CCAA - 2017年审核知识（改考前）答案及解析 - 详解版（45题）

本资料由小桨备考整理，仅供学习参考，非官方发布2017年审核知识（改考前）答案及解析单选题（共40题，共40分）1.信息安全管理中，变更管理应予以控制的风险包括（）。A.组织架构、业务流程变更的风险B.信息系统配置、物理位置变更的风险C.信息系统新的组件、功能模块发布的风险D.以上全部答案：D解析：在信息安全管理中，变更管理需要予以控制的风险涵盖了多个方面。组织架构和业务流程的变更可能导致原有的安全策略失效或管理失效，增加安全漏洞的风险；信息系统的配置和物理位置的变更可能改变原有的安全环境，使系统更容易受到攻击；而信息系统新的组件或功能模块的发布，如果没有经过严格的安全评估，也可能引入新的安全风险。因此，变更管理应予以控制的风险包括组织架构、业务流程变更的风险，信息系统配置、物理位置变更的风险，以及信息系统新的组件、功能模块发布的风险，即选项D所述“以上全部”。2.关于防范恶意软件，以下说法正确的是（）。A.物理隔断信息系统与互联网的连接即可防范恶意软件B.安装入侵深测系统即可防范恶意软件C.建立白名单即可防范恶意软件D.建立探测、预防和恢复机制以防范恶意软件答案：D解析：对于防范恶意软件，我们需要从多个层面进行考虑。A选项提到“物理隔断信息系统与互联网的连接即可防范恶意软件”，这实际上是一种过于简单和片面的做法。恶意软件可以通过多种途径传播，不仅仅是互联网连接。物理隔断可能阻止了一部分传播途径，但并不能完全解决问题。B选项“安装入侵深测系统即可防范恶意软件”同样存在问题。入侵检测系统（IDS）确实可以检测到某些恶意软件的入侵行为，但它并不能主动预防恶意软件的感染。C选项“建立白名单即可防范恶意软件”也是不全面的。白名单确实可以帮助我们识别和允许已知安全的应用运行，但对于未知的或经过伪装的恶意软件，白名单就无能为力了。D选项“建立探测、预防和恢复机制以防范恶意软件”则更加全面和合理。通过建立探测、预防和恢复机制，我们可以及时发现恶意软件的入侵行为，并采取预防措施阻止其传播，同时，在受到攻击后也能迅速恢复系统正常运行。综上所述，D选项“建立探测、预防和恢复机制以防范恶意软件”是最全面和有效的做法，因此是正确答案。3.以下不属于可降低信息传输中的信息安全风险的措施是（）。A.规定使用通信设施的限制规定B.使用铠甲线缆以及数据加密C.双路供电以及定期测试备份电机D.记录物理介质运输全程的交接信息答案：C解析：题目要求找出不属于可降低信息传输中的信息安全风险的措施。A选项“规定使用通信设施的限制规定”是有效的安全措施，有助于控制对通信设施的访问，减少潜在的安全风险。B选项“使用铠甲线缆以及数据加密”同样是有效的安全措施，能够增强数据传输的安全性，降低被截获和破解的风险。D选项“记录物理介质运输全程的交接信息”也是一个安全措施，能够追踪物理介质的安全，降低物理安全风险。而C选项“双路供电以及定期测试备份电机”与信息安全风险的降低没有直接关系。双路供电和定期测试备份电机主要是为了提高系统的可用性和可靠性，与信息安全风险的降低没有直接联系。因此，C选项是不属于可降低信息传输中的信息安全风险的措施。4.依据GB/T2208/ISO/IC27001，不属于第三方服务监视和评审范畴的是（）。A.监视和评审服务级别协议的符合性B.监视和评审服务方人员聘用和考核的流程C.监视和评审服务交付遵从协议规定的安全要求的程度D.监视和评审服务方跟踪处理信息安全事件的能力答案：B解析：依据GB/T2208/ISO/IC27001，第三方服务监视和评审范畴主要包括监视和评审服务级别协议的符合性、监视和评审服务交付遵从协议规定的安全要求的程度以及监视和评审服务方跟踪处理信息安全事件的能力。而监视和评审服务方人员聘用和考核的流程并不属于第三方服务监视和评审的范畴。因此，答案为B。5.在进行技术符合性评审时，以下说法正确的是（）。A.技术符合性评审即渗透测试B.技术符合性评审即漏洞扫描和渗透测试的结合C.渗透测试和漏洞扫描可以替代风险评估D.渗透测试和漏洞扫描不可替代风险评估答案：D解析：技术符合性评审是一个全面的评估过程，旨在确保技术系统或产品符合预定的标准、规范或要求。渗透测试和漏洞扫描是评估技术系统安全性的工具，它们可以帮助发现潜在的安全漏洞，但并不能完全替代风险评估。风险评估是一个更广泛的过程，它考虑了多种因素，包括技术、操作、管理等，以全面评估系统的安全状况。