CCAA - 2018年03月基础知识（改考前）答案及解析 - 详解版（80题）

本资料由小桨备考整理，仅供学习参考，非官方发布2018年03月基础知识（改考前）答案及解析单选题（共50题，共50分）1.安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略？（）A.基本角色的策略B.基于身份的策略C.用户向导的策略D.强制性访问控制策略答案：D解析：安全标签是一种访问控制机制，它适用于强制性访问控制策略。强制性访问控制策略是一种基于安全标签的访问控制策略，它要求系统对主体和客体进行强制性的安全级别标识，并基于这些标识来决定主体是否能够访问客体。因此，选项D“强制性访问控制策略”是正确答案。其他选项如基本角色的策略、基于身份的策略和用户向导的策略与安全标签的访问控制机制不直接相关。2.保密性是指（）。A.根据授权实体的要求可访问的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护信息准确和完整的特性D.以上都不对答案：B解析：保密性是指信息不被未授权的个人、实体或过程利用或知悉的特性。这是信息安全领域中的一个重要概念，旨在确保信息仅被授权的人员或实体访问和使用，防止未经授权的人员获取或泄露敏感信息。因此，选项B“信息不被未授权的个人、实体或过程利用或知悉的特性”是保密性的定义。其他选项与保密性的定义不符，所以答案为B。3.文件化信息创建和更新时，组织应确保适当的（）。A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准答案：D解析：在文件化信息创建和更新时，组织应确保适当的评审和批准，以确保文件化信息的适宜性和充分性。这是为了确保文件化信息能够满足组织的需求，并且具有足够的详细性和准确性。选项D中的“对适宜性和充分性的评审和批准”与这一要求相符，因此是正确答案。其他选项如“对适宜性和有效性的评审和批准”、“对充分性和有效性的测量和批准”以及“对适宜性和充分性的测量和批准”都不完全符合文件化信息创建和更新时的要求。4.不属于公司信息资产的是（）。A.客户信息B.公司放置在IDC机房的服务器C.保洁服务D.以上都不对答案：C解析：保洁服务不属于公司信息资产。公司信息资产通常指的是与公司业务运营、数据管理和技术基础设施等相关的资产，如客户信息、服务器、网络设备、软件系统等。而保洁服务是公司为了维护办公环境而雇佣的服务，与公司的主要业务和数据管理无直接关联，因此不属于公司信息资产。5.从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A.计算机舞弊B.欺骗或胁迫C.计算机偷窃D.计算机破坏答案：B解析：社交工程是一种利用社会互动和欺骗手段获取敏感信息或执行恶意行为的技术。从给出的选项中，只有“欺骗或胁迫”与社交工程直接相关。计算机舞弊、计算机偷窃和计算机破坏虽然与计算机安全有关，但它们并不直接涉及社交工程。因此，正确答案是“欺骗或胁迫”。6.残余风险是指（）。A.风险评估前，以往活动遗留的风险B.风险评估后，对以往活动遗留的风险的估值C.风险处置后剩余的风险，比可接受风险低D.风险处置后剩余的风险，不一定比可接受风险低答案：D解析：残余风险是指风险处置后剩余的风险，不一定比可接受风险低。在风险评估和处置过程中，尽管已经采取了措施来降低风险，但可能仍然会存在一些未被完全消除的风险，这些风险就是残余风险。残余风险的大小不一定比可接受的风险低，因此选项D是正确的。选项A、B描述的是以往活动的遗留风险，与题目要求的“风险处置后剩余的风险”不符；选项C中“比可接受风险低”的表述与题目要求的“不一定比可接受风险低”不符。7.在规划如何达到信息安全目标时，组织应确定（）。A.要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B.要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C.要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D.要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果答案：C解析：信息安全目标的规划过程中，组织需要确定：要做什么，需要什么资源，由谁负责，什么时候完成，以及如何评价结果。这个答案符合信息安全管理的常规要求，确保了对目标、资源、责任、时间表和评估的全面考虑。其他选项要么信息不全（如A和D选项），要么用词不准确（如B选项中的“什么时候开始”与“什么时候完成”存在时间上的重复）。因此，C选项最为贴切。8.当获得的审核证据表明不能达到审核目的时，审核组长可以（）。A.宣布停止受审核方的生产/服务活动B.向审核委托方和受审核方报告理由以确定适当的措施C.宜布取消末次会议D.以上各项都不可以答案：B解析：根据题目中的描述，当获得的审核证据表明不能达到审核目的时，审核组长应该向审核委托方和受审核方报告理由以确定适当的措施。因此，选项B是正确的。选项A宣布停止受审核方的生产/服务活动并不是审核组长的职责，选项C宣布取消末次会议也没有明确说明，选项D表示以上各项都不可以，与题目要求不符。因此，正确答案是B。9.风险处置计划，应（）。A.获得风险贵任人的批准，同时获得对残余风险的批准B.获得最高管理者的批准，同时获得对残余风险的批准C.获得风险部门负贵人的批准，同时获得对残余风险的批准D.获得管理者代表的批准，同时获得对残余风险的批准答案：A解析：风险处置计划应获得风险责任人的批准，同时获得对残余风险的批准。这是因为风险责任人通常对风险有深入的了解，能够评估处置计划的合理性和可行性，并决定是否批准。同时，对残余风险的批准意味着在采取处置措施后，还需要对可能存在的残余风险进行评估和批准，以确保风险得到全面管理和控制。因此，选项A“获得风险贵任人的批准，同时获得对残余风险的批准”是正确的选择。10.GB/T22080-2016标准中所指资产的价值取决于（）。A.资产的价格B.资产对于业务的敏感度C.资产的折损率D.以上全部答案：B解析：本题考察的是GB/T22080-2016标准中关于资产价值的定义。在GB/T22080-2016标准中，资产的价值主要取决于资产对于业务的敏感度。这是因为资产的敏感度直接决定了其在业务中的重要性和价值。因此，选项B“资产对于业务的敏感度”是正确答案。而选项A“资产的价格”和选项C“资产的折损率”虽然也是资产价值的相关因素，但并不是该标准所指的资产价值的主要决定因素。因此，选项D“以上全部”是不正确的。11.虚拟专用网（VPN）的数据保密性，是通过什么实现的？（）A.安全接口层（SSL,SecureSocketsLayer）B.风险隧道技术（Tunnelling）C.数字签名D.风险钓鱼答案：B解析：虚拟专用网（VPN）的数据保密性是通过风险隧道技术（Tunneling）实现的。VPN利用隧道技术将数据包封装在一个公共网络协议中，并通过加密技术保护数据在传输过程中的安全，从而确保数据在公共网络中的保密性。因此，选项B“风险隧道技术（Tunneling）”是正确的答案。选项A“安全接口层（SSL，SecureSocketsLayer）”虽然也涉及到加密技术，但主要是用于网络应用层的安全传输，不是VPN数据保密性的主要实现方式。