CCAA - 2016年12月基础知识（改考前）答案及解析 - 详解版（100题）

本资料由小桨备考整理，仅供学习参考，非官方发布2016年12月基础知识（改考前）答案及解析单选题（共80题，共80分）1.依据GBT22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是（）。A.业务战略B.法律法规要求C.合同要求D.以上全部答案：D解析：根据GBT22080/ISO/IEC27001标准，制定信息安全管理体系方针时，应予以考虑的输入包括业务战略、法律法规要求和合同要求。因此，选项D“以上全部”是正确的答案。2.信息安全中的可用性是指（）。A.根据授权实体的要求可访问和利用的特性B.信息不能被未授权的个人，实体或者过程利用或知悉的特性C.保护资产的准确和完整的特性D.反应失误真是情况的程度答案：A解析：信息安全中的可用性是指根据授权实体的要求可访问和利用的特性。可用性是指系统或信息在需要时能够被授权用户访问和使用的程度，即信息或服务能够在需要时被获取和使用。这与未授权的个人、实体或过程无关，也不涉及信息的准确性和完整性，更不是反应失误真是情况的程度。因此，正确答案是A。3.依据GBT22080/ISO/IEC27001，以下符合责任分割原则的是（）。A.某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己配置了各个机房的不限时门禁权限。B.A公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由另外5位副总到场分别输入自己的口令然后完成授权。C.A公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，某次为副总，再某次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限。D.以上均符合责任分割原则。答案：B解析：根据GBT22080/ISO/IEC27001标准，责任分割原则要求将信息资产的管理责任分配给不同的个人或团队，以避免单一个体拥有过多的权力。A选项中，运维工程师权某为自己配置了各个机房的不限时门禁权限，这可能导致权某拥有过多的门禁权限，不符合责任分割原则。B选项中，信息安全官（CIO）负责制定访问控制策略，而授权过程需要另外5位副总到场分别输入自己的口令，这符合责任分割原则，因为多个个体共同决策，降低了单一个体拥有过多权力的风险。C选项中，虽然制定了访问权限列表，但董事长拥有全部权限，这可能使得董事长拥有过多的权力，不符合责任分割原则。D选项中，没有明确指出哪一个选项符合或不符合责任分割原则，因此不能直接判断。综上所述，符合责任分割原则的是B选项。4.依据GB/T22080/IS0/IEC27001，建立资产清单即（）。A.列明信息生命周期内关联到的资产，明确其对组织业务的关键性。B.完整采用组织的固定资产台账，同时指定资产负责人。C.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D.A+B答案：A解析：在GB/T22080/IS0/IEC27001中，建立资产清单的主要目的是列明信息生命周期内关联到的资产，明确其对组织业务的关键性。这是资产管理的核心，有助于组织了解和控制其资产，确保信息安全和合规性。选项B提到的固定资产台账虽然与资产有关，但并不是建立资产清单的主要目的。选项C将资产的重要性和价格挂钩，这是不准确的，因为资产的重要性不仅取决于其价格，还取决于其在组织业务中的关键性。选项D将A和B的选项合并，但这不是建立资产清单的正确方法。因此，正确答案是A。5.为信息系统用户注册时，以下正确的是（）。A.按用户的职能或业务角色设定访问权B.组共享用户ID按组任务的最大权限注册C.预设固定用户ID并留有冗余，以保障可用性D.避免频繁变更用户访问权答案：A解析：在为用户注册信息系统时，确保访问权限的适当和合理分配至关重要。根据提供的选项：A.按用户的职能或业务角色设定访问权-这是一个合理的做法，因为它确保每个用户根据其职责或业务角色获得适当的访问权限，从而增加了系统的安全性和效率。B.组共享用户ID按组任务的最大权限注册-这可能导致权限过大，因为整个组可能拥有超出其实际需要的权限，增加了误操作或不当访问的风险。C.预设固定用户ID并留有冗余，以保障可用性-这种做法可能会导致资源的浪费和安全性问题，因为过多的冗余ID可能会成为潜在的安全隐患。D.避免频繁变更用户访问权-这确实是一个重要的考虑因素，但并不能直接关联到用户注册时的正确做法，它更多的是关于访问权限管理的长期策略。因此，选项A"按用户的职能或业务角色设定访问权"是最合适的。6.信息分类方案的目的是（）。A.划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘。B.划分信息载体所属的职能以便于明确管理责任。C.划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则。D.划分信息的数据类型如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析。答案：C解析：信息分类方案的目的是划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则。这是因为不同的信息对于组织的业务有不同的重要性和敏感性，需要采取不同的存储、处理和处置措施。例如，一些信息可能需要高度保密，需要采取严格的安全措施；而另一些信息可能只需要普通的存储和处理方式。因此，通过信息分类方案，可以明确不同信息的存储、处理和处置原则，从而更好地保护组织的利益。其他选项如划分信息载体的不同介质、划分信息载体所属的职能、划分信息的数据类型等，虽然也是信息管理中需要考虑的因素，但并不是信息分类方案的主要目的。7.以下做法不正确的是（）。A.保贸者矗危信息的介质的处置记录B.将大量含有信息的介质汇集在一起时提高其总体敏感性等级C.将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略D.依据风险评估的结果将维修更换下来的磁盘交第三方按双方约定的程序进行处置答案：C解析：选项A“保贸者矗危信息的介质的处置记录”是正确的，因为对于敏感信息的介质，确实需要妥善记录其处置情况，确保信息安全。选项B“将大量含有信息的介质汇集在一起时提高其总体敏感性等级”也是正确的，因为将大量敏感介质汇集在一起时，其总体敏感性等级确实会提高，需要采取更严格的保护措施。选项C“将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略”是不正确的。这是因为已经使用过的复印纸可能包含敏感信息，如果随意分配给各部门复用，可能会泄露机密信息，带来安全隐患。选项D“依据风险评估的结果将维修更换下来的磁盘交第三方按双方约定的程序进行处置”是正确的，因为维修更换下来的磁盘可能包含敏感信息，需要依据风险评估的结果，交给第三方按照约定的程序进行安全处置。8.保密性是指（）。A.根据授权实体的要求可访问的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护信息准确和完整的特性D.以上都不对答案：B解析：保密性是指信息不被未授权的个人、实体或过程利用或知悉的特性。这是信息安全领域中的一个重要概念，旨在确保信息仅被授权的人员或实体访问和使用，防止未经授权的人员获取或泄露敏感信息。因此，选项B“信息不被未授权的个人、实体或过程利用或知悉的特性”是保密性的定义。其他选项与保密性的定义不符，所以答案为B。9.在建立信息安全管理体系时所用的风险评估方法必须（）。A.遵循风险评估的国际标准B.使用定性的方法C.使用定量的方法D.