因此，渗透测试和漏洞扫描不可替代风险评估，而是作为其中的一部分。所以，选项D“渗透测试和漏洞扫描不可替代风险评估”是正确的说法。6.信息系统安全等级分为五级，以下说法正确的是（）。A.二级系统每年进行一次测评，三级系统每年进行二次测评B.四级系统每年进行二次测评，五级系统每年进行一次测评C.三级系统每年进行一次测评，四级系统每年进行二次测评D.二级系统和五级系统不进行测评答案：C解析：根据题目描述，信息系统安全等级分为五级，我们需要判断哪个选项是正确的。A选项提到二级系统每年进行一次测评，三级系统每年进行二次测评。这与题目描述不符，因为题目中并没有提到三级系统每年进行二次测评。B选项说四级系统每年进行二次测评，五级系统每年进行一次测评。这同样与题目描述不符，题目中并没有提到五级系统每年进行一次测评。D选项提到二级系统和五级系统不进行测评，这与题目描述也不符，因为题目中并没有提到二级系统和五级系统不进行测评。C选项说三级系统每年进行一次测评，四级系统每年进行二次测评。这与题目描述相符，因为题目中确实提到了三级系统每年进行一次测评，四级系统每年进行二次测评。因此，正确答案是C选项。7.关于涉密信息系统的管理，以下说法不正确的是（）。A.涉密计算机、存储设备不得接入互联网及其他公共信息网络B.涉密计算机只有采取了适当防护措施才可接入互联网C.涉密信息系统中的安全技术程序和管理程序不得擅自卸裁D.涉密计算机未经安全技术处理不得改作其他用途答案：B解析：A项，涉密计算机、存储设备不得接入互联网及其他公共信息网络，因为这样做可能导致涉密信息泄露。所以，A项正确。B项，题目中说的是“涉密计算机只有采取了适当防护措施才可接入互联网”，而实际上，涉密计算机是严禁接入互联网的。因此，B项错误。C项，涉密信息系统中的安全技术程序和管理程序不得擅自卸裁，这是为了确保系统的安全性。所以，C项正确。D项，涉密计算机未经安全技术处理不得改作其他用途，这是为了防止涉密信息被非法获取或利用。因此，D项正确。综上，不正确的说法是B项。8.残余风险是指（）。A.风险评估前，以往活动遗留的风险B.风险评估后，对以往活动遗留的风险的估值C.风险处置后剩余的风险，比可接受风险低D.风险处置后剩余的风险，不一定比可接受风险低答案：D解析：残余风险是指风险处置后剩余的风险，不一定比可接受风险低。在风险评估和处置过程中，尽管已经采取了措施来降低风险，但可能仍然会存在一些未被完全消除的风险，这些风险就是残余风险。残余风险的大小不一定比可接受的风险低，因此选项D是正确的。选项A、B描述的是以往活动的遗留风险，与题目要求的“风险处置后剩余的风险”不符；选项C中“比可接受风险低”的表述与题目要求的“不一定比可接受风险低”不符。9.信息安全风险（R）计算中涉及脆弱性（V），以下说法正确的是（）。A.脆弱性是资产性质决定的固有的弱点，其赋值不变B.如果当前控制措施有效，资产脆弱性赋值可以降低C.控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系D.只要威胁存在，脆弱性就存在，二者的赋值同向增减答案：B解析：在信息安全风险（R）计算中，脆弱性（V）是一个重要的因素。根据题目中的选项，我们可以逐一分析：A选项提到“脆弱性是资产性质决定的固有的弱点，其赋值不变”。这一说法过于绝对，实际上，脆弱性赋值是可以根据控制措施的有效性而变化的。B选项表示“如果当前控制措施有效，资产脆弱性赋值可以降低”。这是正确的，因为有效的控制措施可以降低资产被威胁利用的风险，从而降低脆弱性。C选项说“控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系”。这是不正确的，因为控制措施和脆弱性都是信息安全风险计算中的重要因素，它们之间是有关系的。D选项提到“只要威胁存在，脆弱性就存在，二者的赋值同向增减”。这一说法也不准确，因为威胁和脆弱性是两个不同的概念，它们的赋值不一定同向增减。综上所述，正确答案是B选项，即“如果当前控制措施有效，资产脆弱性赋值可以降低”。10.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为（）。A.三级B.二级C.四级D.五级答案：A解析：《信息安全等级保护管理办法》中规定了信息系统安全保护能力应根据信息系统在国家安全、社会稳定方面的重要程度，遭到破坏后对社会产生的危害程度以及系统本身的安全防护能力和系统服务的对象等因素确定，并按照等级测评、建设整改、监督检查、系统定级的流程进行。