选项C“数字签名”主要用于验证数据的完整性和来源，与VPN的数据保密性无直接关系。选项D“风险钓鱼”与VPN的数据保密性无关，是一个错误选项。12.关于《中华人民共和国保密法》，以下说法正确的是（）。A.该法的目的是为了保守国家秘密而定B.该法的执行可替代以IS0/EC27001为依据的信息安全管理体系C.该法适用于所有组织对其敏感信息的保护D.国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护答案：A解析：《中华人民共和国保密法》的主要目的是保守国家秘密，A选项正确。该法并没有提到可以替代以ISO/EC27001为依据的信息安全管理体系，B选项错误。该法主要适用于国家机关和涉及国家秘密的单位，并不适用于所有组织对其敏感信息的保护，C选项错误。国家秘密分为绝密、机密、秘密三级，由有关机关、单位确定，并非由组织自主定级、自主保护，D选项错误。因此，正确答案为A。13.关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是（）。A.指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B.指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C.指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D.指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用答案：A解析：《中华人民共和国网络安全法》中的“三同步”要求指的是关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用。这一要求旨在确保在关键信息基础设施的建设过程中，安全技术措施能够得到充分的规划和实施，以保障网络安全。因此，选项A“指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用”是正确的说法。选项B、C、D均不符合这一法律规定。14.对于交接区域的信息安全管理，以下说法正确的是（）。A.对于进入组织的设备设施予以检查验证，对于离开组织的设备设施则不必验迹B.对于离开组织的设备设施予以检查验证，对于进入组织的设备设施则不必验证C.对于进入和离开组织的设备设施均须检查验证D.对于进入和离开组织的设备设施，验证携带者身份信息，可替代对设备设施的验证答案：C解析：交接区域的信息安全管理，对于进入和离开组织的设备设施均须检查验证。这是确保组织信息安全的重要措施之一。对于进入组织的设备设施，检查验证可以确保设备设施的安全性，防止未经授权的设备进入组织；对于离开组织的设备设施，检查验证可以确保设备设施中不含有敏感信息，防止信息泄露。因此，选项C“对于进入和离开组织的设备设施均须检查验证”是正确的。选项A和B只涉及了进入或离开组织的设备设施，没有涵盖两者，因此不正确。选项D提出验证携带者身份信息，但这并不能替代对设备设施的验证，因此也不正确。15.依据GB/T22080/ISO/IEC27001，关于网络服务的访问控制策略，以下正确的是（）。A.没有陈述为禁止访问的网络服务，视为允许访问的网络服务B.对于允许访问的网络服务，默认可通过无线、P等多种手段链接C.对于允许访问的网络服务，按照规定的授权机制进行授权D.以上都对答案：C解析：依据GB/T22080/ISO/IEC27001，关于网络服务的访问控制策略，对于允许访问的网络服务，应按照规定的授权机制进行授权。因此，选项C是正确的。选项A没有陈述为禁止访问的网络服务，视为允许访问的网络服务，这一说法本身并不完整，因为访问控制策略可能包括更详细的规则。选项B对于允许访问的网络服务，默认可通过无线、P等多种手段链接，这同样是一个不完整的陈述，因为访问控制策略可能涉及访问手段的具体限制或要求。选项D以上都对，由于A和B都存在错误，因此D选项也是错误的。16.组织应（）。A.定义和使用安全边界来保护敏感或关键信息和信息处理设施的区域B.识别和使用安全边界来保护敏感或关键信息和信息处理设施的区域C.识别和控制安全边界来保扩敏感或关键信息和信息处理设施的区域D.定义和控制安全边界来保护敏感或关键信息和信息处理设施的区域答案：A解析：根据题目中的描述，组织应该“定义和使用安全边界来保护敏感或关键信息和信息处理设施的区域”。选项A“定义和使用安全边界来保护敏感或关键信息和信息处理设施的区域”与题目描述最为接近，因此是正确答案。其他选项如B、C、D要么缺少了“定义”这一关键动作，要么使用了不准确的词汇，如“保扩”而不是“保护”，因此都不是正确答案。17.关于信息安全产品的使用，以下说法正确的是（）。A.对于所有的信息系统，信息安全产品的核心技术、关键部件须具有我国自主知识产权B.对于三级以上信息系统，已列入信息安全产品认证目录的，应取得国家信息安全产品认证机构颁发的认证证书门C.对于四级以上信息系统，信息安全产品研制的主要技术人员须无犯罪记录D.对于四级以上信息系统，信息安全产品研制单位须声明没有故意留有或设置漏洞答案：B解析：根据题目描述，我们需要判断关于信息安全产品使用的正确说法。A选项提到“对于所有的信息系统，信息安全产品的核心技术、关键部件须具有我国自主知识产权”。这个选项过于绝对，没有考虑到不同信息系统可能存在的差异和特殊性，因此A选项不正确。B选项说“对于三级以上信息系统，已列入信息安全产品认证目录的，应取得国家信息安全产品认证机构颁发的认证证书”。这个选项符合信息安全产品的使用规定，对于三级以上的信息系统，如果信息安全产品已经列入认证目录，那么应该取得相应的认证证书。因此B选项是正确的。C选项提到“对于四级以上信息系统，信息安全产品研制的主要技术人员须无犯罪记录”。这个选项与信息安全产品的使用规定不符，信息安全产品的使用与研制人员是否有犯罪记录没有直接关系。因此C选项不正确。D选项说“对于四级以上信息系统，信息安全产品研制单位须声明没有故意留有或设置漏洞”。这个选项虽然与信息安全产品的使用有关，但题目中并没有提到研制单位需要声明没有故意留有或设置漏洞，因此D选项不正确。综上所述，只有B选项符合题目中的信息安全产品使用的规定。18.关于容量管理，以下说法不正确的是（）。A.根据业务对系统性能的需求，设置阈值和监视调整机制B.针对业务关键性，设置资源占用的优先级C.对于关键业务，通过放宽阈值以避免或减少报警的干扰D.依据资源使用趋势数据进行容量规划答案：C解析：对于选项C，“对于关键业务，通过放宽阈值以避免或减少报警的干扰”这一说法是不正确的。容量管理的核心目标之一是确保系统性能的稳定和资源的合理分配。如果对于关键业务放宽阈值，可能会导致系统性能下降，资源分配不合理，甚至可能引发报警干扰，影响业务的正常运行。因此，选项C的说法是不正确的。选项A“根据业务对系统性能的需求，设置阈值和监视调整机制”是正确的。这符合容量管理的基本原则，根据业务需求设置合适的阈值，并设置监视和调整机制来确保系统性能。选项B“针对业务关键性，设置资源占用的优先级”也是正确的。在资源有限的情况下，根据业务的关键性设置资源占用的优先级是确保关键业务得到足够资源的重要手段。选项D“依据资源使用趋势数据进行容量规划”是正确的。通过分析资源使用趋势数据，可以更好地预测未来的资源需求，从而进行更加准确和有效的容量规划。19.