选用能够产生可比较和可再现结果的方法答案：D解析：在建立信息安全管理体系时，风险评估方法的选择非常重要。我们需要确保所选方法能够产生可比较和可再现的结果，这样我们才能够准确地评估信息安全风险，并采取相应的措施来降低这些风险。因此，选项D“选用能够产生可比较和可再现结果的方法”是正确的选择。其他选项，如遵循风险评估的国际标准、使用定性的方法或定量的方法，虽然可能在某些情况下有用，但不一定能够确保评估结果的准确性和可比较性。10.关于网络服务的访问控制策略，以下正确的是（）。A.没有陈述为禁止访问的网络服务，视为允许访问的网络服务。B.对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C.对于允许访问的网络服务，按照规定的授权机制进行授权D.以上都对答案：C解析：在网络服务的访问控制策略中，选项C"对于允许访问的网络服务，按照规定的授权机制进行授权"是正确的。访问控制策略的目的就是为了确保只有被授权的用户才能访问网络服务。如果没有明确的授权机制，就无法确定哪些用户可以访问哪些网络服务，这可能会导致安全漏洞。因此，对于允许访问的网络服务，必须按照规定的授权机制进行授权，以确保网络的安全性。选项A"没有陈述为禁止访问的网络服务，视为允许访问的网络服务"并不完全正确。虽然这是一个常见的原则，但它并不是访问控制策略的核心。访问控制策略的核心是确定哪些用户可以访问哪些网络服务，而不是默认允许所有未明确禁止的访问。选项B"对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接"也不完全正确。虽然无线和VPN等连接方式可以提供访问网络服务的手段，但这并不是访问控制策略的核心。访问控制策略的核心是确定哪些用户可以通过哪些手段访问哪些网络服务。选项D"以上都对"显然是不正确的，因为选项A和B都存在问题。因此，正确答案是选项C。11.关于特权访问，以下说法正确的是（）。A.特权访问用户通常须包含顾客B.特权访问用户必须包含最高管理者C.特权访问用户的访问权限最大权限原则的应用D.特殊访问权应与其职能角色一致答案：D解析：特权访问用户通常指的是拥有特殊权限的用户，这些权限可能超过普通用户的权限。特权访问用户的选择和权限分配应该与其职能角色一致，以确保系统的安全性和稳定性。因此，选项D“特殊访问权应与其职能角色一致”是正确的。选项A“特权访问用户通常须包含顾客”不正确，因为顾客通常不是特权访问用户，他们可能只拥有普通用户的权限。选项B“特权访问用户必须包含最高管理者”也不正确，特权访问用户可能包括多个角色，而不仅仅是最高管理者。选项C“特权访问用户的访问权限最大权限原则的应用”没有给出具体的解释或上下文，因此无法判断其正确性。12.描述组织釆取适当的控制措施的文档是（）。A.管理手册B.适用性声明C.风险处置计划D.风险评估程序答案：B解析：根据题目描述，我们需要找到描述组织采取适当控制措施的文档。选项A管理手册通常包含组织的政策和程序，但它并不特指控制措施。选项C风险处置计划描述了如何响应和处理特定风险，但它并不是描述控制措施本身的文档。选项D风险评估程序描述了如何评估风险，但它也不直接描述控制措施。而选项B适用性声明通常描述控制措施如何适用于特定的环境或业务活动，因此，它最符合题目描述组织采取适当控制措施的文档的要求。因此，正确答案是B适用性声明。13.管理者应（）。A.制定ISMS方针B.制定ISMS目标和计划C.实施ISMS内部审核D.确保ISMS管理评审的执行答案：A解析：ISMS是信息安全管理体系（InformationSecurityManagementSystem）的缩写。在信息安全管理体系中，制定ISMS方针是管理者的首要任务。ISMS方针是组织信息安全管理的总体方向和原则，它明确了组织对信息安全的承诺和期望，并为信息安全管理体系的建立、实施和改进提供了指导。因此，管理者应制定ISMS方针，以确保组织信息安全管理体系的有效运行。选项A“制定ISMS方针”是正确答案。选项B“制定ISMS目标和计划”虽然也是ISMS中重要的一环，但它并不是管理者的首要任务，而是根据ISMS方针来制定的。选项C“实施ISMS内部审核”和选项D“确保ISMS管理评审的执行”都是ISMS实施和监控阶段的活动，也不是管理者的首要任务。14.完整性是指（）。A.根据授权实体的要求可访问的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护资产准确和完整的特性D.以上都不对答案：C解析：完整性是指保护资产准确和完整的特性。它确保数据或信息在传输、存储或处理过程中不被篡改或损坏，保持其原始状态。这是信息安全领域中的一个重要概念，对于保护敏感信息、维护系统稳定和数据可靠性至关重要。因此，选项C“保护资产准确和完整的特性”是正确的答案。15.关于用户访问权，以下做法正确的是（）。A.用户岗位变更时，其原访问权应终止或撤销B.抽样进行针对信息系统用户访问权的定期评审C.组织主动解聘员工时可不必复审员工访问权D.使用监控系统可替代用户访问权评审答案：A解析：根据题目描述，我们需要判断哪个选项关于用户访问权的做法是正确的。A选项提到，用户岗位变更时，其原访问权应终止或撤销。这是正确的做法，因为当用户的岗位发生变化时，他们可能不再需要访问某些信息系统或数据，因此应该终止或撤销他们的访问权。B选项提到，抽样进行针对信息系统用户访问权的定期评审。虽然定期评审是一个好的做法，但抽样进行可能无法确保所有用户的访问权都得到充分的评审，因此不是最佳实践。C选项提到，组织主动解聘员工时可不必复审员工访问权。这是不正确的，因为当员工被解聘时，他们可能仍然拥有访问某些信息系统或数据的权限，因此应该进行复审以确保他们的访问权被正确终止。D选项提到，使用监控系统可替代用户访问权评审。这也是不正确的，因为监控系统只是用于监视用户的访问行为，而不能替代对访问权的正式评审。综上所述，A选项是正确的做法。16.关于密码技术和密码产品，以下说法正确的是（）。A.未经批准，禁止出口密码技术和密码产品，但进口不受限B.未经许可，禁止销售商用密码产品，但自行研发供自行使用不受限C.未经指定，禁止生产商用密码产品D.密码技术和密码产品均是国家秘密，须实行专控管理答案：C解析：根据《中华人民共和国密码法》的规定，国家采取多种形式支持密码科学研究和技术开发，保护自主创新的密码科研成果，健全统一、开放、竞争、有序的密码科研体系和市场体系。国家鼓励密码从业单位自主选择商用密码标准，支持密码从业单位依法参与制定商用密码国际标准。国家鼓励商用密码从业单位采用商用密码标准，提升产品和服务质量。国家推动商用密码与物联网、人工智能等新技术融合应用，促进商用密码产业高质量发展。对于商用密码产品，未经指定，禁止生产或者进口在境内销售或者在境内使用；商用密码产品应当在显著位置标注商用密码产品型号和密级。因此，选项C“未经指定，禁止生产商用密码产品”是正确的说法。选项A“未经批准，禁止出口密码技术和密码产品，但进口不受限”、选项B“未经许可，禁止销售商用密码产品，但自行研发供自行使用不受限”、选项D“密码技术和密码产品均是国家秘密，须实行专控管理”均不符合上述法律规定。17.以下属于计算机病毒感染事件的纠正措施的是（）。A.对计算机病毒事件进行响应和处理B.将感染病毒的计算机从网络隔离C.对相关责任人进行处罚D.以上都不对答案：D解析：根据题目所描述的内容，选项A、B和C均不符合计算机病毒感染事件的纠正措施。选项A“对计算机病毒事件进行响应和处理”虽然是对病毒事件的一种处理方式，但并不是纠正措施。选项B“将感染病毒的计算机从网络隔离”虽然是一种预防措施，但也不是纠正措施。选项C“对相关责任人进行处罚”更不符合纠正措施的定义。因此，选项D“以上都不对”是正确答案，表明前面给出的选项都不是计算机病毒感染事件的纠正措施。纠正措施应该是针对已发生的事件进行修正和补救，而题目中的选项并未体现这一点。18.物理安全周边的安全设置应考虑（）。