信息系统安全保护等级分为五级，从低到高依次为：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。因此，如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为第三级。故本题选A。11.关于信息安全管理体系认证，以下说法正确的是（）。A.负责作出认证决定的人员中应至少有一人参与了审核B.负责作出认证决定的人员必须是审核组组长C.负责作出认证决定的人员不应参与审核D.负责作出认证决定的人员应包含参与了预审核的人员答案：C解析：信息安全管理体系认证中，负责作出认证决定的人员不应参与审核。这是为了确保审核的公正性和独立性。审核组组长虽然重要，但并不能单独作出认证决定，参与预审核的人员也不一定是作出认证决定的人员。因此，选项C“负责作出认证决定的人员不应参与审核”是正确的。12.关于散布图，以下说法正确的是（）。A.是描述特性值分布区间的网——趋势图B.是描述一对变量关系的图——散布图C.是描述特性随时间变化趋势的图——趋势图D.是描述变量类别分布的图——直方图答案：B解析：散布图是用来描述一对变量关系的图，通过点的密集程度和变化趋势，可以观察两变量之间是否存在某种关系。因此，选项B“是描述一对变量关系的图——散布图”是正确的。选项A“是描述特性值分布区间的网——趋势图”描述的是趋势图，与散布图不符；选项C“是描述特性随时间变化趋势的图——趋势图”也是描述趋势图的，与散布图不符；选项D“是描述变量类别分布的图——直方图”描述的是直方图，与散布图也不符。13.设置研发内部独立内网是采取（）的控制措施。A.上网流量管控B.行为管理C.敏感系统隔离D.信息交换答案：C解析：在研发内部设置独立内网是为了隔离敏感系统，避免敏感信息外泄或受到外部攻击。敏感系统隔离是采取的关键控制措施，能够确保研发内部网络的安全性和稳定性。上网流量管控、行为管理和信息交换虽然也是网络安全中的重要环节，但与设置独立内网的主要目的不完全一致。因此，正确答案是C，即敏感系统隔离。14.以下说法不正确的是（）。A.应考虑组织架构与业务目标的变化险评估结果进行再评审B.应考虑以往未充分识别的威胁对风险评估结果进行再评估C.制造部增加的生产场所对信息安全风险无影响D.安全计划应适时更新答案：C解析：本题考查信息安全风险评估的相关知识。A项正确，组织架构与业务目标的变化可能引发新的信息安全风险，因此需要进行再评审。B项正确，威胁是信息安全风险的一个重要来源，以往未充分识别的威胁可能带来新的信息安全风险，因此需要进行再评估。C项错误，制造部增加的生产场所可能会引入新的安全风险，例如物理安全、网络安全等，因此需要考虑对信息安全风险的影响。D项正确，安全计划应根据实际情况适时更新，以应对新的安全风险和挑战。因此，C项“制造部增加的生产场所对信息安全风险无影响”说法不正确。15.A公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关（）。A.机房设备面临被盗的风险B.机房设备面临受破坏的风险C.机房设备面临灰尘的风险D.机房设备面临人员误入的风险答案：D解析：题目描述了一个公司机房有一扇临街的窗户，这可能会引起多种风险。选项A机房设备面临被盗的风险，是因为窗户临街，可能会被不法分子利用进行盗窃。选项B机房设备面临受破坏的风险，同样是因为窗户临街，可能会被恶意破坏。选项C机房设备面临灰尘的风险，是因为窗户可能让灰尘进入机房，影响设备的正常运行。而选项D机房设备面临人员误入的风险，与窗户临街的情况没有直接关系，因为人员误入的风险更多是与机房内部标识不清、安全措施不足等因素有关，与窗户的位置没有直接联系。因此，与该种情况无关的风险是D，即机房设备面临人员误入的风险。16.不属于计算机病毒防治的策略是（）。A.确认您手头常备一张真正“干净的引导盘”B.及时、可靠升级反病毒产品C.新购置的计算机软件也要进行病毒检测D.整理磁盘答案：D解析：计算机病毒防治的策略主要包括：确认手头常备一张真正“干净的引导盘”，以便在必要时使用；及时、可靠地升级反病毒产品，以应对新出现的病毒；新购置的计算机软件也要进行病毒检测，以防止病毒带入系统。而整理磁盘并不属于计算机病毒防治的策略，它更多的是关于磁盘空间管理和优化磁盘性能的操作。