CCAA - 2017年03月基础知识（改考前）答案及解析 - 详解版（100题）

本资料由小桨备考整理，仅供学习参考，非官方发布2017年03月基础知识（改考前）答案及解析单选题（共79题，共79分）1.在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级。A.3B.4C.5D.6答案：C解析：《信息安全等级保护管理办法》将信息系统的安全等级分为5级，从第一级到第五级，安全保护能力逐步增强。因此，正确答案为C。2.可信分算基须维护与可被外部主体直接或间接访问到的计算机信息系统资源相关的敏感标记的等级是（）。A.二级、三级、四级B.三级、四级、五级C.四级、五级D.五级答案：C解析：可信分算基（EF）是一个抽象概念，通常与访问控制安全策略、数据保护和隐私管理等方面有关。它确保敏感标记（例如数据级别或分类）的正确性、完整性和机密性，以防止未经授权的数据访问。可信分算基涉及到敏感标记的等级，这些等级与可被外部主体直接或间接访问到的计算机信息系统资源相关。通常，敏感标记的等级有四级，而五级不是常见的等级划分。因此，正确答案是C，即四级。3.作为信息安全治理的成果，战略方针提供了（）。A.企业所需的安全要求B.遵从最佳实务的安全基准C.日常化、制度化的解决方案D.风险暴露的理解答案：A解析：信息安全治理战略方针是为了明确企业所需的安全要求，从而确保信息安全得到有效保障。最佳实务的安全基准可以作为参考，但不一定适用于所有企业；日常化、制度化的解决方案是实施战略方针的具体手段；风险暴露的理解是信息安全治理中的一个重要环节，但并非战略方针的直接成果。因此，作为信息安全治理的成果，战略方针提供了企业所需的安全要求，即选项A。4.信息安全管理体系审核是用来确定（）。A.组织的管理效率B.产品和服务符合有关法律法规程度C.信息安全管理体系满足审核准则的程度D.信息安全手册与标准的符合程度答案：C解析：信息安全管理体系审核是用来确定信息安全管理体系满足审核准则的程度。审核准则通常包括信息安全管理体系的标准、规范、政策、程序等，审核员会依据这些准则来评估组织的信息安全管理体系是否有效实施和持续改进，以及是否符合审核准则的要求。因此，正确答案是C，即信息安全管理体系满足审核准则的程度。其他选项如组织的管理效率、产品和服务符合有关法律法规程度、信息安全手册与标准的符合程度等，都不是信息安全管理体系审核的主要目的。5.信息安全控制措施是指（）。A.管理信息安全风险的一种方法B.规程、指南C.信息安全技术D.以上都不对答案：A解析：信息安全控制措施是指管理信息安全风险的一种方法。信息安全控制措施是为了降低信息安全风险而采取的一系列措施，包括技术、管理和组织措施等，其主要目的是保护信息系统和信息的机密性、完整性和可用性。因此，信息安全控制措施属于管理信息安全风险的一种方法。所以，正确选项为A。6.以下关于认证机构的监督要求表述错误的是（）。A.认证机构宜能够针对客户组织的与信息安全相关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B.认证机构的监督方案应由认证机构和客户共同来制定C.监督审核可以与其他管理体系的审核相结合D.认证机构应对认证证书的使用进行监督答案：B解析：本题考查认证机构的监督要求。A项正确，认证机构宜能够针对客户组织的与信息安全相关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性，这符合认证机构监督的实际要求。B项错误，认证机构的监督方案是由认证机构根据客户的实际情况来制定，而不是由认证机构和客户共同制定。客户在监督过程中提供相关信息和配合，但监督方案的制定主要由认证机构负责。C项正确，监督审核可以与其他管理体系的审核相结合，这可以提高监督的效率和效果。D项正确，认证机构应对认证证书的使用进行监督，确保客户在获得认证后能够正确使用认证证书，避免滥用或误用。因此，选项B的表述错误，所以答案为B。7.审核原则要求（）是审核的公正性和审核结论客观性的基础。A.系统性B.严格性C.独立性D.可追踪性答案：C解析：审核的公正性和审核结论的客观性依赖于审核过程的独立性。独立性意味着审核过程不受任何外部干扰，审核人员能够客观、公正地评估被审核对象。因此，独立性是审核公正性和客观性的基础。选项A“系统性”指的是审核过程需要按照一定的系统或结构进行，虽然对于审核过程很重要，但并不直接决定审核的公正性和客观性。选项B“严格性”指的是审核过程需要严谨、细致，确保审核的全面性和准确性，但同样不直接决定审核的公正性和客观性。选项D“可追踪性”指的是审核过程需要能够追溯，确保审核的透明度和责任性，虽然对于审核过程也很重要，但并不直接决定审核的公正性和客观性。因此，正确答案是C“独立性”。8.关于信息安全产品的使用，以下说法正确的是（）。A.对于所有的信息系统，信息安全产品的核心技术、关键部件应具有我国自主知识产权B.对于三级以上信息系统，已列入信息安全产品认证目录的，应取得国家信息安全产品认证机构颁发的认证证书C.对于四级以上信息系统，信息安全产品研制的主要技术人员应无犯罪记录D.对于四级以上信息系统，信息安全产品研制单位应声明没有故意留有或设置漏洞答案：B解析：根据题目中的描述，我们逐项进行分析：A选项提到“对于所有的信息系统，信息安全产品的核心技术、关键部件应具有我国自主知识产权”。然而，题目中并没有明确指出这是针对所有信息系统的要求，因此A选项的表述过于绝对，不正确。B选项表示“对于三级以上信息系统，已列入信息安全产品认证目录的，应取得国家信息安全产品认证机构颁发的认证证书”。这与题目中的描述是一致的，所以B选项是正确的。C选项说“对于四级以上信息系统，信息安全产品研制的主要技术人员应无犯罪记录”。然而，题目中并没有明确提到四级以上信息系统对于信息安全产品研制人员的具体要求，因此C选项不正确。D选项提到“对于四级以上信息系统，信息安全产品研制单位应声明没有故意留有或设置漏洞”。同样，题目中也没有明确提到四级以上信息系统对于信息安全产品研制单位的具体要求，因此D选项也不正确。综上所述，只有B选项与题目中的描述一致，因此正确答案是B。9.下列信息系统安全说法正确的是（）。A.加固所有的服务器和网络设备就可以保证网络的安全B.只要资金允许就可以实现绝对的安全C.断开所有的服务可以保证信息系统的安全D.信息系统安全状态会随着业务的变化而变化，因此网络安全状态需要根据业务而调整相应的网络安全策略答案：D解析：加固所有的服务器和网络设备只是网络安全的一部分，不能保证网络的安全。资金允许也不能实现绝对的安全，因为安全是一个持续的过程，需要不断更新和改进。断开所有的服务不能保证信息系统的安全，因为很多服务是必需的。信息系统安全状态会随着业务的变化而变化，因此网络安全状态需要根据业务而调整相应的网络安全策略，这是正确的说法。因此，选项D是正确答案。11.在现场审核时，审核组有权自行决定变更的事项是（）。A.审核人日B.审核的业务范围C.审核日期D.审核组任务调整答案：D解析：在现场审核时，审核组的任务和职责是明确的，他们不能随意变更审核的范围、日期或人日。然而，根据审核的实际情况，审核组有权根据需要进行一些调整，以适应现场审核的需要。这些调整可能包括审核组内部的分工、任务分配等，但不涉及审核的核心要素，如审核范围、日期和人日。因此，正确答案是D，即审核组任务调整。12.访问控制是为了保护信息的（）。A.完整性和机密性B.可用性和机密性C.可用性和完整性D.以上都是答案：A解析：访问控制是信息安全领域中的一个重要概念，它的主要目的是保护信息的完整性和机密性。完整性指的是信息在传输或存储过程中不被篡改或损坏，而机密性则是指信息只能被授权的人员访问。因此，选项A“完整性和机密性”是正确的答案。选项B“可用性和机密性”只涉及到了可用性，没有包括完整性；选项C“可用性和完整性”同样没有涵盖机密性；选项D“以上都是”则包含了所有选项，但访问控制的核心是保护信息的完整性和机密性，而不是所有选项都包括。