若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）。A.静态B.动态C.均可D.静态达到50%以上即可答案：A解析：若要通过桌面系统对终端实行IP、MAC绑定，那么网络IP地址分配方式应为静态。因为静态IP地址分配方式下，每个终端都有一个固定的IP地址，这样可以确保终端的IP地址和MAC地址一一对应，从而实现对终端的绑定。动态IP地址分配方式下，终端的IP地址是动态分配的，不利于实现IP和MAC的绑定。因此，正确答案是A，静态。20.国家秘密的保密期限应为（）。A.绝密不超过三十年，机密不超过二十年，秘密不超过十年B.绝密不低于三十年，机密不低于二十年，秘密不低于十年C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年答案：A解析：《中华人民共和国保守国家秘密法》第十五条明确规定：“国家秘密的保密期限，除另有规定外，绝密级不超过三十年，机密级不超过二十年，秘密级不超过十年。”因此，选项A“绝密不超过三十年，机密不超过二十年，秘密不超过十年”是正确的。其他选项B、C、D均不符合法律规定。21.关于信息安全管理中的“脆弱性”，以下正确的是（）。A.脆弱性是威胁的一种，可以导致信息安全风险B.网络中“钓鱼”软件的存在，是网络的脆弱性C.允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性D.以上全部答案：C解析：在信息安全管理中，“脆弱性”是指系统、产品或服务中存在的可能被威胁利用，从而导致安全事件发生的弱点。A选项错误，脆弱性不是威胁的一种，而是可以被威胁利用的因素；B选项错误，“钓鱼”软件的存在是威胁，而不是网络的脆弱性；C选项正确，允许使用“1234”这样容易记忆的口令，是口令管理的脆弱性，因为这样的口令容易被猜测或破解；D选项错误，因为A和B选项都是错误的，所以D选项“以上全部”也是错误的。因此，正确答案是C。22.组织确定的信息安全管理体系范围应（）。A.形成文件化信息并可用B.形成记录并可用C.形成文件和记录并可用D.形成程序化信息并可用答案：A解析：根据题目要求，组织确定的信息安全管理体系范围应该形成文件化信息并可用。文件化信息是指将信息安全管理体系的范围、目标、策略、流程等以书面形式记录下来，以便于查阅、理解和执行。因此，选项A“形成文件化信息并可用”符合题目要求。选项B“形成记录并可用”虽然也提到了“可用”，但并未明确指出是“文件化信息”，因此不够准确。选项C“形成文件和记录并可用”和选项D“形成程序化信息并可用”都包含了“可用”，但也没有明确指出是“文件化信息”，因此也不符合题目要求。23.管理者应（）。A.制定ISMS方针B.制定ISMS目标和计划C.实施ISMS内部审核D.确保ISMS管理评审的执行答案：A解析：ISMS是信息安全管理体系（InformationSecurityManagementSystem）的缩写。在信息安全管理体系中，制定ISMS方针是管理者的首要任务。ISMS方针是组织信息安全管理的总体方向和原则，它明确了组织对信息安全的承诺和期望，并为信息安全管理体系的建立、实施和改进提供了指导。因此，管理者应制定ISMS方针，以确保组织信息安全管理体系的有效运行。选项A“制定ISMS方针”是正确答案。选项B“制定ISMS目标和计划”虽然也是ISMS中重要的一环，但它并不是管理者的首要任务，而是根据ISMS方针来制定的。选项C“实施ISMS内部审核”和选项D“确保ISMS管理评审的执行”都是ISMS实施和监控阶段的活动，也不是管理者的首要任务。24.涉及运行系统验证的肃计腰求和活动，应（）。A.谨慎地加以规划并取得批准，以便最小化业务过程的中断B.谨慎地加以规并取得批准，以便最大化保持业务过程的连续C.谨慎地加以实施并取得批准，以便最小化业务过程的中断D.谨慎地加以实施并取得批准，以便最大化保持业务过程的连续答案：A解析：题目中询问的是涉及运行系统验证的计划和活动应该如何进行。选项A提到“谨慎地加以规划并取得批准，以便最小化业务过程的中断”，这符合运行系统验证的一般原则。在进行此类验证时，确实需要谨慎规划，并确保获得必要的批准，以减少对业务过程的干扰。选项B提到“最大化保持业务过程的连续”，这与验证的目的可能相悖，因为验证活动本身可能会对业务过程造成一定的中断。选项C和D中的“实施”一词不如“规划”准确，因为“实施”通常指的是已经获得批准并开始执行的活动，而“规划”则更侧重于在活动开始之前进行的设计和安排。因此，A选项最符合题目要求。25.《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行。A.在客户组织的场所B.在认证机构以网络访问的形式C.以远程视频的形式D.以上都对答案：A解析：《信息安全管理体系认证机构要求》中明确规定了第二阶段审核应在客户组织的场所进行。因此，选项A“在客户组织的场所”是正确的。其他选项如“在认证机构以网络访问的形式”、“以远程视频的形式”或“以上都对”均不符合规定。26.口令管理系统应该是（），并确保优质的口令。A.唯一式B.交互式C.专人管理式D.A+B+C答案：B解析：在口令管理系统中，交互式是最合适的选项。交互式系统允许用户定期更改其口令，并设置口令的复杂性和长度要求，以确保口令的安全性。唯一式虽然强调每个用户应有一个独特的口令，但不一定保证用户定期更改口令或设置复杂的口令，因此不如交互式系统安全。专人管理式意味着口令由专人管理，可能存在安全风险，如口令泄露或被滥用。因此，最佳选择是交互式口令管理系统，确保用户定期更改复杂且独特的口令，从而提高系统的安全性。27.下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应答案：D解析：为了保护计算机不受短期停电影响，我们需要一种能在电力中断时提供持续供电的设备。在给出的选项中，备用的电力供应（C选项）正好符合这一需求。它可以在主电源中断时自动切换到备用电源，确保计算机的持续供电。其他选项如电力线路调节器（A选项）主要用于调节电压和频率，电力浪涌保护设备（B选项）用于防止电压波动和浪涌对设备造成损害，可中断的电力供应（D选项）则意味着在特定情况下可以中断电力供应，都不符合保护计算机免受短期停电影响的需求。因此，正确答案是C选项，即备用的电力供应。28.测量控制措施的有效性以验证安全要求是否被满足是（）的活动。A.ISMS建立阶段B.ISMS实施和运行阶段C.ISMS监视和评审阶段D.ISMS保持和改进阶段答案：C解析：在信息安全管理体系（ISMS）中，监视和评审阶段的主要任务是测量控制措施的有效性，以验证安全要求是否被满足。这是通过定期评审安全控制措施的效果、收集安全相关信息、识别潜在的安全威胁和风险，以及评估安全事件的影响来实现的。因此，正确答案是C，即ISMS监视和评审阶段。29.容灾的目的和实质是（）。A.数据备份B.系统的C.业务连续性管理D.防止数据被破坏答案：C解析：容灾的目的是确保在发生灾难性事件时，系统能够继续运行，保持业务连续性。实质上是业务连续性管理，即确保在灾难发生时，系统能够迅速恢复，保持业务运行不受影响。因此，选项C“业务连续性管理”是正确答案。选项A“数据备份”虽然与容灾有关，但只是容灾的一个方面，不是容灾的目的和实质。选项B“系统的”和选项D“防止数据被破坏”与容灾的目的和实质不符。30.关于信息安全策略，下列说法正确的是（）。A.信息安全策略可以分为上层策略和下层策略B.