2025年ISMS信息安全管理体系基础考前点题卷二

2025年ISMS信息安全管理体系基础考前点题卷二[单选题]1.信息安全管理体系审核是用来确定()A.组织的管理效率B.产品和服务符合有关法律法规程度C.信息安全管理体系满足审核准则的程度D.信息安全（江南博哥）手册与标准的符合程度正确答案：C参考解析：信息安全管理体系审核主要目的就是判定该体系是否满足审核准则要求。A选项管理效率并非审核重点；B选项产品和服务合规程度不是信息安全管理体系审核核心；D选项只关注手册与标准符合程度太片面。答案：C[单选题]2.信息安全控制措施是指()A.管理信息安全风险的一种方法B.规程指南C.信息安全技术D.以上都不对正确答案：A参考解析：信息安全控制措施本质上是对信息安全风险进行管理的方式，通过各种手段降低风险。规程指南只是控制措施中的一部分，信息安全技术也只是实现控制措施的一种手段，它们都不能全面涵盖信息安全控制措施的概念。答案：A[单选题]3.访问控制是指确定()以及实施访问权限的过程。A.用户权限B.可给予哪些主体访问权利C.可被用户访问的资源D.系统是否遭受入侵正确答案：B参考解析：访问控制主要是围绕主体（如用户等）对客体（资源）的访问权利展开，重点在于明确哪些主体能获得访问权利。A选项用户权限只是结果，不是确定的过程；C选项强调资源，未突出主体的访问权利确定；D选项系统是否遭受入侵与访问控制确定主体访问权利的核心内容无关。B选项符合访问控制确定主体访问权利过程的描述。答案：B[单选题]4.信息安全管理体系的要求类标准是()A.GB/T22080-2016B.GB/T22081-2008C.ISO/IEC27003D.IS0/IEC27004正确答案：A参考解析：GB/T22080-2016《信息技术安全技术信息安全管理体系要求》，它属于信息安全管理体系要求类标准。其他选项GB/T22081-2008是实施指南，ISO/IEC27003是实施指南，ISO/IEC27004是度量。答案：A[单选题]5.下列不属于GB/T22080-2016/IS0/IEC27001:2013附录A中A8资产管理规定的控制目标的是()A.资产归还B.资产分发C.资产的处理D.资产清单正确答案：B参考解析：GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标主要围绕资产的识别、管理及处置等，资产分发不属于其规定的控制目标。答案：B[单选题]6.下列信息系统安全说法正确的是()A.加固所有的服务器和网络设备就可以保证网络的安全B.只要资金允许就可以实现绝对的安全C.断开所有的服务可以保证信息系统的安全D.信息系统安全状态会随着业务的变化而变化，因此网络安全状态需要根据业务而调整相应的网络安全策略正确答案：D参考解析：A选项，仅加固服务器和网络设备不能确保网络全方位安全；B选项，不存在绝对安全，即便资金充足也不行；C选项，断开所有服务系统将无法正常运行。D选项说法合理，业务变化会影响安全状态，需相应调整安全策略。答案：D[单选题]7.安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略？()A.基本角色的策略B.基于身份的策略C.用户向导的策略D.强制性访问控制策略正确答案：D参考解析：安全标签常与强制性访问控制策略配合使用，通过为主体和客体分配不同安全标签来进行访问控制决策。答案：D[单选题]8.访问控制是为了保护信息的()A.完整性和机密性B.可用性和机密性C.可用性和完整性D.以上都是正确答案：A[单选题]9.关于入侵检测，以下不正确的是()A.入侵检测是一个采集知识的过程B.入侵检测指信息安全事件响应过程C.分析反常的使用模式是入侵检测模式之一D.入侵检测包括收集被利用脆弱性发生的时间信息正确答案：B参考解析：入侵检测主要是对系统或网络活动进行监视和分析以发现入侵行为，它不是信息安全事件响应过程，信息安全事件响应是在检测到入侵后的一系列处理动作。而采集知识、分析反常模式、收集脆弱性发生时间信息都属于入侵检测相关内容。