A.区域内信息和资产的敏感性分类B.重点考虑计算机机房，不是苏公区或其他功能区C.入侵探测和报警机榈D.A+C答案：D解析：根据题目描述，我们需要考虑物理安全周边的安全设置。选项A提到“区域内信息和资产的敏感性分类”，这涉及到对信息和资产的安全级别进行划分，是物理安全设置的一部分，但不是全部。选项B“重点考虑计算机机房，不是苏公区或其他功能区”似乎存在笔误或信息错误，因为“苏公区”并不是一个常见的术语，可能是输入错误。选项C“入侵探测和报警机榈”指的是入侵检测和报警系统，是物理安全设置中的重要部分，用于检测和防止未经授权的访问。因此，选项D“A+C”包含了上述两个重要的物理安全设置要素，是最全面的选择。所以，正确答案是D。19.以下哪一项不属于物理入口控制的措施？（）A.仅允许佩戴规定类型工牌的人员进入B.人门处使用指纹识别系统C.仅允许穿戴规定防护服的人员进入D.保安核实来访人员的登记信息答案：C解析：物理入口控制是组织为保护其资产和信息安全而采取的一种措施，通过物理手段限制未经授权的人员进入。选项A“仅允许佩戴规定类型工牌的人员进入”和选项B“人门处使用指纹识别系统”都是物理入口控制的措施，因为它们通过物理手段限制了进入。选项D“保安核实来访人员的登记信息”虽然涉及核实来访人员的信息，但它不是通过物理手段实现的，因此不属于物理入口控制的措施。选项C“仅允许穿戴规定防护服的人员进入”虽然与人员进入有关，但它更像是安全或卫生方面的措施，不属于物理入口控制的范畴。因此，正确答案是C。20.关于信息安全策略，下列说法正确的是（）。A.信息安全策略可以分为上层策略和下层策略B.信息安全方针是信息安全策略的上层部分C.信息安全策略必须在体系建设之初确定并发布D.信息安全策略需要定期或在重大变化时进行评审答案：D解析：信息安全策略是一个重要的概念，它涉及到如何保护组织的信息资产。对于给出的选项，我们可以逐一分析：A选项提到信息安全策略可以分为上层策略和下层策略。然而，这个选项并没有在题目中明确提及，因此我们不能确定其正确性。B选项说信息安全方针是信息安全策略的上层部分。同样，这个选项也没有在题目中明确提及，所以我们不能确认其准确性。C选项提到信息安全策略必须在体系建设之初确定并发布。虽然在实际操作中，信息安全策略的确需要在体系建设之初进行规划，但题目中并没有明确提到必须在体系建设之初确定并发布，因此这个选项也不能确定为正确。D选项说信息安全策略需要定期或在重大变化时进行评审。这是信息安全策略管理中的一个重要环节，因为随着组织的发展和外部环境的变化，信息安全策略可能需要进行调整。因此，定期或在重大变化时进行评审是确保信息安全策略有效性的关键。综上所述，正确答案是D选项。21.下列说法不正确的是（）。A.残余风险需要获得风险责任人的批准B.适用性声明需要包含必要的控制及其选择的合理性说明C.所有的信息安全活动都必须有记录D.组织控制下的员工应了解信息安全方针答案：C解析：A选项提到“残余风险需要获得风险责任人的批准”，这是正确的，因为残余风险是指即使采取了控制措施后仍然存在的风险，需要得到相关责任人的审批。B选项提到“适用性声明需要包含必要的控制及其选择的合理性说明”，这也是正确的，适用性声明是对控制措施适用性的声明，其中必须包含对控制措施及其选择的合理性说明。D选项表示“组织控制下的员工应了解信息安全方针”，这也是正确的，因为员工了解信息安全方针是确保信息安全的重要前提。而C选项“所有的信息安全活动都必须有记录”是不正确的。虽然信息安全活动应该尽可能地进行记录，但并不是所有的信息安全活动都需要有记录。有些活动可能由于各种原因（如涉及敏感信息或实时处理等）而不适合或无法进行记录。因此，C选项是不正确的。22.以下属于安全办公区域控制的措施是（）。A.敏感信息处理设施避免放置在和外部方共用的办公区B.显著标记“敏感档案存储区，闲人免进”标识牌C.告知全体员工敏感区域的位置信息，教育员工保护其安全D.以上都对答案：A解析：本题考查的是安全办公区域控制的措施。A选项“敏感信息处理设施避免放置在和外部方共用的办公区”是安全办公区域控制的措施之一，因为这样可以减少敏感信息被外部方获取的风险。B选项“显著标记‘敏感档案存储区，闲人免进’标识牌”也是安全办公区域控制的措施，通过明显的标识牌可以提醒员工和非授权人员不要进入敏感区域。C选项“告知全体员工敏感区域的位置信息，教育员工保护其安全”同样是安全办公区域控制的措施，通过告知员工敏感区域的位置信息，可以增强员工对敏感信息的保护意识。综上，A、B、C选项均属于安全办公区域控制的措施，故正确答案为D。23.对于交接区域的信息安全管理，以下说法正确的是（）。A.对于进入组织的设备设施予以检查验证，对于离开组织的设备设施则不必验证B.对于离开组织的设备设施予以检查验证，对于进入组织的设备设施则不必验证C.对于进入和离开组织的设备设施均须检查验证D.对于进入和离开组织的设备设施，验证携带者身份信息，可替代对设备设施的验证答案：C解析：交接区域的信息安全管理，对进入和离开组织的设备设施均须检查验证，这是确保组织信息安全的重要措施。选项A和B都存在偏见，只对一侧的设备设施进行检查，可能带来安全漏洞。而选项D建议验证携带者身份信息，替代对设备设施的验证，这种方法不足以保证设备设施的安全，因为身份信息可能被伪造或盗用。因此，正确答案是C，即对进入和离开组织的设备设施均须检查验证。24.附录A有（）安全域。A.18个B.16个C.15个D.14个答案：D解析：根据题目，我们需要确定附录A中安全域的数量。根据给出的选项，我们可以逐一考虑：A选项表示有18个安全域，但题目中并没有明确提到这个数量，所以A选项不正确。B选项表示有16个安全域，同样，题目中也没有提到这个数量，所以B选项也不正确。C选项表示有15个安全域，但这也不是题目中给出的答案。D选项表示有14个安全域，这是题目中给出的正确答案。因此，正确答案是D选项，附录A中有14个安全域。25.文件化信息是指（）。A.组织创建的文件B.组织拥有的文件C.组织要求控制和维护的信息及包含该信息的介质D.对组织有价值的文件答案：C解析：本题主要考查对“文件化信息”概念的理解。文件化信息指的是组织创建、使用或保留的，要求控制和维护的，包含该信息的介质。它不仅仅是组织创建或拥有的文件，而是涵盖了所有与组织活动相关的信息及其载体。因此，选项C“组织要求控制和维护的信息及包含该信息的介质”最符合文件化信息的定义。选项A“组织创建的文件”和选项B“组织拥有的文件”都过于片面，只涉及到文件化信息的某一方面，没有涵盖所有内容。选项D“对组织有价值的文件”则没有突出“要求控制和维护的信息及包含该信息的介质”这一点，因此也不是最佳选择。26.信息安全管理中，支持性基础设施指（）。A.供电、通信设施B.消防、防雷设施C.空调及新风系统、水气暖供应系统D.以上全部答案：D解析：信息安全管理中，支持性基础设施包括供电、通信设施、消防、防雷设施、空调及新风系统、水气暖供应系统等等，这些设施对于信息安全保障有着至关重要的作用。因此，选项D“以上全部”是正确的答案。供电、通信设施、消防、防雷设施等是确保信息安全的基础设施，而空调及新风系统、水气暖供应系统虽然不是直接的安全设施，但它们的正常运行对于保障信息安全环境同样重要。27.设施维护维修时，应考虑的安全措施包括（）。A.维护维修前，按规定程序处理或清除其中的信息B.维护维修后，检査是否有未授权的新增功能C.敏感部件进行物理销毁而不予送修D.以上全部答案：D解析：在设施维护维修时，为了确保安全，需要考虑多种安全措施。首先，维护维修前，需要按规定程序处理或清除其中的信息，以防止信息泄露或误操作。其次，维护维修后，需要检查是否有未授权的新增功能，确保设施的功能正常且未被篡改。最后，对于敏感部件，应该进行物理销毁而不予送修，以防止敏感信息被非法获取。因此，上述所有的安全措施都是必要的，故答案选D，即以上全部。28.信息安全管理中，变更管理应予以控制的风险包括（）。A.