2024年03月ISMS信息安全管理体系审核员考试试题及答案

2024年03月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，信息安全管理中的“可用性”是指()。A.反映事物真（江南博哥）实情况的程度B.保护资产准确和完整的特性C.根据授权实体的要求可访问和利用的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性正确答案：C参考解析：可用性强调的是可访问和利用。A选项说的是反映事物真实情况程度，与可用性无关；B选项保护资产准确完整是完整性；D选项信息不被未授权利用或知悉是保密性。C选项符合可用性定义。答案：C[单选题]2.GB/T22080-2016标准中提到的“风险责任者”，是指()。A.发现风险的人或实体B.风险处置人员或实体C.有责任和权威来管理风险的人或实体D.对风险发生后结果进行负责的人或实体正确答案：C参考解析：风险责任者重点在于对风险有管理的责任和权威。A选项发现风险并非关键；B选项风险处置只是其中一部分工作；D选项对结果负责较片面，更强调管理过程。C选项准确表述了风险责任者概念。答案：C[单选题]3.组织应按照GB/T22080-2016标准的要求()信息安全管理体系。A.建立、实施、监视和持续改进B.策划、实现、维护和持续改进C.建立、实现、维护和持续改进D.策划、实现、监视和持续改进正确答案：C[单选题]4.关于GB/T22080-2016标准，所采用的过程方法是()。A.PDCA法B.PPTR方法C.SWOT方法D.SMART方法正确答案：A参考解析：GB/T22080-2016《信息技术安全技术信息安全管理体系要求》采用的过程方法是PDCA法，PDCA循环包括策划（Plan）、实施（Do）、检查（Check）和处置（Act），是信息安全管理体系常用的过程方法。答案选A。[单选题]5.ISO/IEC27002最新版本为()。A.2022B.2015C.2005D.2013正确答案：A参考解析：ISO/IEC27002最新版本是2022年发布的。答案选A。[单选题]6.关于ISO/IEC27004，以下说法正确的是()。A.该标准可以替代GB/T28450B.该标准是信息安全水平的度量标准C.该标准是ISMS管理绩效的度量指南D.该标准可以替代ISO/IEC27001中的9.2的要求正确答案：C参考解析：ISO/IEC27004是关于信息安全管理体系（ISMS）绩效度量的指南，主要针对ISMS管理绩效的度量。A选项，不同标准有不同用途，不能替代GB/T28450；B选项它并非单纯信息安全水平度量标准；D选项，不能替代ISO/IEC27001中9.2的要求。答案：C[单选题]7.在ISO/IEC27000系列标准中，为组织的信息安全风险管理提供指南的标准是()。A.ISO/IEC27004B.ISO/IEC27003C.ISO/IEC27002D.IS0/IEC27005正确答案：D参考解析：ISO/IEC27005为信息安全风险管理提供指南。其他选项中，ISO/IEC27002是控制措施相关；ISO/IEC27003是实施指南；ISO/IEC27004是度量指标相关。答案：D[单选题]8.根据GB/T22080-2016标准的要求，最高管理层应()，以确保信息安全管理体系符合标准要求。A.分配责任和权限B.分配角色和权限C.分配岗位与权限D.分配职责与权限正确答案：A[单选题]9.根据GB/T22080-2016标准，组织应在相关()上建立信息安全目标。A.职能和层次B.战略和意图C.战略和方针D.组织环境和相关方要求正确答案：A参考解析：GB/T22080-2016标准规定组织应在相关职能和层次上建立信息安全目标，这是标准中对于信息安全目标设立位置的明确要求。答案：A[单选题]10.根据GB/T22080-2016标准的要求，组织()实施风险评估。A.只需在重大变更发生时B.只需按计划的时间间隔C.应按计划的时间间隔或当重大变更提出或发生时D.应按计划的时间间隔且当重大变更提出或发生时正确答案：C参考解析：GB/T22080-2016标准要求组织实施风险评估，既不是只在重大变更发生时，也不是只按计划时间间隔，而是这两种情况都要考虑，即按计划时间间隔或当重大变更提出或发生时。