CCAA - 2019年05月基础知识（改考前）答案及解析 - 详解版（80题）

本资料由小桨备考整理，仅供学习参考，非官方发布2019年05月基础知识（改考前）答案及解析单选题（共50题，共50分）1.下列中哪个活动是组织发生重大变更后一定要开展的活动？（）A.对组织的信息安全管理体系进行变更B.执行信息安全风险评估C.开展内部审核D.开展管理评审答案：B解析：组织发生重大变更后，一定要开展的活动是执行信息安全风险评估。这是因为信息安全风险评估是组织在发生重大变更后，为了确保信息安全，需要对新的系统、流程或策略进行全面的评估，以确保其不会对组织的信息安全产生负面影响。执行信息安全风险评估有助于组织及时识别潜在的安全风险，并采取相应的措施来降低这些风险。选项A对组织的信息安全管理体系进行变更，虽然是对信息安全管理体系的一种更新，但它不是组织发生重大变更后一定要开展的活动。选项C开展内部审核，虽然是对组织内部的一种检查，但它并不是专门针对重大变更后的活动。选项D开展管理评审，是对组织整体运营状况的一种评估，虽然重要，但并不是专门针对重大变更后的活动。因此，执行信息安全风险评估是组织发生重大变更后一定要开展的活动。2.对于外部方提供的软件包以下说法正确的是（）。A.组织的人员可随时对具进行适用性调整B.应严格限制对软件包的调整以保护软件包的保密性C.应严格限制对软件包的调整以保护软件包的完整性和可用性D.以上都不对答案：C解析：本题考察的是对外部方提供的软件包的管理和使用的理解。A选项提到组织的人员可随时对其进行适用性调整，这意味着软件包的调整是随意的，没有受到任何限制，这与软件包的保密性和完整性保护相违背，因此A选项错误。B选项提到应严格限制对软件包的调整以保护软件包的保密性，虽然强调了保密性，但并未提及完整性和可用性，因此B选项不全面，错误。C选项提到应严格限制对软件包的调整以保护软件包的完整性和可用性，这既考虑了保密性，也考虑了软件包的完整性和可用性，是一个全面的考虑，因此C选项正确。D选项表示以上都不对，由于我们已经分析了A、B选项的错误，并且C选项是正确的，因此D选项也是错误的。综上所述，正确答案是C选项。3.从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A.计算机舞弊B.欺骗或胁迫C.计算机偷窃D.计算机破坏答案：B解析：社交工程是一种利用社会互动和欺骗手段获取敏感信息或执行恶意行为的技术。从给出的选项中，只有“欺骗或胁迫”与社交工程直接相关。计算机舞弊、计算机偷窃和计算机破坏虽然与计算机安全有关，但它们并不直接涉及社交工程。因此，正确答案是“欺骗或胁迫”。4.在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级。A.3B.4C.5D.6答案：C解析：《信息安全等级保护管理办法》将信息系统的安全等级分为5级，从第一级到第五级，安全保护能力逐步增强。因此，正确答案为C。5.控制影响信息安全的变更，包括（）。A.组织、业务活动、信息及处理设施和系统变更B.组织、业务过程、信息处理设施和系统变更C.组织、业务过程、信息及处理设施和系统变更D.组织、业务活动、信息处理设施和系统变更答案：B解析：信息安全变更控制是指对组织、业务过程、信息处理设施和系统变更的控制，以确保这些变更不会对信息安全产生不利影响。根据题目给出的选项，我们可以逐一分析：A选项提到“组织、业务活动、信息及处理设施和系统变更”，其中的“业务活动”可能是一个不太明确或涵盖范围太广的术语，它可能包括多种与业务相关的活动，不一定特指与信息安全直接相关的业务过程。B选项“组织、业务过程、信息处理设施和系统变更”更明确地指出了与信息安全变更控制相关的要素。其中，“业务过程”通常指的是与特定业务目标相关的流程或步骤，这些流程或步骤可能涉及到信息处理设施和系统的变更，从而影响到信息安全。C选项与B选项非常相似，只是将“业务过程”替换为“信息及处理”，这个替换可能导致含义上的不明确或混淆，因为“信息及处理”可能涵盖的范围过于宽泛，不够具体。D选项提到“组织、业务活动、信息处理设施和系统变更”，与A选项类似，“业务活动”这一术语可能不够明确和具体。综上所述，B选项“组织、业务过程、信息处理设施和系统变更”是最符合信息安全变更控制要求的描述。因此，正确答案是B。6.以下描述不正确的是（）。A.防范恶意和移动代码的目标是保护软件和信息的完整性B.纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C.风险分析、风险评价、风险处理的整个过程称为风险管理D.控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响答案：D解析：A选项描述“防范恶意和移动代码的目标是保护软件和信息的完整性”是正确的，这是网络安全中常见的一个目标，目的是防止恶意代码对软件和信息的破坏。B选项描述“纠正措施的目的是为了消除不符合的原因，防止不符合的再发生”也是正确的，纠正措施就是为了解决已出现的问题，防止类似问题再次发生。C选项描述“风险分析、风险评价、风险处理的整个过程称为风险管理”是正确的，这是风险管理的基本流程。而D选项“控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响”是不正确的。控制措施不仅可以降低安全事件发生的可能性，还可以降低安全事件的潜在影响，例如，通过加密技术可以降低数据泄露的风险，同时也可以减少数据泄露带来的潜在损失。因此，D选项描述不正确。7.《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行。A.在客户组织的场所B.在认证机构以网络访问的形式C.以远程视频的形式D.以上都对答案：A解析：《信息安全管理体系认证机构要求》中明确规定了第二阶段审核应在客户组织的场所进行。因此，选项A“在客户组织的场所”是正确的。其他选项如“在认证机构以网络访问的形式”、“以远程视频的形式”或“以上都对”均不符合规定。8.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）。A.完整性B.可用性C.机密性D.抗抵赖性答案：C解析：确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指机密性。机密性是指信息不被未授权用户访问，即保证信息不泄露给非授权的个人、实体或进程。因此，正确答案为C，即机密性。9.下列哪个文档化信息不是GB/T22080-2016/ISO/IEC27001:2013要求必须有的？（）A.信息安全方针B.信息安全目标C.风险评估过程记录D.