少报警的干扰D.依据资源使用趋势数据进行容量规划参考答案：C参考解析：附录A12,1,3容量管理应对资源的使用进行监视，以调整和预测未来的容量需求，以确保所需的系统性能。故选C。宜考虑相关系统的关键性，来识别容量需求，并非因避免或减少报警干扰而放宽阈值[单选题]19.当发现不符合项时，组织应对不符合做出反应，适用时()。A.采取措施，以控制并予以纠正B.对产生的影响进行处理C.分析产生原因D.建立纠正措施以避免再发生参考答案：A参考解析：参考2700110,1当发生不符合时，组织应：对不符合做出反应，适用时：（1）采取措施，以控制并予以纠正（2）处理后果。故选A[单选题]20.访问控制是指确定()以及实施访问权限的过程?A.用户权限B.可给予哪些主体访问权利C.可被用户访问的资源D.系统是否遭受入侵参考答案：A参考解析：访问控制，确保对资产的访问是基于业务和安全要求进行授权和限制的手段。A表述更为全面，B,C选项过于细化，故选A。[单选题]21.风险处置是()A.识别并执行措施来更改风险的过程B.确定并执行措施来更改风险的过程C.分析并执行措施来更改风险的过程D.选择并执行措施来更改风险的过程参考答案：D参考解析：风险处置，是指选择并且执行措施来更改风险的过程。故选D[单选题]22.关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订()协议和保密义务与责任。A.安全保密B.安全保护C.安全保障D.安全责任参考答案：A参考解析：《中华人民共和国网络安全法》第36条，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。故选A[单选题]23.对于信息安全方针，()是ISO/IEC27001所要求的A.信息安全方针应形成文件B.信息安全方针文件为公司内部重要信息，不得向外部泄露C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D.信息安全方针是建立信息安全工作的总方向和原则，不可变更参考答案：A参考解析：信息安全方针应：（1）形成文件化信息并可用；（2）在组织内得到沟通；（3）适当时，对相关方可用。故选A[单选题]24.关于投诉处理过程的设计，以下说法正确的是：()A.投诉处理过程应易于所有投诉者使用B.投诉处理过程应易于所有投诉响应者使用C.投诉处理过程应易于所有投诉处理者使用D.投诉处理过程应易于为投诉处理付费的投诉者使用参考答案：A参考解析：质量管理顾客满意组织处理投诉指南1范围，投诉处理过程为投诉者提供一个开放，有效，方便的投诉程序，故选A[单选题]25.依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的()。A.说明B.声明C.想法D.描述参考答案：B参考解析：参考27000，控制目标指，描述实施控制的实施结果所要达到的目标的声明。故选B[单选题]26.关于信息安全管理中的“脆弱性”，以下正确的是：()A.脆弱性是威胁的一种，可以导致信息安全风险B.网络中“钓鱼”软件的存在，是网络的脆弱性C.允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D.以上全部参考答案：C参考解析：参考27002，资产易遭受故意和意外的威胁，并且相关的过程，系统，网络，人员均有固有的脆弱性，故A错，脆弱性是固有的，不属于威胁。钓鱼软件，通常是精心设计的虚假网页引诱用户上当，不属于网络固有漏洞，因此不是脆弱性，B错。同样D错。故选C[单选题]27.过程是指()A.有输入和输出的任意活动B.通过使用资源和管理，将输入转化为输出的活动C.所有业务活动的集合D.以上都不对参考答案：B参考解析：so9000-20153,4,1过程，利用输入产生输出的相互关联或相互作用的一组活动。故选B[单选题]28.关于信息系统登录的管理，以下说法不正确的是()A.网络安全等级保护中，三级以上系统需采用双重鉴别方式B.登录失败应提供失败提示信息C.为提高效率，可选择保存鉴别信息的直接登录方式D.使用交互式管理确保用户使用优质口令参考答案：C参考解析：应确保秘密鉴别信息的保密性，确保鉴别信息得到适当的保护，C选项为提高效率而保存鉴别信息的直接登录方式，不能确保鉴别信息得到保护，故选C[单选题]29.根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A.国家经营B.地方经营C.许可制度D.备案制度参考答案：C参考解析：《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度，故选C[单选题]30.审核发现是指()A.审核中观察到的事实B.审核的不符合项C.审核中收集到的审核证据对照审核准则评价的结果D.