因此，选项D“整理磁盘”是不属于计算机病毒防治的策略。17.不属于WEB服务器的安全措施的是（）。A.保证注册帐户的时效性B.删除死帐户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码答案：D解析：本题考查的是WEB服务器的安全措施。A选项“保证注册帐户的时效性”是WEB服务器的安全措施之一，它确保了只有有效的帐户才能登录，从而增强了系统的安全性。B选项“删除死帐户”也是WEB服务器的安全措施之一，死帐户指的是那些不再使用或者已被锁定的帐户，删除这些帐户可以减少被攻击的风险。C选项“强制用户使用不易被破解的密码”同样是WEB服务器的安全措施，它提高了用户密码的安全性，降低了密码被破解的风险。D选项“所有用户使用一次性密码”并不是WEB服务器的常见安全措施。一次性密码（OTP）通常用于增强身份认证，但它并不是所有用户的默认或唯一密码。因此，这一选项不符合WEB服务器的安全措施。综上所述，不属于WEB服务器的安全措施的是D选项“所有用户使用一次性密码”。18.定期备份和测试信息是指（）。A.每次备份完成时对备份结果进行检查，以确保备份效果B.对系统测试记录进行定期备份C.定期备份，定期对备份数据的完整性和可用性进行测试D.定期检查备份存储介质的容量答案：C解析：定期备份和测试信息是指定期备份，定期对备份数据的完整性和可用性进行测试。这是因为备份的目的是为了保障数据的安全性，而测试则是为了确保备份数据的完整性和可用性，即当需要恢复数据时，备份数据能够正常、完整地恢复。因此，定期备份和测试信息应该包括定期备份和定期测试备份数据的完整性和可用性两个方面。选项A只涉及备份结果的检查，没有提到测试；选项B只涉及系统测试记录的备份，与题目要求不符；选项D只涉及备份存储介质的容量检查，也没有提到测试。因此，正确答案是C。19.一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了（）。A.便于针对使用信息处理设施的人员计算工时B.便于探测未经授权的信息处理活动的发生C.确保信息处理的及时性得到控制D.人员异地工作时统一作息时间答案：B解析：题目要求的是关于组织或安全域内所有信息处理设施与已设精确时钟源同步的目的。根据选项进行分析：A.便于针对使用信息处理设施的人员计算工时-这与信息处理设施的时钟同步无直接关系，所以A选项不正确。B.便于探测未经授权的信息处理活动的发生-当所有信息处理设施与已设精确时钟源同步时，可以更容易地检测和识别未经授权的信息处理活动，因为时间戳的一致性有助于追踪和定位异常活动。因此，B选项是正确的。C.确保信息处理的及时性得到控制-虽然时钟同步可以确保信息处理活动的时间一致性，但这并不是同步的主要目的。因此，C选项不正确。D.人员异地工作时统一作息时间-这与信息处理设施的时钟同步没有直接关系，所以D选项不正确。综上所述，正确答案是B，即“便于探测未经授权的信息处理活动的发生”。20.在策略生命周期中，以下哪个是正确的（）。A.需求分析、制定、发布、推行、审核、废除B.制定、发布、推行、审核、修订、废除C.需求分析、制定、发布、推行、审核、修订D.需求分析、制定、发布、推行、审核、修订、废除答案：D解析：策略生命周期通常包括需求分析、制定、发布、推行、审核、修订和废除等阶段。在给出的选项中，选项D“需求分析、制定、发布、推行、审核、修订、废除”与策略生命周期的阶段顺序相符，因此是正确答案。其他选项要么缺少某个阶段，要么顺序不正确。21.以下强健口令的是（）。A.a8mom9y5fub33B.1234C.CnasD.Password答案：A解析：在评估四个选项的口令强度时，我们需要考虑口令的复杂性和难以猜测性。A选项"a8mom9y5fub33"包含大小写字母、数字和特殊字符，长度也相对较长，这样的口令很难被猜测，因此具有较高的安全性。B选项"1234"是常见的弱口令，因为它很容易被猜测到，没有复杂性。C选项"Cnas"虽然包含大小写字母，但长度较短，且没有特殊字符，相对来说也比较容易被猜测。D选项"Password"是另一个常见的弱口令，因为它是一个常用的密码词汇，很容易被猜测。综上所述，A选项"a8mom9y5fub33"是最安全的口令，因为它符合强口令的标准，包括长度、复杂性、难以猜测性等要素。22.（）属于系统威胁。A.