沟通记录答案：D解析：根据题目中给出的信息，GB/T22080-2016/ISO/IEC27001:2013是一个信息安全管理体系的标准。对于标准中要求的文档化信息，我们可以逐项考虑：A.信息安全方针-这是组织关于信息安全的基本方针和原则，对于建立和维护信息安全管理体系至关重要，因此是必需的。B.信息安全目标-组织为了实现信息安全方针而设定的具体目标，也是信息安全管理体系的核心组成部分，因此也是必需的。C.风险评估过程记录-风险评估是信息安全管理体系中的关键过程，用于识别潜在的安全威胁和脆弱性，并记录评估过程和结果，以便后续改进和监控，因此也是必需的。D.沟通记录-虽然沟通在信息安全管理体系中非常重要，但题目中并未明确指出GB/T22080-2016/ISO/IEC27001:2013标准明确要求必须有沟通记录。在标准中，可能更侧重于信息安全方针、目标和风险评估过程的记录，而不是具体的沟通记录。综上所述，沟通记录不是GB/T22080-2016/ISO/IEC27001:2013要求必须有的文档化信息。因此，答案为D。10.《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A.2年B.3年C.4年D.5年答案：D解析：根据《中华人民共和国认证认可条例》的规定，认证人员自被撤销职业资格之日起，认可机构不再接受其注册申请的时间期限为5年。因此，正确答案为D选项，即5年。11.下列不属于公司信息资产的有（）。A.客户信息B.被放置在IDC机房的服务器C.个人使用的电脑D.审核记录答案：D解析：公司信息资产通常指的是与公司业务、运营或管理相关的信息。A选项“客户信息”是公司的重要信息资产，因为它涉及到客户的关系和交易。B选项“被放置在IDC机房的服务器”也是公司的信息资产，因为它存储和处理公司的数据和应用程序。C选项“个人使用的电脑”虽然可能由员工个人所有，但如果用于公司的工作，也可能包含公司的信息资产。而D选项“审核记录”虽然可能包含公司的信息，但它本身并不是公司的信息资产，而是公司管理和运营过程中产生的记录。因此，D选项“审核记录”不属于公司信息资产。12.组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A.审查，任用条款和条件B.管理责任、信息安全意识教育和培训C.任用终止或变更的责任D.以上都不对答案：B解析：为了确保员工和合同方意识到并履行其信息安全职责，组织应该采取一系列措施。首先，组织应该明确管理责任，明确信息安全负责人，并赋予其相应的权限和责任。其次，组织应该进行信息安全意识教育和培训，确保员工和合同方了解信息安全的重要性，掌握相关的知识和技能。任用条款和条件以及任用终止或变更的责任虽然与信息安全有关，但并不是确保员工和合同方意识到并履行其信息安全职责的主要措施。因此，正确答案是B，即管理责任、信息安全意识教育和培训。13.安全区域通常的防护措施有（）。A.公司前台的电脑显示器背对来访者B.进出公司的访客须在门卫处进行登记C.重点机房安装有门禁系统D.以上全部答案：D解析：安全区域通常的防护措施包括前台的电脑显示器背对来访者、进出公司的访客须在门卫处进行登记以及重点机房安装有门禁系统。这些都是为了保护公司的重要资产和敏感信息，确保只有授权人员能够访问和操作。因此，选项D“以上全部”是正确的答案。14.关于《中华人民共和国保密法》，以下说法正确的是（）。A.该法的目的是为了保守国家秘密而定B.该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C.该法适用于所有组织对其敏感信息的保护D.国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护答案：A解析：《中华人民共和国保密法》的目的是为了保守国家秘密，维护国家安全和利益，保障改革开放和社会主义建设事业的顺利进行。因此，选项A“该法的目的是为了保守国家秘密而定”是正确的。选项B“该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系”是不正确的。保密法和ISO/IEC27001是两种不同的标准体系，各自有各自的目的和应用范围，不能相互替代。选项C“该法适用于所有组织对其敏感信息的保护”也是不正确的。保密法主要是针对国家秘密的保护，而非所有组织的敏感信息。选项D“国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护”也是不准确的。根据保密法，国家秘密的密级分为绝密、机密、秘密三级，但是并不是由组织自主定级、自主保护，而是由有关机关、单位确定。综上所述，只有选项A是正确的。15.组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。A.确定B.制定C.落实D.确保答案：A解析：题目中要求组织应对与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项进行确定。因此，正确答案为“确定”。制定、落实和确保都不符合题目要求，因为它们没有明确指出组织应对外部和内部事项进行确定。因此，选项A“确定”是正确答案。16.构成风险的关键因素有（）。A.人、财、物B.技术、管理和操作C.资产、威胁和弱点D.资产、可能性和严重性答案：C解析：构成风险的关键因素包括资产、威胁和弱点。资产是指可能被攻击或利用的目标，如企业的数据、系统或设施等；威胁是指可能对资产造成损害或破坏的因素，如黑客攻击、自然灾害等；弱点是指资产或系统中存在的安全漏洞或缺陷，这些弱点可能被威胁利用。因此，选项C“资产、威胁和弱点”是构成风险的关键因素。而选项A“人、财、物”不是构成风险的直接因素，选项B“技术、管理和操作”虽然与风险有关，但不是关键因素，选项D“资产、可能性和严重性”中的“可能性和严重性”也不是构成风险的关键因素。因此，正确答案是C。17.关于访问控制策略，以下不正确的是（）。A.须考虑被访问客体的敏感性分类、访问主体的授权方式、时间和访问类型B.对于多任务访问，一次性赋予全任务权限C.物理区域的管理规定须遵从物理区域的访问控制策略D.物理区域访问控制策略应与其中的资产敏感性一致答案：B解析：访问控制策略是确保系统安全的关键措施，它规定了哪些主体可以对哪些客体进行何种类型的访问。针对题目中的选项，我们可以逐一分析：A选项提到“须考虑被访问客体的敏感性分类、访问主体的授权方式、时间和访问类型”。这是访问控制策略中常见的考虑因素，因为客体的敏感性分类决定了访问控制策略的严格程度，而访问主体的授权方式、时间和访问类型则决定了主体可以访问的权限和条件。B选项提到“对于多任务访问，一次性赋予全任务权限”。