因此，正确答案是A。13.审核证据是指（）。A.与审核准则有关的，能够证实的记录、事实陈述或其他信息B.在审核过程中收集到的所有记录、事实陈述或其他信息C.一组方针、程序或要求D.以上都不对答案：A解析：审核证据是指与审核准则有关的，能够证实的记录、事实陈述或其他信息。审核证据是审核过程中的重要依据，用于支持审核发现和审核结论。因此，选项A“与审核准则有关的，能够证实的记录、事实陈述或其他信息”是正确的答案。选项B“在审核过程中收集到的所有记录、事实陈述或其他信息”过于宽泛，没有强调与审核准则的相关性；选项C“一组方针、程序或要求”与审核证据的定义不符；选项D“以上都不对”显然是不正确的。14.许多计算机系统为诊断和服务支持的目的提供一些“维护帐号”给系统带来的脆弱性，下面哪一种安全技术最不被优先考虑使用（）。A.回叫确认B.通讯加密C.智能令牌卡D.口令与服务名答案：D解析：在计算机系统中，为诊断和服务支持的目的提供“维护帐号”可能引入脆弱性。在这种情况下，安全性是一个关键因素。对于给定的选项进行分析：A.回叫确认（CallbackConfirmation）：这是一种安全措施，通过用户进行验证以确保他们真的是授权用户。它可以防止未授权用户假冒授权用户进行操作。B.通讯加密（CommunicationEncryption）：通讯加密能够保护数据在传输过程中的安全，防止数据被截获或篡改。C.智能令牌卡（SmartTokenCard）：智能令牌卡是一种物理安全设备，通常包含加密芯片，用于生成和验证用户的身份。D.口令与服务名（PasswordandServiceName）：口令和服务名是最基本的身份验证方式。然而，如果“维护帐号”的口令和服务名被泄露，攻击者可能能够轻易地进行访问。此外，仅仅依赖口令和服务名进行身份验证可能不足以提供足够的安全性。考虑到“维护帐号”的潜在脆弱性，最不被优先考虑的安全技术是D选项，即口令与服务名。因为口令和服务名容易被猜测或破解，而且它们不能提供足够的安全性来防止未授权访问。因此，正确答案是D。15.访问控制是指确定（）以及实施访问权限的过程。A.用户权限B.可给予哪些主体访问权利C.可被用户访间的资源D.系统是杏遭受入侵答案：B解析：访问控制是指确定可给予哪些主体访问权利以及实施访问权限的过程。因此，选项B“可给予哪些主体访问权利”是正确的。其他选项A、C、D都与访问控制的定义不符。16.信息安全管理体系的要求类标准是（）。A.GB/T22080-2016B.GB/T22081-2008C.ISO/IEC27003D.ISO/IEC27004答案：A解析：信息安全管理体系的要求类标准是指为信息安全管理体系的建立、实施、监视、评审和改进提供框架和指南的标准。根据给出的选项，A选项“GB/T22080-2016”是信息安全管理体系的要求类标准，而B选项“GB/T22081-2008”是信息安全管理体系的指南类标准，C选项“ISO/IEC27003”是信息安全管理体系的成熟度模型标准，D选项“ISO/IEC27004”是信息安全管理体系的度量标准。因此，正确答案为A。17.下列不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标的是（）。A.资产归还B.资产分发C.资产的处理D.资产清单答案：B解析：根据题目中的信息，我们需要找出不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标。A.资产归还：这通常涉及到确保资产在不再需要时能够安全、完整地归还给适当的实体或部门。B.资产分发：虽然资产分发是资产管理的一部分，但它并不直接属于A8资产管理规定的控制目标。A8更侧重于资产的处理、使用和保护，而不是分发。C.资产的处理：这涉及到对资产进行维护、升级、报废等处理，确保资产的有效利用和合规性。D.资产清单：资产清单是记录和管理资产的重要工具，有助于确保资产的安全和完整性。从上述分析中可以看出，资产分发并不直接属于A8资产管理规定的控制目标，因此答案为B。18.关于可信计算基，以下说法正确的是（）。A.指计算机系统中用作保护装置的硬件、固件、软件等的组合体B.指配置有可信赖安全防护硬件、软件产品的计算机环境C.指通过了国家有关安全机构认证的计算机信息系统D.指通过了国家有关机构评测的计算机基础设施，含硬件、软件的配置答案：A解析：可信计算基（TCB，TrustedComputingBase）是指计算机系统中用作保护装置的硬件、固件、软件等的组合体。它提供了一种机制，用于确保系统的机密性、完整性和可用性。因此，选项A“指计算机系统中用作保护装置的硬件、固件、软件等的组合体”是正确的。选项B、C和D都与可信计算基的定义不符。19.风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）和（）。A.识别可能性和影响B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影响答案：B解析：风险识别是风险管理过程的第一步，旨在识别和评估潜在的风险。在风险识别过程中，需要识别以下几个主要方面：资产识别、识别威胁、识别现有控制措施、识别脆弱性和识别后果。选项A的“可能性和影响”只涵盖了“可能性”和“影响”两个方面，选项C的“脆弱性和可能性”同样只涵盖了“脆弱性”和“可能性”两个方面，选项D的“脆弱性和影响”只涵盖了“脆弱性”和“影响”两个方面，均不完整。因此，正确答案是B，即“识别脆弱性和识别后果”。20.下面哪一种日志文件有助于评估计算机安全事例的危害程度？（）A.联络日志B.活动日志C.事件日志D.审计日志答案：C解析：为了评估计算机安全事例的危害程度，我们需要详细记录与计算机安全相关的事件。事件日志通常记录了与安全相关的事件，包括安全违规、系统入侵、恶意软件活动等。这些事件日志可以帮助我们了解安全事件的性质、影响范围以及危害程度。因此，事件日志是最有助于评估计算机安全事例危害程度的日志文件。选项A的联络日志主要记录通信联络信息，与计算机安全事例的危害程度评估关系不大。选项B的活动日志可能记录了一些系统或用户活动，但不一定与安全事件直接相关。选项D的审计日志可能记录了一些与安全相关的操作，但不一定全面和详细，可能不足以评估计算机安全事例的危害程度。因此，正确答案是C，即事件日志。21.符合性要求包括（）。A.知识产权保护B.公司信息保护C.个人隐私的保护D.以上都是答案：D解析：题目询问的是符合性要求包括哪些内容。选项A提到的是知识产权保护，选项B提到的是公司信息保护，选项C提到的是个人隐私的保护。由于题目中问到的是“符合性要求”，这意味着它应该涵盖所有相关的要求。因此，选项D“以上都是”是最全面的答案，因为它包括了所有提到的要求。所以，正确答案是D。22.下面哪一种属于网络上的被动攻击（）。A.消息篡改B.伪装C.拒绝服务D.流量分析答案：D解析：网络攻击分为被动攻击和主动攻击两种。被动攻击的特点是侵犯者仅仅观察和监测数据而不干扰数据流。例如，流量分析是一种典型的被动攻击方式，它通过分析网络传输的数据包，尝试获取敏感信息，如用户密码、账号等。因此，选项D“流量分析”属于网络上的被动攻击。而选项A“消息篡改”、选项B“伪装”和选项C“拒绝服务”都属于主动攻击。23.依据GB/T22080-2016/ISO/IEC27001:2013标准，不属于第三方服务监视和评审范围的是（）。A.监视和评审服务级别协议的符合性B.监视和评渖服务方人员聘用和考核的流程C.监视和评审服务交付遵从协议规定的安全要求的程度D.和评审服务方跟踪处理信息安全事件的能力答案：B解析：依据GB/T22080-2016/ISO/IEC27001:2013标准，第三方服务监视和评审的范围包括监视和评审服务级别协议的符合性、监视和评审服务交付遵从协议规定的安全要求的程度、和评审服务方跟踪处理信息安全事件的能力。然而，监视和评渖服务方人员聘用和考核的流程并不属于第三方服务监视和评审的范围。