答案：C[单选题]11.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”，对此以下说法正确的是()。A.附录A.8可以删减B.附录A.17可以删减C.附录A.12可以删减D.附录A.14可以删减正确答案：D参考解析：附录A.8是信息资产的分类与控制，对于提供IDC基础设施服务的机构，信息资产的管理至关重要，不能删减；附录A.17是信息安全的独立评审，对ISMS认证范围评估等很关键，不能删减；附录A.12是运营安全，IDC基础设施服务运营涉及众多安全方面，不能删减；附录A.14主要针对信息系统获取、开发和维护，而该数据中心认证范围仅为“IDC基础设施服务的提供”，相对不涉及信息系统获取、开发等环节，可考虑删减。答案：D[单选题]12.根据GB/T22080-2016标准中控制措施的要求，关于技术脆弱性管理，以下说法正确的是()。A.技术脆弱性应单独管理，与事件管理没有关联B.及时获取在用的信息系统的技术方面的脆弱性信息C.了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险验越小D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径正确答案：B参考解析：A选项，技术脆弱性管理与事件管理有关联，不是单独管理，A错误；C选项，了解技术脆弱性公众范围越广，风险可能越大，C错误；D选项，不能盲目安装所有补丁，要评估后安装，不是最佳途径，D错误。B选项，及时获取在用信息系统技术方面脆弱性信息，符合标准要求。答案：B[单选题]13.根据GB/T22080-2016标准中控制措施的要求，关于资产清单，正确的是()。？A.做好资产整理是其基础B.识别信息，以及与信息和信息处理设施相关的其他资产C.识别和完整采用组织的固定资产台账，同时指定资产责任人D.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高正确答案：B参考解析：资产清单需识别信息及与信息和信息处理设施相关其他资产。A选项“做好资产整理”表述模糊；C选项仅依赖固定资产台账不全面；D选项资产重要性并非单纯由价格决定。答案：B[单选题]14.根据GB/T22080-2016中控制措施的要求，为了确保布缆安全，以下正确的做法是()。A.为了防止干扰，电源电缆宜与通信电缆分开B.使用同一电缆管道铺设电源电缆和通信电缆C.网络电缆采用明线架设，以便于探查故障和维修D.配线盘应尽量放置在公共可访问区域，以便于应急管理正确答案：A参考解析：A选项符合确保布缆安全，防止干扰的要求；B选项同一电缆管道铺设电源和通信电缆易引发干扰等安全问题；C选项网络电缆明线架设存在物理损坏等安全风险；D选项配线盘放公共可访问区域易被误操作或破坏，不安全。答案选A。[单选题]15.()不是保护办公室、房间和设施的安全的考虑措施。A.电磁屏蔽B.关键设施的安置避免公众访问的场地C.配置设施以防保密信息被外部可视或可听D.建筑物内侧或外侧以明确标记给出其用途的指示正确答案：D参考解析：选项A电磁屏蔽可防止信息通过电磁泄露，保护安全；选项B关键设施避开公众场地能减少安全风险；选项C防止保密信息被外部可视可听也是安全保护。而选项D建筑物给出用途指示，可能会让别有用心的人知晓内部情况，不利于安全保护。答案：D[单选题]16.投诉受理后收到的每件投诉都应该按照准则进行初步评估，评估的内容不包括()。？A.风险偏好B.复杂程度C.影响程度D.严重程度正确答案：A参考解析：在投诉初步评估中，复杂程度、影响程度、严重程度都是对投诉本身性质及后果等方面很直观且常见的评估内容。而风险偏好主要是指机构或个人对风险的态度和承受能力，与投诉本身的特性关联不大，并非对投诉进行初步评估的内容。答案：A[单选题]17.根据GB/T28450《信息安全技术信息安全管理体系审核指南》标准，ISMS的规模不包括()。A.组织的部门数量B.信息系统的数量C.ISMS覆盖的场所数量D.在组织控制下开展工作的人员总数，以及与ISMS有关的相关方和合同方正确答案：A[单选题]18.