审核中的观察项参考答案：C参考解析：管理体系审核指南3,4审核发现是将收集的审核证据对照审核准则进行评价的结果，故选C[单选题]31.确定资产的可用性要求须依据()。A.授权实体的需求B.信息系统的实际性能水平C.组织可支付的经济成本D.最高管理者的决定参考答案：A参考解析：资产在可用性上的不同要求，依据授权实体的需求而定，故选A[单选题]32.关于信息安全管理体系认证，以下说法正确的是：A.负责作出认证决定的人员中应至少有一人参与了审核B.负责作出认证决定的人员必须是审核组组长C.负责作出认证决定的人员不应参与审核D.负责作出认证决定的人员应包含参与了预审核的人员参考答案：C参考解析：认证机构应确保做出授予或拒绝认证，扩大或缩小认证范围，暂停或恢复认证，撤销认证或更新认证的决定的人员或委员会不是实施审核的人员。故选C[单选题]33.监督、检查、指导计算机信息系统安全保护工作是()对计算机信息系统安全保护履行法定职责之一A.电信管理机构B.公安机关C.国家安全机关D.国家保密局参考答案：B参考解析：《中华人民共和国计算机信息系统安全保护条例》第十七条，公安机关对计算机信息系统安全保护工作行驶下列监督职权：（1）监督，检查，指导计算机信息系统安全保护工作；（2）查处危害计算机信息系统安全的违法犯罪案件；（3）履行计算机信息系统安全保护工作的其他监督职责。故选B[单选题]34.数字签名可以有效对付哪一类信息安全风险？A.非授权的阅读B.盗窃C.非授权的复制D.篡改参考答案：D参考解析：数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性并保护数据，防止被人（例如接收者）进行伪造，篡改或是抵赖。故选D[单选题]35.信息安全残余风险是()。A.没有处置完成的风险B.没有评估的风险C.处置之后仍存在的风险D.处置之后没有报告的风险参考答案：C参考解析：参考GB/T20984-2007信息安全风险评估规范，3,12残余风险是指采取了安全措施后，信息系统仍然可能存在的风险。故选C[单选题]36.局域网环境下与大型计算机环境下的本地备份方式在()方面有主要区别。A.主要结构B.容错能力C.网络拓扑D.局域网协议参考答案：B参考解析：局域网是指家庭或是办公室，或者其他环境中小型网络。而大型计算机环境是指类似服务器的大型网络。两者本地备份差别主要体现在容错能力上，故选B[单选题]37.下列措施中不能用于防止非授权访问的是()A.采取密码技术B.采用最小授权C.采用权限复查D.采用日志记录参考答案：D参考解析：日志属于访问结果的记录，并不能起到阻止访问的作用，其他选项均可以，故选D[单选题]38.下面哪一种环境控制措施可以保护计算机不受短期停电影响？()A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应参考答案：D参考解析：短期停电即电力中断，故选D。可中断的电力供应[单选题]39.信息安全基本属性是()。A.保密性、完整性、可靠性B.保密性、完整性、可用性C.可用性、保密性、可能性D.稳定性、保密性、完整性参考答案：B参考解析：270002,19信息安全，保持信息的保密性，完整性，可用性。故选B[单选题]40.下列哪项不是监督审核的目的？()A.验证认证通过的ISMS是否得以持续实现B.验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C.确认是否持续符合认证要求D.作出是否换发证书的决定参考答案：D参考解析：监督审核是现场审核，但不一定是对整个体系的审核，并应与其他监督活动一起策划，以使认证机构能对获证客户管理体系在认证周期内持续满足要求保持信任。相关管理体系标准的每次监督审核应包括对以下方面的审查：（1）内部审核和管理评审；(2)对上次审核中确定的不符合采取的措施；（3）投诉的处理；（4）管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性；（5）为持续改进而策划的活动的进展；（6）持续的运作控制；（7）任何变更；（8）标志的使用和（或）任何其他对认证资格的引用。综上A,B,C项均是监督审核的目的，故选D。另外，再认证的策划和及时实施，才能确保认证能在到期前及时更新，监督审核不能决定是否换发证书[单选题]41.依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()A.划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B.划分信息载体所属的职能以便于明确管理责任C.划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析参考答案：C参考解析：信息分级的目的确保信息按照其对组织的重要程度受到适当水平的保护。对比四个选项，c项更能突出对组织的重要程度，故选C[单选题]42.