因此，选项B是不属于第三方服务监视和评审范围的。24.构成风险的关键因素有（）。A.人、财、物B.技术、管理和操作C.资产、威胁和弱点D.资产、可能性和严重性答案：C解析：构成风险的关键因素包括资产、威胁和弱点。资产是指可能被攻击或利用的目标，如企业的数据、系统或设施等；威胁是指可能对资产造成损害或破坏的因素，如黑客攻击、自然灾害等；弱点是指资产或系统中存在的安全漏洞或缺陷，这些弱点可能被威胁利用。因此，选项C“资产、威胁和弱点”是构成风险的关键因素。而选项A“人、财、物”不是构成风险的直接因素，选项B“技术、管理和操作”虽然与风险有关，但不是关键因素，选项D“资产、可能性和严重性”中的“可能性和严重性”也不是构成风险的关键因素。因此，正确答案是C。25.一种基于信任而产生的并且很难防范的主要风险是（）。A.正确使用的授权访问B.被滥用的授权访问C.不成功的非授权访问D.成功的非授权访问答案：B解析：基于信任而产生的风险通常与授权访问有关。在授权访问中，用户被赋予特定的权限来执行某些操作。然而，如果授权被滥用，即用户超出其权限范围进行操作，就可能导致风险。这种滥用授权访问的风险很难防范，因为一旦授权被赋予，很难实时监控每个用户的操作。因此，被滥用的授权访问是一种基于信任而产生的主要风险。其他选项如正确使用的授权访问、不成功的非授权访问和成功的非授权访问虽然也与风险有关，但它们与基于信任而产生的风险特点不完全吻合。因此，正确答案是B，即被滥用的授权访问。26.关于入侵检测，以下不正确的是（）。A.入侵检测是一个采集知识的过程B.入侵检测指信息安全事件响应过程C.分析反常的使用模式是入侵检测模式之一D.入侵检测包括收集被利用脆弱性发生的时间信息答案：B解析：入侵检测是指识别针对计算机网络或系统，未经授权且有害的尝试性行为，并对此行为作出反应的过程。它主要依赖于对网络和系统的若干关键点收集信息并进行分析，从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。A项描述了入侵检测中的知识采集过程，C项描述了入侵检测的一种模式，D项描述了入侵检测中收集被利用脆弱性发生的时间信息，均正确。而B项提到的信息安全事件响应过程，虽然是入侵检测的一部分，但不是入侵检测本身，所以是不正确的。因此，正确答案是B。27.关于文件管理下列说法错误的是（）。A.文件发布前应得到批准，以确保文件是适宜的B.必要时对文件进行评审、更新并再次批准C.应确保文件保持清晰，易于识别D.作废文件应及时销毁，防止错误使用答案：D解析：本题考察的是文件管理的相关知识。A选项提到“文件发布前应得到批准，以确保文件是适宜的”，这是文件管理中非常关键的一步，确保文件的准确性和适用性。B选项提到“必要时对文件进行评审、更新并再次批准”，这也是文件管理中不可或缺的一部分，当文件的内容或标准发生变化时，需要进行评审和更新，以确保文件的持续有效性和准确性。C选项提到“应确保文件保持清晰，易于识别”，这是文件管理的基本要求，确保文件的可读性和易理解性。D选项“作废文件应及时销毁，防止错误使用”虽然在实际操作中可能是一种常见的做法，但不是文件管理的硬性要求。文件管理并不强制要求必须销毁作废文件，而是需要确保这些文件不被错误地使用。实际上，某些情况下，保留作废文件可能有助于追溯和审计。因此，D选项“作废文件应及时销毁，防止错误使用”是错误的说法。所以正确答案是D。28.风险责任人是指（）。A.具有责任和权限管理一项风险的个人或实体B.实施风险评估的组织的法人C.实施风险评估的项目负责人或项目任务责任人D.信息及信息处理设施的使用者答案：A解析：风险责任人是具有责任和权限管理一项风险的个人或实体。在风险管理中，风险责任人通常是负责管理和控制特定风险的个人或组织，他们负责确保风险得到适当的识别、评估和控制。因此，选项A“具有责任和权限管理一项风险的个人或实体”是正确的答案。其他选项如实施风险评估的组织的法人、实施风险评估的项目负责人或项目任务责任人、信息及信息处理设施的使用者，虽然与风险管理有关，但不是风险责任人的定义。29.管理评审应包括评估信息安全管理体系改进的计划和变更的需求，管理评审的输入可以不包括（）。A.相关方的反馈B.预防和纠正措施的状况C.有效性测量的结果D.业务连续性演练结果答案：D解析：管理评审是组织对其信息安全管理体系的定期评估，目的是确保体系持续有效并满足组织的需求。管理评审的输入通常包括与信息安全管理体系相关的各种信息，如相关方的反馈、预防和纠正措施的状况以及有效性测量的结果。然而，业务连续性演练结果并不直接与管理评审的输入相关，它更多地与业务连续性管理相关，而不是信息安全管理体系的评估。因此，业务连续性演练结果不应作为管理评审的输入。所以，选项D业务连续性演练结果不应包括在管理评审的输入中。30.目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度。（）A.公安部B.国家保密局C.信息产业部D.国家密码管理委员会办公室答案：B解析：《计算机信息系统国际联网保密管理规定》是由国家保密局制定的规章制度。这是根据题目中提到的“多方‘齐抓共管’的体制”和“多头管理现状决定法出多门”可以推断出来的。因此，正确答案是nB国家保密局。31.管理体系是实现组织的方针、（）、指南和相关资源的框架。A.自标B.规程C.文件D.记录答案：B解析：管理体系是为了实现组织的方针、目标，对内部过程进行识别、理解和管理，确保这些过程有效运行并得到控制而建立的一系列相互关联或相互作用的要素。管理体系的框架中包括了方针、目标、过程、绩效指标、所需资源以及为达到目标而采取的措施等要素。因此，管理体系是实现组织的方针、目标的框架，而不是文件、记录或其他内容。因此，正确答案为B，即“规程”。32.体系是指（）。A.建立方针和目标并实现这些目标的体系B.相互关联和相互作用的一组要素C.指挥和控制组织的协调活动D.以上都不对答案：B解析：体系是指相互关联和相互作用的一组要素。在系统中，各个要素之间相互作用、相互依赖，共同构成了一个有机整体。因此，选项B“相互关联和相互作用的一组要素”是体系的基本定义。其他选项A、C、D都与体系的基本定义不符，故排除。因此，正确答案为B。33.过程是指（）。A.有输入和输出的任意活动B.通过使用资源和管理，将输入转化为输出的活动C.所有业务活动的集合D.以上都不对答案：B解析：过程是指通过使用资源和管理，将输入转化为输出的活动。在过程中，输入经过一系列的操作和转换，最终转化为输出。这种转换通常涉及到资源的利用和管理，包括人力、物力、财力等。因此，选项B“通过使用资源和管理，将输入转化为输出的活动”是过程的定义。其他选项A、C、D都不符合过程的定义。34.下面哪一条措施不能防止数据泄漏（）。A.数据冗余B.数据加密C.访问控制D.密码系统答案：A解析：数据冗余是指数据的重复存储，虽然它可以提高数据的可用性和可靠性，但并不能直接防止数据泄漏。数据加密、访问控制和密码系统都是有效的数据保护措施，可以防止数据被未经授权的人员访问或泄露。因此，选项A数据冗余不能防止数据泄漏。35.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为（）。A.三级B.二级C.四级D.六级答案：A解析：根据题目描述，如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，那么需要具备的保护水平应该是最高的。在信息安全等级保护制度中，等级从低到高分别为一级、二级、三级、四级。其中，三级保护水平是较高的，适用于对国家安全或者社会秩序和公共利益有较大影响的信息系统。因此，正确答案为A，即三级。36.资产是对组织（）的任何东西。A.有使用价值B.拥有C.有价值D.购买答案：C解析：题目考察的是对“资产”这一概念的理解。资产通常指的是那些能够为组织带来经济利益的资源或物品。在给出的选项中，只有“有价值”能够准确描述资产的本质特征，即资产能够对组织产生价值。