答案：B[单选题]10.文件化信息是指()A.组织创建的文件B.组织拥有的文件C.组织要求控制和维护的信息及包含该信息的介质D.对组织有价值的文件正确答案：C参考解析：文件化信息强调的是组织要进行控制和维护的信息以及承载这些信息的介质，这是对文件化信息较为全面准确的定义。选项A仅强调创建，不全面；选项B拥有不代表控制和维护；选项D仅提及有价值，未涵盖控制和维护及介质等关键要点。答案：C[单选题]11.加强网络安全性的最重要的基础措施是()A.设计有效的网络安全策略B.选择更安全的操作系统C.安装杀毒软件D.加强安全教育正确答案：A参考解析：网络安全策略是从整体上对网络安全进行规划、指导和约束，为网络安全提供方向和框架，是加强网络安全性最重要基础措施。其他选项如选择操作系统、安装杀毒软件、加强安全教育虽也重要，但都是基于策略框架下具体实施内容。答案：A[单选题]12.GB/T22080_2016ASO/IEC27001:2013标准附录A有()安全域。A.18个B.16个C.15个D.14个正确答案：D参考解析：GB/T22080-2016/ISO/IEC27001:2013标准附录A有14个安全域。这是标准中的固定内容，需要记忆。答案：D[单选题]13.信息安全管理体系中提到的“资产责任人”是指:A.对资产拥有财产权的人B.使用资产的人C.有权限变更资产安全属性的人D.资产所在部门负责人正确答案：C参考解析：资产责任人通常是对资产安全属性有变更权限，能对资产安全负责的人。A选项仅强调财产权，未突出安全管理；B选项使用资产的人不一定能负责资产安全；D选项部门负责人不一定直接针对资产安全属性操作。C选项符合资产责任人对资产安全管理的关键要点。答案：C[单选题]14.下列管理评审的方式，哪个不满足标准的要求？()A.组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B.通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性的评审C.通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D.通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审正确答案：A参考解析：管理评审应由最高管理者主持，重点是最高管理层自身对管理体系进行评审。A选项是组织外部评审团队进行评审，主体不符合要求。答案：A[单选题]15.下列哪一种情况下，网络数据管理协议（NDMP）可用于备份？()A.需要使用网络附加存储设备（NAS）时B.不能使用TCP/IP的环境中C.需要备份旧的备份系统不能处理的文件许可时D.要保证跨多个数据卷的备份连续、一致时正确答案：A参考解析：NDMP常用于NAS环境的备份，因为NAS设备数据备份场景需要高效的网络备份协议，NDMP能满足其需求。B选项，NDMP基于TCP/IP；C选项，未体现与处理文件许可相关的特性；D选项，这不是NDMP专门针对跨数据卷备份连续一致的特点。答案：A[单选题]16.依据GB/T22080/IEC27001，不属于第三方服务监视和评审范畴的是：()A.监视和评审服务级别协议的符合性B.监视和评审服务方人员聘用和考核的流程C.监视和评审服务交付遵从协议规定的安全要求的程度D.监视和评审服务方跟踪处理信息安全事件的能力正确答案：B参考解析：选项A、C、D都直接与服务过程中涉及的协议符合性、安全要求遵从程度、信息安全事件处理能力等与第三方服务质量和安全相关，属于监视和评审范畴。而服务方人员聘用和考核流程主要是服务方内部人力资源管理事务，与对第三方服务直接的监视和评审关联不大。答案：B[单选题]17.依据GB/T22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是()A.业务战略B.法律法规要求C.合同要求D.