—个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性A.已经发生B.可能发生C.意外D.A+B+C参考答案：C参考解析：信息安全事件，指一个或一系列意外或不期望的信息安全事态组成，他们极有可能损害业务运行并威胁信息安全。故选C[单选题]43.信息处理设施的变更管理包括:A.信息处理设施用途的变更B.信息处理设施故障部件的更换C.信息处理设施软件的升级D.其他选项均正确参考答案：D参考解析：信息处理设施，任何的信息处理系统，服务或基础设施，或其安装的物理位置，abc选项均属于信息处理设施变更管理范畴，故选D[单选题]44.依据《中华人民共和国网络安全法》，以下说法不正确的是()A.网络安全应采取必要措施防范对网络的攻击和侵入B.网络安全措施包括防范对网络的破坏C.网络安全即采取措施保护信息在网络中传输期间的安全D.网络安全包括对信息收集、存储、传输、交换、处理系统的保护参考答案：C参考解析：网络安全法第七十六条，网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集，存储，传输，交换，处理的系统。网络安全，是指通过采取必要措施，防范对网络的攻击，侵入，干扰，破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性，保密性，可用性的能力。故选C[单选题]45.在根据组织规模确定基本审核时间的前提下，下列哪一条属于增加审核时间的要素()。A.其产品/过程无风险或有低的风险B.客户的认证准备C.仅涉及单一的活动过程D.具有高风险的产品或过程参考答案：D参考解析：高风险的产品或过程应增加审核时间要素[单选题]46.依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是()?A.网络管理员可以通过telnet在家里远程登录、维护核心交换机B.应关闭服务器上不需要的网络服务C.可以通过防病毒产品实现对内部用户的网络访问控制D.可以通过常规防火墙实现对内部用户访问外部网络的访问控制参考答案：B参考解析：网络和网络服务的访问，应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。cd选项错误，必须是已授权用户才可访问。A选项错误，在家登录，不符合安全访问控制策略。故选B[单选题]47.以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述，正确的是()A.该标准属于要求类标准B.该标准属于指南类标准C.该标准可用于一致性评估D.组织在建立ISMS时，必须满足该标准的所有要求参考答案：B[单选题]48.组织应()与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A.确定B.制定C.落实D.确保参考答案：A参考解析：理解组织及其环境[单选题]49.依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的()严格保密，不得泄露、出售或非法向他人提供。A.个人信息B.隐私C.商业秘密D.其他选项均正确参考答案：D参考解析：网络安全法第45条，依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息，隐私和商业秘密严格保密，不得泄露，出售或者非法向他人提供。故选D[单选题]50.依据GB/T22080/ISO/IEC27001的要求，管理者应()A.制定ISMS目标和计划B.实施ISMS管理评审C.决定接受风险的准则和风险的可接受级别D.其他选项均不正确参考答案：D参考解析：信息安全目标及其实现规划，组织应在相关职能和层级上建立信息安全目标，A项错误。B项27001最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性，和有效性。而管理评审的实施执行者是组织，因此B表述不准确。C项，27001,5.1.2组织应建立并维护信息安全风险准则，包括风险接受准则和信息安全风险评估实施准则。而非最高管理者，因此C错误，综上故选D。[多选题]1.关于鉴别信息保护，正确的是()A.使用QQ传递鉴别信息B.对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息C.鉴别信息宜加密保存D.鉴别信息的保护可作为任用条件或条款的内容参考答案：BCD参考解析：参考27002,9,2,4用户的秘密鉴别信息管理，B、C、D均正确，同时该控制中，还包含：1、建立一些规程，以在提供一个新的、代替的或临时的秘密鉴别信息之前，验证用户身份；2、在系统或软件安装后，应改变提供商的默认秘密鉴别信息；3、应以安全的方式将临时秘密鉴别信息提供给用户；应避免使用外部防火未受保护的（明文）电子邮件。