不稳定的电力供应B.硬件维护失误C.软件缺乏审计记录D.口令管理机制薄弱答案：A解析：系统威胁通常指的是可能对系统稳定性、安全性和可用性造成威胁的因素。在给出的选项中，A选项“不稳定的电力供应”是一个典型的系统威胁，因为不稳定的电力供应可能导致系统崩溃、数据丢失或设备损坏。B选项“硬件维护失误”虽然可能对系统造成损害，但它更多地是一个操作失误，而不是一个持续的系统威胁。C选项“软件缺乏审计记录”可能会导致安全漏洞，但它更多地与系统的安全策略相关，而不是系统威胁。D选项“口令管理机制薄弱”可能会增加未经授权访问的风险，但它更多是一个管理或策略问题，而不是一个直接的系统威胁。因此，A选项“不稳定的电力供应”是最符合系统威胁定义的选项。23.防止静态信息被非授权访问和防止动态信息被截取解密是（）。A.数据完整性B.数据可用性C.数据可靠性D.数据保密性答案：D解析：数据保密性是指确保数据不被非授权访问和防止数据被截取解密的能力。防止静态信息被非授权访问和防止动态信息被截取解密，都是对数据保密性的保护。因此，正确答案是D，即数据保密性。24.下列关于“风险评价准则描述不正确的是（）。A.风险评价准则是评价风险重要程度的依据，不能被改变B.风险评估准则应尽可能在风险管理过程开始制定C.风险评估准则应当与组织的风险管理方针一致D.风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源答案：A解析：A选项描述“风险评价准则是评价风险重要程度的依据，不能被改变”是不正确的。风险评价准则实际上是可以根据组织的需求和情况进行调整和改进的。风险评价准则应当随着组织的风险管理方针、目标、资源和承受度的变化而进行相应的调整。因此，A选项的描述是不准确的。B选项“风险评估准则应尽可能在风险管理过程开始制定”是正确的，因为风险评估准则应当在风险管理过程开始时制定，以确保评估的准确性和一致性。C选项“风险评估准则应当与组织的风险管理方针一致”也是正确的，因为风险评估准则应当与组织的整体风险管理方针相一致，以确保评估的有效性和可靠性。D选项“风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源”同样正确，因为风险评价准则应当反映组织的风险承受度，体现组织的价值观、目标和资源，以确保评估的准确性和实用性。25.对于风险管理与组织其他活动的关系，以下陈述正确的是（）。A.风险管理与组织的其他活动可以分离B.风险管理构成组织所有过程整体所必须的一部分C.风险管理可以独立于组织的其他活动D.相对于组织的其他活动，风险管理是附加的一项活动答案：B解析：风险管理与组织的其他活动不能分离，它是组织所有过程整体所必须的一部分。因此，选项B“风险管理构成组织所有过程整体所必须的一部分”是正确的。选项A“风险管理与组织的其他活动可以分离”、选项C“风险管理可以独立于组织的其他活动”和选项D“相对于组织的其他活动，风险管理是附加的一项活动”都是错误的。26.关于文件管理下列说法错误的是（）。A.文件发布前应得到批准，以确保文件是适宜的B.必要时对文件进行评审、更新并再次批准C.应确保文件保持清晰，易于识别D.作废文件应及时销毁，防止错误使用答案：D解析：本题考察的是文件管理的相关知识。A选项提到“文件发布前应得到批准，以确保文件是适宜的”，这是文件管理中非常关键的一步，确保文件的准确性和适用性。B选项提到“必要时对文件进行评审、更新并再次批准”，这也是文件管理中不可或缺的一部分，当文件的内容或标准发生变化时，需要进行评审和更新，以确保文件的持续有效性和准确性。C选项提到“应确保文件保持清晰，易于识别”，这是文件管理的基本要求，确保文件的可读性和易理解性。D选项“作废文件应及时销毁，防止错误使用”虽然在实际操作中可能是一种常见的做法，但不是文件管理的硬性要求。文件管理并不强制要求必须销毁作废文件，而是需要确保这些文件不被错误地使用。实际上，某些情况下，保留作废文件可能有助于追溯和审计。因此，D选项“作废文件应及时销毁，防止错误使用”是错误的说法。所以正确答案是D。27.以下哪一项有助于检测入侵者对服务器系统日志的改动（）？A.在另一台服务器镜像该系统日志B.在一块一次写磁盘上同时复制该系统日志C.将保存系统日志的目录设为写保护D.异地保存该系统日志的备份答案：B解析：要检测入侵者对服务器系统日志的改动，我们需要确保日志的完整性和不可篡改性。