以上全部正确答案：D参考解析：制定信息安全管理体系方针时，业务战略决定了信息安全管理的方向和重点，要与之匹配；法律法规要求是必须遵循的底线，违反将带来严重后果；合同要求涉及与外部相关方约定，也需考虑。所以这几方面都要作为输入。答案：D[单选题]18.在信息安全管理体系审核时，应遵循()原则。A.保密性和基于准则的B.保密性和基于风险的C.系统性和基于风险的D.系统性和基于准则的正确答案：B[单选题]19.保密协议或不泄露协议至少应包括：()A.组织和员工双方的信息安全职责和责任B.员工的信息安全职责和责任C.组织的信息安全职责和责任D.纪律处罚规定正确答案：A参考解析：保密协议或不泄露协议需明确双方对于信息安全方面的职责与责任，这样才能规范双方行为保障信息安全，只强调一方职责不全面，纪律处罚规定并非最核心和至少应包含内容。答案：A[单选题]20.开发、测试和()设施应分离，以减少未授权访问或改变运行系统的风险A.配置B.系统C.终端D.运行正确答案：D参考解析：开发、测试与运行阶段所处状态不同，为减少未授权访问或改变运行系统风险，运行设施需和开发、测试设施分离。答案：D[单选题]21.关于文件管理下列说法错误的是()A.文件发布前应得到批准，以确保文件是适宜的B.必要时对文件进行评审.更新并再次批准C.应确保文件保持清晰，易于识别D.作废文件应及时销毁，防止错误使用正确答案：D参考解析：作废文件不一定都要及时销毁，有些作废文件出于法律、知识保留等目的，可能需要保留，比如用于追溯、参考等。答案：D[单选题]22.信息系统审计()A.是发现信息系统脆弱性的手段之一B.应在系统运行期间进行，以便于准确地发现弱点C.审核工具在组织内应公开可获取，以便于提升员工的能力D.只要定期进行，就可以替代内部ISMS审核正确答案：A参考解析：信息系统审计能发现系统脆弱性；系统运行前、中、后都可审计，不只是运行期间；审核工具涉及敏感信息，不能随意公开；信息系统审计不能替代内部ISMS审核。综上，A正确。答案：A[单选题]23.描述与组织信息安全管理体系相关的和适用的控制措施的文档是()A.信息安全管理体系方针B.适用性声明C.信息安全管理体系范围D.风险评估程序正确答案：B参考解析：适用性声明是描述与组织信息安全管理体系相关的和适用的控制措施的文档，它要阐述组织选择了哪些控制措施以及选择的理由等。而信息安全管理体系方针主要是关于整体安全管理方向和原则；信息安全管理体系范围界定的是体系所覆盖的领域；风险评估程序是进行风险评估的流程步骤相关文档，均不符合描述控制措施这一内容。答案：B[单选题]24.风险处置计划，应()A.获得风险责任人的批准，同时获得对残余风险的批准B.获得最高管理者的批准，同时获得对残余风险的批准C.获得风险部门负责人的批准，同时获得对残余风险的批准D.获得管理者代表的批准，同时获得对残余风险的批准正确答案：A[单选题]25.对于信息安全方针，()是GB/T22080-2016/IS0/IEC27001:2013所要求的。A.信息安全方针应形成文件B.信息安全方针文件为公司内部重要信息，不得向外部泄露C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D.信息安全方针是建立信息安全工作的总方向和原则，不可变更正确答案：A参考解析：GB/T22080-2016/ISO/IEC27001:2013要求信息安全方针应形成文件，以确保组织内信息安全工作有明确指引。B选项，未要求不得向外部泄露；C选项，职责定义不是方针文件必须包含；D选项，方针可根据组织需求等变更。答案：A[单选题]26.GB/T22080-2016标准中所指资产的价值取决于()A.资产的价格B.资产对于业务的敏感度C.资产的折损率D.以上全部正确答案：B[单选题]27.虚拟专用网（VPN）的数据保密性，是通过什么实现的？()A.安全接口层（SSL，SecureSocketsLayer）B.风险險道技术（Tunnelling）C.数字签名D.风险钓鱼正确答案：B参考解析：VPN主要通过隧道技术对数据进行封装，在公网上传输，从而实现数据保密性。