信息安全方针是信息安全策略的上层部分C.信息安全策略必须在体系建设之初确定并发布D.信息安全策略需要定期或在重大变化时进行评审答案：D解析：信息安全策略是一个重要的概念，它涉及到如何保护组织的信息资产。对于给出的选项，我们可以逐一分析：A选项提到信息安全策略可以分为上层策略和下层策略。然而，这个选项并没有在题目中明确提及，因此我们不能确定其正确性。B选项说信息安全方针是信息安全策略的上层部分。同样，这个选项也没有在题目中明确提及，所以我们不能确认其准确性。C选项提到信息安全策略必须在体系建设之初确定并发布。虽然在实际操作中，信息安全策略的确需要在体系建设之初进行规划，但题目中并没有明确提到必须在体系建设之初确定并发布，因此这个选项也不能确定为正确。D选项说信息安全策略需要定期或在重大变化时进行评审。这是信息安全策略管理中的一个重要环节，因为随着组织的发展和外部环境的变化，信息安全策略可能需要进行调整。因此，定期或在重大变化时进行评审是确保信息安全策略有效性的关键。综上所述，正确答案是D选项。31.主动式射频识别卡(RFID)存在哪一种弱点？（）A.会话被劫持B.被窃听C.存在恶意代码D.被网络钓鱼攻击答案：B解析：主动式射频识别卡（RFID）是一种无线通信技术，用于非接触式地识别目标并交换数据。在RFID系统中，数据是在射频场中以无线方式自动进行传输的。因此，RFID系统存在被窃听的风险，即未经授权的第三方可能能够接收到传输的数据。这种被窃听的情况就是RFID系统的一个主要弱点。选项A“会话被劫持”通常指的是在已经建立的通信会话过程中，攻击者通过某种手段接管会话，假冒合法用户进行操作。这虽然也是信息安全领域的一个问题，但与RFID系统的直接弱点不直接相关。选项C“存在恶意代码”指的是在RFID标签或阅读器中植入的恶意软件，这虽然是一个潜在的安全问题，但并不是RFID系统本身的主要弱点。选项D“被网络钓鱼攻击”是指通过伪造合法网站或应用程序来诱骗用户输入敏感信息，如用户名和密码。这同样与RFID系统的直接弱点不直接相关。因此，RFID系统的主要弱点是B选项“被窃听”。32.审核证据是指（）。A.与审核准则有关的，能够证实的记录、事实陈述或其他信息B.在审核过程中收集到的所有记录、事实陈述或其他信息C.一组方针、程序或要求D.以上都不对答案：A解析：审核证据是指与审核准则有关的，能够证实的记录、事实陈述或其他信息。审核证据是审核过程中的重要依据，用于支持审核发现和审核结论。因此，选项A“与审核准则有关的，能够证实的记录、事实陈述或其他信息”是正确的答案。选项B“在审核过程中收集到的所有记录、事实陈述或其他信息”过于宽泛，没有强调与审核准则的相关性；选项C“一组方针、程序或要求”与审核证据的定义不符；选项D“以上都不对”显然是不正确的。33.审核发现是指（）。A.审核中观察到的事实B.审核的不符合项C.审核中收集到的审核证据对照审核准则评价的结果D.审核中的观察项答案：C解析：审核发现是指审核中收集到的审核证据对照审核准则评价的结果。审核发现是通过收集审核证据，并对照审核准则进行评价，从而得出的结果。A选项“审核中观察到的事实”只是审核过程中观察到的情况，不一定是审核发现；B选项“审核的不符合项”只是审核发现的一种形式，不是审核发现的定义；D选项“审核中的观察项”同样只是审核过程中的观察，不是审核发现。因此，正确答案是C选项。34.在安全模式下杀毒最主要的理由是（）。A.安全模式下查杀病速度快B.安全模式下查杀比较彻底C.安全模式下查杀不连通网络D.安全模式下查杀不容易死机答案：B解析：安全模式下杀毒最主要的理由是安全模式下查杀比较彻底。在安全模式下，操作系统只加载最基本的驱动程序和服务，其他非必要的程序和服务都会被禁止运行，这样可以减少病毒和恶意软件的干扰，使得杀毒软件能够更彻底地检测和清除病毒。因此，选择B选项“安全模式下查杀比较彻底”是正确的。其他选项A、C、D都与安全模式下杀毒的主要原因不符。35.为信息系统用户注册时，以下正确的是（）。A.按用户的职能或业务角色设定访问权B.组共享用户ID按组任务的最大权限注册C.预设固定用户ID并留有冗余，以保障可用性D.避免频繁变更用户访问权答案：A解析：在为用户注册信息系统时，确保访问权限的适当和合理分配至关重要。根据提供的选项：A.按用户的职能或业务角色设定访问权-这是一个合理的做法，因为它确保每个用户根据其职责或业务角色获得适当的访问权限，从而增加了系统的安全性和效率。B.组共享用户ID按组任务的最大权限注册-这可能导致权限过大，因为整个组可能拥有超出其实际需要的权限，增加了误操作或不当访问的风险。C.预设固定用户ID并留有冗余，以保障可用性-这种做法可能会导致资源的浪费和安全性问题，因为过多的冗余ID可能会成为潜在的安全隐患。D.避免频繁变更用户访问权-这确实是一个重要的考虑因素，但并不能直接关联到用户注册时的正确做法，它更多的是关于访问权限管理的长期策略。因此，选项A"按用户的职能或业务角色设定访问权"是最合适的。36.桌面系统级联状态下，关于上级服务器制定的强制策略，下级管理员是否可以修改、删除（）。A.下级管理员无权修改，不可删除B.下级管理员无权修改，可以删除C.下级管理员可以修改，可以删除D.下级管理员可以修改，不可删除答案：A解析：在桌面系统级联状态下，上级服务器制定的强制策略通常具有较高的优先级和权限控制。下级管理员作为从属角色，其权限和操作能力受到上级服务器策略的限制。通常，上级服务器制定的强制策略是为了确保系统安全、稳定或符合特定要求，因此下级管理员无权修改或删除这些策略。这是为了防止下级管理员随意更改上级的策略，从而破坏系统的稳定性和安全性。因此，正确答案是A，即下级管理员无权修改，不可删除。37.下列哪项对于审核报告的描述是错误的？（）A.主要内容应与末次会议的内容基本一致B.在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C.正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D.以上都不对答案：A解析：本题考查的是对审核报告的描述。A选项提到“主要内容应与末次会议的内容基本一致”，这是不正确的。审核报告的内容并不应与末次会议的内容完全一致。末次会议是审核过程中的一个环节，而审核报告是对整个审核过程的总结和评价，它们的内容应有所不同。B选项描述“在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成”，这是正确的。审核报告是在对审核记录进行汇总整理，并对信息安全管理体系进行评价后，由审核组长起草形成的。C选项提到“正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方”，这也是正确的。审核报告完成后，通常由审核组长将其交给认证/审核机构进行审核，然后委托方将报告的副本转给受审核方。D选项的“以上都不对”是不正确的，因为A选项描述是错误的。因此，错误的描述是A选项，即“主要内容应与末次会议的内容基本一致”。38.一家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客六收到资料没有被修改（）。A.电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B.电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C.