这是不正确的，因为一次性赋予全任务权限可能导致未经授权的用户或系统访问敏感信息或执行敏感操作，从而引发安全风险。在实际应用中，应该根据任务的重要性和紧急程度，对访问权限进行精细控制，确保只有经过授权的主体才能访问相应的客体。C选项提到“物理区域的管理规定须遵从物理区域的访问控制策略”。这是正确的，因为物理区域的访问控制策略是确保物理安全的重要措施，它规定了哪些人员可以进入哪些区域，以及进入区域需要满足的条件。D选项提到“物理区域访问控制策略应与其中的资产敏感性一致”。这也是正确的，因为物理区域的资产敏感性决定了访问控制策略的严格程度。例如，高敏感性的区域可能需要更严格的访问控制，包括门禁控制、视频监控等。综上所述，B选项“对于多任务访问，一次性赋予全任务权限”是不正确的，因为它可能导致安全风险。因此，正确答案是B。18.组织应在相关（）上建立信息安全目标。A.组织环境和相关方要求B.战略和意思C.战略和方针D.职能和层次答案：D解析：题目问的是“组织应在相关（）上建立信息安全目标。”，我们需要从给定的选项中选择正确的答案。选项A“组织环境和相关方要求”虽然与组织的运作有关，但它更多地关注组织的外部环境，而不是直接涉及信息安全目标的建立。选项B“战略和意思”中的“意思”一词可能是个输入错误，因为通常我们说的是“战略和方针”。即使如此，这个选项也没有明确指向信息安全目标的建立。选项C“战略和方针”虽然与组织的整体战略有关，但它并没有特指信息安全目标。选项D“职能和层次”则直接关联到信息安全目标的建立。信息安全通常被视为一个特定的职能领域，其目标需要在组织的不同职能和层次上明确和建立。因此，根据题目要求，最符合的答案应该是选项D“职能和层次”。然而，题目给出的标准答案却是C，这可能是一个错误，正确答案应该是D。19.风险评价是指（）。A.系统地使用信息来识别风险来源和评估风险B.将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C.指导和控制个组织相关风险的协调活动D.以上都对答案：B解析：风险评价是指将估算的风险与给定的风险准则加以比较以确定风险严重性的过程。选项A“系统地使用信息来识别风险来源和评估风险”是风险识别的内容，选项C“指导和控制个组织相关风险的协调活动”是风险管理的目的，选项D“以上都对”显然是不正确的。因此，正确答案是B。20.关于防范恶意软件，以下说法正确的是（）。A.物理隔断信息系统与互联网的连接即可防范恶意软件B.安装入侵探测系统即可防范恶意软件C.建立白名单即可防范恶意软件D.建立探测、预防和恢复机制以防范恶意软件答案：D解析：对于防范恶意软件，我们需要考虑的是一个全面、多层次的策略。物理隔断信息系统与互联网的连接确实可以作为一种措施，但这样会使系统变得孤立，不利于信息的流通和更新。同样，安装入侵探测系统虽然能及时发现潜在的攻击，但并不能完全阻止恶意软件的入侵。建立白名单虽然可以限制某些软件的运行，但恶意软件往往具有伪装性，难以完全识别。因此，最全面的防范策略应该是建立探测、预防和恢复机制，这样既能及时发现恶意软件的入侵，又能采取措施进行预防和恢复，从而最大程度地保护系统的安全。所以，正确答案是D选项：建立探测、预防和恢复机制以防范恶意软件。21.创建和更新文件化信息时，组织应确保适当的（）。A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准答案：D解析：创建和更新文件化信息时，组织应确保适宜的评审和批准。根据质量管理原则和标准，确保文件化信息的适宜性和充分性是非常重要的。适宜的评审可以确保文件化信息的准确性、相关性和适用性，而批准则可以确保文件化信息被正式接受并用于组织的过程和活动中。因此，选项D“对适宜性和充分性的评审和批准”是正确答案。其他选项如“对适宜性和有效性的评审和批准”、“对充分性和有效性的测量和批准”以及“对适宜性和充分性的测量和批准”在描述上不够准确或存在遗漏，因此不是正确答案。22.为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。A.服务水平目标(SLO)B.恢复点目标(RPO)C.恢复时间目标(RTO)D.最长可接受终端时间(MAO)答案：B解析：为了达到组织灾难恢复的要求，备份时间间隔不能超过恢复点目标（RPO）。恢复点目标（RPO）是指可以容忍的最大数据丢失量，即系统发生故障后，通过备份和恢复操作，数据丢失的最大可接受量。因此，为了保证数据的完整性和连续性，备份时间间隔不能超过RPO，以确保在灾难发生时能够恢复到最近的一次备份状态，从而最大程度地减少数据丢失。23.关于系统运行日志，以下说法正确的是（）。A.系统管理员负责对日志信息进行编辑、保存B.日志信息文件的保存应纳入容量管理C.日志管理即系统审计日志管理D.组织的安全策略应决定系统管理员的活动是否有记入日志答案：B解析：根据题目，我们需要找出关于系统运行日志的正确说法。A选项提到“系统管理员负责对日志信息进行编辑、保存”，但系统管理员的职责通常不包括编辑日志信息，他们通常负责日志的生成、收集、存储和管理，而不是编辑。所以A选项不正确。B选项说“日志信息文件的保存应纳入容量管理”，这是正确的。日志信息文件的保存需要考虑到存储空间和容量，以确保日志的完整性和可用性，同时避免存储空间不足的问题。C选项提到“日志管理即系统审计日志管理”，这过于狭隘。日志管理不仅限于系统审计日志，还包括其他类型的日志，如操作日志、系统日志等。因此，C选项不正确。D选项说“组织的安全策略应决定系统管理员的活动是否有记入日志”，虽然安全策略确实对日志管理有重要影响，但它并不直接决定系统管理员的活动是否记入日志。系统管理员的活动是否记入日志通常是由日志管理策略或相关规定决定的。因此，D选项也不正确。综上所述，正确答案是B选项：“日志信息文件的保存应纳入容量管理”。24.关于信息安全连续性，以下说法正确的是（）。A.信息安全连续性即IT设备运行的连续性B.信息安全连续性应是组织业务连续性的一部分C.信息处理设施的冗余即指两个或多个服务器互备D.信息安全连续性指标由IT系统的性能决定答案：B解析：信息安全连续性是指组织在遭受信息安全事件后，能够迅速恢复其关键业务功能的能力。它是组织业务连续性的一个重要组成部分，旨在确保在信息安全事件发生时，组织的业务能够持续、稳定地运行。因此，选项B“信息安全连续性应是组织业务连续性的一部分”是正确的说法。选项A将信息安全连续性简单地等同于IT设备运行的连续性，这是一个狭隘的理解。选项C中的“信息处理设施的冗余”与服务器互备有关，但它并不能等同于信息安全连续性的全部含义。选项D则错误地认为信息安全连续性指标完全由IT系统的性能决定，忽略了其他影响信息安全连续性的因素。