因此，正确答案为“C有价值”。37.信息系统审计（）。A.是发现信息系统脆弱性的手段之一B.应在系统运行期间进行，以便于准确地发现弱点C.审核工具在组织内应公开可获取，以便于提升员工的能力D.只要定期进行，就可以替代内部ISMS审核答案：A解析：信息系统审计是发现信息系统脆弱性的手段之一，通过审计可以评估信息系统的安全性、可靠性和效率，从而发现可能存在的弱点。因此，选项A是正确的。选项B提到“应在系统运行期间进行，以便于准确地发现弱点”，这虽然是一个正确的观点，但并不是信息系统审计的核心目的，因此不是最佳答案。选项C提到“审核工具在组织内应公开可获取，以便于提升员工的能力”，虽然提升员工能力是一个好的目标，但这与信息系统审计的核心目的不直接相关，因此也不是最佳答案。选项D提到“只要定期进行，就可以替代内部ISMS审核”，这与信息系统审计的目的和作用不符。信息系统审计是对信息系统进行独立、客观、全面的评估，而内部ISMS审核是对组织内部的信息安全管理体系进行审核，两者不能相互替代。因此，选项D也是错误的。38.描述与组织信息安全管理体系相关的和适用的控制措施的文档是（）。A.信息安全管理体系方针B.适用性声明C.信息安全管理体系范围D.风险评估程序答案：B解析：题目要求选择描述与组织信息安全管理体系相关的和适用的控制措施的文档。在信息安全管理体系中，适用性声明是用于描述组织信息安全管理体系与组织的业务过程、产品、服务以及组织环境的适用性，以及组织如何实施控制措施来管理信息安全风险的文档。因此，适用性声明是与组织信息安全管理体系相关的和适用的控制措施的文档，答案为B。其他选项如信息安全管理体系方针、信息安全管理体系范围、风险评估程序虽然与信息安全管理体系有关，但不是直接描述控制措施的文档。39.某种网络安全威胁是通过非法手段对数据进行恶意修改，这种安全威胁属于（）。A.窃听数据B.破坏数据完整性C.破坏数据可用性D.物理安全威胁答案：B解析：题目中描述的网络安全威胁是通过非法手段对数据进行恶意修改，这种威胁直接影响了数据的完整性和准确性，因此属于破坏数据完整性的安全威胁。选项A“窃听数据”是指未经授权地获取数据，但不涉及数据的修改；选项C“破坏数据可用性”是指使数据无法被正常访问或使用，但题目中并未提到数据不可用；选项D“物理安全威胁”是指对计算机硬件的物理破坏或干扰，与题目描述不符。因此，正确答案是B，即破坏数据完整性。40.容量管理的对象是（）。A.信息系统内存B.办公室空间和基础设施C.人力资源D.A+B+C答案：D解析：容量管理是一个涉及多个方面的概念，它不仅仅是关于某一特定对象的。在本题中，给出的选项包括信息系统内存、办公室空间和基础设施以及人力资源。容量管理通常涉及对这些资源的规划、分配和监控，以确保它们能够满足组织的需求。因此，选项D“A+B+C”是最全面的答案，涵盖了所有与容量管理相关的对象。41.公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期，包括证书目录维护、表维护和证书发布，这个要素是（）。A.证书机构(CA)B.数字签名C.证书实践声明D.注册机构(RA)答案：A解析：公共密钥体系（PKI）中，证书机构（CA）的主要功能是管理证书的生命周期，包括证书目录维护、表维护和证书发布。这是证书机构的核心职责，确保数字证书的生成、发布、存储和撤销等流程得以正确执行。因此，答案为A。其他选项如数字签名、证书实践声明和注册机构（RA）虽然都是PKI的重要组成部分，但它们在证书的生命周期管理中并没有直接涉及证书目录维护、表维护和证书发布的功能。42.下列说法不正确的是（）。A.残余风险需要获得管理者的批准B.体系文件应能够显示出所选择的控制措施回潮到风险评估和风险处置过程的结果C.所有的信息安全活动都必须记录D.管理评审至少每年进行一次答案：C解析：A项正确，残余风险是指通过实施控制措施后，仍可能发生的危害或损失。残余风险需要获得管理者的批准，这是确保企业风险可控的重要步骤。B项正确，体系文件应能够显示出所选择的控制措施回潮到风险评估和风险处置过程的结果，这是体系文件的基本功能，能够确保控制措施的有效性和针对性。C项错误，不是所有的信息安全活动都必须记录，而是那些对信息安全有重大影响的活动才需要记录。D项正确，管理评审是评估管理体系是否有效、是否符合企业要求的过程，至少每年进行一次，这是确保管理体系有效运行的重要步骤。综上所述，不正确的说法是C项，即“所有的信息安全活动都必须记录”。43.依据《中华人民共和国网络安全法》，以下说法不正确的是（）。A.网络安全应采取必要措施防范对网络的攻击和侵入B.网络安全措施包括防范对网络的破坏C.网络安全即采取措施保护信息在网络中传输期间的安全D.网络安全包括对信息收集、存储、传输、交换、处理系统的保护答案：C解析：《中华人民共和国网络安全法》规定，网络运营者应当采取技术措施和其他必要措施，确保网络安全，保护网络免受攻击、侵入、干扰和破坏；保护网络中的数据的安全性、完整性、保密性和可用性；防止危害网络安全行为的发生，以及减少危害网络安全行为造成的损失和影响。此外，网络运营者还应采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。因此，网络安全不仅仅包括保护信息在网络中传输期间的安全，还包括对信息收集、存储、传输、交换、处理系统的保护。所以，选项C的说法不正确。44.信息安全风险（R）计算中涉及脆弱性（V），以下说法正确的是（）。A.脆弱性是资产性质决定的固有的弱点，其赋值不变B.如果当前控制措施有效，入资产脆弱性赋值可以降低C.控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系D.只要威胁存在，脆弱性就存在，二者的赋值同向增减答案：B解析：在信息安全风险（R）计算中，脆弱性（V）是一个重要的因素。根据题目选项，我们可以逐一分析：A选项提到“脆弱性是资产性质决定的固有的弱点，其赋值不变”。但实际上，脆弱性是可以根据控制措施的有效性而变化的。如果控制措施有效，那么脆弱性可能会降低，因此A选项不正确。B选项说“如果当前控制措施有效，入资产脆弱性赋值可以降低”，这是正确的。因为有效的控制措施可以减少或消除潜在的威胁，从而降低脆弱性。C选项表示“控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系”。但实际上，控制措施和脆弱性是紧密相关的。有效的控制措施可以降低脆弱性，因此C选项不正确。D选项提到“只要威胁存在，脆弱性就存在，二者的赋值同向增减”。虽然威胁和脆弱性确实有关系，但它们的赋值并不总是同向增减。例如，即使威胁存在，如果控制措施有效，脆弱性可能会降低。因此D选项也不正确。综上所述，正确答案是B选项：“如果当前控制措施有效，入资产脆弱性赋值可以降低”。45.信息安全管理体系的设计应考虑（）。A.组织的成略B.组织的目标和需求C.组织的业务过程性质D.以上全部答案：D解析：在设计信息安全管理体系时，需要全面考虑组织的战略、目标和需求，以及业务过程的性质。这些因素都会影响信息安全管理体系的设计和实施。因此，选项D“以上全部”是正确的选择。选项A“组织的成略”可能是一个输入错误，可能是指“组织的战略”。然而，无论是组织的战略还是目标，以及业务过程的性质，都是信息安全管理体系设计过程中需要考虑的重要因素。46.信息安全是保证信息的保密性、完整性、（）。A.充分性B.适宜性C.可用性D.有效性答案：C解析：信息安全是确保信息在传输、存储和处理过程中不被未经授权的访问、泄露、篡改或破坏。保密性、完整性和可用性是信息安全的三个基本属性。保密性是指信息不会被未授权的人员获取；完整性是指信息在传输过程中不会被篡改；可用性是指授权人员能够在需要时获取和使用信息。因此，选项C“可用性”是信息安全中保证的三个基本属性之一，是正确答案。其他选项如充分性、适宜性和有效性并不属于信息安全的基本属性，因此可以排除。47.