A选项“在另一台服务器镜像该系统日志”虽然可以实时同步日志，但并不能保证日志的不可篡改性，因为入侵者仍然有可能在原始服务器上修改日志。B选项“在一块一次写磁盘上同时复制该系统日志”是一次写磁盘（WriteOnceMedia）的特性，它只允许写入一次数据，写入后不能更改。这意味着系统日志在被写入一次写磁盘后，就不能被修改，从而保证了日志的完整性和不可篡改性。C选项“将保存系统日志的目录设为写保护”虽然可以防止对日志目录的写入，但不能防止对日志本身的修改，因为入侵者可能使用其他方式修改日志。D选项“异地保存该系统日志的备份”虽然可以保存日志的备份，但并不能实时检测日志的改动，而且备份本身也可能被篡改。因此，B选项“在一块一次写磁盘上同时复制该系统日志”是最有助于检测入侵者对服务器系统日志的改动的。28.安全管理中经常会采用权限分离的办法防止单个人员权限过高，出现内部人员的违法犯罪行为，“权限分离”属于（）控制措施。A.管理B.检测C.响应D.运行答案：A解析：在安全管理中，为了防止单个人员权限过高，出现内部人员的违法犯罪行为，经常会采用权限分离的办法。权限分离是一种管理控制措施，通过分配不同的权限给不同的人员，确保没有单一人员拥有过高的权限，从而减少内部人员滥用职权的风险。因此，选项A“管理”是正确答案。选项B“检测”通常指的是对系统或数据进行监控和检查，以发现潜在的问题或异常；选项C“响应”是指对安全事件或问题的反应和应对措施；选项D“运行”则是指系统的正常运作。这些选项与权限分离的控制措施不直接相关。29.（）不属于必需的灾前预防性措施。A.防火设施B.数据备份C.配置冗余设备D.不间断电源，至少应给服务器等关键设备配备答案：D解析：题目询问的是不属于必需的灾前预防性措施的选项。A选项“防火设施”是灾前预防性措施之一，用于防止火灾的发生，保护设备和数据安全。B选项“数据备份”也是灾前预防性措施，用于在数据丢失或损坏时恢复数据，确保业务连续性。C选项“配置冗余设备”同样是灾前预防性措施，通过配置冗余设备，可以在主设备故障时迅速切换到备用设备，减少停机时间。D选项“不间断电源，至少应给服务器等关键设备配备”虽然是一种重要的灾前预防性措施，用于在电力故障时保持设备供电，确保设备正常运行，但它并不是必需的灾前预防性措施。因为虽然不间断电源对于关键设备非常重要，但在某些情况下，例如长时间的大规模电力故障或设备自身故障，不间断电源也可能无法正常工作。因此，虽然不间断电源是推荐使用的灾前预防性措施，但不能说它是“必需的”。因此，正确答案是D选项。30.（）最好地描述了数字证书。A.等同于在网络上证明个人和公司身份的身份证B.浏览器的一标准特性，它使得黑客不能得知用户的身份C.网站要求用户使用用户名和密码登陆的安全机制D.伴随在线交易证明购买的收据答案：A解析：数字证书是一个电子文档，由可信赖的第三方（通常称为证书颁发机构）颁发，用于证明一个实体（通常是个人或公司）的身份。它包含了实体的信息，如名称、公钥等，以及证书颁发机构的数字签名，以证明该证书是真实的。因此，数字证书在网络上的作用类似于实体身份证，用于证明和确认身份。选项A的描述最准确地描述了数字证书的功能和性质。31.关于中国认证认可相关活动的监督管理机制，以下说法正确的是（）。A.CNCA对CNAS、CCAA、认证机构依法实施监督管理B.CNCA依法监管CNAS，CNAS依法监管认证机构C.CCAA依法监管认证机构，CNCA依法监管CNASD.CCAA依法监管认证人员，CNAS依法监管认证机构，CNCA依法监管CNAS答案：A解析：根据《中华人民共和国认证认可条例》的规定，国家认证认可监督管理委员会（CNCA）对认证机构、认可机构以及认证培训、咨询机构等相关机构和人员依法实施监督管理。其中，CNAS（中国合格评定国家认可委员会）和CCAA（中国认证认可协会）都是CNCA监管下的机构。因此，选项A“CNCA对CNAS、CCAA、认证机构依法实施监督管理”是正确的说法。选项B、C、D的说法均不符合条例的规定。32.下述关于安全扫描和安全扫描系统的描述错误的是（）。A.安全扫描在企业部署安全策略中处于非常重要的地位B.安全扫描系统可用于管理和维护信息安全设备的安全C.安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性D.