电子邮件发送前，用投资顾问商的私钥数字签名邮件D.电子邮件发送前，用投资顾问商的私钥加密邮件答案：C解析：为了保证客户收到的电子邮件没有被修改，我们可以采用数字签名技术。数字签名是由发送方使用私钥对消息进行加密处理，得到签名，然后将消息和签名一起发送给接收方。接收方使用发送方的公钥对签名进行解密，如果消息没有被修改，解密后的签名应该与原始签名一致。因此，选项C“电子邮件发送前，用投资顾问商的私钥数字签名邮件”是正确的。选项A“电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值”虽然可以验证邮件的完整性，但不能保证邮件没有被修改，因为攻击者可以修改邮件并重新计算HASH值。选项B“电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值”同样不能保证邮件的完整性，因为攻击者可以获取公钥并解密HASH值。选项D“电子邮件发送前，用投资顾问商的私钥加密邮件”不能保证邮件的完整性，因为攻击者可以获取私钥并解密邮件。39.下面哪一种功能不是防火墙的主要功能？（）A.协议过滤B.应用网关C.扩展的日态记录能力D.包交换答案：D解析：防火墙的主要功能包括协议过滤、应用网关和扩展的日志记录能力。包交换不是防火墙的主要功能，而是网络交换机或路由器的基本功能，用于在网络中进行数据包的转发。因此，选项D“包交换”不是防火墙的主要功能。40.风险责任人是指（）。A.具有责任和权限管理一项风险的个人或实体B.实施风险评估的组织的法人C.实施风险评估的项目负责人或项归任务责任人D.信息及信息处理设施的使用者答案：A解析：风险责任人的定义是指具有责任和权限管理一项风险的个人或实体。这个定义明确指出了风险责任人的核心职责和角色，即管理和控制风险。因此，选项A“具有责任和权限管理一项风险的个人或实体”是正确的答案。其他选项要么与风险责任人的定义不符，要么表述不够准确。例如，选项B“实施风险评估的组织的法人”过于宽泛，没有明确指出法人具体在风险管理中的职责；选项C“实施风险评估的项目负责人或项归任务责任人”只是涉及到风险评估，没有涉及到风险的管理和控制；选项D“信息及信息处理设施的使用者”与风险管理的直接关联不明显。因此，正确答案是A。41.以下符合GB/T22080-2016标准A18.1.4条款要求的情况是（）。A.认证范围内员工的个人隐私数据得到保护B.认证范围内涉及顾客的个人隐私数据得到保护C.认证范围内涉及相关方的个人隐私数据数据得到保护D.以生全部答案：D解析：本题考察的是对GB/T22080-2016标准A18.1.4条款的理解。首先，我们分析每个选项：A选项提到“认证范围内员工的个人隐私数据得到保护”，这个选项只涉及员工，没有涉及到其他相关方，因此不符合A18.1.4条款的要求。B选项提到“认证范围内涉及顾客的个人隐私数据得到保护”，这个选项虽然涉及到了顾客，但是范围仍然局限在“认证范围内”，不符合A18.1.4条款要求的“所有相关方”。C选项提到“认证范围内涉及相关方的个人隐私数据数据得到保护”，这个选项虽然提到了“相关方”，但是仍然局限在“认证范围内”，不符合A18.1.4条款要求的“所有相关方”。D选项提到“所有相关方的个人隐私数据得到保护”，这个选项符合A18.1.4条款的要求，因为它涵盖了“所有相关方”，而不仅仅是“认证范围内”的相关方。因此，正确答案是D选项：“所有相关方的个人隐私数据得到保护”。42.下哪个选项不是ISMS第一阶段审核的目的（）。A.获取对组织信息安全管理体系的了解和认识B.了解客户组织的审核准备状态C.为计划二阶段审核提供重点D.确认组织的信息安全管理体系符合标准或规范性文件的所有要求答案：D解析：ISMS（信息安全管理体系）第一阶段审核的主要目的是获取对组织信息安全管理体系的了解和认识，了解客户组织的审核准备状态，以及为计划二阶段审核提供重点。这三个目的都是为了更好地进行后续的审核工作。而选项D“确认组织的信息安全管理体系符合标准或规范性文件的所有要求”是二阶段审核的目的，而不是一阶段审核的目的。因此，选项D不是ISMS第一阶段审核的目的。43.组织应按照本标准的要求（）信息安全管理体系。A.策划、实现、监视、和持续改进B.建立、实施、监视、和持续改进C.建立、实现、维护、和持续改进D.策划、实施、维护、和持续改进答案：C解析：本题考察信息安全管理体系的策划、实施、监视和持续改进过程。根据题目中的描述，组织应按照标准的要求建立、实现、监视、和持续改进信息安全管理体系。选项A中的“策划”在信息安全管理体系中通常被理解为“建立”，所以A选项不够准确。选项B中的“建立”虽然与信息安全管理体系相关，但缺少了“实现”这一重要环节。选项D中的“策划”同样被理解为“建立”，并且缺少了“监视”这一环节。因此，最符合题目要求的选项是C，即“建立、实现、维护、和持续改进”。这里的“维护”可以理解为对信息安全管理体系的持续改进，与题目中的“持续改进”相符。44.依据GB/T22080-2016标准，符合性要求包括（）。A.知识产权保护B.公司信息保护C.个人隐私的保护D.以上都对答案：D解析：题目问的是符合GB/T22080-2016标准的符合性要求包括哪些。根据GB/T22080-2016标准，该标准是关于信息安全管理体系的要求，它涵盖了多个方面的保护，包括知识产权保护、公司信息保护和个人隐私的保护等。因此，选项D“以上都对”是正确的。45.依据《中华入民共和国网络安全法》，以下正确的是（）。A.检测记录网络运行状态的相关网络日志保存不得少于2个月B.检测记录网纟名运行状态的相关网络日志保存不得少于12个月C.检测记录网络运行状态的相关网紿日志保存不得少于6个月D.重要数据备份保存不得少于12个月，网络日志保存不得少于6个月答案：C解析：根据《中华人民共和国网络安全法》的规定，检测记录网络运行状态的相关网络日志保存不得少于6个月。因此，选项C是正确的。其他选项A、B和D中的时间长度与法律规定不符，因此是错误的。46.在根据组织规模确定基本申核时问的前提下，下列咖一条属于増加审核时间的要素（）。A.其产品/过程无风险或有低的风险B.客户的认证准备C.仅涉及单一的活动过程D.具有高风险的产品或过程答案：D解析：在根据组织规模确定基本审核时间的前提下，增加审核时间的要素通常与产品或过程的复杂性和风险性有关。选项A提到“其产品/过程无风险或有低的风险”，这实际上暗示了风险较低，因此不太可能需要增加审核时间。选项B“客户的认证准备”虽然可能影响审核的进度，但不一定直接导致审核时间的增加。选项C“仅涉及单一的活动过程”同样暗示了产品或过程的简单性，因此不太可能需要增加审核时间。而选项D“具有高风险的产品或过程”则明确指出了风险性，这通常意味着需要更多的时间来确保审核的准确性和全面性，因此是增加审核时间的要素。因此，正确答案是D。47.以下关于认证机构的监督要求表述错误的是（）。A.认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B.认证机构的监督方案应由认证机构和客户共同来指定C.监督审核可以与其他管理体系的审核相结合D.认证机构应对认证证书的使用进行监督答案：B解析：本题考查的是认证机构的监督要求。A选项提到认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性，这是正确的，因为认证机构需要确保监督方案的有效性。