A选项SSL常用于Web安全通信；C选项数字签名主要用于认证和防抵赖；D选项风险钓鱼是网络攻击手段，和VPN保密性无关。答案：B[单选题]28.《计算机信息系统安全保护条例》中所称计算机信息系统，是指：()A.对信息进行采集、加工、存储、传输、检索等处理的人机系统B.计算机及其相关的设备、设施，不包括软件C.计算机运算环境的总和，但不含网络D.—个组织所有计算机的总和，包括未联网的微型计算机正确答案：A参考解析：《计算机信息系统安全保护条例》中对计算机信息系统的定义是对信息进行采集、加工、存储、传输、检索等处理的人机系统。B选项不包含软件错误；C选项不含网络错误；D选项表述不准确，不是简单所有计算机总和。答案：A[单选题]29.关于互联网信息服务，以下说法正确的是：()A.互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B.非经营性互联网信息服务未取得许可不得进行C.从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D.经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动正确答案：C参考解析：经营性互联网信息服务需许可，非经营性互联网信息服务需备案。A项说经营性互联网信息服务备案错误，应是许可。B项非经营性互联网信息服务是备案不是许可，该项说法错误。C项，从事经营性互联网信息服务，确实应符合《中华人民共和国电信条例》规定要求，该项正确。D项，经营性互联网信息服务是有偿提供服务，不是无偿，该项错误。答案：C[单选题]30.信息分级的目的是()A.确保信息按照其对组织的重要程度受到适当级别的保护B.确保信息按照其级别得到适当的保护C.确保信息得到保护D.确保信息按照其级别得到处理正确答案：A参考解析：信息分级主要就是依据信息对组织的重要程度，划分不同级别，进而实施相应级别的保护。A选项准确表述了这一目的；B选项未明确依据重要程度分级；C选项表述太宽泛，未体现分级；D选项说的是按级别处理而非保护。所以答案是A。[单选题]31.某种网络安全威胁是通过非法手段对数据进行恶意修改，这种安全威胁属于()A.窃听数据B.破坏数据完整性C.破坏数据可用性D.物理安全威胁正确答案：B参考解析：题目强调对数据进行恶意修改，而破坏数据完整性就是非法改变数据的内容，使其失去原本的完整状态。窃听数据主要是获取数据内容，不涉及修改；破坏数据可用性是让数据无法正常使用，不是修改数据；物理安全威胁侧重于物理层面如硬件设施等受到威胁，和数据修改无关。所以选B。答案：B[单选题]32.容量管理的对象是()A.信息系统内存B.办公室空间和基础设施C.人力资源D.A+B+C正确答案：D参考解析：容量管理旨在确保信息技术资源在数量和性能上能够满足当前及未来业务需求，信息系统内存、办公室空间及基础设施、人力资源都属于会影响业务处理能力和资源承载量的对象，都在容量管理范畴。答案：D[单选题]33.信息安全管理体系的设计应考虑()A.组织的战略B.组织的目标和需求C.组织的业务过程性质D.以上全部正确答案：D参考解析：信息安全管理体系设计时，组织战略决定方向，目标和需求明确要达成的效果与实际需要，业务过程性质影响具体安全措施的制定，这三方面都对体系设计至关重要。答案：D。[单选题]34.信息安全是保证信息的保密性、完整性、()。A.充分性B.适宜性C.可用性D.有效性正确答案：C参考解析：信息安全的基本属性包括保密性、完整性和可用性。选项A充分性、B适宜性、D有效性并非信息安全核心属性。答案：C[单选题]35.ISMS文件的多少和详细程度取决于()A.组织的规模和活动的类型B.过程及其相互作用的复杂程度C.人员的能力D.以上都对正确答案：D参考解析：ISMS文件即信息安全管理体系文件，其多少与详细程度并非由单一因素决定。组织规模大小、活动类型不同，会影响文件构建；过程及相互作用复杂程度不同，所需文件的详细程度等也不同；人员能力不同，文件也需适配，以便人员理解执行。所以这三个因素都对ISMS文件有影响。答案：D[单选题]36.