综上本题选BCD[多选题]2.以下属于访问控制的是()。A.开发人员登录SVN系统，授予其与职责相匹配的访问权限B.防火墙基于IP过滤数据包C.核心交换机根据IP控制对不同VLAN间的访问D.病毒产品查杀病毒参考答案：AC参考解析：对于网络技术防火墙，一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来做出通过与否的判断，另外应用级防火墙则能够检查进出的数据包，通过防火墙复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系，B选项错误。D选项不属于访问控制。因此本题选择AC[多选题]3.风险评估过程一般应包括()A.风险识别B.风险分析C.风险评价D.风险处置参考答案：ABC参考解析：参考gb/t31722-2015信息安全风险管理，8风险评估包括风险分析和风险评价，其中风险分析又包括风险识别和风险估算。因此本题选ABC[多选题]4.设计一个信息安全风险管理工具，应包括如下模块()。A.资产识别与分析B.漏洞识别与分析C.风险趋势分析D.信息安全事件管理流程参考答案：ABCD参考解析：参考27001附录A16，信息安全事件管理必不可少，D选项正确。参考ISO/IEC27005，风险评估包括风险分析和风险评价，C选项正确。风险分析又包括风险识别和风险估算。而在风险识别中，需要进行资产识别、威胁识别、现有控制措施识别、脆弱性识别。因此A、B选项也正确。综上，本题选ABCD[多选题]5.某金融服务公司为其个人注册会员提供了借资金和贷款服务，以下不正确的做法是()A.公司使用微信群会议，对申请借贷的会员背景资料、借贷额度等进行讨论评审B.公司使用微信群发布公司内部投资策略文件C.公司要求所有员工签署NDA，不得泄露会员背景及具体借贷项目信息D.公司要求员工不得向朋友圈转发其微信群会议上讨论的信息参考答案：AB参考解析：参考270013,2信息传输，不宜通过微信等不安全的通信方式传输商业秘密，本题选AB[多选题]6.撤销对信息和信息处理设施的访问权针对的是()A.组织雇员离职的情况B.组织雇员转岗的情况C.临时任务结束的情况D.员工出差参考答案：ABC参考解析：27001附录A9,2,6撤销或调整访问权限，所有雇、外部人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销，或在变化时调整。因此本题选ABC[多选题]7.根据《中华人民共和国保守国家秘密法》，下列属于国家秘密的是()。A.国家事务重大决策中的秘密事项B.国民经济和社会发展中的秘密事项C.科学技术中的秘密事项D.国防建设和武装力量活动中的秘密事项参考答案：ABCD参考解析：所有选项均符合，本题选ABCD[多选题]8.关于审核委托方，以下说法正确的是：()A.认证审核的委托方即受审核方B.受审核方是第一方审核的委托方C.受审核方的行政上级作为委托方时是第三方审核D.组织对其外包服务提供方的审核是第二方审核参考答案：BCD参考解析：gb/t19011-2013管理体系审核指南3,6审核委托方是要求审核的组织或人员，3,7受审核方是被审核的组织。对于内部审核，审核委托方可以是受审核方或审核方案管理人员；对于外部审核，可以是监管机构、合同方或潜在用户。A错误，认证审核的委托方是认证类结构，而非受审核方。B正确，第一方审核即内审，此时审核委托方是受审核方。C正确，审核委托方是受审核方的行政上级，意思是其监管机构，这属于第三方审核。D正确，组织审核外包方，属于相关方审核，饮醋属于第二方审核。综上，本题BCD均正确[多选题]9.在信息安全事件管理中，()是所有员工应该完成的活动A.报告安全方面的漏洞或弱点B.对漏洞进行修补C.发现并报告安全事件D.发现立即处理安全事件参考答案：AC参考解析：参考27001附录A16,1，应建立信息安全事件管理的责任和规程，以便快速、有效和有序的响应事件；通过适当的管理渠道报告信息安全事态；报告任何观察到的或可以的系统或服务中的信息安全弱点；评估信息安全事态是否属于信息安全事件；按照文件化的规程响应信息安全事件；从信息安全事件学习；收集证据。本题选AC，B和D选项不是所有员工都有权限完成的活动[多选题]10.下列属于“开发安全”活动的是()。A.应规范用户修改软件包，必须的修改应严格管制B.应用系统若有变更，应进行适当审核与测试C.软件应尽量采用自行开发避免外包或采购D.软件的采购应注意其是否内藏隐密通道及特洛伊木马程序参考答案：AD参考解析：略2700214,2,4软件包变更的限制，应不鼓励对软件包进行修改，仅限于必要的变更，且对所有变更加以严格控制，A正确。12,1,4开发、测试、运行的分离，除在特殊情况下，测试不宜在运行系统上进行，B选项错误。C选项表述避重就轻，无论自行开发还是外包、采购都必须符合信息安全，而非限制软件途径。D选项正确，要进行恶意软件防范。