安全扫描系统是把双刃剑答案：C解析：安全扫描在企业部署安全策略中处于非常重要的地位，因此A选项正确；安全扫描系统可用于管理和维护信息安全设备的安全，所以B选项正确；安全扫描系统对防火墙在某些安全功能上的不足具有弥补性，因此C选项错误；安全扫描系统是把双刃剑，所以D选项正确。因此，描述错误的是C选项。33.下列哪一种情况下，网络数据管理协议（NDMP）可用于备份（）？A.需要使用网络附加存储设备（NAS）时B.不能使用TCP/IP的环境中C.需要备份旧的备份系统不能处理的文件许可时D.要保证跨多个数据卷的备份连续、一致时答案：A解析：网络数据管理协议（NDMP）主要用于支持网络附加存储设备（NAS）的备份，它提供了一种跨多个数据卷、连续且一致的备份方法。因此，当需要使用网络附加存储设备时，NDMP可用于备份。所以，正确答案是A。选项B“不能使用TCP/IP的环境中”是不正确的，因为NDMP是基于TCP/IP的协议。选项C“需要备份旧的备份系统不能处理的文件许可时”和选项D“要保证跨多个数据卷的备份连续、一致时”虽然都是NDMP可以处理的情况，但不是NDMP主要用于支持的情况。34.关于信息系统登录口令的管理，以下做法不正确的是（）。A.必要时，使用密码技术、生物识别等替代口令B.用提示信息告知用户输入的口令是否正确C.确告知用户应遵从的优质口令策略D.适用互动式管理确保用户使用优质口令答案：B解析：在信息系统登录口令的管理中，我们需要确保口令的安全性和保密性。对于选项B，提示用户输入的口令是否正确，这实际上增加了口令被猜测或破解的风险。因为攻击者可能会尝试各种可能的口令，并根据提示信息来确定哪个是正确的。因此，这种做法是不正确的。而选项A提到使用密码技术、生物识别等替代口令，这可以增强口令的安全性，减少被破解的风险。选项C和D则强调了告知用户应遵从的优质口令策略以及适用互动式管理确保用户使用优质口令，这有助于提升用户对口令安全性的认识，从而采取更安全的口令策略。因此，选项A、C和D的做法都是正确的。35.跨国公司的I$经理打算把现有的虚拟专用网（VPN）升级，采用通道技术使用其支持语音IP电话，（VOIP）服务，那么，需要首要关注的是（）。A.服务的可靠性和质量（Qos，qualityofservice）B.身份的验证方式C.语音传输的保密D.数据传输的保密答案：A解析：对于跨国公司的I$经理来说，升级虚拟专用网（VPN）以支持语音IP电话（VOIP）服务时，首要关注的是服务的可靠性和质量。这是因为可靠性和质量直接影响到通信的稳定性和效果，对于企业的运营和沟通至关重要。身份的验证方式、语音传输的保密和数据传输的保密虽然也很重要，但在VPN升级的主要目标下，服务的可靠性和质量应是首要关注点。因此，正确答案是A。36.A公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）。A.所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B.完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C.指纹识别的基础上增加口令保护D.保护非授权用户不可能访问到关键数据答案：A解析：公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据。为了实施这一计划，所有受信的PC机用户需要履行登记、注册手续（或称为：初始化手续）。这是为了确保每个用户都能正确设置和验证自己的指纹信息，从而能够使用指纹识别登录系统。因此，选项A“所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）”是正确的。选项B“完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）”虽然重要，但不是实施这一计划所必需的，因为指纹识别系统本身应该具备防止误识别的功能。选项C“指纹识别的基础上增加口令保护”虽然可以增加额外的安全性，但并不是实施指纹识别登录系统的必要条件。选项D“保护非授权用户不可能访问到关键数据”是一个更广泛的目标，而不是实施这一具体计划所需的特定步骤。37.下列哪个选项不属于审核组长的职责（）？A.确定审核的需要和目的B.组织编制现场审核有关的工作文件C.主持首末次会议和审核组会议D.代表审核方与受审核方领导进行沟通答案：A解析：在审核中，审核组长的职责是关键的。