关于信息安全风险评估，以下说法正确的是()A.如果集团企业的各地分/子公司业务性质相同，则针对一个分/子公司识别，评价风险即可，其风险评估过程和结果文件其他分/子公司可直接采用，以节省重要识别和计算的工作量B.风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性C.组织应基于其整体业务活动所在的环境和风险考虑其ISMS设计D.以上都对正确答案：C参考解析：A选项，各地分/子公司虽业务性质相同，但所处环境等可能不同，不能直接采用同一风险评估结果；B选项，随着内外部环境变化，风险评估参数赋值应适时调整；C选项说法正确，组织设计ISMS（信息安全管理体系）需基于整体业务环境和风险。答案：C[单选题]37.关于信息安全管理中的“脆弱性”，以下正确的是：()A.脆弱性是威胁的一种，可以导致信息安全风险B.网络中“钓鱼”软件的存在，是网络的脆弱性C.允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D.以上全部正确答案：C参考解析：脆弱性是指系统、资产或环境中存在的可能被威胁利用的弱点。A选项，脆弱性不是威胁，威胁是可能利用脆弱性导致不良影响的潜在事件，A错误。B选项，“钓鱼”软件是威胁源，不是网络自身的脆弱性，B错误。C选项，允许使用简单易记口令，如“1234”，这确实体现了口令管理方面存在易被破解等弱点，属于口令管理的脆弱性，C正确。答案：C[单选题]38.组织确定的信息安全管理体系范围应()A.形成文件化信息并可用B.形成记录并可用C.形成文件和记录并可用D.形成程序化信息并可用正确答案：A参考解析：信息安全管理体系范围需形成文件化信息，以便清晰界定和沟通等，文件化信息涵盖文件、记录等多种形式。选项A符合要求。答案：A[单选题]39.管理者应()A.制定ISMS方针B.制定ISMS目标和计划C.实施ISMS内部审核D.确保ISMS管理评审的执行正确答案：A[单选题]40.下列哪个选项不属于审核组长的职责？A.确定审核的需要和目的B.组织编制现场审核有关的工作文件C.主持首末次会议和审核组会议D.代表审核方与受审核方领导进行沟通正确答案：A参考解析：确定审核的需要和目的通常是审核委托方的职责，而非审核组长职责。审核组长主要负责组织现场审核相关工作，如组织编制工作文件、主持会议以及与受审核方沟通等。答案：A[单选题]41.在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级A.3B.4C.5D.6正确答案：C参考解析：我国《信息安全等级保护管理办法》明确规定信息系统安全等级分为五级，从第一级到第五级防护强度逐步增强。答案：C[单选题]42.信息系统的变更管理包括()A.系统更新的版本控制B.对变更申请的审核过程C.变更实施前的正式批准D.以上全部正确答案：D参考解析：信息系统变更管理涵盖多个方面，版本控制能确保系统更新有序，审核变更申请可评估其合理性与可行性，变更实施前正式批准是保证变更合规、可控。这些都是变更管理的重要内容。答案：D[单选题]43.以下不属于信息安全事态或事件的是()A.服务、设备或设施的丢失B.系统故障或超负载C.物理安全要求的违规D.安全策略变更的临时通知正确答案：D参考解析：信息安全事态或事件通常是对信息安全产生负面影响的情况。A选项服务等丢失、B选项系统故障超负载、C选项物理安全违规都可能威胁信息安全。而D选项安全策略变更的临时通知，本身不直接对信息安全造成负面影响，不属于信息安全事态或事件。答案：D[单选题]44.最高管理层应()，以确保信息安全管理体系符合本标准要求。A.分配职责与权限B.分配岗位与权限C.分配责任和权限D.分配角色和权限正确答案：C参考解析：答案：C参考27001附录A.5.1，最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。本题选C，即分配责任和权限。[单选题]45.防止计算机中信息被窃采取的手段不包括()A.用户识别B.权限控制C.