综上本题选AD[多选题]11.风险评估过程中威胁的分类一般应包括()A.软硬件故障、物理环境影响B.无作为或操作失误、管理不到位、越权或滥用C.网络攻击、物理攻击D.泄密、篡改、抵赖参考答案：ABCD参考解析：gb/t20984-2007信息安全风险评估规范5,3威胁识别，威胁分类大致包括，软硬件故障、物理环境影响、无作为或操作失误、管理不到位、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖。因此本题选ABCD[多选题]12.审核计划中应包括()A.本次及其后续审核的时间安排B.审核准则C.审核组成员及分工D.审核的日程安排参考答案：BCD参考解析：参考gb/t19011-2013,6,3,2,2审核计划包括：a)审核目标；b)审核范围；c)审核准则和引用文件；d)实施审核活动的地点、日期、预期的时间和期限，包括与受审核方管理者的会议；e)使用的审核方法，包括所需的审核抽样的范围，以获得足够的审核证据，适用时还包括抽样方案的设计；f)审核组成员、向导和观察员的作用和职责；g)为审核的关键区域配置适当的资源。因此本题选BCD[多选题]13.下列说法正确的是()A.残余风险需要获得风险责任人的批准B.适用性声明需要包含必要的控制及其选择的合理性说明C.所有的信息安全活动都必须有记录D.组织控制下的员工应了解信息安全方针参考答案：ABD参考解析：a选项正确，参考270016,1,3f)获得风险责任人对信息安全处置计划以及对信息安全参与风险的接受的批准。B项正确，270016,1,3d)适用性声明，包含必要的控制及其选择的合理性说明，以及对附录A控制删减的合理性说明。D项正确，270007,3a)组织控制下的员工应了解信息安全方针。C选项错误，描述过于绝对。综上，本题选ABD[多选题]14.关于信息安全风险自评估，下列选项正确的是()A.是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估B.周期性的自评估可以在评估流程上适当简化C.可由发起方实施或委托风险评估服务技术支持方实施D.由信息系统上级管理部门组织的风险评估参考答案：ABC参考解析：gb/t20984-20077,2自评估是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估，A正确。周期性进行的自评估可以在评估流程上适当简化，重点针对自上次评估后系统发生变化后引入的新威胁，以及系统脆弱性的完整性识别，以便于两次评估结果对比，B正确。自评估可由发起方实施或委托风险评估服务技术支持方实施，C正确。D错误，主体错误，检查评估是信息系统上级管理部门组织的或国家有关职能部门依法展开的风险评估。本题选ABC[多选题]15.为控制文件化信息，适用时，组织应强调以下哪些活动？()A.分发，访问，检索和使用B.存储和保护，包括保持可读性C.控制变更（例如版本控制）D.保留和处理参考答案：ABCD参考解析：270017,5,3文件化信息的控制，信息安全管理体系及本标准要求的文件化信息应得到控制，以确保：在需要的时间和地点，是可用的和适宜使用的；得到充分的保护（如避免保密性损失，不恰当使用，完整性受损失等）。为控制文件化信息，适用时，组织应强调下列活动：1,分发、访问、检索和使用；2,存储和保护，包括保持可读性；3,控制变更（如版本控制）；4,保留和处置。综上，本题选ABCD[多选题]16.以下属于“关键信息基础设施”的是()。A.输配电骨干网监控系统B.计算机制造企业IDC供电系统C.髙等院校网络接入设施D.高铁信号控制系统参考答案：ABCD[多选题]17.《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活动，提高产品、服务的()，促进经济和社会的发展。A.质量B.数量C.管理水平D.竞争力参考答案：AC参考解析：参考条例第一条，为了规范认证认可活动，提高产品、服务的质量和管理水平促进经济和社会的发展，制定本条例。本题选AC[多选题]18.以下做法正确的是()A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实业务案例和数据C.员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D.信息系统管理域内所有的终端启动屏幕保护时间应一致参考答案：AD[多选题]19.《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度A.新闻、出版B.医疗、保健C.知识类D.教育类参考答案：ABD参考解析：《互联网信息服务管理办法》第五条，从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，依照法律、行政法规以及国家有关规定须经过有关主管