组织架构、业务流程变更的风险B.信息系统配置、物理位置变更的风险C.信息系统新的组件、功能模块发布的风险D.以上全部答案：D解析：在信息安全管理中，变更管理需要予以控制的风险涵盖了多个方面。组织架构和业务流程的变更可能导致原有的安全策略失效或管理失效，增加安全漏洞的风险；信息系统的配置和物理位置的变更可能改变原有的安全环境，使系统更容易受到攻击；而信息系统新的组件或功能模块的发布，如果没有经过严格的安全评估，也可能引入新的安全风险。因此，变更管理应予以控制的风险包括组织架构、业务流程变更的风险，信息系统配置、物理位置变更的风险，以及信息系统新的组件、功能模块发布的风险，即选项D所述“以上全部”。29.关于容量管理，以下说法不正确的是（）。A.根据业务对系统性能的需求，设置阈值和监视调整机制B.针对业务关键性，设置资源占用的优先级C.对于关键业务，通过放宽阈值以避免或减少报警的干扰D.依据资源使用趋势数据进行容量规划答案：C解析：对于选项C，“对于关键业务，通过放宽阈值以避免或减少报警的干扰”这一说法是不正确的。容量管理的核心目标之一是确保系统性能的稳定和资源的合理分配。如果对于关键业务放宽阈值，可能会导致系统性能下降，资源分配不合理，甚至可能引发报警干扰，影响业务的正常运行。因此，选项C的说法是不正确的。选项A“根据业务对系统性能的需求，设置阈值和监视调整机制”是正确的。这符合容量管理的基本原则，根据业务需求设置合适的阈值，并设置监视和调整机制来确保系统性能。选项B“针对业务关键性，设置资源占用的优先级”也是正确的。在资源有限的情况下，根据业务的关键性设置资源占用的优先级是确保关键业务得到足够资源的重要手段。选项D“依据资源使用趋势数据进行容量规划”是正确的。通过分析资源使用趋势数据，可以更好地预测未来的资源需求，从而进行更加准确和有效的容量规划。30.信息安全管理体系国际标准族中关于信息安全管理测量的标准是（）。A.ISO/IEC27002B.ISO/IEC27003C.ISO/IEC27004D.ISO/IEC27005答案：C解析：信息安全管理体系国际标准族中关于信息安全管理测量的标准是ISO/IEC27004。该标准提供了信息安全管理测量框架和方法，包括选择、实施和报告信息安全指标的过程。ISO/IEC27002是信息安全管理体系的标准，ISO/IEC27003是信息安全管理体系实施指南，ISO/IEC27005是信息安全管理体系的信息安全风险管理指南。因此，选项C“ISO/IEC27004”是正确的选择。31.关于防范恶意软件，以下说法正确的是（）。A.备份介质应定期进行恢复测试B.安装入侵探测系统即可防范恶意软件C.建立白名单即可范恶意软件D.备份信息不是管理购乌祥记录，不须规定保存期答案：D解析：A选项提到“备份介质应定期进行恢复测试”，这主要是关于数据备份和恢复的策略，与防范恶意软件没有直接关系。B选项“安装入侵探测系统即可防范恶意软件”过于简化。虽然入侵探测系统可以检测并响应恶意活动，但它并不能完全防范所有类型的恶意软件。C选项“建立白名单即可防范恶意软件”也是片面的。白名单可以限制执行未经授权的程序，但恶意软件可能伪装成合法程序，从而绕过白名单。D选项“备份信息不是管理购乌祥记录，不须规定保存期”中的“购乌祥”似乎是一个拼写错误，应该是“购买”和“记录”。但即使忽略这个错误，该选项的表述也是错误的。备份信息和管理购买记录都是重要的，并且通常都需要规定保存期。因此，正确答案是D选项，但考虑到D选项中的拼写错误，实际上没有一个选项是正确的。如果题目中的D选项表述正确，那么它应该是关于备份信息和管理记录的重要性，与防范恶意软件没有直接关系。（注：由于原始答案中的D选项存在明显的错误，上述解析是基于对原始答案的理解。如果原始答案中的D选项表述正确，那么它实际上与防范恶意软件没有直接关系，因此没有正确答案。）32.关于备份，以下说法正确的是（）。A.备份介质应定期进行恢复测试B.如果组织删减了“信息安全连接性”要求，同机备份或备份本地存放时可接受的C.备份介质的退化是质量管理体系的范畴D.备份信息不是管理体系运行记录，不须规定保存期答案：A解析：A选项：备份介质应定期进行恢复测试。这是正确的，因为定期进行恢复测试可以确保备份介质的完整性和可用性，保证在需要时能够成功恢复数据。B选项：如果组织删减了“信息安全连接性”要求，同机备份或备份本地存放时可接受的。这个选项没有明确的依据支持，且“信息安全连接性”与备份的存储位置没有直接关系，因此B选项不正确。C选项：备份介质的退化是质量管理体系的范畴。备份介质的退化与质量管理体系没有直接关系，它更多的是与数据保护和存储管理相关，因此C选项不正确。D选项：备份信息不是管理体系运行记录，不须规定保存期。备份信息通常是非常重要的管理体系运行记录，因为它们记录了关键的业务数据。这些数据在发生问题时可能需要用于恢复，因此通常需要规定保存期，以确保数据的长期可用性，因此D选项不正确。33.关于系统运行日志以下说法正确的是（）。A.系统管理员负贵对日态信息进行编辑、保存B.日志信息文件的保存应纳入容量管理C.志管理即系统审计日志管理D.组织的安全策略应决定系统管理员的活动是否有记入日志答案：B解析：A选项提到系统管理员负责对日志信息进行编辑、保存，这是不正确的。系统管理员通常负责管理和维护系统，但他们不应该直接编辑或修改日志信息。日志信息应该由系统自动生成，并保存在指定的日志文件中，以确保其完整性和真实性。B选项表示日志信息文件的保存应纳入容量管理，这是正确的。随着系统的运行，日志信息会不断增加，如果不加以管理，可能会消耗大量的存储空间。因此，对日志信息进行适当的容量管理，确保其存储空间不会过度占用，是确保系统正常运行的重要措施。C选项提到日志管理即系统审计日志管理，这是不准确的。日志管理包括系统审计日志管理，但还包括其他类型的日志，如系统运行日志、应用日志等。系统审计日志主要用于记录与安全相关的操作，如用户登录、访问控制等。D选项提到组织的安全策略应决定系统管理员的活动是否有记入日志，这是不准确的。系统管理员的活动应该被记入日志，这是为了确保系统的透明度和可追踪性。组织的安全策略可能会规定哪些活动需要被记录，但系统管理员的活动本身就应该被记录，以确保系统的安全性和稳定性。因此，正确答案是B选项，即日志信息文件的保存应纳入容量管理。34.A公司为软件开发企业，在建立ISMS时却对附录A的“A14.1.1安全要求分析和说明”进行了删减，删减理由为公司使用的系统为非定制系统，相关风险可以接受（）。A.不合理B.合理C.不一定D.以上都不对答案：A解析：《信息安全管理体系（ISMS）要求》（GB/T22080-2008/ISO/IEC27001:2005）附录A中“A14.1.1安全要求分析和说明”明确指出：“组织应确定适用于其活动的安全要求，并说明这些要求是如何得到满足的。”这一条款要求组织对其活动进行安全要求分析，并说明这些要求是如何得到满足的。如果A公司使用的系统为非定制系统，相关风险可以接受，那么公司可能认为这些非定制系统的安全要求已经满足，因此可以省略这一步骤。然而，即使是非定制系统，也可能存在未被识别或未被充分评估的安全风险，因此直接删减这一步骤是不合理的。因此，答案选A“不合理”。35.文件化信息创建和更新时，下列哪个活动不是必须的？（）A.组织应确保适当的标识和描述B.组织应确保适当的格式和介质C.组织应确保适当的对适应性和充分性迸行评审和批准D.组织应确保适当的访问控制答案：D解析：在文件化信息创建和更新时，选项D“组织应确保适当的访问控制”不是必须的。这是因为适当的访问控制虽然是文件管理的一个重要环节，但并不是文件创建和更新的必要条件。而选项A“组织应确保适当的标识和描述”、选项B“组织应确保适当的格式和介质”和选项C“组织应确保适当的对适应性和充分性进行评审和批准”都是文件创建和更新过程中必要的活动。因此，正确答案是D。36.在运行系统上安装软件，以下说法不正确的是（）。A.