25.组织应（）。A.采取过程的规程安全处置不需要的介质B.采取文件的规程安全处置不需要的介质C.采取正式的规程安全处置不需要的介质D.采取制度的规程安全处置不需要的介质答案：C解析：题目中要求组织应“采取过程的规程安全处置不需要的介质”，根据常识和安全管理的要求，组织应该采取正式的规程来安全处置不需要的介质，以保证整个处置过程的安全和有效性。因此，正确选项为C，“采取正式的规程安全处置不需要的介质”。选项A、B、D与题目要求不符，不符合常识和安全管理的规定，因此可以排除。26.关于信息安全管理体系认证，以下说法正确的是（）。A.认证决定人员不宜推翻审核组的正面结论B.认证决定人员不宜推翻审核组的负面结论C.认证机构应对客户组织的ISMS至少进行一次完整的内部审核D.认证机构必须遵从客户组织规定的内部审核和管理评审的周期答案：B解析：在信息安全管理体系认证中，审核组的结论是基于对组织的信息安全管理体系（ISMS）的评估。认证决定人员作为审核过程的最终决策者，其职责是确保审核过程的公正性和准确性。如果审核组的结论是基于不充分或不准确的信息，认证决定人员有权推翻该结论，无论是正面还是负面。因此，选项A“认证决定人员不宜推翻审核组的正面结论”是不准确的。对于选项C和D，虽然内部审核和管理评审是信息安全管理体系中的重要环节，但认证机构并不一定要对客户的ISMS进行至少一次完整的内部审核，也不一定要遵从客户组织规定的内部审核和管理评审的周期。认证机构有自己的审核标准和程序，可以根据实际情况进行调整。因此，选项C和D都不正确。综上所述，正确的选项是B，即“认证决定人员不宜推翻审核组的负面结论”。27.管理体系是实现组织的方针、（）、指南和相关资源的框架。A.目标B.规程C.文件D.记录答案：B解析：管理体系是一个框架，它为实现组织的方针、规程、指南和相关资源提供了结构。选项A“目标”是管理体系所追求的结果，但并不是管理体系本身的结构；选项C“文件”和选项D“记录”都是管理体系中可能包含的部分，但它们并不是管理体系的核心结构。因此，选项B“规程”是最符合题目描述的，它代表了管理体系中为实现特定目标而规定的一系列步骤和程序。28.信息安全管理中，支持性基础设施指（）。A.供电、通信设施B.消防、防雷设施C.空调及新风系统、水气暖供应系统D.以上全部答案：D解析：信息安全管理中，支持性基础设施包括供电、通信设施、消防、防雷设施、空调及新风系统、水气暖供应系统等等，这些设施对于信息安全保障有着至关重要的作用。因此，选项D“以上全部”是正确的答案。供电、通信设施、消防、防雷设施等是确保信息安全的基础设施，而空调及新风系统、水气暖供应系统虽然不是直接的安全设施，但它们的正常运行对于保障信息安全环境同样重要。29.计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序。A.内存B.软盘C.存储介质D.网络答案：C解析：计算机病毒是隐藏在存储介质上的一种特殊程序，它能够复制自身并感染其他程序，从而导致计算机系统出现各种问题，如数据丢失、程序崩溃等。内存、软盘和网络都是计算机系统中的重要组成部分，但计算机病毒主要隐藏在存储介质上，因此正确答案为C。内存中的数据只是临时的，不会长时间存储，软盘虽然可以存储数据，但并不是计算机病毒的主要传播途径，而网络虽然可以传播病毒，但并不是病毒本身存储的地方。因此，选项A、B、D都不正确。30.依据GB/T22080/ISO/IEC27001建立资产清单即（）。A.列明信息生命周期内关联到的资产，明确其对组织业务的关键性B.完整采用组织的固定资产台账，同时指定资产负责人C.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D.A+B答案：A解析：在GB/T22080/ISO/IEC27001中，建立资产清单是为了列明信息生命周期内关联到的资产，明确其对组织业务的关键性。这是信息安全管理体系中的一项重要活动，用于识别和记录组织内的所有资产，并评估其对业务的重要性。因此，选项A“列明信息生命周期内关联到的资产，明确其对组织业务的关键性”是正确的。选项B“完整采用组织的固定资产台账，同时指定资产负责人”虽然与资产清单有关，但并不完全符合GB/T22080/ISO/IEC27001的标准要求。选项C“资产价格越高，往往意味着功能越全，因此资产重要性等级就越高”与资产清单的建立没有直接关系，资产的重要性并不完全取决于其价格。选项D“A+B”是选项A和B的组合，但B并不符合标准，因此D也是错误的。31.以下哪项不属于脆弱性范畴？（）A.黑客攻击B.操作系统漏洞C.应用程序BUGD.人员的不良操作习惯答案：A解析：根据题目描述，我们需要找出不属于脆弱性范畴的选项。A选项“黑客攻击”是一种攻击行为，而不是脆弱性本身。黑客攻击是利用系统或应用程序的漏洞来进行的，但它本身并不是漏洞或脆弱性。B选项“操作系统漏洞”是系统本身存在的缺陷，可以被攻击者利用，因此属于脆弱性范畴。C选项“应用程序BUG”是应用程序中存在的缺陷，也可能被攻击者利用，因此也属于脆弱性范畴。D选项“人员的不良操作习惯”可能导致系统或应用程序被误用或滥用，从而增加被攻击的风险，因此也属于脆弱性范畴。综上所述，A选项“黑客攻击”不属于脆弱性范畴，因此正确答案为A。32.计算机信息系统安全专用产品是指（）。A.用于保护计算机信息系统安全的专用硬件和软件产品B.按安全加固要求设计的专用计算机C.安装了专用安全协议的专用计算机D.特定用途（如高保密）专用的计算机软件和硬件产品答案：A解析：计算机信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。这是根据题目中的描述，对计算机信息系统安全专用产品的定义进行解读。因此，选项A“用于保护计算机信息系统安全的专用硬件和软件产品”是正确的答案。其他选项如按安全加固要求设计的专用计算机、安装了专用安全协议的专用计算机、特定用途（如高保密）专用的计算机软件和硬件产品，虽然与计算机信息系统安全有关，但并不是专用产品的定义。33.下列说法不正确的是（）。A.残余风险需要获得管理者的批准B.体系文件应能够显示出所选择的;C.所有的信息安全活动都必须记录D.管理评审至少每年进行一次答案：A解析：A选项提到“残余风险需要获得管理者的批准”，但题目中并未明确提及残余风险需要获得管理者的批准，因此A选项不正确。B选项“体系文件应能够显示出所选择的”没有明确的错误，可能是指体系文件应能够明确显示出所选择的安全措施或策略。C选项“所有的信息安全活动都必须记录”也是正确的，因为记录信息安全活动有助于审计和跟踪，确保信息安全。D选项“管理评审至少每年进行一次”也是正确的，因为定期的管理评审有助于确保信息安全体系的持续有效性和改进。