形成ISMS审核发现时，不需要考虑的是()。A.所实施控制措施的有效性B.所实施控制措施的时效性C.适用性声明的完备性和合理性D.所实施控制措施与适用性声明的符合性正确答案：B参考解析：ISMS（信息安全管理体系）审核发现重点关注控制措施有效性、与适用性声明的符合性以及适用性声明本身完备合理等方面。而时效性通常不是审核发现重点考虑的关键因素，控制措施关键在于是否有效、是否符合声明等，而非实施时间的时效性特点。答案：B[单选题]19.根据GB/T28450标准，ISMS文件评审不包括()。A.风险处置计划的完备性B.风险评估报告的合理性C.适用性声明的完备性和合理性D.信息安全管理手册的充分性正确答案：D[单选题]20.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，信息安全的保密性是指()。A.保证信息不被其他人使用B.保护信息准确和完整的特性C.根据授权实体的要求可访问的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性正确答案：D参考解析：保密性强调信息不被未授权者知晓。A选项“不被其他人使用”说法不准确，保密性主要针对知悉层面；B选项是完整性的概念；C选项是可用性概念。D选项准确阐述了保密性。答案：D[单选题]21.根据ISO/IEC27000标准，()为组织提供了信息安全管理体系实施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27003D.ISO/IEC27013正确答案：C参考解析：ISO/IEC27003是信息安全管理体系实施指南。答案：C[单选题]22.GB/Z20986《信息安全技术信息安全事件分类分级指南》规定，未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件是()。A.信息窃取事件B.信息泄漏事件C.信息算改事件D.信息假冒事件正确答案：C参考解析：题干强调未经授权将信息更换为攻击者提供的信息，这符合信息篡改事件中对信息进行更改的特征。答案：C[单选题]23.下列关于DMZ区的说法错误的是()。A.DMZ可以访问内部网络B.内部网络可以无限制地访问外部网络以及DMZC.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作D.通常DMZ包含允许来自互联网的通信可进入的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等正确答案：A参考解析：这是一道关于网络安全中DMZ区域（隔离区）功能与特性的选择题。我们可以简要梳理下题目中的各个选项：A.DMZ可以访问内部网络-这个说法通常是不准确的。DMZ区域的设计初衷是为了放置那些需要对外提供服务但又不应直接暴露给互联网的设备，如Web服务器。为了安全起见，DMZ通常被配置为不能主动访问内部网络，而是限制在特定的、受控的通信范围内。B.内部网络可以无限制地访问外部网络以及DMZ-这个说法在一定程度上是正确的，但“无限制”这一表述可能引发误解。内部网络确实可以访问外部网络，也可以访问DMZ中的特定服务，但这并不意味着没有任何限制或安全策略。不过，相较于A选项，此选项的核心意思更接近正确。C.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作-这描述了一种常见的网络安全架构策略，在这种配置中，主防火墙确实常采用NAT（网络地址转换）方式工作，以增加额外的安全层。D.通常DMZ包含允许来自互联网的通信可进入的设备，如Web服务器、FTP服务器等-这是对DMZ功能的准确描述。DMZ区域就是为了放置这些需要对外提供服务的设备而设立的。综上所述，A选项“DMZ可以访问内部网络”是错误的，因为DMZ的设计原则就是限制其对内部网络的访问权限，以增强网络安全。所以，正确答案是A。[单选题]24.关于顾客满意以下说法错误的是()。A.顾客满意是指顾客对其期望已被满足程度的感受B.确保规定的顾客要求符合顾客的愿望并得到满足，就能确保顾客很满意C.