对于复杂的系统应釆取分步部署的策略B.应在安装前在隔离的环境中完成验收测试C.应在安装前完成单元测试，随之进行安装然后进行验收测试D.安装运行后应评审对关键业务应用的影响答案：C解析：在安装软件时，应确保按照正确的步骤和策略进行。选项A提到对于复杂的系统应采取分步部署的策略，这是合理的，因为分步部署可以降低风险并确保系统的稳定性。选项B建议在安装前在隔离的环境中完成验收测试，这也是必要的，因为这样可以确保软件在正式环境中运行之前已经通过了必要的测试。选项D提到安装运行后应评审对关键业务应用的影响，这也是重要的，因为这样可以及时发现并解决可能对关键业务应用造成的问题。然而，选项C提到应在安装前完成单元测试，随之进行安装然后进行验收测试，这是不正确的。单元测试通常是在软件开发阶段进行的，而不是在安装阶段。因此，不正确的说法是C。37.关于技术脆弱性管理，以下说法正确的是（）。A.技术脆弱性应单独管理，与事件管理没有关联B.了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C.针对技术脆弱性的补丁安装应按变更管理进行控制D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关网朦農佳途径答案：C解析：选项A提到技术脆弱性应单独管理，与事件管理没有关联，这是不正确的。技术脆弱性管理和事件管理是两个相互关联的领域，事件管理需要考虑到技术脆弱性的存在，以便在发生事件时采取适当的措施。选项B说了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小，这也是不正确的。公众范围越广，意味着有更多的潜在攻击者可能利用该脆弱性，从而增加组织的风险。选项D提到及时安装针对技术脆弱性的所有补丁是应对脆弱性相关网朦农佳途径，这里的“网朦农佳”可能是输入错误，应该是“网络安全”。即使忽略这个错误，该选项也不完全正确。虽然及时安装补丁是应对脆弱性的重要步骤，但还需要采取其他措施，如配置管理、访问控制等，来确保网络安全。因此，正确答案是选项C，即针对技术脆弱性的补丁安装应按变更管理进行控制。这意味着在安装补丁之前，需要进行适当的评估和测试，以确保补丁不会引入新的问题或风险。38.信息系统审核（）。A.是发现信息系统脆弱性的手段之一B.应在系统运行期间进行，以便于准确地发现弱点C.审核工具在组织内应公开可获取，以便于提升员工的能力D.只要定期进行，就可以替代内部ISMS审核答案：A解析：信息系统审核是发现信息系统脆弱性的手段之一，因此选项A是正确的。选项B虽然提到了在系统运行期间进行审核，但这并不是审核的主要目的，审核的目的在于发现弱点，而不是仅仅在系统运行期间进行。选项C虽然提到了审核工具在组织内应公开可获取，但这并不是审核的必要条件，审核的关键在于发现弱点，而不是提升员工的能力。选项D提出了定期进行审核可以替代内部ISMS审核的观点，但这并不准确，因为内部ISMS审核和信息系统审核虽然都是对系统进行审核，但审核的侧重点和目的是不同的。因此，正确答案是A。39.在ISO/IEC27005《信息安全风险管理》中风险管理过程包括确定环境、风险评估、风险处置、（）、风险沟通和风险监视和评审。A.风险接受B.风险再评估C.风险保持D.风险维护答案：A解析：在ISO/IEC27005《信息安全风险管理》中，风险管理过程包括确定环境、风险评估、风险处置、风险接受、风险沟通和风险监视和评审。根据题目给出的选项，风险接受是风险管理过程中的一个环节，因此答案为A。选项B、C、D在题目中均未提及。40.以下不属于可降低信息传输中的信息安全风险的措施是（）。A.规定使用通信设施的限制规定B.使用铠甲线缆以及数据加密C.双路供电以及定期测试备份电机D.记录物理介质运输全程的交接信息答案：C解析：题目要求找出不属于可降低信息传输中的信息安全风险的措施。A选项“规定使用通信设施的限制规定”是有效的安全措施，有助于控制对通信设施的访问，减少潜在的安全风险。B选项“使用铠甲线缆以及数据加密”同样是有效的安全措施，能够增强数据传输的安全性，降低被截获和破解的风险。D选项“记录物理介质运输全程的交接信息”也是一个安全措施，能够追踪物理介质的安全，降低物理安全风险。而C选项“双路供电以及定期测试备份电机”与信息安全风险的降低没有直接关系。双路供电和定期测试备份电机主要是为了提高系统的可用性和可靠性，与信息安全风险的降低没有直接联系。因此，C选项是不属于可降低信息传输中的信息安全风险的措施。41.对于可能超越系统和应用控制的实用程序，以下说法正确的是（）。A.实用程序的使用不在审计范围内B.建立禁止使用的实用程序清单C.应急响应时需使用的实用程序不需额外授权D.建立鉴别，授权机制和许可使用的实用程序清单答案：D解析：对于可能超越系统和应用控制的实用程序，建立鉴别，授权机制和许可使用的实用程序清单是正确的做法。这样可以确保实用程序的使用在审计范围内，并且只有经过授权的人员才能使用。同时，对于应急响应时可能使用的实用程序，也需要建立相应的授权和许可机制，以确保其使用符合安全要求。因此，选项D“建立鉴别，授权机制和许可使用的实用程序清单”是正确的。选项A“实用程序的使用不在审计范围内”是错误的，因为实用程序的使用应该受到审计和监控。选项B“建立禁止使用的实用程序清单”虽然是一种安全措施，但并不是直接针对可能超越系统和应用控制的实用程序的。选项C“应急响应时需使用的实用程序不需额外授权”也是错误的，因为即使是应急响应时使用的实用程序，也需要符合安全和授权的要求。42.在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）。A.设备要求和网络要求B.硬件要求和软件要求C.物理要求和应用要求D.技术要求和管理要求答案：D解析：在我国信息系统安全等级保护的基本要求中，针对每一级的基本要求分为技术要求和管理要求。这包括了物理安全、网络安全、数据安全等方面的技术要求，以及安全管理、安全管理机构、人员管理等方面的管理要求。因此，正确选项是D。选项A中的设备要求和网络要求、选项B中的硬件要求和软件要求、选项C中的物理要求和应用要求都没有涵盖完整的信息系统安全等级保护基本要求。43.在风险评估中进行资产的价值估算时，下列哪个不会影响资产的价值（）。A.资产的替代价值B.资产丧失或损坏的业务影响C.资产本身的购买价值D.资产的存放位置答案：D解析：在风险评估中进行资产的价值估算时，资产的替代价值、资产丧失或损坏的业务影响以及资产本身的购买价值都会影响资产的价值。然而，资产的存放位置通常不会直接影响资产的价值。因此，选项D“资产的存放位置”是不会影响资产的价值的因素。44.A公司进行风险评估后发现公司的无线网络存在大的安全隐惠，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）。A.风险接受B.风险规避C.风险转移D.风险减缓答案：B解析：风险接受是指企业承担风险带来的后果，而公司不再提供无线网络用于办公，这是主动避免风险，属于风险规避。风险规避是指企业预先设定风险限额，当风险超过限额时，企业便采取回避措施或放弃原有业务，属于主动的风险控制活动。风险转移是指企业以购买保险的方式将风险转移给保险公司承担，而公司不再提供无线网络用于办公并没有涉及保险，因此不属于风险转移。风险减缓是指企业采取措施减少风险或降低风险的影响程度，而公司不再提供无线网络用于办公是主动避免风险，不属于风险减缓。因此，公司不再提供无线网络用于办公的处置方式属于风险规避。45.密码技术可以保护信息的（）。A.保密性B.完整性C.可用性D.A+B答案：D解析：密码技术是一种保护信息安全的手段，它可以保护信息的保密性和完整性。保密性是指信息不被未经授权的人员获取，而完整性是指信息在传输过程中不被篡改或损坏。因此，选项D“A+B”即保密性和完整性，是密码技术可以保护的信息属性。46.设置防火墙策略是为了（）。