因此，不正确的说法是A选项。34.密码技术不适用于控制下列哪种风险（）。A.数据在传输中被窃取的风险B.数据在传输中被篡改的风险C.数据在传输中被损坏的风险D.数据被非授权访问的风险答案：C解析：密码技术是一种通过加密和解密来保护数据的方法，它可以防止数据在传输过程中被窃取或篡改，以及防止数据被非授权访问。然而，密码技术并不能保证数据在传输过程中不被损坏。因此，选项C“数据在传输中被损坏的风险”是不适用于密码技术控制的。其他选项A、B和D都是可以通过密码技术来控制的。35.系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）。A.恢复全部程序B.恢复网络设置C.恢复所有数据D.恢复整个系统答案：D解析：系统备份与普通数据备份的主要区别在于，系统备份不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息。这意味着系统备份包括了系统所需的所有关键元素，以便在需要时能够恢复整个系统。因此，选项D“恢复整个系统”是正确的答案。选项A“恢复全部程序”虽然涉及到了应用程序，但不如“恢复整个系统”全面；选项B“恢复网络设置”只是系统的一部分；选项C“恢复所有数据”虽然提到了数据，但没有涵盖到系统备份中包括的所有其他信息。36.信息安全管理体系的设计应考虑（）。A.组织的战略B.组织的目标和需求C.组织的业务过程性质D.以上全部答案：D解析：在设计信息安全管理体系时，需要考虑的因素应当与组织的整体战略、目标和需求密切相关。组织的战略方向决定了信息安全管理体系的方向和目标，组织的目标和需求则直接影响了信息安全管理体系的具体实施和效果。此外，组织的业务过程性质也会对信息安全管理体系的设计产生影响，因为不同的业务过程可能需要不同的信息安全保障措施。因此，选项D“以上全部”是正确的选择。37.在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？（）A.硬件和软件B.技术和制度C.管理员和用户D.物理安全和软件缺陷答案：B解析：在考虑网络安全策略时，应该在网络安全分析的基础上从技术和制度两个方面提出相应的对策。技术和制度都是网络安全的重要组成部分，技术方面包括防火墙、入侵检测、加密技术等，制度方面包括安全策略、安全审计、安全事件响应等。因此，选项B“技术和制度”是正确答案。选项A“硬件和软件”只是构成网络安全的一部分，选项C“管理员和用户”虽然与网络安全有关，但不是网络安全策略的主要方面，选项D“物理安全和软件缺陷”也不全面，因此都不符合题意。38.为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）A.建立信息安全事件管理的责任B.建立信息安全事件管理规程C.对信息安全事件进行响应D.在组织内通报信息安全事件答案：D解析：为确保采用一致和有效的方法对信息安全事件进行管理，建立信息安全事件管理的责任、建立信息安全事件管理规程以及对信息安全事件进行响应都是必要的控制措施。然而，选项D“在组织内通报信息安全事件”并不是必须的。虽然通报信息安全事件有助于提高员工对信息安全事件的意识，但它并不是确保一致和有效管理信息安全事件所必需的核心控制措施。因此，答案为D。39.数字签名可以有效对付哪一类信息安全风险？（）A.非授权的阅读B.盗窃C.非授权的复制D.篡改答案：D解析：数字签名是一种用于验证信息完整性和来源的技术。它可以确保信息在传输过程中没有被篡改，并且能够确认信息的发送者。因此，数字签名可以有效对付信息安全风险中的篡改。选项A、B、C分别对应非授权的阅读、盗窃和非授权的复制，这些风险虽然也是信息安全中需要防范的，但数字签名并不能直接解决这些问题。因此，正确答案是D，即篡改。40.下列那些事情是审核员不必要做的？（）A.对接触到的客户信息进行保密B.客观公正的给出审核结论C.关注客户的喜好D.尽量使用客户熟悉的表达方式答案：C解析：本题考察的是审核员不必要做的事情。审核员的核心职责是确保审核的公正性和准确性，以及保护客户的信息安全。A选项提到“对接触到的客户信息进行保密”，这是审核员的基本职责之一，他们需要确保客户的信息安全，防止信息泄露，因此A选项是审核员需要做的。B选项提到“客观公正的给出审核结论”，这也是审核员的核心职责，他们需要基于事实和数据，给出客观、公正的审核结论，因此B选项是审核员需要做的。C选项提到“关注客户的喜好”，这并不是审核员的核心职责。审核员的主要任务是进行客观、公正的审核，而不是关注客户的个人喜好。因此，C选项是审核员不必要做的。D选项提到“尽量使用客户熟悉的表达方式”，虽然这有助于与客户更好地沟通，但并不是审核员的核心职责。审核员的主要任务是确保审核的准确性和公正性，而不是关注如何与客户沟通。因此，D选项也是审核员不必要做的。综上所述，选项C和D都是审核员不必要做的事情，但题目只要求选择一个，因此正确答案是C。41.在规划如何达到信息安全目标时，组织应确定（）。A.要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B.要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C.要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D.要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果答案：C解析：信息安全目标的规划过程中，组织需要确定：要做什么，需要什么资源，由谁负责，什么时候完成，以及如何评价结果。这个答案符合信息安全管理的常规要求，确保了对目标、资源、责任、时间表和评估的全面考虑。其他选项要么信息不全（如A和D选项），要么用词不准确（如B选项中的“什么时候开始”与“什么时候完成”存在时间上的重复）。因此，C选项最为贴切。42.下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A.物理入口控制B.开发、测试和运行环境的分离C.物理安全边界D.在安全区域工作答案：B解析：防止对组织信息和信息处理设施的未授权访问的措施包括物理入口控制、物理安全边界以及在安全区域工作等。而开发、测试和运行环境的分离主要是为了提高软件质量和降低安全风险，确保不同环境之间的数据隔离，而不是直接用于防止未授权访问。因此，选项B不是用来防止对组织信息和信息处理设施的未授权访问的措施。43.容量管理的对象包括（）。A.信息系统内存B.办公室空间和基础设施C.人力资源D.以上全部答案：D解析：容量管理是对组织或系统所需资源（如内存、办公室空间、基础设施和人力资源）的总量进行规划、控制和优化的过程。