B选项提到认证机构的监督方案应由认证机构和客户共同来指定，这是错误的。实际上，监督方案应由认证机构独立制定，而不是与客户共同制定。C选项提到监督审核可以与其他管理体系的审核相结合，这是正确的，因为这样可以提高审核效率，减少重复工作。D选项提到认证机构应对认证证书的使用进行监督，这也是正确的，因为认证机构需要确保客户按照认证要求使用证书。综上所述，B选项表述错误，因此正确答案为B。48.最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A.组织建立信息安全策略和信息安全目标，并与组织战略方向一致B.确保建立信息安全策略和信息安全目标，并与组织战略方向一致C.领导建立信息安全策略和信息安全目标，并与组织战略方向一致D.沟通建立信息安全策略和信息安全目标，并与组织战路方向一致答案：B解析：从题目给出的选项中，我们可以看到“组织建立信息安全策略和信息安全目标，并与组织战略方向一致”、“确保建立信息安全策略和信息安全目标，并与组织战略方向一致”、“领导建立信息安全策略和信息安全目标，并与组织战略方向一致”和“沟通建立信息安全策略和信息安全目标，并与组织战路方向一致”。其中，“领导”通常指的是最高管理层，而“确保”和“建立”更多地与过程相关，而不是与最高管理层的直接活动相关。而“沟通”虽然重要，但在此情境下，它更多地是领导活动的一部分，而不是领导活动本身。因此，最符合题目要求的选项是“确保建立信息安全策略和信息安全目标，并与组织战略方向一致”，即选项B。这个选项明确指出了最高管理层应确保信息安全策略和信息安全目标的建立，并与组织的战略方向保持一致，这体现了最高管理层对信息安全管理体系的领导和承诺。49.可用性是指（）。A.根据授权实的要求可访问和利用的特性B.信息不能被未授权的个人，实体或者过程利用或知悉的特性C.保护资产的准确和完整的特性D.反映事物真实情况的程度答案：A解析：可用性是指根据授权实的要求可访问和利用的特性。这一定义明确指出了可用性是基于授权实体的需求，允许其访问和利用。这与选项A的描述相符，因此选择A。其他选项的含义与可用性的定义不符，例如，选项B关于信息不被未授权的个人、实体或过程利用或知悉的特性描述的是保密性；选项C关于保护资产的准确和完整性的特性描述的是完整性；选项D关于反映事物真实情况的程度的描述与可用性没有直接关系。50.信息安全事态、事件和事故的关系是指（）。A.事态一定是事件，事件一定是事故B.事件一定是事故，事故一定是事态C.事态一定是事故，事故一定是事件D.事故一定是事件，事件一定是事态答案：D解析：信息安全事态、事件和事故是信息安全领域中用来描述不同严重程度的概念。首先，我们要理解这三个概念的含义：*事态：是指某种信息安全状况或状态，可能正常也可能异常。例如，一个系统正在运行，这就是一个事态。*事件：是指已经发生并对信息安全造成了一定影响或潜在影响的情况。事件通常比事态更严重，因为它已经导致了某种变化。*事故：是指信息安全领域中发生了严重的问题或故障，通常伴随着数据丢失、系统瘫痪等严重后果。从上述定义可以看出，事态、事件和事故是逐步升级的关系。事态可能发展为事件，事件可能进一步升级为事故。但反过来，事故不一定是事件，事件也不一定是事态。因此，正确答案是D选项：“事故一定是事件，事件一定是事态”。多选题（共20题，共20分）51.《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度。A.新闻、岀版B.医疗、保健C.知识类D.教育类答案：ABD解析：根据《互联网信息服务管理办法》的规定，互联网信息服务分为经营性和非经营性两类。对于新闻、出版、医疗保健、药品和医疗器械等关系国家利益和社会公共利益的系统使用的互联网信息服务，以及生产、销售或者提供有毒有害的信息内容等破坏国家和社会公共利益、危害信息安全的互联网信息服务，实行许可制度。也就是说，这些类别的互联网信息服务需要主管部门审核通过后才能提供。因此，选项A新闻、出版，选项B医疗、保健，选项D教育类，都是需要进行主管部门审核的互联网信息服务类别。选项C知识类并没有明确规定需要主管部门审核，因此不正确。52.对于信息安全方针，（）是GB/T22080-2016标准要求的。A.信息安全方针应形成文件B.信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D.信息安全方针应定期实施评审答案：ABC解析：对于信息安全方针，GB/T22080-2016标准要求的包括：A.信息安全方针应形成文件-这意味着信息安全方针需要以文件的形式进行记录，确保所有相关人员都能明确了解。B.信息安全方针文件应由管理者批准发布，并传达给所有员工和外部相关方-信息安全方针的发布需要得到管理层的批准，并且需要确保所有相关员工和外部合作方都了解这一方针。C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义-信息安全方针中需要明确信息安全管理的职责，包括一般和特定的职责。D.信息安全方针应定期实施评审-这项描述并不是GB/T22080-2016标准要求的。信息安全方针需要定期评审，但这并不是该标准明确要求的。综上所述，选项A、B、C是正确的。53.关于“信息安全连续性”，以下正确的做法包括（）。A.人员、设备、设施、场所等的冗余配置餐蓝B.定期或实时进行数据备份C.考虑业务关键性确定恢复优先顺序和目标D.有保障信息安全连续性水平的过程和程序文件答案：ABCD解析：信息安全连续性是确保在发生信息安全事件时，组织能够持续提供关键业务功能的能力。以下是对各个选项的分析：A.人员、设备、设施、场所等的冗余配置：冗余配置是确保在发生故障或灾难时，有备用的资源可以迅速接管，从而维持业务的连续性。这是信息安全连续性的重要保障措施。B.定期或实时进行数据备份：数据备份是防止数据丢失的关键手段。定期或实时备份可以确保在数据被意外删除或损坏时，能够迅速恢复数据，从而保障业务的连续性。C.考虑业务关键性确定恢复优先顺序和目标：在信息安全事件发生时，组织需要优先恢复关键业务功能。根据业务的关键性确定恢复的优先顺序和目标，可以确保在最短的时间内恢复关键业务功能。D.有保障信息安全连续性水平的过程和程序文件：明确的过程和程序文件是确保信息安全连续性实施的关键。这些文件详细描述了如何在发生信息安全事件时，迅速、有效地恢复业务功能，从而保障信息安全连续性。综上所述，选项A、B、C和D都是关于信息安全连续性的正确做法。54.《中华人民共和国网络安全法》的宗旨是（）。A.维护网络空间主权B.维护国家安全C.维护社会公共利益D.保护公民、法人和其他组织的合法权益答案：ABCD解析：根据《中华人民共和国网络安全法》第一条的规定，该法的宗旨是“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”因此，该法的宗旨涵盖了维护网络空间主权、维护国家安全、维护社会公共利益和保护公民、法人和其他组织的合法权益。所以，选项A、B、C、D都是正确的。55.对于组织在风险处置过程中所选的控制措施，以下说法正确的是（）。A.将所有风险都必须被降低至可接受的级别B.可以将风险转移C.在满足公司策略和方针条件，有意识、客观地接受风险D.规避风险答案：BD解析：在风险处置过程中，组织可以选择的控制措施有多种。A选项提到“将所有风险都必须被降低至可接受的级别”，这过于绝对。