A.进行访问控制B.进行病毒防范C.进行邮件内容过滤D.进行流量控制答案：A解析：设置防火墙策略是为了进行访问控制。防火墙的主要作用就是阻止非法的访问和请求，控制访问权限，防止外部网络中的攻击者未经授权访问内部网络资源，保证内部网络的安全。因此，选项A“进行访问控制”是正确的答案。选项B“进行病毒防范”并不是防火墙的主要功能，病毒防范通常需要通过防病毒软件来实现。选项C“进行邮件内容过滤”和选项D“进行流量控制”虽然也是网络安全中需要考虑的问题，但并不是防火墙策略的主要目的。47.信息系统开发过程中正确的安全措施是（）。A.通过开发成果物的访问控制确保保密性、完整性可用性B.开发过程中的成果物仅需考虑保密性保护不需保护完整性和可用性C.只有完成了集成测试的成果物才需要保护其保密性、完整性和可用性D.由具体担当开发任务的人员决定其成果物的保密性、完整性和可用性是否需要答案：A解析：在信息系统开发过程中，确保保密性、完整性和可用性是非常重要的安全措施。这些措施不仅适用于开发成果物，还应在整个开发过程中得到实施。因此，选项A“通过开发成果物的访问控制确保保密性、完整性可用性”是正确的选择。选项B只考虑了保密性保护，忽略了完整性和可用性；选项C仅指出完成集成测试的成果物需要保护，而开发过程中其他阶段的成果物则没有提及；选项D提到由具体担当开发任务的人员决定其成果物的保密性、完整性和可用性是否需要，这种决策方式缺乏统一性和标准化，可能导致安全措施的不一致和漏洞。因此，A选项是最符合信息系统开发过程中正确安全措施的选项。48.对于外部方提供的软件包，以下说法正确的是（）。A.组织的人员可随时对其进行适用性调整B.应严格限制对软件包的调整以保护软件包的保密性C.应严格限制对软件包的调整以保护软件包的完整性和可用性D.以上都不对答案：C解析：对于外部方提供的软件包，应严格限制对软件包的调整以保护软件包的完整性和可用性。这是因为软件包可能包含重要的知识产权和敏感信息，对其进行任意调整可能会侵犯他人的权益，并可能导致软件包的功能失效或不稳定。因此，选项C“应严格限制对软件包的调整以保护软件包的完整性和可用性”是正确的。选项A“组织的人员可随时对其进行适用性调整”可能会导致软件包的完整性和可用性受到损害，选项B“应严格限制对软件包的调整以保护软件包的保密性”并没有明确指出软件包的完整性和可用性也需要保护，而选项D“以上都不对”明显是不正确的。49.不属于第三方服务监视和评审范畴的是（）。A.监视和评审服务级别桃议的符合性B.监视和评审服务方入员聘用和考核的流程C.监视和评服务交付遵从协议规定的安全要求的程度D.监视和评律服务方跟踪处理信息安全事件的能力答案：B解析：第三方服务监视和评审通常关注服务级别协议（SLA）的符合性、服务交付对协议规定的安全要求的遵从程度以及服务方跟踪处理信息安全事件的能力。这些方面都是确保服务质量和安全性的重要环节。而服务方人员聘用和考核的流程，虽然对于服务提供方来说非常重要，但并不属于第三方服务监视和评审的范畴。因此，选项B“监视和评审服务方人员聘用和考核的流程”是不属于第三方服务监视和评审范畴的。50.息安全事件管理须包括（）。A.事件升级流程B.事件报告和处理流程以及事件类型的定义C.事态和脆弱性发现者立即对其进行测试和处理的规则D.事态和脆弱性监控和审计软件工具答案：B解析：本题考察的是信息安全事件管理应包含的内容。A选项“事件升级流程”不是信息安全事件管理的必须部分，升级流程可以包含在事件处理流程中。C选项“事态和脆弱性发现者立即对其进行测试和处理的规则”过于片面，这只是对事态和脆弱性的处理，并未涉及到事件报告、处理等整个流程。D选项“事态和脆弱性监控和审计软件工具”并不是信息安全事件管理的必须部分，而是用于辅助监控和审计的工具。B选项“事件报告和处理流程以及事件类型的定义”涵盖了信息安全事件管理的主要内容，包括事件的报告、处理以及事件的分类和定义，符合题目要求。因此，正确答案是B。51.国家保密的保密期限应为（）。A.绝密不超过三十年，机密不超过二十年，秘密不超过十年B.绝密不低于三十年，机密不低于二十年，秘密不低于十年C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年答案：A解析：《中华人民共和国保守国家秘密法》第十九条规定，国家秘密的保密期限，除另有规定外，绝密级不超过三十年，机密级不超过二十年，秘密级不超过十年。因此，正确答案为A选项，即“绝密不超过三十年，机密不超过二十年，秘密不超过十年”。52.关于互联网信息服务，以下说法正确的是（）。A.互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B.非经营性互联网信息服务未取得许可不得进行C.从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D.经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。答案：C解析：根据《中华人民共和国电信条例》规定，经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。从事经营性互联网信息服务，应当符合《中华人民共和国电信条例》规定的要求，取得电信主管部门颁发的经营性互联网信息服务备案编号。非经营性互联网信息服务未取得备案编号不得进行。因此，选项C“从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求”是正确的。选项A“互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案”表述不准确，因为非经营性互联网信息服务也需要在电信主管部门备案。选项B“非经营性互联网信息服务未取得许可不得进行”表述错误，非经营性互联网信息服务不需要取得许可，但需要备案。选项D“经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动”表述错误，经营性互联网信息服务是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。53.《计算机信息系统安全保护条例》中所称计算机信息系统，是指（）。A.对信息进行采集、加工、存储、传输、检索等处理的人机系统版权所B.计算机及其相关的设备、设施，不包括软件C.计算机运算环境的总和，但不含网络D.一个组织所有计算机的总和，包括未联网的微型计算机答案：A解析：《计算机信息系统安全保护条例》中所称计算机信息系统，是指进行信息采集、加工、存储、传输、检索等处理的人机系统。因此，选项A“对信息进行采集、加工、存储、传输、检索等处理的人机系统”是正确的。选项B“计算机及其相关的设备、设施，不包括软件”和选项C“计算机运算环境的总和，但不含网络”都没有涵盖到计算机信息系统的主要功能，即信息处理。选项D“一个组织所有计算机的总和，包括未联网的微型计算机”虽然提到了计算机，但没有明确说明这些计算机是用于信息处理的。因此，正确答案是A。54.以下哪个选项不属于审核组长的职责（）。A.确定审核的需要和目的B.组织编制现场审核有关的工作文件C.主持首末次会议和审核组会议D.代表审核方与受审核方领导进行沟通答案：A解析：根据题目描述，我们需要找出不属于审核组长的职责的选项。A选项“确定审核的需要和目的”通常是由审核委托方或审核委托单位来确定的，而不是审核组长。审核组长的主要职责包括组织编制现场审核有关的工作文件、主持首末次会议和审核组会议以及代表审核方与受审核方领导进行沟通。因此，A选项“确定审核的需要和目的”不属于审核组长的职责。55.审核计划中不包括（）。A.本次及其后续审核的时间安排B.审核准则C.审核组城员及分工D.审核的日程安排答案：A解析：根据题目所给的信息，审核计划应该包含审核准则、审核组成员及分工、审核的日程安排等内容。