《中华人民共和国保守国家秘密法》第二章规定了国家秘密的范围和密级，国家秘密的密级分为（）。A.普密、商密两个级别B.低级和高级两个级别C.绝密、机密、秘密三个级别D.一密、二密、三密、四密四个级别答案：C解析：《中华人民共和国保守国家秘密法》第二章规定了国家秘密的范围和密级，国家秘密的密级分为绝密、机密、秘密三个级别。因此，正确答案为C。选项A、B、D均不符合法律规定。48.依据GB/T22080-2016/ISQ/IEC27001:2013标准，信息安全管理体系文件应包括（）。A.信息安全管理体系的范围、适用性声明B.风险评估报告和风险处置计划C.风险评估方法D.以上全部答案：D解析：依据GB/T22080-2016/ISQ/IEC27001:2013标准，信息安全管理体系文件应包括信息安全管理体系的范围、适用性声明、风险评估报告和风险处置计划以及风险评估方法。因此，正确答案是D，即“以上全部”。49.依据GB/T22080-2016/ISO/IEC27001:2013标准，制定信息安全管理体系方针，应予以考虑的输入是（）。A.业务战略B.法律法规要求C.合同要求D.以上全部答案：D解析：依据GB/T22080-2016/ISO/IEC27001:2013标准，制定信息安全管理体系方针时，应予以考虑的输入包括业务战略、法律法规要求和合同要求。因此，正确答案是“以上全部”，即选项D。50.以下对GB/T22080-2016/ISO/IEC27001:2013标准的描述，正确的是（）。A.该标准属于要求类标准B.该标准属于指南类标准C.该标准可用于一致性评估D.组织在建立信息安全管理体系时，应满足该标准的所有要求答案：A解析：GB/T22080-2016/ISO/IEC27001:2013是一个信息安全管理体系（ISMS）标准，它规定了组织在建立、实施、监控、评审和改进信息安全管理体系时应遵循的要求。因此，该标准属于要求类标准，而不是指南类标准。此外，该标准也常用于一致性评估，但题目中并没有明确指出这一选项，因此不能单独作为正确答案。最后，组织在建立信息安全管理体系时，不需要满足该标准的所有要求，因为该标准是一个框架，组织可以根据其具体情况和需求来调整和适应标准。因此，正确答案为A，该标准属于要求类标准。51.主体访问权限的（），即仅执行授权活动所必需的那些权利被称为最小特定权限。A.最高限度B.最低限度C.平均限度D.次低限度答案：B解析：根据题目描述，“最小特定权限”指的是仅执行授权活动所必需的那些权利，即权限的“最低限度”。因此，正确答案为B选项，即“最低限度”。其他选项如“最高限度”、“平均限度”和“次低限度”与题目描述不符。52.关于信息安全连续性，以下说法正确的是（）。A.信息安全连续性即IT设备运行的连续性B.信息安全连续性应是组织业务连续性的一部分C.信息处理设施的觅余即指两个或多个服务器互备D.信息安全连续性指标由IT系统的性能决定答案：B解析：信息安全连续性是指组织在遭受信息安全事件后，能够迅速恢复其关键业务功能的能力。它应是组织业务连续性的一部分，以确保在信息安全事件发生时，组织的业务能够持续进行。选项A错误，信息安全连续性并不仅仅指IT设备运行的连续性，它还包括数据、应用、网络等方面的连续性。选项C错误，信息处理设施的冗余通常指的是多个服务器或设备能够互备，但冗余并不等同于连续性。选项D错误，信息安全连续性指标不仅仅由IT系统的性能决定，还涉及组织策略、流程、人员等多个方面。因此，正确答案是B，信息安全连续性应是组织业务连续性的一部分。53.在一个分布式计算环境中，系统安全特别重要。分布式计算环境中的网络攻击存在两种主要的类型：被动攻击和主动攻击。下面哪一种是属于被动攻击？（）A.企业登录到别人的帐号上B.在网络电缆上安装侦听设备，并产生错误消息C.拒绝为合法用户提供服务D.当用户键入系统口令时，进行窃听答案：D解析：被动攻击是指攻击者通过窃听或监视网络上的数据包来获取敏感信息，而不是直接干扰或破坏网络。在给出的选项中，只有D选项“当用户键入系统口令时，进行窃听”符合被动攻击的定义，因为它涉及到对敏感信息的监听。A选项“企业登录到别人的帐号上”是主动攻击，因为它涉及到未经授权地访问他人的账户。B选项“在网络电缆上安装侦听设备，并产生错误消息”也是主动攻击，因为它不仅监听数据，还产生错误消息来干扰网络。C选项“拒绝为合法用户提供服务”也是主动攻击，因为它拒绝合法用户访问系统。因此，正确答案是D。54.组织进行业务连续性管理主要是为了保护信息的（）。A.机密性B.完整性C.可用性D.A+B+C答案：C解析：业务连续性管理主要是为了确保组织在面临中断、故障或灾难等情况下，业务活动能够继续不受影响或者迅速恢复。这种连续性要求确保业务所依赖的信息具备可用性。如果信息不可用，那么即使其他措施到位，业务也无法正常运转。因此，组织进行业务连续性管理主要是为了保护信息的可用性。对于其他选项，机密性主要是关于信息不被未经授权的人员访问，完整性则是指信息在传输和存储过程中不被篡改，虽然这些也是信息保护的重要方面，但在业务连续性管理的上下文中，可用性是最直接和核心的关注点。因此，正确答案是C，即“可用性”。55.某工厂M为某手机品牌S代工，S要求M将其手机设计信息敏感性等级确定为最高级，M的以下做法正确的是（）。A.限制S手机外观设计图纸仅在PLM系统中流传，并限制访问权限B.将测试用S手机主板存放于密码柜中，并限制密码知悉人C.将生产线上报废的S手机部件废品粉碎后送环保公司处置D.以上都对答案：D解析：A选项：限制S手机外观设计图纸仅在PLM系统中流传，并限制访问权限。这符合敏感信息的管理要求，确保只有授权人员可以访问这些设计图纸，防止敏感信息泄露。B选项：将测试用S手机主板存放于密码柜中，并限制密码知悉人。这也是一种有效的敏感信息保护措施，确保只有授权人员能够访问这些主板，防止敏感信息被非法获取。C选项：将生产线上报废的S手机部件废品粉碎后送环保公司处置。这一做法是为了防止报废手机部件中的敏感信息被非法获取，确保这些部件得到妥善处理，不会造成信息泄露。综上所述，A、B、C选项都是针对敏感信息的保护措施，因此D选项“以上都对”是正确的。56.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，其所用，是指（）。A.完整性B.可用性C.机密性D.抗抵赖性答案：C解析：确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，这是机密性的定义。机密性是指信息只能被授权的个人、实体或进程访问和使用，未经授权的人员无法获取或泄露信息。因此，正确答案为C，即机密性。57.对于获准认可的认证机构，认可机构证明（）。A.认证机构能够开展认证活动B.其在特定范围内按照标准具有从事认证活动的能力C.认证机构的每张认证证书都符合要求D.认证机构具有从事相应认证活动的能力答案：B解析：对于获准认可的认证机构，认可机构会证明其具备在特定范围内按照标准从事认证活动的能力。选项A只描述了认证机构能够开展认证活动，没有提到特定范围和标准，不够准确。选项C只涉及认证证书，没有涉及到认证机构的能力，与题意不符。选项D虽然提到了认证机构具有从事相应认证活动的能力，但没有明确提到是在特定范围内按照标准，所以也不是最准确的答案。因此，正确答案是B，即其在特定范围内按照标准具有从事认证活动的能力。58.适用性声明文件应（）。A.描述与组织相关和适用的控制目标和控制措施B.版本应保持稳定不变C.应包含标准GB/T22080附录A的所有条款D.应删除组织不拟实施的控制措施答案：A解析：适用性声明文件应描述与组织相关和适用的控制目标和控制措施。适用性声明文件是为了确保信息安全管理体系与组织的具体需求和运营情况相适应而制定的。文件中应明确与组织相关和适用的控制目标，以及实现这些目标所需的控制措施，确保组织能够根据自身的实际情况进行信息安全管理。选项B提到“版本应保持稳定不变”，这与适用性声明文件的编写和维护无直接关联。