投诉是一种满意程度低的最常见的表达方式，但没有投诉并不一定表明顾客很满意D.为了实现较高的顾客满意，可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望正确答案：A[单选题]25.关于“监控系统”的存取与使用，下列说法正确的是()。A.应保持时钟同步B.监控系统所产生的记录可由用户任意存取C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略正确答案：A参考解析：B选项用户任意存取记录缺乏安全管控不合理；C选项仅在异常及安全事件时监控太局限，日常也需监控；D选项监控系统很重要，不能因投资和影响效能省略。A选项保持时钟同步对于准确记录事件等很有必要，是合理的。答案：A[单选题]26.若通过桌面系统对终端实行引IP、MAC绑定，该网络IP地址分配方式应为()。A.动态B.静态C.静态、动态均可D.静态达到50%以上即可正确答案：B参考解析：IP、MAC绑定需要固定的IP地址，动态分配的IP地址会变化，无法稳定绑定，只有静态分配IP地址才能实现IP与MAC的绑定。答案：B[单选题]27.在以下认为的恶意攻击行为中，属于主动攻击的是()。A.数据篡改B.数据窃听C.非法访问D.数据流分析正确答案：A参考解析：主动攻击是指攻击者对连接中通过的协议数据单元（PDU）进行各种处理，如修改、删除、重放、伪造等，试图改变系统资源或影响系统运行。数据篡改是对数据进行了修改操作，属于主动攻击。而数据窃听、数据流分析主要是获取信息，非法访问只是未经授权进入系统，未改变数据等，属于被动攻击。答案：A[单选题]28.关于信息安全风险评估，以下说法正确的是()。A.风险评估包括风险管理与风险评价B.组织应基于其整体业务活动所在的环境和风险考虑其信息安全管理体系的设计C.风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性D.如果集团企业的各地分子公司业务性质相同，则针对一个分子公司识别、评价风险即可，其风险评估过程和结果文件其他分子公司可直接采用，以节省重复识别和计算的工作品正确答案：B参考解析：A选项风险评估主要是对信息资产面临的威胁、存在的弱点等评估，风险管理包含风险评估等多个环节，A说法错误；B选项组织确实应基于整体业务环境和风险来设计信息安全管理体系，该说法合理；C选项业务等情况变化时，风险评估参数赋值应调整，C错误；D选项各地分子公司虽业务性质相同，但所处环境等可能不同，不能直接照搬风险评估过程和结果，D错误。答案：B[单选题]29.在物联网中，M2M通常由三部分组成，下面哪项不是其组成部分？()A.主机部分B.网络部分C.应用部分D.终端部分正确答案：A参考解析：M2M通常包含终端部分（实现数据采集等）、网络部分（负责数据传输）、应用部分（对数据进行处理和应用），主机部分一般不属于其常见组成部分。答案：A[单选题]30.()是建立有效的计算机病毒防御体系所需要的技术措施。A.漏洞扫描、网络入侵检测和防火墙B.漏洞扫描、补丁管理系统和防火墙C.网络入侵检测、防病毒系统和防火墙D.补丁管理系统、网络入侵检测和防火墙正确答案：B参考解析：建立有效的计算机病毒防御体系，漏洞扫描可发现系统漏洞，补丁管理系统能及时修复漏洞，防火墙可阻挡外部非法访问与部分病毒入侵。网络入侵检测主要针对网络攻击，对计算机病毒防御不是最关键。所以应选包含漏洞扫描、补丁管理系统和防火墙的选项。答案：B[单选题]31.《中华人民共和国网络安全法》要求网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于()。A.6个月B.1个月C.3个月D.12个月正确答案：A参考解析：《中华人民共和国网络安全法》明确规定网络运营者留存相关网络日志需不少于6个月。答案：A[单选题]32.根据《中华人民共和国保守国家秘密法》，国家秘密的最高密级为()。A.秘密B.机密C.特密D.绝密正确答案：D参考解析：《中华人民共和国保守国家秘密法》规定，国家秘密的密级分为绝密、机密、秘密三级，其中绝密是最高密级。答案：D[单选题]33.根据《中华人民共和国保守国家秘密法》，国家秘密的保密期限应为()。A.