而选项A“本次及其后续审核的时间安排”并不在审核计划中应该包含的内容里，因此答案为A。所以，选项A“本次及其后续审核的时间安排”是不包括在审核计划中的。56.审核发现是指（）。A.审核中观察到的事实B.审核的不符合项C.审核中收集到的审核证据对照审核准则评价的结果D.审核中的观察项答案：C解析：审核发现是指审核中收集到的审核证据对照审核准则评价的结果。审核发现是通过收集审核证据，并对照审核准则进行评价，从而得出的结果。A选项“审核中观察到的事实”只是审核过程中观察到的情况，不一定是审核发现；B选项“审核的不符合项”只是审核发现的一种形式，不是审核发现的定义；D选项“审核中的观察项”同样只是审核过程中的观察，不是审核发现。因此，正确答案是C选项。57.以下哪个选项不是ISMS第一桥段审核的目的（）。A.获取对组织信息安全管理体系的了解和认识B.了解客户组织的审核准备状态C.为计划二阶段审核提供重点D.确认组织的信息安全管理体系符合标准或规范性文件的所有要求答案：D解析：ISMS（信息安全管理体系）的第一阶段审核的主要目的是获取对组织信息安全管理体系的了解和认识，了解客户组织的审核准备状态，以及为计划第二阶段审核提供重点。而确认组织的信息安全管理体系符合标准或规范性文件的所有要求，是第二阶段审核的目的。因此，选项D不是ISMS第一阶段审核的目的。58.以下不属于密钥管理内容的是（）。A.密钥材料复制、转移、更新和确认B.密钥材料的生成、等级、认证、注销C.密钥材料的撤销、衍生、销毁，和恢复D.密钥材料的分发、安装、存储和归档答案：A解析：在密钥管理中，关于密钥材料的操作包括生成、等级、认证、注销、分发、安装、存储和归档，以及撤销、衍生、销毁和恢复。这些操作涵盖了密钥生命周期的各个环节。然而，选项A中的“密钥材料复制、转移、更新和确认”并不属于密钥管理的内容。因此，正确答案是A。59.灾难备份系统指（）。A.由数据备份系统，备用数据处理系统备用网络系统组成的用于灾难恢复目的的信息系统B.有UPS、备份电机、冗余供电线路组成的用于灾难恢复目的的支持系统C.由数据备份系统、备用数据处理系统和备用网络系统组成的用于为灾难恢复目的备份的的系统D.以上全部答案：A解析：灾难备份系统是由数据备份系统、备用数据处理系统和备用网络系统组成的用于灾难恢复目的的信息系统。因此，选项A的描述是正确的。选项B描述的是UPS、备份电机、冗余供电线路组成的支持系统，这更像是电源备份系统，而不是灾难备份系统。选项C的描述中“用于为灾难恢复目的备份的的系统”存在语法错误，且其描述与选项A重复，因此不正确。选项D虽然包含了所有可能的描述，但灾难备份系统的核心组成部分是数据备份系统、备用数据处理系统和备用网络系统，因此选项D也不正确。60.信息安全连续性计划应进行测试或演练，目的是（）。A.备份信息系统功能的正确性和性能水平B.强化人员的安全意识C.对冗余信息系统进行预防性维护D.评价连续性计划对于恢复目标的可行性和有效性答案：D解析：信息安全连续性计划应进行测试或演练，目的是评价连续性计划对于恢复目标的可行性和有效性。通过测试或演练，可以评估连续性计划在实际操作中的表现，验证其是否能够有效地恢复信息系统，从而达到预期的恢复目标。因此，选项D“评价连续性计划对于恢复目标的可行性和有效性”是正确答案。其他选项如备份信息系统功能的正确性和性能水平、强化人员的安全意识、对冗余信息系统进行预防性维护虽然也是连续性计划的一部分，但不是测试或演练的主要目的。61.下列那些事情是审核员不必要做的？（）A.对接触到的客户信息进行保密B.客观公正的给出审核结论C.关注客户的喜好D.尽量使用客户熟悉的表达方式答案：C解析：本题考察的是审核员不必要做的事情。审核员的核心职责是确保审核的公正性和准确性，以及保护客户的信息安全。A选项提到“对接触到的客户信息进行保密”，这是审核员的基本职责之一，他们需要确保客户的信息安全，防止信息泄露，因此A选项是审核员需要做的。B选项提到“客观公正的给出审核结论”，这也是审核员的核心职责，他们需要基于事实和数据，给出客观、公正的审核结论，因此B选项是审核员需要做的。C选项提到“关注客户的喜好”，这并不是审核员的核心职责。审核员的主要任务是进行客观、公正的审核，而不是关注客户的个人喜好。因此，C选项是审核员不必要做的。D选项提到“尽量使用客户熟悉的表达方式”，虽然这有助于与客户更好地沟通，但并不是审核员的核心职责。审核员的主要任务是确保审核的准确性和公正性，而不是关注如何与客户沟通。因此，D选项也是审核员不必要做的。综上所述，选项C和D都是审核员不必要做的事情，但题目只要求选择一个，因此正确答案是C。62.以下可表达知识产权方面符合GB/T22080要求的是（）。A.禁止安装未列入白名单的软件B.禁止使用通过互联网下载的免费软件C.禁止安装未经验证的软件包D.禁止软件安装超出许可证规定的最大用炉数答案：D解析：GB/T22080是关于信息安全管理体系的要求，它涉及了信息安全管理过程中的各个方面，包括物理安全、网络安全、数据安全等。对于给出的选项，我们来一一分析：A.禁止安装未列入白名单的软件：这个选项更偏向于物理安全或网络安全，而不是直接涉及知识产权。它可能涉及到软件来源的验证，但不一定与知识产权直接相关。B.禁止使用通过互联网下载的免费软件：这个选项带有一定的偏见，因为免费软件并不等同于非法或侵犯知识产权的软件。很多免费软件是合法且受到版权保护的。C.禁止安装未经验证的软件包：这个选项与软件来源的验证有关，但同样不直接涉及知识产权。它可能涉及到软件的安全性，但不一定与知识产权直接相关。D.禁止软件安装超出许可证规定的最大用炉数：这个选项直接与知识产权相关。软件许可证规定了软件的使用范围和使用数量，超出这些规定可能涉及到版权侵权。因此，正确答案是D.禁止软件安装超出许可证规定的最大用炉数。63.信息系统的安全保护等级分为（）。A.三级B.五级C.四级D.二级答案：B解析：根据《信息安全等级保护管理办法》的规定，信息系统的安全保护等级分为五级，从低到高依次为：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。因此，信息系统的安全保护等级分为五级，选项B正确。64.关于涉密信息系统的管理，以下说法不正确的是（）。A.涉密计算机、存储设备不得接入互联网及其他公共信息网络B.涉密计算机只有采取了适当防护措施才可接入联网C.涉密信息系统中的安全技术程序和管理程家不得擅自卸载D.涉密计算机未经安全技术处理不得改作其他用途答案：B解析：根据《涉密信息系统安全保密管理要求》的规定，涉密计算机、存储设备不得接入互联网及其他公共信息网络，因此选项A正确。选项B中“涉密计算机只有采取了适当防护措施才可接入联网”与上述规定相矛盾，故选项B错误。涉密信息系统中的安全技术程序和管理程家不得擅自卸载，故选项C正确。涉密计算机未经安全技术处理不得改作其他用途，故选项D正确。因此，不正确的是B选项。65.A公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关？（）A.机房设备面临被盗的风险B.机房设备面临受破坏的风险C.机房设备面临灰尘的风险D.机房设备面临人员误入的风险答案：D解析：题目描述的是A公司的机房有一扇临街的窗户，我们需要找出与这种情况无关的风险。A选项提到机房设备面临被盗的风险，这是合理的，因为临街的窗户可能给不法分子提供了进入机房的机会，从而盗取设备。B选项提到机房设备面临受破坏的风险，这也是可能的，因为临街的窗户可能受到外部因素（如天气、人为破坏等）的影响，导致设备受损。C选项提到机房设备面临灰尘的风险，这也是相关的。临街的窗户可能会让灰尘进入机房，对设备造成损害。D选项提到机房设备面临人员误入的风险，这与临街的窗户关系不大。人员误入通常指的是非授权人员进入机房，而临街的窗户虽然可能给外部人员提供进入的机会，但并不直接导致人员误入。人员误入的风险更多地与机房的门禁系统、标识等安全措施有关。