数据加密D.病毒控制正确答案：D参考解析：用户识别可确认访问者身份，防止非法人员获取信息；权限控制限定不同用户对信息的访问级别，保护信息安全；数据加密将数据转换为密文，即使被窃也难以理解内容。这三项都能防止信息被窃。而病毒控制主要是针对计算机病毒的防治，避免病毒对系统和数据造成破坏等，并非直接防止信息被窃。答案：D[单选题]46.加强网络安全性的最重要的基础措施是()A.设计有效的网络安全策略B.选择更安全的操作系统C.安装杀毒软件D.加强安全教育正确答案：A参考解析：网络安全策略是从整体上对网络安全进行规划、指导与约束的方案，是加强网络安全性的基础，有了合适策略，才能更好地指导选择系统、安装杀毒软件及开展安全教育等后续工作。答案：A[单选题]47.安全扫描可以实现()A.弥补由于认证机制薄弱带来的问题B.弥补由于协议本身而产生的问题C.弥补防火墙对内网安全威胁检测不足的问题D.扫描检测所有的数据包攻击分析所有的数据流正确答案：C参考解析：安全扫描主要作用之一是检测防火墙对内网安全威胁检测存在的不足，发现潜在安全隐患。A选项认证机制薄弱问题、B选项协议本身问题难以单纯靠安全扫描弥补，D选项“所有数据包攻击、所有数据流”说法太绝对，安全扫描无法做到。答案：C[单选题]48.拒绝服务攻击损害了下列哪一种信息安全特性？()A.完整性B.可用性C.机密性D.可靠性正确答案：B参考解析：拒绝服务攻击的目的是使目标系统的资源被耗尽或服务被中断，让合法用户无法正常使用该服务，这主要损害的是信息的可用性。答案：B。[单选题]49.渗透测试()A.可能会导致业务系统无法正常运行B.是通过模拟恶意黑客攻击方法，来评估计算机网络系统安全的一种评估方法C.渗透测试人员在局域网中进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告D.必须在计算机网络系统首次使用前进行，以确保系统安全正确答案：B参考解析：渗透测试是一种评估计算机网络系统安全的方法，通过模拟黑客攻击来发现系统漏洞。A选项：可能导致业务系统无法正常运行。这是可能的，因为渗透测试可能会利用系统漏洞进行攻击，导致系统异常。B选项：正确描述了渗透测试的定义。C选项：错误，因为渗透测试不限于局域网中进行。D选项：错误，渗透测试不仅限于系统首次使用前进行。综上所述，正确答案为B。[单选题]50.()属于管理脆弱性的识别对象。A.物理环境B.网络结构C.应用系统D.技术管理正确答案：D参考解析：技术管理属于管理范畴，而物理环境、网络结构、应用系统多属于技术层面。管理脆弱性识别对象侧重于管理方面。答案：D[多选题]1.下列哪些选项是ISMS第一阶段审核的目的？()A.获取对组织信息安全管理体系的了解和认识B.了解客户组织的审核准备状况C.为计划二阶段审核提供重点D.确认组织的信息安全管理体系符合标准或规范性文件的所有要求正确答案：ABC参考解析：ISMS第一阶段审核主要是了解情况，为二阶段审核做准备。A选项获取对体系的了解认识、B选项了解审核准备状况、C选项为二阶段审核提供重点都属于第一阶段审核目的；而D选项确认体系符合所有要求是第二阶段审核的目的。答案：ABC[多选题]2.对于涉密信息系统，以下说法正确的是()。A.使用的信息安全保密产品原则上应当选用国产产品B.使用的信息安全保密产品应当通过国家保密局授权的检测机构的检测C.使用的信息安全保密产品应从由国家保密局审核发布的目录中选取D.总体保护水平应不低于国家信息安全等级保护第四级水平正确答案：ABC参考解析：答案：ABC[多选题]3.风险处置的可选措施包括()。A.风险识别B.风险分析C.风险转移D.风险减缓正确答案：CD参考解析：风险识别和风险分析属于风险评估阶段，并非风险处置措施。而风险转移和风险减缓是对已识别风险采取的处置手段。答案：CD[多选题]4.信息安全体系文件应包含()A.风险评估报告B.风险处置计划C.服务目录D.适用性声明正确答案：ABD[多选题]5.信息安全管理体系绩效测量的开发包括()A.选择目标和特性B.确定分析模型C.确定测量指标D.