因此，容量管理的对象包括信息系统内存、办公室空间和基础设施以及人力资源，即选项D“以上全部”是正确的。44.信息分类方案的目的是（）。A.划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B.划分信息载体所属的职能以便于明确管理责任C.划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析答案：C解析：信息分类方案的目的是划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则。选项A、B、D虽然都是信息分类的一部分，但不是信息分类方案的主要目的。选项A是信息载体介质的分类，选项B是信息载体职能的分类，选项D是信息数据类型的分类，这些分类虽然有助于信息的存储、处理和管理，但不是信息分类方案的核心目的。因此，正确答案是C。45.以下关于认证机构的监督要求表述错误的是（）。A.认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B.认证机构的监督方案应由认证机构和客户共同来制定C.监督审核可以与其他管理体系的审核相结合D.认证机构应对认证证书的使用进行监督答案：B解析：根据给出的信息，题目询问关于认证机构的监督要求的错误表述。选项A表示认证机构能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性，这符合监督的一般要求。选项C提到监督审核可以与其他管理体系的审核相结合，也是合理的监督策略。选项D指出认证机构应对认证证书的使用进行监督，这也是认证机构的基本职责。而选项B表示认证机构的监督方案应由认证机构和客户共同来制定，这与监督的定义和实际操作不符，因为监督方案通常是由认证机构独立制定，而不是与客户共同制定。因此，选项B表述错误，是正确答案。46.相关方的要求可以包括（）。A.标准、法规要求和合同义务B.法律、标准要求和合同义务C.法律、法规和标准要求和合同义务D.法律、法规要求和合同义务答案：D解析：根据题干描述，题目询问相关方的要求可能包括哪些。题目给出的选项中，A、B、C三个选项都包含了“标准”这一要求，但在通常的法律语境下，“标准”并不等同于“法规”，因此A、B、C三个选项都存在表述不准确的问题。而D选项“法律、法规要求和合同义务”则准确地涵盖了相关方可能提出的要求，其中“法律”和“法规”属于法律规范的范畴，而“合同义务”则是双方约定的法律义务。因此，正确答案是D选项。47.下列哪项不是监督审核的目的？（）A.验证认证通过的ISMS是否得以持续实现B.验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C.确认是否持续符合认证要求D.做出是否换发证书的决定答案：D解析：监督审核的目的是验证认证通过的ISMS是否得以持续实现，验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化，以及确认是否持续符合认证要求。而做出是否换发证书的决定并不是监督审核的目的，而是认证机构根据审核结果和组织的持续符合性来决定的。因此，选项D不是监督审核的目的。48.依据GB/T22080-2016/ISO/IEC27001:2013标准，以下说法正确的是（）。A.对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证B.对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证C.对于离开组织的设备和资产须验证相关授权信息D.对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证答案：C解析：首先，我们需要了解GB/T22080-2016/ISO/IEC27001:2013标准中对于设备和资产的管理要求。该标准强调了在组织内部和外部的设备与资产管理中的安全策略。针对A选项，它提到“对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证”。这个说法与标准中对于设备与资产在组织内外都应受到验证的原则不符，因此A选项不正确。对于B选项，它说“对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证”。这个描述同样与标准中的原则不符，因为无论是进入还是离开组织的设备与资产，都应受到验证。所以B选项也是不正确的。再来看D选项，它提出“对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证”。虽然验证携带者身份信息是一种安全措施，但它并不能完全替代对设备设施的验证。因此，D选项也不符合标准的原则。最后，C选项提到“对于离开组织的设备和资产须验证相关授权信息”。这完全符合GB/T22080-2016/ISO/IEC27001:2013标准中关于设备与资产管理的要求，因为无论设备是进入还是离开组织，都应受到适当的验证，以确保其符合安全策略。因此，C选项是正确的。49.信息安全管理体系是用来确定（）。A.组织的管理效率B.产品和服务符合有关法律法规程度C.信息安全管理体系满足审核准则的程度D.信息安全手册与标准的符合程度答案：C解析：信息安全管理体系是用来确定信息安全管理体系满足审核准则的程度。信息安全管理体系是一个组织为了管理信息安全而建立的一套体系，其目标是确保组织的信息资产得到充分的保护，防止信息泄露、丢失或被未经授权的人员访问。信息安全管理体系的审核准则通常包括一系列的标准和规范，如ISO27001等，这些准则用于评估组织的信息安全管理体系是否达到了预期的要求。因此，信息安全管理体系是用来确定信息安全管理体系满足审核准则的程度。其他选项A、B、D均与信息安全管理体系的核心目标不符。50.应定期评审信息系统与组织的（）的符合性。A.信息安全目标和标准B.信息安全方针和策略C.信息安全策略和制度D.信息安全策略和标准答案：D解析：根据题目，我们需要确定定期评审信息系统与组织的哪一项的符合性。选项A提到的是信息安全目标和标准，但题目中并没有明确提到“目标”，因此A选项不太符合题意。选项B提到的是信息安全方针和策略，虽然方针和策略很重要，但题目中并没有特别强调“方针”，因此B选项也不是最佳答案。选项C提到的是信息安全策略和制度，虽然策略和制度都很重要，但题目中并没有特别强调“制度”，因此C选项也不是最佳答案。而选项D提到的是信息安全策略和标准，这与题目中提到的“符合性”和“信息系统”都有直接的关系，因此D选项是最符合题意的答案。因此，正确答案是D。