选项C提到“应包含标准GB/T22080附录A的所有条款”，适用性声明文件的内容并不是固定不变的，需要根据组织的实际情况进行调整和修改，不一定需要包含标准GB/T22080附录A的所有条款。选项D提到“应删除组织不拟实施的控制措施”，适用性声明文件应明确组织拟实施的控制措施，而不是删除不拟实施的控制措施。因此，正确答案是A，即适用性声明文件应描述与组织相关和适用的控制目标和控制措施。59.内部审核是为了确定信息安全体系的（）。A.有效性和适宜性B.适宜性和充分性C.有效性和符合性D.适宜性和充分性答案：C解析：内部审核是为了确定信息安全体系的有效性和符合性。有效性是指信息安全体系是否能够实现预期的目标和效果，符合性是指信息安全体系是否符合相关的法律法规、标准和规范的要求。因此，选项C“有效性和符合性”是正确的答案。选项A“有效性和适宜性”中的“适宜性”在此题目中并没有明确提及，选项B“适宜性和充分性”中的“充分性”同样没有明确提及，选项D“适宜性和充分性”中的两个选项在此题目中都没有明确提及，因此都不是正确答案。60.测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A.ISMS建立阶段B.ISMS实施和运行阶段C.ISMS监视和评审阶段D.ISMS保持和改进阶段答案：C解析：在信息安全管理体系（ISMS）中，监视和评审阶段的主要任务是测量控制措施的有效性，以验证安全要求是否被满足。这是通过定期评审安全控制措施的效果、收集安全相关信息、识别潜在的安全威胁和风险，以及评估安全事件的影响来实现的。因此，正确答案是C，即ISMS监视和评审阶段。61.ISMS文件的多少和详细程度取决于（）。A.组织的规模和活动的类型B.过程及其相互作用的复杂程度C.员的能力D.以上都对答案：D解析：ISMS文件的多少和详细程度取决于组织的规模和活动的类型、过程及其相互作用的复杂程度。因此，选项D“以上都对”是正确的。组织的规模和活动的类型会影响ISMS文件的数量和详细程度，因为大型组织可能需要更多的文件和更详细的描述。同样，过程的复杂性和相互作用也会影响ISMS文件的详细程度，因为复杂的过程需要更详细的描述和解释。因此，组织的规模和活动的类型、过程及其相互作用的复杂程度都是影响ISMS文件多少和详细程度的重要因素。62.关于信息安全风险评估，以下说法正确的是（）。A.如果集团企业的各地分/子公司业务性质相同，则针对一个分/子公司识别，评价风险即可，其风险评估过程和结果文件其他分/子公司可直接采用，以节省重要识别和计算的工作量B.风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性C.组织应基于其整体业务活动所在的环境和风险考虑其ISMS设计D.以上都对答案：C解析：信息安全风险评估是信息安全保障的基础性工作和重要环节。信息安全风险评估的对象是信息资产面临的风险。信息安全风险评估是一个过程，这个过程包括识别资产，确认资产面临的风险，评估风险的大小，确认资产面临的风险的可接受程度，提出控制风险的措施并予以实施，并对控制措施的实施进行监控。A选项提到，如果集团企业的各地分/子公司业务性质相同，则针对一个分/子公司识别，评价风险即可，其风险评估过程和结果文件其他分/子公司可直接采用。这个说法是错误的，因为不同公司的具体情况和所面临的风险可能有所不同，因此风险评估过程和结果文件不能直接套用。B选项提到，风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性。这个说法过于绝对，实际上，在风险评估过程中，参数的赋值可能需要根据实际情况进行调整，以保证评估结果的准确性和可靠性。C选项提到，组织应基于其整体业务活动所在的环境和风险考虑其ISMS设计。这是正确的，组织应该根据自身的实际情况和所面临的风险来设计和实施信息安全管理体系。D选项提到，以上都对，这是错误的，因为A和B选项的说法都是错误的。因此，正确答案是C选项。63.管理评审是为了确保信息安全管理体系持续的（）。A.适宜性B.充分性C.有效性D.以上都是答案：D解析：管理评审是为了确保信息安全管理体系持续的适宜性、充分性和有效性。适宜性指的是管理体系是否适合组织的业务需求和目标；充分性指的是管理体系是否具备足够的资源和能力来支持其运行；有效性指的是管理体系是否能够实现预期的效果。因此，选项D“以上都是”是正确的。64.加强网络安全性的最重要的基础措施是（）。A.设计有效的网络安全策略B.选择更安全的操作系统C.安装杀毒软件D.加强安全教育答案：A解析：网络安全性的基础措施是设计有效的网络安全策略。有效的网络安全策略能够指导组织和个人如何保护其网络资产，包括数据、应用程序和基础设施，从而确保网络的安全性。选择更安全的操作系统、安装杀毒软件和加强安全教育都是重要的补充措施，但它们不能替代设计有效的网络安全策略作为最基础的措施。因此，设计有效的网络安全策略是加强网络安全性的最重要的基础措施。65.拒绝服务攻击损害了下列哪一种信息安全特性？（）A.完整性B.可用性C.机密性D.可靠性答案：B解析：拒绝服务攻击（DoS攻击）是一种通过向目标系统发送大量无效或恶意请求，导致系统资源耗尽，无法正常处理合法请求的攻击方式。这种攻击主要影响的是系统的可用性，即系统无法为授权用户提供正常的服务。因此，拒绝服务攻击损害了信息安全特性中的可用性。选项A完整性是指数据在传输和存储过程中未被篡改的特性；选项C机密性是指数据在传输和存储过程中不被未经授权的人员获取的特性；选项D可靠性是指系统能够持续、稳定地运行，不出现意外中断的特性。这些特性与拒绝服务攻击的影响无直接关系。因此，正确答案是B，即可用性。66.渗透测试（）。A.可能会导致业务系统无法正常运行拷贝B.是通过模拟恶意黑客攻击方法，来评估计算机网络系统安全的一种评估方法C.渗透测试人员在局域网中进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告D.必须在计算机网络系统首次使用前进行，以确保系统安全答案：B解析：渗透测试是一种评估计算机网络系统安全的方法，通过模拟恶意黑客攻击来评估系统的安全性。这种方法可以发现和挖掘系统中存在的漏洞，并输出渗透测试报告，以便及时修复和防范潜在的安全威胁。因此，选项B“是通过模拟恶意黑客攻击方法，来评估计算机网络系统安全的一种评估方法”是正确的。选项A“可能会导致业务系统无法正常运行拷贝”和选项D“必须在计算机网络系统首次使用前进行，以确保系统安全”的说法都与渗透测试的定义不符。选项C“渗透测试人员在局域网中进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告”虽然部分正确，但不如选项B全面。67.下面哪一种功能不是防火墙的主要功能？（）A.协议过滤B.应用网关C.扩展的日志记录能力D.包交换答案：D解析：防火墙的主要功能包括协议过滤、应用网关和扩展的日志记录能力。包交换不是防火墙的主要功能。包交换是网络中的一个基本操作，涉及到数据的封装、路由和传输。防火墙在数据包到达网络层时根据规则进行过滤，而包交换涉及到更低层的操作，因此不是防火墙的主要功能。所以，正确答案是D选项，即包交换。68.关于信息安全管理体系认证，以下说法正确的是（）。A.负责作出认证决定的人员中应至少有一人参于了审核B.负责作出认证决定的人员必须是审核组组长C.负责作出认证决定的人员不应参与审核D.负责作出认证决定的人员应包含参与了预审核的人员答案：C解析：根据信息安全管理体系认证的相关要求，负责作出认证决定的人员不应参与审核，以避免利益冲突和潜在的不公平现象。因此，选项C“负责作出认证决定的人员不应参与审核”是正确的。选项A、B和D都与这一要求不符。69.《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每（）至少进行一次保密检查或者系统测评。A.