绝密不低于三十年，机密不低于二十年，秘密不低于十年B.绝密不超过三十年，机密不超过二十年，秘密不超过十年C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年正确答案：B参考解析：《中华人民共和国保守国家秘密法》规定国家秘密的保密期限，绝密级不超过三十年，机密级不超过二十年，秘密级不超过十年。答案：B[单选题]34.根据《中华人民共和国密码法》，国家对密码实行()管理。A.分类B.有效C.统筹D.统一正确答案：A参考解析：《中华人民共和国密码法》规定国家对密码实行分类管理，这是基于不同密码的功能、应用场景及重要程度等多方面考虑的管理方式。答案：A[单选题]35.根据《信息安全等级保护管理办法》，信息系统安全等级分为五级，以下说法正确的是()。A.二级系统和五级系统不进行测评B.二级系统每年进行一次测评，三级系统每年进行二次测评C.三级系统每年进行一次测评，四级系统每年进行二次测评D.四级系统每年进行二次测评，五级系统每季度进行一次测评正确答案：C参考解析：根据相关规定，三级系统每年进行一次测评，四级系统每半年进行一次测评（即每年进行二次测评）。二级系统一般不需要进行测评，但存在特定情况时需测评。五级系统由于涉及国家安全等特殊情况，其测评方式较为特殊不常规公开。A选项中五级虽特殊但并非不测评；B选项二级一般不评且三级一年一次；D选项五级不是每季度测评。答案：C[单选题]36.《信息安全等级保护管理办法》规定()级保护时，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。A.2B.3C.4D.5正确答案：C[单选题]37.根据GB17859《计算机信息系统安全保护等级划分准则》标准，以下说法错误的是()。A.信道是系统内的信息传输路径B.访问监控器是监控器主体和客体之间授权访问关系的部件C.敏感标记表示主体安全级别并描述主体数据敏感性的一组信息D.安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则正确答案：C参考解析：敏感标记是表示客体安全级别并描述客体数据敏感性的一组信息，而不是主体，C选项说法错误。A选项对信道、B选项对访问监控器、D选项对安全策略的表述正确。答案：C[单选题]38.《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A.2011B.2017C.2019D.2016正确答案：A参考解析：《互联网信息服务管理办法》是2000年9月25日发布，2011年1月8日修订，现行有效的是2011年修订版本。答案选A。[单选题]39.《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()。A.许可制度B.地方经营C.国家经营D.备案制度正确答案：A参考解析：《互联网信息服务管理办法》明确规定，国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。答案选A。[单选题]40.《网络安全审查办法》的制定，是为了()。A.保守国家秘密，维护国家安全和利益B.保障网络安全，维护网络空间主权和国家安全C.确保关键信息基础设施供应链安全，维护国家安全D.规范互联网信息服务活动，促进互联网信息服务健康有序发展正确答案：B[多选题]1.以下()活动是ISMS建立阶段应完成的内容。A.确定ISMS方针B.实施体系文件培训C.确定ISMS的范围和边界D.确定风险评估方法和实施正确答案：AC[多选题]2.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，风险描述的要素包括()。A.后果B.威胁C.脆弱性D.可能性正确答案：AD参考解析：风险描述通常要涵盖风险发生的可能性以及一旦发生所带来的后果。威胁和脆弱性是引发风险的因素，但不属于风险描述直接的要素。所以风险描述要素包括可能性和后果。答案：AD[多选题]3.信息安全是保证信息的()，另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A.可用性B.机密性C.完备性D.