实际上，组织可以根据风险的性质、影响程度以及成本效益等因素，选择接受、降低或转移风险，而不是将所有风险都降低至可接受的级别。B选项“可以将风险转移”是正确的。风险转移是风险处置的一种策略，通过购买保险、外包等方式将风险转移给第三方。C选项“在满足公司策略和方针条件，有意识、客观地接受风险”虽然提到了接受风险，但并未明确说明这是风险处置的一种控制措施，因此不是最佳选项。D选项“规避风险”也是风险处置的一种策略。通过避免或停止可能导致风险的活动，组织可以规避风险。综上所述，B和D选项是正确的。56.关于“不可否认性”，以下说法正确的是（）。A.数字签名是实现“不可否认性”的有效技术手段B.身份认证是实现“不可否认性”的重要环节C.数字时间截是“不可否认性”的关键属性D.具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性答案：ABCD解析：A选项正确，数字签名是实现“不可否认性”的有效技术手段。数字签名能够确保信息在传输过程中的完整性和来源的可靠性，防止信息被篡改或伪造，从而实现不可否认性。B选项正确，身份认证是实现“不可否认性”的重要环节。身份认证是确认用户身份的过程，通过验证用户的身份，确保用户行为的真实性和合法性，从而实现不可否认性。C选项正确，数字时间戳是“不可否认性”的关键属性。数字时间戳能够记录信息生成或发送的时间，确保信息的时间顺序和真实性，防止信息被篡改或伪造，从而实现不可否认性。D选项正确，具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性。不可否认性是指能够证实一个声称的事态或行为的发生及其源起者的能力，确保信息来源的可靠性和真实性，防止信息被篡改或伪造。因此，A、B、C、D选项都是正确的。57.常规控制图主要用于区分（）。A.过程处于稳态还是非稳态B.过程能力的大小C.过程加工的不合格品率D.过程中存在偶然波动还是异常波动答案：ABCD解析：常规控制图是一种用于统计过程控制的工具，主要用于监控生产过程中的质量特性。它可以用来区分过程的稳态和非稳态，以及过程能力的大小。此外，控制图还可以用来监控不合格品率，并区分过程中的偶然波动和异常波动。因此，选项A、B、C和D都是正确的。58.关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）。A.网络关键设备B.网络安全专用产品C.销售前D.投入运行后答案：ABC解析：根据题目中的描述，我们需要找出符合“按照相关国家标准强制性要求进行安全合格认证”的选项。根据《中华人民共和国网络安全法》的规定，网络关键设备、网络安全专用产品应当按照相关国家标准的强制性要求，由有关部门、机构进行安全合格认证。因此，选项A网络关键设备、B网络安全专用产品是正确的。另外，这些设备在销售前需要进行安全合格认证，因此选项C销售前也是正确的。至于选项D投入运行后，题目中并没有明确提到是强制要求，因此不正确。59.风险评估过程中威胁的分类一般应包括（）。A.软硬件故障、物理环境影响B.无作为或操作失误、管理不到位、越权或滥用C.网络攻击、物理攻击D.泄密、篡改、抵赖答案：ABCD解析：风险评估过程中威胁的分类通常包括多种可能的风险来源。在给出的选项中，A选项“软硬件故障、物理环境影响”涵盖了技术层面的威胁；B选项“无作为或操作失误、管理不到位、越权或滥用”涉及了人为操作和管理层面的威胁；C选项“网络攻击、物理攻击”则是对系统的直接攻击；D选项“泄密、篡改、抵赖”则涉及到信息安全和数据完整性的威胁。因此，这四个选项都全面地涵盖了风险评估过程中可能面临的威胁分类。60.当满足（）时，可考虑使用基于抽样的方法对多场所进行审核。A.所有的场所在相同信息安全管理体系中，这些场所被集中管理和审核B.所有的场所在相同信息安全管理体系中，这些场所被分别管理和审核C.所有场所包括在客户组织的内部信息安全管理体系审核方案中D.所有场所包括在客户组织的信息安全管理体系管理评审方案中答案：ACD解析：根据题目，当满足以下条件时，可考虑使用基于抽样的方法对多场所进行审核：A.所有的场所在相同信息安全管理体系中，这些场所被集中管理和审核。这是基于抽样的方法进行多场所审核的前提之一，即所有的场所都纳入了一个统一的信息安全管理体系，并且这些场所被集中管理和审核，这样可以确保抽样的代表性和有效性。B.所有的场所在相同信息安全管理体系中，这些场所被分别管理和审核。这个选项与基于抽样的方法相悖，因为分别管理和审核意味着每个场所都是独立的，无法确保抽样的代表性。C.所有场所包括在客户组织的内部信息安全管理体系审核方案中。这意味着所有场所都被纳入了审核计划，这是抽样审核的基础，因为只有在整体范围内进行审核，才能确保抽样的代表性。D.所有场所包括在客户组织的信息安全管理体系管理评审方案中。管理评审方案通常是对整个信息安全管理体系的评估，包括所有场所，因此这也是基于抽样的方法进行多场所审核的前提之一。综上所述，选项A、C和D都符合基于抽样的方法对多场所进行审核的条件，因此选择ACD。61.以下（）活动是ISMS监视预评审阶段需完成的内容。A.实施培训和意识教育计划B.实施ISMS内部审核C.实施ISMS管理评审D.釆取纠正措施答案：BC解析：在ISMS监视预评审阶段，主要的任务是确保组织已经建立了合适的ISMS，并且正在有效地运行。预评审阶段需要完成的活动应该与确保ISMS的有效性和持续改进相关。选项A“实施培训和意识教育计划”通常是在ISMS建立阶段完成的活动，用于确保员工了解组织的信息安全政策、流程以及他们各自在信息安全中的角色和责任。虽然这很重要，但与ISMS监视预评审阶段的核心任务不太相关。选项B“实施ISMS内部审核”是监视预评审阶段需要完成的活动。内部审核是组织对其自身ISMS的独立评估，旨在确认其符合组织的信息安全策略、流程以及适用的法律和标准。内部审核是监视和改进ISMS的重要部分。选项C“实施ISMS管理评审”同样是在监视预评审阶段需要完成的活动。管理评审是组织高层对ISMS的定期评估，以确保其持续满足组织的需求，并考虑任何外部变化（如新的法律要求、技术进步等）。管理评审是确保ISMS适应组织变化和外部环境的关键步骤。选项D“采取纠正措施”通常是在发现不符合项或问题时采取的行动，而不是在监视预评审阶段的主要活动。纠正措施是在内部审核、管理评审或其他监视和测量活动之后采取的行动，用于解决发现的问题或不符合项。综上所述，选项B“实施ISMS内部审核”和选项C“实施ISMS管理评审”是ISMS监视预评审阶段需要完成的活动。62.某金融服务公司为其个人注册会员提供了借资金和贷款服务，以下不正确的做法是（）。A.公司使用微信群会议，对申请借贷的会员背景资料、借贷额度等进行讨论评审B.公司使用微信群发布公司内部投资策略文件C.公司要求所有员工签署NDA，不得泄露会员背景及具体借贷项目信息D.公司要求员工不得向朋友圈转发其微信群会议上付论的信息答案：AB解析：对于选项A，金融服务公司在微信群会议中对申请借贷的会员背景资料、借贷额度等进行讨论评审，这一做法是不恰当的。根据金融行业的规定和法规，对于会员的敏感信息，如背景资料和借贷额度，应该进行严格的保密，并遵循特定的审核流程。在微信群中公开讨论这些敏感信息，不仅违反了保密原则，还可能泄露会员的个人信息，给会员带来潜在的风险。对于选项B，公司使用微信群发布公司内部投资策略文件，这一做法同样是不恰当的。