他/她需要主持首末次会议和审核组会议，以确保审核过程的顺利进行。同时，审核组长还需要组织编制现场审核有关的工作文件，以及代表审核方与受审核方领导进行沟通。而选项A“确定审核的需要和目的”通常是审核发起方或委托方的职责，而不是审核组长的职责。因此，选项A“确定审核的需要和目的”不属于审核组长的职责。38.关于商用密码技术和产品，以下说法不正确的是（）。A.任何组织不得随意进口密码产品，但可以出口商用密码产品B.商用密码技术属于国家秘密C.商用密码是对不涉及国家秘密的内容进行加密保护的产品D.商用密码产品的用户不得转让其使用的商用密码产品答案：A解析：商用密码技术和产品涉及国家安全，因此任何组织都不得随意进口或出口商用密码产品，所以A选项不正确。B选项正确，商用密码技术属于国家秘密，受到保护。C选项正确，商用密码是用于保护不涉及国家秘密的信息的产品。D选项正确，商用密码产品的用户不得转让其使用的商用密码产品，以维护国家安全。因此，答案为A。39.关于信息安全管理体系认证，以下说法正确的是（）。A.认证决定人员不宜推翻审核组的正面建议B.认证决定人员不宜推翻审核组的负面建议C.认证决定人员宜与审核组长协商做出认证决定D.认证决定人员宜与受审核方协商做出认证决定答案：B解析：在信息安全管理体系认证过程中，审核组通常会对受审核方的管理体系进行评估，并给出建议。审核组的正面建议通常是基于他们对受审核方管理体系的积极评价，因此，认证决定人员通常没有理由推翻这些建议。然而，如果审核组给出负面建议，认证决定人员应当进行独立的判断，并考虑所有相关因素，包括审核组的建议，但不应仅仅基于审核组的负面建议做出决定。因此，认证决定人员不宜推翻审核组的负面建议，故选项B正确。选项A、C、D的说法均不符合信息安全管理体系认证的一般原则和实践。40.表示客体安全级别并描述客体敏感性的一组信息，是（）。A.敏感性标记，是可信计算机基中强制访问控制决策的依据B.关键性标记，是可信目计算机基中强制访问控制决策的依据C.关键性等级标记，是信息资产分类分级的依据D.敏感性标记，是表明访问者安全权限级别答案：A解析：根据题目描述，需要找到表示客体安全级别并描述客体敏感性的一组信息。选项A表示敏感性标记是可信计算机基中强制访问控制决策的依据，这符合题目要求。选项B的关键性标记并不是描述客体敏感性的信息，选项C的关键性等级标记虽然与客体敏感性有关，但描述不够准确，选项D的敏感性标记描述的是访问者安全权限级别，与题目要求不符。因此，正确答案是A。多选题（共5题，共5分）41.审核计划中应涵盖（）。A.本次及其后续审核的时间安排B.审核准则C.审核组成员及分工D.审核的日程安排答案：BCD解析：审核计划是用于规划和管理审核过程的重要文件，其应包含与审核相关的关键信息。从提供的选项来看：A选项“本次及其后续审核的时间安排”虽然是审核计划中可能涉及的一个方面，但仅是一个具体的时间表，而非审核计划的核心内容。B选项“审核准则”是审核计划中必须明确的内容，它规定了审核的依据和标准。C选项“审核组成员及分工”是审核计划中的关键部分，明确了审核团队的组成和各自的任务。D选项“审核的日程安排”是审核计划中的另一个重要方面，它详细规划了审核的日程和流程。综上所述，审核计划应涵盖B、C、D三个选项，即审核准则、审核组成员及分工和审核的日程安排。因此，正确答案为BCD。42.（）是ISMS关键成功因素。A.用于评价信息安全管理执行情况和改进反馈建议的测量系统B.信息安全方针。目标和与目标保持一致的活动C.有效的业务连续性管理方法D.有效的信息安全事件管理过程答案：ABCD解析：ISMS（信息安全管理体系）的关键成功因素包括多个方面。首先，A选项提到的“用于评价信息安全管理执行情况和改进反馈建议的测量系统”是确保体系持续改进和符合标准的关键。其次，B选项提到的“信息安全方针、目标和与目标保持一致的活动”确保了体系的方向和目标清晰明确。再者，C选项中的“有效的业务连续性管理方法”能够应对可能的信息安全事件，保障业务的连续性。最后，D选项的“有效的信息安全事件管理过程”能够迅速、有效地应对和处理信息安全事件，减少其对业务的影响。因此，这四个选项都是ISMS的关键成功因素。43.以下做法正确的是（）A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实业务案例和数据C.员工调换项目组时，其原使用计算机中的项目数据