确定决策准则正确答案：ABCD参考解析：答案：ABCD信息安全管理体系绩效测量的开发包括选择目标和特性、确定分析模型、确定测量指标以及确定决策准则。这些步骤共同构成了信息安全管理体系绩效测量的完整流程，确保测量的有效性和准确性。[多选题]6.以下哪几项可以实现和保持对组织信息资产的适当保护()A.形成重要资产清单，并加以维护B.购买相同设备类型中价值最高的产品C.确定所有资产的责任人D.制定合乎公司要求的资产使用规则正确答案：ACD参考解析：A选项形成并维护重要资产清单能清楚掌握资产情况利于保护；C选项确定资产责任人可明确管理职责；D选项制定资产使用规则规范使用行为，都有助于对组织信息资产保护。B选项购买价值最高产品与对信息资产适当保护并无直接关联。答案：ACD[多选题]7.网络攻击的方式包括()A.信息搜集B.信息窃取C.系统利用D.资源损耗正确答案：ABCD参考解析：网络攻击方式多样，信息搜集是为攻击做准备，信息窃取获取重要数据，系统利用是借助系统漏洞实施攻击，资源损耗通过消耗目标资源影响其正常运行，这几种都属于常见网络攻击方式。答案：ABCD[多选题]8.信息安全面临哪些威胁A.信息间谍B.网络访问C.计算机病毒D.脆弱的信息系统正确答案：AC[多选题]9.关于信息安全风险自评估，下列选项正确的是()A.是指信息系统拥有,运营和使用单位发起的对本单位信息系统进行的风险评估B.周期性的自评估可以在评估流程上适当简化C.可由发起方实施或委托风险评估服务技术支持方实施D.由信息系统上级管理部门组织的风险评估正确答案：ABC参考解析：自评估是信息系统拥有、运营和使用单位自行发起对本单位信息系统的风险评估。可以自己实施，也可委托支持方实施。周期性自评估因对系统熟悉等原因，在评估流程上可适当简化。答案：ABC（D选项是上级管理部门组织，不属于自评估，自评估强调本单位自行发起）[多选题]10.对于组织在风险处置过程中所选的控制措施，以下说法正确的是()A.将所有风险都必须被降低至可接受的级别B.可以将风险转移C.在满足公司策略和方针条件下，有意识,客观地接受风险D.规避风险正确答案：BCD参考解析：答案：BCD在风险处置过程中，组织可以采取多种控制措施。选项B“可以将风险转移”是正确的，例如通过购买保险等方式将风险转移给第三方。选项C“在满足公司策略和方针条件下，有意识、客观地接受风险”也是正确的，这通常适用于那些经过评估后认为可以接受的风险。选项D“规避风险”同样正确，即通过改变计划或流程来完全避免某些风险。而选项A“将所有风险都必须被降低至可接受的级别”是不准确的，因为并非所有风险都能或都需要被降低，有时选择接受、转移或规避风险更为合适。[多选题]11.信息安全管理体系认证审核时的文件评审应包括()A.信息安全事件分析报告B.适用性声明C.信息安全风险评估报告D.信息安全风险处置计划正确答案：BCD参考解析：答案：BCD信息安全管理体系认证审核时的文件评审主要关注信息安全管理体系的相关文件，包括适用性声明（B）、信息安全风险评估报告（C）和信息安全风险处置计划（D），这些文件是信息安全管理体系的重要组成部分。而信息安全事件分析报告（A）更多是在信息安全事件发生后进行的分析，不属于文件评审的范畴。[多选题]12.降低系统失效风险的措施包括()。A.监视资源的使用，做出对于未来系统容量要求的预测B.在系统开发中使用密码措施来保护信息的策略C.在系统投入运行前，进行验收D.对系统进行备份正确答案：AC参考解析：答案：AC降低系统失效风险主要关注系统的稳定运行和应对能力。A选项通过监视资源使用并进行预测，有助于提前规划系统容量，避免因容量不足导致的失效。C选项在系统投入运行前进行验收，可以确保系统的基本功能和性能满足要求，减少运行中的失效风险。B选项虽然密码措施对保护信息很重要，但它不直接降低系统失效的风险。D选项对系统进行备份是重要的风险应对措施，但它更多是在系统失效后的恢复手段，而非直接降低失效风险的措施。[多选题]13.评价信息安全风险，包括()A.将风险分析的结果与信息安全风险准则进行比较B.确定风险的控制措施C.