投资策略文件通常包含公司的商业机密和敏感信息，这些信息对于公司的运营和竞争地位至关重要。在微信群中发布这些文件，可能会导致文件内容的泄露，损害公司的利益。选项C要求所有员工签署NDA，不得泄露会员背景及具体借贷项目信息，这一做法是正确的。签署保密协议（NDA）是保护公司机密信息的一种常见做法，能够确保员工不会泄露敏感信息。选项D要求员工不得向朋友圈转发其微信群会议上付论的信息，这一做法也是正确的。微信群会议上的讨论内容可能包含公司的机密信息或敏感数据，禁止员工将这些信息转发到朋友圈，有助于保护公司的商业机密。63.信息安全管理体系审核组的能力包括（）。A.信息安全事件处理方法和业务连续性的知识B.有关有形和无形资产及其影响分折的知识C.风险管理过程和方法的知识D.信息安全管理体系的控制措施及其实施的知识人答案：ABCD解析：信息安全管理体系审核组需要具备全面的信息安全知识，以便能够准确评估组织的信息安全管理体系。这些能力包括信息安全事件处理方法和业务连续性的知识，以便在发生信息安全事件时能够迅速有效地应对；有关有形和无形资产及其影响分析的知识，以便能够评估各种资产对信息安全的影响；风险管理过程和方法的知识，以便能够识别、评估和管理信息安全风险；以及信息安全管理体系的控制措施及其实施的知识，以便能够了解如何实施和维护信息安全控制措施。因此，选项A、B、C和D都是信息安全管理体系审核组所需具备的能力。64.以下（）活动是ISMS建立阶段应完成的内容。A.确定ISMS的范围和边界B.确定ISMS方针C.确定风险评估方法和实施D.实施体系文件培训答案：ABC解析：在ISMS（信息安全管理体系）建立阶段，需要完成一系列关键活动以确保体系的有效性和完整性。根据给出的选项：A.确定ISMS的范围和边界：这是建立ISMS的首要步骤，需要明确体系适用的范围以及与其他管理体系的边界。B.确定ISMS方针：这涉及到制定信息安全管理的目标和原则，确保组织内的所有成员都了解并遵循这些方针。C.确定风险评估方法和实施：风险评估是ISMS的核心部分，需要确定合适的方法并实施，以识别潜在的安全威胁和脆弱性。D.实施体系文件培训：虽然培训是ISMS运行阶段的重要活动，但在建立阶段，主要是完成上述三个关键活动，而不是立即进行体系文件的培训。因此，正确答案是ABC。65.以下说法不正确的是（）。A.顾客不投诉表示顾客满意了B.监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C.顾客满意测评只能通过第三方机构来实施D.顾客不投诉并不意味着顾客满意了答案：ACD解析：A选项说“顾客不投诉表示顾客满意了”，这个观点不正确。顾客不投诉并不总是意味着他们满意，有时候他们可能只是没有发现问题或者觉得问题不重要，所以选择不投诉。因此，不能仅凭顾客不投诉就断定他们满意。B选项说“监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价”，这是正确的。发调查问卷是一种常用的方法，通过收集和分析顾客的意见和反馈，可以了解他们的满意度，从而找出需要改进的地方。C选项说“顾客满意测评只能通过第三方机构来实施”，这个观点不正确。顾客满意测评可以由企业自己实施，也可以委托第三方机构进行。第三方机构通常具有更专业的知识和经验，但企业也可以根据自己的需要和能力自行进行测评。D选项说“顾客不投诉并不意味着顾客满意了”，这个观点与A选项重复，因此也是不正确的。综上所述，不正确的选项是A、C和D。66.信息安全管理体系审核应遵循的原则包括（）。A.诚实守信B.保密性C.基于风险D.基于事实的决策方法答案：BC解析：信息安全管理体系审核是确保组织信息安全管理体系有效运行和持续改进的重要环节。在审核过程中，需要遵循一系列原则以确保审核的公正性、客观性和有效性。选项A“诚实守信”虽然是一个重要的职业道德原则，但在信息安全管理体系审核中并不是直接相关的原则。审核员应遵守职业道德，但这一选项更偏向于一般性的道德准则。选项B“保密性”是信息安全管理体系审核的核心原则之一。保密性是确保审核过程中获取的敏感信息安全不被泄露，保障组织信息安全的重要保障。选项C“基于风险”是信息安全管理体系审核的基本原则之一。基于风险的审核方法强调对组织面临的信息安全风险的评估和管理，确保审核能够针对组织最关键的信息安全领域进行。选项D“基于事实的决策方法”虽然是一个重要的决策原则，但在信息安全管理体系审核中并不是直接相关的原则。虽然审核员需要基于事实进行决策，但这更偏向于审核过程中的具体操作方法，而不是审核应遵循的基本原则。综上所述，信息安全管理体系审核应遵循的原则包括保密性和基于风险。因此，正确答案为B和C。67.评价信息安全风险，包括（）。A.将风险分析的结果与信息安全风险准则进行比较B.确定风险的控制措施C.为风险处置排序以分析风险的优先级D.计算风险大小答案：AC解析：评价信息安全风险通常涉及多个步骤，其中将风险分析的结果与信息安全风险准则进行比较，以及为风险处置排序以分析风险的优先级，是评价信息安全风险的重要步骤。A选项涉及将风险分析的结果与准则进行比较，有助于确定风险是否可接受或需要进一步的控制措施。C选项涉及对风险进行排序，以便优先处理那些对组织影响最大的风险。B选项“确定风险的控制措施”和D选项“计算风险大小”虽然与信息安全风险有关，但它们不是评价信息安全风险的核心步骤，而是风险处理的一部分。因此，正确答案为A和C。68.以下做法正确的是（）。A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实业务案例和数据C.员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D.信息系统管理域内所有的终端启动屏幕保护时间应一致答案：AC解析：选项A提到使用生产系统数据测试时，应先将数据进行脱敏处理。这是正确的，因为直接使用生产数据可能会导致数据泄露或违反数据保护政策。脱敏处理是一种保护敏感数据的方法，确保在测试或开发环境中使用数据时不会泄露敏感信息。选项B提到为强化新员工培训效果，应尽可能使用真实业务案例和数据。这一选项可能引发争议，因为使用真实业务案例和数据可能会涉及到数据保护和隐私问题。虽然真实案例和数据可能有助于培训效果，但必须在遵守相关法规的前提下进行。选项C提到员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用。这是正确的，因为员工从一个项目组转到另一个项目组时，应该确保他们带走的数据不会包含敏感或专有信息，以避免数据泄露或侵犯知识产权。选项D提到信息系统管理域内所有的终端启动屏幕保护时间应一致。这一选项与数据保护或隐私没有直接关系，因此不是本题考查的重点。综上所述，选项A和C是正确的。69.在未得到授权的前提下，以下属于信息安全“攻击”的是（）。A.盗取、暴露、变更资产的行为B.破坏、或使资产失去预期功能的行为C.访问、使用资产的行为D.监视和获取资产使用状态信息的行为答案：ABCD解析：信息安全“攻击”通常指的是未经授权对信息系统进行的有害行为。根据给出的选项，我们可以逐一分析：A.盗取、暴露、变更资产的行为-这属于对资产的不当操作，未经授权获取、更改或暴露资产，是信息安全攻击的一种。B.破坏、或使资产失去预期功能的行为-这也是一种未经授权对资产的有害行为，导致资产无法正常工作或功能受损。C.访问、使用资产的行为-在未经授权的情况下访问和