因此，与临街的窗户情况无关的风险是D选项，即机房设备面临人员误入的风险。66.下列措施中。不能用于防止非授权访问的是（）。A.采取密码技术B.采用最小授权C.采用权限复查D.采用日志记录答案：D解析：在这个问题中，我们需要找出不能用于防止非授权访问的措施。选项A的密码技术是防止非授权访问的常见手段，通过密码保护可以确保只有授权用户能够访问系统。选项B的采用最小授权原则意味着只授予用户完成其任务所需的最小权限，这有助于减少非授权访问的风险。选项C的权限复查是对用户权限的定期检查，确保用户权限的准确性和安全性，也是防止非授权访问的有效手段。而选项D的日志记录主要用于记录系统的操作记录，虽然可以帮助识别非授权访问，但它本身并不能直接防止非授权访问。因此，不能用于防止非授权访问的是选项D，即采用日志记录。67.于信息安全管理中的“脆弱性”，以下正确的是（）。A.脆弱性是威胁的一种，可以导致信息安全风险B.网络中“钓鱼”软件的存在，是网络的脆弱性C.允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D.以上全部答案：C解析：这道题目考察的是对信息安全管理中“脆弱性”的理解。A选项提到“脆弱性是威胁的一种，可以导致信息安全风险”。实际上，脆弱性是指系统、产品或服务存在可能被威胁利用，从而导致信息安全风险的问题。但它本身并不是威胁，而是威胁利用的条件。因此，A选项不正确。B选项说“网络中‘钓鱼’软件的存在，是网络的脆弱性”。钓鱼软件是一种威胁，而不是网络的脆弱性。网络的脆弱性通常指的是网络本身存在的可能被攻击者利用的问题，如未打补丁的漏洞、未加密的数据传输等。因此，B选项也不正确。C选项提到“允许使用‘1234’这样容易记忆的口令，是口令管理的脆弱性”。这是正确的。在口令管理中，如果允许使用过于简单或容易猜测的口令，那么就为攻击者提供了利用的机会，从而增加了信息安全风险。因此，C选项是正确的。D选项说“以上全部”，由于A和B选项都是错误的，所以D选项也是错误的。综上所述，正确答案是C选项。68.残余风险是指（）。A.风险评估前，以往活动遗留的风险B.风险评估后，对以往活动遗留的风险的估值C.风险处置后剩余的风险，比可接受风险低D.风险处置后的剩余的风险，不一定比可接受风险低答案：D解析：残余风险是指风险处置后的剩余的风险，不一定比可接受风险低。在风险评估和处置过程中，尽管已经采取了措施来降低风险，但仍然可能存在未被完全消除的风险，即残余风险。这些残余风险可能仍然高于或低于可接受的风险水平，因此选项D“风险处置后的剩余的风险，不一定比可接受风险低”是正确的。其他选项A、B、C都与残余风险的定义不符。69.信息安全风险（R）计算中涉及威胁（T）脆弱性（V）资产价值（F）等参数，以下说法正确的是（）。A.R由T、V、F共同决定，并与T、V、F同向增减B.R由T、V、F共同决定，并与T、V、F同反增减C.V由T、F共同决定，并与T、F同向增减D.F由R、V共同决定，并与R、V同向增减答案：A解析：信息安全风险（R）计算中涉及威胁（T）、脆弱性（V）和资产价值（F）等参数。根据信息安全风险的一般模型，风险（R）是由威胁（T）和脆弱性（V）共同决定的，并且与这两者同向增减。资产价值（F）虽然对风险有一定的影响，但并不是决定风险的主要因素。因此，正确选项是A：“R由T、V、F共同决定，并与T、V、F同向增减”。选项B的说法与A相反，不正确；选项C和D中的关系描述也不准确，与风险计算的常规理解不符。70.关于信息安全管理体系认证，以下说法正确的是（）。A.授予认证决定的实体不宜推翻审核组的正面结论B.授予认证决定的实体不宜推翻审核组的负面结论C.认证机构应对客户组织的ISMS至少进行一次完整的内部审核D.认证机构必须遵从客户组织规定的内部审核和管理评审的周期答案：B解析：在信息安全管理体系认证中，审核组会基于客户的ISMS（信息安全管理体系）进行评估，并给出正面或负面的结论。根据审核的准则，授予认证决定的实体（如认证机构）不应轻易推翻审核组的结论，特别是当审核组给出负面结论时。这是因为审核组是基于专业的知识和经验进行评估的，他们的结论应该得到尊重。因此，选项B“授予认证决定的实体不宜推翻审核组的负面结论”是正确的。对于选项A“授予认证决定的实体不宜推翻审核组的正面结论”，虽然在实际操作中，认证机构通常不会随意推翻正面的结论，但这并不是绝对的，因为认证机构有权进行进一步的审核和验证。选项C“认证机构应对客户组织的ISMS至少进行一次完整的内部审核”并不准确。认证机构通常不会直接进行内部审核，而是基于客户组织提供的内部审核报告和其他相关文件进行评估。选项D“认证机构必须遵从客户组织规定的内部审核和管理评审的周期”也不正确。认证机构有自己的审核周期和准则，他们不会完全遵从客户组织的内部审核和管理评审周期。综上所述，正确答案是B。71.关于《中华人民共和国保密法》，以下说法正确的是（）。A.该法的目的是为了保守国家秘密而定B.该法的执行可替代以ISO/IEC27001为依据的信息安全管理C.该法适用于所有组织对其敏感信息的保护D.国家秘密分为秘密、机密、绝密三级，由组织自注定级、自主保护答案：A解析：《中华人民共和国保密法》的主要目的是保守国家秘密，因此选项A是正确的。关于选项B，该法并不替代以ISO/IEC27001为依据的信息安全管理，因此B是错误的。选项C提到该法适用于所有组织对其敏感信息的保护，但实际上，该法主要适用于国家机关和涉及国家秘密的单位，因此C也是错误的。选项D提到国家秘密分为秘密、机密、绝密三级，并由组织自定级别和自主保护，但实际上，国家秘密的密级和保密期限是由国家保密行政管理部门规定的，因此D也是错误的。因此，正确答案是A。72.以下哪个场景表明了对保密性的保护？（）A.将含有敏感信息的介质集中在一个地方存放B.组织安全策略中规定所有的变更必须得到评审、批准和授权C.针对某一系统服务，用有在通过了指纹验证，才可在允许的时间段使用D.为计算机机房配备双路供电、PS电源、柴油发动机等多重保障措施答案：C解析：本题考察的是保密性的保护。A选项提到“将含有敏感信息的介质集中在一个地方存放”，这更像是物理安全性的措施，用于确保敏感信息介质的安全存储，而不是直接针对保密性的保护。B选项提到“组织安全策略中规定所有的变更必须得到评审、批准和授权”，这是变更管理的策略，主要是为了保证系统的稳定性和安全性，虽然间接地涉及到保密性，但不是直接针对保密性的保护。C选项提到“针对某一系统服务，用有在通过了指纹验证，才可在允许的时间段使用”，这是针对系统访问的控制措施，确保只有授权的人员在允许的时间段内才能访问系统，从而保护系统数据的保密性。D选项提到“为计算机机房配备双路供电、PS电源、柴油发动机等多重保障措施”，这是为了保证计算机机房的电源供应，与保密性保护无直接关系。因此，最符合保密性保护的是C选项。73.旨在评估信息安全管理体系有效性的标准是（）。A.ISO/IEC27001B.ISO/IEC27002C.ISO/IEC27006D.ISO/IEC27004答案：D解析：评估信息安全管理体系的有效性需要参考相关的标准。在给出的选项中，ISO/IEC27001是一个信息安全管理体系的标准，但它主要关注管理体系的要求，而不是评估其有效性。ISO/IEC27002是一个信息安全控制的标准，它提供了各种控制措施，但同样不直接涉及评估有效性。ISO/IEC27006是关于信息安全管理体系的指南，但它主要提供了一般性的指导，而不是具体的评估标准。而ISO/IEC27004是一个信息安全管理体系的度量方法和指南，它提供了一套方法和标准来评估信息安全管理体系的有效性，因此，选项D“ISO/IEC27004”是正确的。74.对违反CCAA注册人员行为准则和不满足CCAA相关注册准则要求的注册人员，做出（）资格处置决定。A.撤销、暂停、降级B.通报、暂停、降级C.通报、暂停、撤销D.批评、暂停、降级答案：A解