为风险处置排序以分析风险的优先级D.计算风险大小正确答案：AC参考解析：答案：AC这道题目考察的是对信息安全风险评估过程的理解。信息安全风险评估通常包括几个关键步骤：识别风险、分析风险、评价风险以及确定风险控制措施等。A选项“将风险分析的结果与信息安全风险准则进行比较”是评价风险的一个重要步骤，它涉及将分析出的风险与预先设定的风险接受准则相比较，以确定风险是否可接受。B选项“确定风险的控制措施”虽然是风险管理过程的一部分，但它不属于风险评价的阶段，而是风险处理阶段的内容。C选项“为风险处置排序以分析风险的优先级”是评价风险的另一个重要环节，它涉及根据风险的严重性和可能性等因素对风险进行排序，以确定哪些风险需要优先处理。D选项“计算风险大小”虽然听起来像是风险评估的一部分，但实际上在标准的风险评估过程中，并不直接“计算”风险的大小，而是通过分析风险的概率和影响来确定风险的优先级。综合以上分析，A和C选项更准确地描述了评价信息安全风险的过程，因此正确答案是AC。[多选题]14.以下做法正确的是()A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实业务案例和数据C.员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D.信息系统管理域内所有的终端启动屏幕保护时间应一致正确答案：AD[多选题]15.在未得到授权的前提下，以下属于信息安全“攻击”的是：()A.盗取、暴露、变更资产的行为B.破坏、或使资产失去预期功能的行为C.访问、使用资产的行为D.监视和获取资产使用状态信息的行为正确答案：ABCD参考解析：答案：ABCD信息安全“攻击”通常指的是任何未经授权的尝试，旨在破坏、干扰或窃取信息资产的行为。从这个定义出发，我们可以分析每个选项：A.盗取、暴露、变更资产的行为-这些都是明显的未经授权的侵犯信息安全的行为，因此属于信息安全“攻击”。B.破坏、或使资产失去预期功能的行为-这同样是未经授权的干扰信息资产正常使用的行为，也属于信息安全“攻击”。C.访问、使用资产的行为-如果没有得到授权，任何访问或使用信息资产的行为都可以被视为一种“攻击”，因为它侵犯了信息的保密性。D.监视和获取资产使用状态信息的行为-这种行为通常是为了进一步的攻击做准备，比如获取敏感信息以便盗取或破坏，因此也属于信息安全“攻击”的一部分。综上所述，所有选项A、B、C和D都描述了未经授权的信息安全“攻击”行为，所以正确答案是ABCD。[多选题]16.计算机信息系统的安全保护，应保障：()A.计算机及相关和配套设备的安全B.设施（含网络）的安全C.运行环境的安全D.计算机功能的正常发挥正确答案：ABCD参考解析：计算机信息系统安全保护目的是多方面的，包括保障计算机相关设备、设施、运行环境以及确保计算机功能正常发挥等，ABCD选项从不同角度涵盖了这些内容。答案：ABCD[多选题]17.以下属于“关键信息基础设施”的是()。A.输配电骨干网监控系统B.计算机制造企业IDC供电系统C.高等院校网络接入设施D.高铁信号控制系统正确答案：ABCD[多选题]18.下列哪些措施可以实现和保持对组织资产的适当保护？()A.形成重要资产清单，并加以维护B.购买相同设备类型中价值最高的产品C.确定所有资产的责任人D.制定合乎公司要求的资产使用规则正确答案：ACD参考解析：A选项形成并维护重要资产清单，能明确资产状况便于保护；C选项确定责任人，使资产保护有明确负责主体；D选项制定资产使用规则，规范使用方式利于资产保护。而B选项购买价值最高产品与对资产适当保护并无直接关联，不能有效实现和保持对资产保护。答案：ACD[多选题]19.在规划如何达到信息安全目标时，组织应确定()。A.要做什么，需要什么资源B.由谁负责，什么时候完成C.完成的目标是什么D.如何评价结果正确答案：ABD参考解析：答案：ABD这道题询问的是在规划如何达到信息安全目标时，组织应该确定哪些内容。根据信息安全管理的原则和实践，组织在规划达到信息安全目标时，需要明确具体的行动步骤（A选项，要做什么