半年B.1年C.1.5年D.2年答案：D解析：《信息安全等级保护管理办法》规定，对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评。因此，正确选项为D，即“2年”。其他选项半年、1年、1.5年均不符合规定。70.以下哪一项有助于检测入侵者对服务器系统日志的改动？（）A.在另一台服务器镜像该系统日志B.在一块一次写磁盘上同时复制该系统日志C.将保存系统日志的目录设为写保护D.异地保存该系统日志的备份答案：B解析：入侵者可能会篡改服务器系统日志，以掩盖其活动或掩盖证据。为了检测这种篡改，我们需要确保日志的完整性和不可变性。A选项：在另一台服务器镜像该系统日志。这种方法并不能保证日志的不可变性，因为入侵者可能同时篡改镜像的日志。B选项：在一块一次写磁盘上同时复制该系统日志。一次写磁盘（WriteOnceMedia）的特点是数据只能写入一次，写入后不能更改。因此，在这种磁盘上复制的系统日志是不可变的，一旦写入，任何尝试篡改的行为都会被记录下来。C选项：将保存系统日志的目录设为写保护。虽然这可以防止对日志的写入，但并不能阻止对已有日志的读取和删除，因此不能保证日志的完整性。D选项：异地保存该系统日志的备份。这种方法虽然可以保存日志的备份，但并不能保证备份的日志是原始且未被篡改的。因此，为了确保系统日志的完整性和不可变性，最佳选择是在一块一次写磁盘上同时复制该系统日志。这样，任何对日志的篡改都会被记录下来，从而有助于检测入侵者的活动。71.加密技术可以保护信息的（）。A.机密性B.完整性C.可用性D.A+B答案：D解析：在信息安全领域中，加密技术被广泛应用来确保信息的机密性和完整性。机密性指的是信息不被未经授权的人获取；完整性指的是信息在传输过程中没有被篡改。因此，加密技术可以保护信息的机密性和完整性，故正确答案为D。选项A和B都是正确的，因为它们都涉及到加密技术的主要目的，但选项D涵盖了这两个方面，因此是最佳选择。72.根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。A.国家经营B.地方经营C.许可制度D.备案制度答案：C解析：《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行许可制度。因此，正确答案为C选项，即“许可制度”。其他选项A、B、D均不符合该法规的规定。73.关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是（）。A.指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B.指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C.指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D.指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用答案：A解析：《中华人民共和国网络安全法》中的“三同步”要求指的是关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用。这一要求旨在确保在关键信息基础设施的建设过程中，安全技术措施能够得到充分的规划和实施，以保障网络安全。因此，选项A“指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用”是正确的说法。选项B、C、D均不符合这一法律规定。74.在实施技术符合性评审时，以下说法正确的是（）。A.技术符合性评审即渗透测试B.技术符合性评审即漏洞扫描与渗透测试的结合C.渗透测试与漏洞描述可以替代风险评估D.渗透测试与漏洞描述不可替代风险评估答案：D解析：技术符合性评审是一个全面的评估过程，用于确认技术实施是否满足相关标准、法规或业务需求。渗透测试是评估系统安全性的方法，通过模拟攻击者行为来测试系统的安全性；漏洞扫描则是自动或半自动地检测系统中存在的已知漏洞。尽管渗透测试和漏洞扫描是技术符合性评审中可能使用的工具，但它们并不能完全代表技术符合性评审。技术符合性评审还可能包括其他方面的评估，如配置检查、性能评估等。选项A将技术符合性评审等同于渗透测试，过于狭隘；选项B将技术符合性评审等同于漏洞扫描与渗透测试的结合，同样过于局限；选项C提出渗透测试与漏洞描述可以替代风险评估，但风险评估是一个更广泛的概念，包括了对技术、操作、管理等多个方面的评估，渗透测试和漏洞描述只是其中的一部分。因此，选项D“渗透测试与漏洞描述不可替代风险评估”是正确的。75.以下做法不正确的是（）。A.保留含有敏感信息的介质的处置记录B.将大量含有信息的介质汇集在一起时提高其总体敏感性等级C.将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略D.依据风险评估的结果将维修更换下来的磁盘交第三方按双方约定的程序进行处置答案：C解析：题目要求找出不正确的做法。A选项提到保留含有敏感信息的介质的处置记录，这是为了追踪和确保敏感信息的安全处理，符合信息安全的原则。B选项提到将大量含有信息的介质汇集在一起时提高其总体敏感性等级，这有助于统一管理和保护敏感信息，也是合理的做法。D选项依据风险评估的结果将维修更换下来的磁盘交第三方按双方约定的程序进行处置，这是基于风险评估的安全处置策略，同样是正确的。而C选项将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略，这种做法可能会增加敏感信息泄露的风险，因为复印纸可能包含敏感信息，而重复使用可能会使这些信息被不当获取或泄露。因此，C选项是不正确的做法。76.《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构再接受其注册申请。A.2年B.3年C.4年D.5年答案：D解析：根据《中华人民共和国认证认可条例》的规定，认证人员若被撤销职业资格，则在5年内，认可机构不能再接受其注册申请。因此，正确选项为D，即5年。77.以下关于入侵检测系统功能的叙述中，（）是不正确的。A.仅保护内部网络免受非法用户的侵入B.评估系统关键资源和数据文件的完整性C.分识别已知的攻击行为D.统计分析异常行为答案：A解析：入侵检测系统（IDS）是一种用于检测网络或系统中未经授权或恶意活动的系统。它通常用于监控网络流量、系统日志和其他相关数据源，以识别潜在的攻击或异常行为。选项A"仅保护内部网络免受非法用户的侵入"是不正确的。入侵检测系统的主要功能之一是检测网络中的异常行为，但它并不直接“保护”内部网络免受非法用户的侵入。它更像是一个警报系统，当检测到异常行为时，它可以向管理员发出警告，但并不能直接阻止非法用户的侵入。选项B"评估系统关键资源和数据文件的完整性"是入侵检测系统的一个功能。它可以帮助管理员识别是否有未经授权的对系统关键资源或数据文件的访问或修改。选项C"识别已知的攻击行为"是入侵检测系统的一个基本功能。它通常包含已知的攻击模式或签名，当检测到这些模式或签名时，系统会发出警告。选项D"统计分析异常行为"是入侵检测系统的一个重要功能。通过对网络流量、系统日志等数据的统计分析，系统可以识别出异常行为模式，从而提前发现潜在的攻击。因此，不正确的叙述是选项A"仅保护内部网络免受非法用户的侵入"。78.信息安全管理体系标准族中关于信息安全风险管理的标准是（）。A.ISO/IEC27002B.ISO/IEC27003C.ISO/IEC27004D.ISO/IEC27005答案：D解析：信息安全管理体系标准族中，关于信息安全风险管理的标准是ISO/IEC27005。ISO/IEC27002是信息安全管理体系的标准，ISO/IEC27003是信息安全控制实施指南的标准，ISO/IEC27004是信息安全管理体系审核和认证机构运作指南的标准。因此，正确答案是D，即ISO/IEC27005。79.