多选题（共20题，共20分）51.最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。A.确保将信息安全管理体系要求整合到组织过程中B.确保信息安全管理体系所需资源可用C.确保支持相关人员为信息安全管理体系的有效性做出贡献D.确保信息安全管理体系达到预期结果答案：ABD解析：根据题目，最高管理层应证实对信息安全管理体系的领导和承诺。选项A提到“确保将信息安全管理体系要求整合到组织过程中”，这体现了最高管理层对信息安全管理体系的领导和整合；选项B提到“确保信息安全管理体系所需资源可用”，这同样体现了最高管理层对信息安全管理体系的支持和资源保障；选项D提到“确保信息安全管理体系达到预期结果”，这也符合最高管理层对信息安全管理体系的承诺和期望。因此，选项A、B和D都是正确的。选项C“确保支持相关人员为信息安全管理体系的有效性做出贡献”虽然与信息安全管理体系的有效性有关，但并未直接体现最高管理层的领导和承诺，因此不是最佳答案。52.GB/T22080-2016/ISO/IEC27001:2013标准中A12.3.1条款要求（）。A.设定备份策略B.定期测试备份介质C.定期备份D.定期测试信息和软件答案：ABD解析：根据GB/T22080-2016/ISO/IEC27001:2013标准中A12.3.1条款，要求组织“应建立、实施和维护一个备份和恢复策略，包括定期测试备份介质、恢复过程和备份数据的有效性”。其中，A选项“设定备份策略”是建立备份和恢复策略的一部分，B选项“定期测试备份介质”是确保备份介质的有效性，D选项“定期测试信息和软件”与“定期测试备份介质”有相似之处，可能指的是定期测试备份的数据或软件，以确保其可用性和完整性。C选项“定期备份”虽然与备份策略相关，但并未明确在A12.3.1条款中提及。因此，正确答案为A、B和D。53.不符合项报告应包括（）。A.不符合事实的描述B.不符合的标准条款及内容C.不符合的原因D.不符合的性质答案：ABD解析：不符合项报告通常用于描述和记录审核或检查过程中发现的不符合标准或规定的情况。在描述不符合项时，报告应包含以下内容：A不符合事实的描述：这是不符合项的核心内容，描述了实际发现的问题或情况。B不符合的标准条款及内容：这是对于不符合项所依据的标准或规定的引用，明确指出是哪些条款或内容不符合。D不符合的性质：这是对不符合项性质的描述，例如严重性、偶然性或系统性等。而C不符合的原因通常不是不符合项报告的核心内容，原因的分析和解释可以在报告的其他部分进行。因此，C选项不符合题目要求。54.某金融资产武装押运服务公司拟申请ISMS认证，下列哪些应列入资产清单中（）。A.行车监控系统B.行车路线信息C.押运人员个人信息D.押运人员用枪支答案：ABCD解析：根据题目描述，某金融资产武装押运服务公司拟申请ISMS认证，需要列出资产清单。对于金融资产武装押运服务公司来说，其资产清单应包括与金融资产安全、押运相关的信息。A选项“行车监控系统”是押运过程中用于监控行车状态的系统，对于保障金融资产安全至关重要，因此应列入资产清单。B选项“行车路线信息”是押运过程中需要保密的关键信息，一旦泄露可能导致金融资产的安全受到威胁，因此也应列入资产清单。C选项“押运人员个人信息”是押运人员的个人隐私信息，对于保障押运人员的权益和金融资产的安全都具有重要意义，因此也应列入资产清单。D选项“押运人员用枪支”是押运人员执行任务的必备工具，对于保障金融资产安全至关重要，因此也应列入资产清单。综上所述，A、B、C、D选项都应列入资产清单中。55.常规控制图主要用于区分（）。A.过程处于稳态还是非稳态B.过程能力的大小C.过程加工的不合格品率D.过程中存在偶然波动还是异常波动答案：ABCD解析：常规控制图是一种用于统计过程控制的工具，主要用于监控生产过程中的质量特性。它可以用来区分过程的稳态和非稳态，以及过程能力的大小。此外，控制图还可以用来监控不合格品率，并区分过程中的偶然波动和异常波动。因此，选项A、B、C和D都是正确的。56.对于审核发现（）。A.审核组应根据需要，在审核的适当阶段共同评审审核发现B.根据审核计划和检查表要求只需记录每个不符合审核发现的审核证据C.应与受审核方一起审不符合的审核发现，以确认审核证据的准确性，并得到受审核方的理解D.包括正面的和负面的发现答案：ACD解析：根据审核的常规流程，审核组在审核过程中，确实需要根据需要，在适当的阶段共同评审审核发现，以确保审核的准确性和全面性。同时，对于不符合审核要求的发现，审核组应与受审核方一起进行审查，以确认审核证据的准确性，并确保受审核方对审核结果的理解。此外，审核发现应包括正面的和负面的发现，以全面反映被审核方的实际情况。因此，选项A、C和D都是正确的。选项B只提到了记录审核证据，但没有涉及审核发现的评审和与受审核方的共同审查，因此是不全面的。57.在设计和应用安全区域工作规程时，宜考虑（）。A.基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B.为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C.使用的安全区域宜上锁并定期予以评审D.经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机答案：AB解析：在设计和应用安全区域工作规程时，宜考虑两个原则。首先，基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动，这样可以确保员工了解安全区域的存在，并避免不必要的干扰或误操作。其次，为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作，这样可以确保安全区域内的活动受到适当的监督和管理，减少潜在的安全风险。因此，选项A和B是正确的。选项C“使用的安全区域宜上锁并定期予以评审”虽然也是安全区域工作规程中可能考虑的因素，但不是题干中特别强调的内容，因此不是最佳答案。选项D“经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机”与安全区域工作规程没有直接关系，因此也不是正确答案。58.为控制文件化信息，适用时，组织应强调以下哪些活动？（）A.分发，访问，检索和使用B.存储和保护，包括保持可读性C.控制变更(例如版本控制)D.保留和处理答案：ABCD解析：文件化信息的管理是组织日常运营中的重要环节，它涉及到信息的分发、访问、检索和使用，存储和保护，控制变更以及保留和处理等多个方面。这些活动对于确保文件化信息的完整性、可用性和安全性至关重要。因此，选项A、B、C和D都是组织在控制文件化信息时可能需要强调的活动。