完整性正确答案：ABD参考解析：信息安全通常强调的是可用性、机密性和完整性。完备性并非信息安全核心特性表述。而题干所问是信息安全保证信息的特性，可用性、机密性、完整性都符合信息安全范畴。综合常见表述，信息安全主要保证信息的可用性、机密性、完整性，这题全选ABD更合适，一般信息安全特性表述中不单独突出完备性。答案：ABD[多选题]4.以下属于相关方的是()。A.顾客B.供方C.所有者D.组织内的人员正确答案：ABCD参考解析：相关方是指可影响决策或活动、受决策或活动影响，或自认为受决策或活动影响的个人或组织。顾客、供方、所有者、组织内人员都符合相关方定义。答案：ABCD。[多选题]5.依据GB/T22080-2016，经管理层批准，定期评审的信息安全策略包括()。A.信息备份策略B.访问控制策略C.信息传输策略D.密钥管理策略正确答案：ABCD[多选题]6.根据GB/T22080-2016标准的要求，下列说法正确的是()。A.残余风险需要获得风险责任人的批准B.组织控制下的员工应了解信息安全方针C.保留有关信息安全风险处置过程的文件化信息D.适用性声明需要包含必要的控制及其选择的合理性说明正确答案：ABCD[多选题]7.移动设备策略宜考虑()。A.访问控制B.移动设备注册C.恶意软件防范D.物理保护要求正确答案：ABCD参考解析：移动设备策略需综合多方面，访问控制确保合法访问，移动设备注册便于管理，恶意软件防范保障安全，物理保护防止设备丢失损坏等，这些都是移动设备策略应考虑要点。答案：ABCD[多选题]8.根据GB/T22080-2016标准的要求，管理评审是为了确保信息安全管理体系持续的()。A.充分性B.符合性C.有效性D.适宜性正确答案：ACD参考解析：GB/T22080-2016标准要求管理评审确保信息安全管理体系持续的充分性、有效性和适宜性，符合性并非管理评审主要确保的方面。答案：ACD[多选题]9.针对系统和应用访问控制，以下做法不正确的是()。A.对于数据库系统审计人员开放不限时权限B.登录之后，不活动超过规定时间强制使其退出登录C.对于修改系统核心业务运行数据的操作限定操作时间D.用户尝试登录失败时，明确提示其用户名错误或口令错误正确答案：AD[多选题]10.对于组织在风险处置过程中所选的控制措施，以下说法正确的是()。A.规避风险B.可以将风险转移C.所有风险都必须被降低到可接受的级别D.在满足公司策略和方针条件下，有意识、客观地接受风险正确答案：AB[多选题]11.风险处置的可选措施包括()。A.风险识别B.风险分析C.风险转移D.风险减缓正确答案：CD参考解析：风险识别和风险分析是风险评估阶段的内容，并非风险处置措施。而风险转移和风险减缓属于对风险进行处置的手段。答案：CD[多选题]12.认证机构应有验证审核组成员背景经验，特定培训或情况的准则，以确保审核组至少具备()。A.信息安全的知识B.管理体系的知识C.与受审核活动相关的技术知识D.ISMS监视、测量、分析和评价的知识正确答案：ABCD[多选题]13.可用于信息安全风险分析的方法包括()。A.场景分析法B.ATA（攻击路径分析）法C.FMEA（失效模式分析）法D.HACCP（危害分析与关键控制点）法正确答案：AD[多选题]14.《中华人民共和国网络安全法》适用于在中华人民共和国境内()网络，以及网络安全的监督管理。A.使用B.建设C.运营D.维护正确答案：ABCD参考解析：《中华人民共和国网络安全法》适用于境内网络的建设、运营、维护和使用等各环节以及网络安全监督管理。这几个选项并非孤立，网络从建设开始，到运营、维护、使用的整个生命周期都在该法规范范畴。答案：ABCD[判断题]1.2008年6月19日，全国信息安全标准化技术委员会等同采用ISO/IEC27001:2005《信息安全管理体系要求》，仅有编辑性修改。A.正确B.错误正确答案：A参考解析：需了解我国对ISO/IEC27001:2005的采用情况。实际上，我国确实在2008年6月19日等同采用该标准且仅有编辑性修改。[判断题]2.ISO/IEC27018标准是信息技术、安全技术作为PⅡ处理者在公有云中保护个人身份信息（PⅡ）的实践规范。A.正确B.错误正确答案：A参考解析：ISO/IEC27018