一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性。A.已经发生B.可能发生C.意外D.A+B+C答案：C解析：根据题目中的描述，信息安全事件是由单个或一系列的有害或一系列“信息安全事态”组成，它们具有损害业务运作和威胁信息安全的极大的可能性。因此，选项C“意外”符合题目描述，而选项A“已经发生”、选项B“可能发生”和选项D“A+B+C”都不符合题目描述。因此，正确答案是C。80.数据签名可以有效对付哪一类信息安全的风险？（）A.非授权地阅读B.盗窃C.非授权地复制D.篡改答案：D解析：数据签名是一种用于验证数据完整性和来源的技术。它可以确保数据在传输过程中没有被篡改，并且数据是由预期的发送者发送的。因此，数据签名可以有效对付信息安全中的篡改风险。选项A、B、C分别对应非授权地阅读、盗窃和非授权地复制，这些风险虽然也是信息安全中需要防范的，但数据签名并不能直接对抗这些风险。因此，正确答案是D，即篡改。多选题（共20题，共20分）81.GB/T22080-2016/ISO/IEC27001:2013标准可用于（）。A.指导组织建立信息安全管理体系B.为组织建立信息安全管理体系提供控制措施的实施指南C.审核员实施审核的依据D.以上都不对答案：AC解析：《GB/T22080-2016/ISO/IEC27001:2013》是一个国际标准和国家标准，它是信息安全管理体系的标准，其目的是指导组织建立信息安全管理体系。这个标准提供了一个框架和一系列的控制措施，用于帮助组织实施和维护信息安全管理体系。因此，该标准可用于指导组织建立信息安全管理体系（A）以及为组织建立信息安全管理体系提供控制措施的实施指南（B）。但是，它并不直接用于审核员实施审核的依据，审核员实施审核的依据通常是其他的审核标准或指南。因此，选项D“以上都不对”是不正确的。所以，正确答案是A和C。82.撤销对信息和信息处理设施的访的权针对的是（）。A.组织雇员离职的情况B.组织雇员转岗的情况C.临时任务结束的情况D.员工出差答案：ABC解析：撤销对信息和信息处理设施的访问权通常是为了确保信息的安全性和保密性。当组织雇员离职、转岗或临时任务结束时，他们可能不再需要访问这些信息或设施，因此应该撤销他们的访问权。员工出差的情况通常不会涉及到撤销访问权，因为他们仍然需要访问相关信息或设施以完成出差任务。因此，选项A、B、C是正确的。83.信息安全管理体系绩效测量的开发包括（）。A.选择目标和特性B.确定分析模型C.确定测量指标D.确定决策准则答案：ABCD解析：信息安全管理体系绩效测量的开发是一个复杂的过程，需要综合考虑多个方面。首先，需要明确测量的目标和特性，以确定测量的方向和重点。其次，需要确定分析模型，以便对收集到的数据进行有效的分析和评估。然后，需要确定具体的测量指标，以量化绩效的各个方面。最后，需要确定决策准则，以便根据测量结果做出合理的决策。因此，选项A、B、C和D都是信息安全管理体系绩效测量开发中不可或缺的部分。84.以下哪几项可以实现和保持对组织信息资产的适当保护（）。A.形成重要资产清单，并加以维护B.购买相同设备类型中价值最高的产品C.确定所有资产的责任人D.制定合乎公司要求的资产使用规则答案：ACD解析：选项A“形成重要资产清单，并加以维护”是确保对组织信息资产适当保护的重要步骤。通过形成资产清单，组织可以明确知道其拥有的资产，并对其进行适当的维护和管理，以确保其安全性和完整性。选项C“确定所有资产的责任人”是确保资产得到适当保护的关键。通过明确责任人，可以确保资产得到适当的关注和维护，并及时处理任何潜在的安全问题。选项D“制定合乎公司要求的资产使用规则”是保护组织信息资产的重要措施。通过制定明确的资产使用规则，可以确保员工在使用资产时遵循统一的标准和程序，减少误用或滥用资产的风险。选项B“购买相同设备类型中价值最高的产品”虽然可能提高设备的性能和质量，但并不直接涉及到对组织信息资产的适当保护。购买高价产品并不一定意味着资产得到更好的保护，因此，该选项与题目要求不符。85.网络攻击的方式包括（）。A.信息搜集B.信息窃取C.系统利用D.资源损耗答案：ABCD解析：网络攻击的方式多种多样，其中信息搜集、信息窃取、系统利用和资源损耗是常见的几种方式。信息搜集是指攻击者通过收集目标网络的信息，了解网络结构、设备配置、用户行为等，为进一步的攻击做准备。信息窃取是指攻击者通过非法手段获取目标网络中的敏感信息，如用户密码、个人数据等。系统利用是指攻击者利用目标网络中的漏洞或安全缺陷，对系统进行非法访问或控制。资源损耗是指攻击者通过大量请求或恶意代码，消耗目标网络的带宽、存储资源等，导致网络性能下降或服务中断。因此，选项A、B、C和D都是网络攻击的方式。86.对于某企业作为数据中心备用发电机用油的20吨油库，以下符合GB/T22080-2016/ISO/IEC27001:2013标准要求的做法是（）。A.将油库识别为重要危险源进行风险防控B.油库的防雷检测不列为信息安全管理体系审核范围C.对备用发电机定期进行带载测试D.油库通过了当地消防部门的验收，可替代定期风险评估答案：AC解析：A选项：将油库识别为重要危险源进行风险防控。根据GB/T22080-2016/ISO/IEC27001:2013标准，企业需要对重要的危险源进行识别，并采取相应的风险防控措施。油库作为数据中心备用发电机用油的重要来源，其安全性对于保障数据中心正常运行至关重要。因此，将油库识别为重要危险源并进行风险防控是符合标准的做法。B选项：油库的防雷检测不列为信息安全管理体系审核范围。虽然防雷检测对于保障油库安全有一定作用，但与信息安全管理体系的审核范围不太相关。信息安全管理体系主要关注与信息系统安全相关的信息资产和活动，防雷检测更多的是涉及物理设施的安全，因此不列为信息安全管理体系审核范围。C选项：对备用发电机定期进行带载测试。备用发电机在数据中心中起到关键的保障作用，定期对其进行带载测试可以确保其在实际应急情况下能够正常工作。这是符合GB/T22080-2016/ISO/IEC27001:2013标准要求的做法。D选项：油库通过了当地消防部门的验收，可替代定期风险评估。虽然消防部门的验收可以确保油库符合一定的安全标准，但并不能替代定期的风险评估。定期风险评估可以更全面地识别和控制油库及整个数据中心的风险。综上所述，符合GB/T22080-2016/ISO/IEC27001:2013标准要求的做法是A和C选项。87.以下说法不正确的是（）。A.信息安全管理体系审核是信息系统审计的一种B.信息安全技术应用的程度决定信息安全管理体系认证审核的结论C.组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D.如果组织已获得业务连续性管理体系认证，则信息安全管理体系审核可略过风险评估答案：ABD解析：A选项：信息安全管理体系审核不等同于信息系统审计。信息安全管理体系审核是对组织信息安全管理体系的符合性和有效性进行评估，而信息系统审计是对信息系统安全性的全面检查，两者在目的、方法和内容上都有所不同。因此，A选项不正确。B选项：信息安全技术应用的程度并不能决定信息安全管理体系认证审核的结论。信息安全管理体系认证审核关注的是组织信息安全管理体系的符合性和有效性，而不是信息安全技术应用的程度。因此，B选项不正确。C选项：组织对信息安全威胁的分析确实是信息安全管理体系审核关注的要素之一。信息安全管理体系审核需要评估组织对信息安全威胁的识别、评估和控制能力，以确保组织能够应对各种信息安全威胁。因此，C选项是正确的。D选项：即使组织已获得业务连续性管理体系认证，信息安全管理体系审核仍然需要进行风险评估。业务连续性管理体系认证关注的是组织在业务中断时的恢复能力，而信息安全管理体系审核关注的是组织信息安全管理体系的符合性和有效性，两者并不等同。因此，D选项不正确。综上所述，不正确的选项是A、B和D。88.按覆盖的地理范围进行分类，计算机网络可以分为（）。A.局域网B.城域网C.广域网D.区域网答案