59.关于按照相关国家标准强制性要求进行安全合格认证的要求，以下正确的选项是（）。A.网络关键设备B.网络安全专用产品C.销售前D.投入运行后答案：ABC解析：根据题目中的描述，我们需要找出符合“按照相关国家标准强制性要求进行安全合格认证”的选项。根据《中华人民共和国网络安全法》的规定，网络关键设备、网络安全专用产品应当按照相关国家标准的强制性要求，由有关部门、机构进行安全合格认证。因此，选项A网络关键设备、B网络安全专用产品是正确的。另外，这些设备在销售前需要进行安全合格认证，因此选项C销售前也是正确的。至于选项D投入运行后，题目中并没有明确提到是强制要求，因此不正确。60.信息安全管理体系审核应樽循的原则包括（）。A.诚实守信B.保密性C.基于风险D.基于事实的决策方法答案：ABC解析：信息安全管理体系审核的原则包括诚实守信、保密性和基于风险。诚实守信是审核过程中应遵守的基本原则，确保审核的公正性和可信度；保密性是保护被审核组织的信息安全，防止信息泄露；基于风险意味着审核应基于风险进行，关注高风险领域和环节，确保审核的针对性和有效性。基于事实的决策方法虽然与信息安全管理体系审核有关，但不是审核应樽循的原则，因此不应选入。因此，正确答案为ABC。61.关于个人信息安全的基本原则，以下正确的是（）。A.目的明确原则B.最少够用原则C.同意和选择原则D.公开透明原则答案：ABCD解析：个人信息安全的基本原则包括目的明确原则、最少够用原则、同意和选择原则以及公开透明原则。这些原则共同构成了保护个人信息安全的基础，确保个人信息的合法、正当、必要使用，并保障个人的知情权和选择权。因此，选项A、B、C和D都是正确的。62.下列哪项属于《认证机构管理办法》中规定的设立认证机构应具备的条件？（）A.具有固定的办公场所和必备设施B.注册资本不得少于人民币600万元C.具有10名以上相应领域的专职认证人员D.具有符合认证认可要求的管理制度答案：ACD解析：《认证机构管理办法》中规定的设立认证机构应具备的条件包括具有固定的办公场所和必备设施（选项A），具有符合认证认可要求的管理制度（选项D），以及具有10名以上相应领域的专职认证人员（选项C）。选项B“注册资本不得少于人民币600万元”并非《认证机构管理办法》中规定的设立认证机构应具备的条件，因此不选。因此，正确答案为ACD。63.组织在风险处置过程中所选的控制措施需（）。A.将所有风险都必须被降低到可接受的级别B.可以将风险转移C.在满足公司策略和方针条件下有意识、客观地接受风险D.规避风险答案：BCD解析：在风险处置过程中，组织需要选择适当的控制措施来应对风险。这些控制措施可以是降低风险、转移风险、接受风险或规避风险。对于A选项“将所有风险都必须被降低到可接受的级别”，这过于绝对，因为有些风险可能无法完全降低，或者降低风险的成本可能过高。对于B选项“可以将风险转移”，这是风险处置的一种有效方式，例如通过购买保险来转移财务风险。对于C选项“在满足公司策略和方针条件下有意识、客观地接受风险”，这是组织在评估风险后，根据自身的承受能力和策略，有意识地接受某些风险。对于D选项“规避风险”，这也是风险处置的一种方式，特别是在风险过大或无法有效管理的情况下。因此，选项B、C和D都是正确的。64.关于审核委托方，以下说法正确的（）。A.认证审核的委托方即受审核方B.受审核方是第一方审核的委托方C.受审核方的行政上级作为委托方时是第二方审核D.组织对其外包服务提供方的审核是第二方审核答案：BCD解析：根据题目要求，我们需要找出关于审核委托方的正确说法。首先，选项A"认证审核的委托方即受审核方"这一说法并不准确。在审核中，委托方通常是指要求进行审核的一方，而受审核方是被审核的一方。认证审核的委托方通常是由第三方认证机构来执行，而不是受审核方本身。因此，A选项错误。接着，选项B"受审核方是第一方审核的委托方"是正确的。第一方审核通常是指组织内部进行的审核，这种情况下，受审核方通常是审核的对象，同时也是审核的委托方，因为他们自己要求对自己进行审核。然后，选项C"受审核方的行政上级作为委托方时是第二方审核"也是正确的。第二方审核通常是指客户或组织的上级对供应商或下级进行的审核。在这种情况下，受审核方的行政上级作为委托方，对受审核方进行审核。最后，选项D"组织对其外包服务提供方的审核是第二方审核"也是正确的。组织对其外包服务提供方的审核通常是由组织作为委托方，对外包服务提供方进行审核，以确保外包服务的质量、安全等要求得到满足。综上所述，正确的选项是B、C和D。65.投诉处理过程应包括（）。A.投诉受理、跟踪和告知B.投诉初发评事投诉调查C.投诉响应沟通决定D.投诉终止答案：ABCD解析：在处理投诉的过程中，确保全面和有效的处理是关键。投诉受理是整个过程的第一步，确保投诉被正式接收并登记。接着，对投诉进行调查，了解事件的来龙去脉，确保处理是基于准确的信息。在调查过程中，与投诉者进行沟通，了解他们的诉求和期望，并作出相应的决定。最后，告知投诉者处理结果，确保他们了解整个处理过程。因此，投诉处理过程应包括投诉受理、跟踪和告知，投诉初发评事投诉调查，投诉响应沟通决定，以及投诉终止。66.信息安全管理中，以下属于“按需知悉（need-to-know）”原则的是（）。A.根据工作需要仅获得最小的知悉权限B.工作人员仅需要满足工作任务所需要的信息C.工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围。D.组织业务范围是可访问的信息答案：ABC解析：“按需知悉（need-to-know）”原则指的是在信息安全管理中，员工或用户仅应获得完成工作所需的最小、最必要的信息。A选项“根据工作需要仅获得最小的知悉权限”符合按需知悉原则，因为它强调了仅获取完成工作所需的最小权限。B选项“工作人员仅需要满足工作任务所需要的信息”也符合按需知悉原则，因为它指出员工只需要知道完成工作任务所需的信息。C选项“工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围”同样符合按需知悉原则，因为它明确了在必要时才扩大知悉范围。D选项“组织业务范围是可访问的信息”并不直接对应按需知悉原则，因为它没有明确指出知悉权限或信息获取的最小化。因此，正确答案为A、B、C。67.某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块，为方便各项目组讨论，公司创建了一个sharefolder，在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是（）。A.各项目人员访问该sharefolder需要得到授权B.获得sharefolder访问权者可访问该目录下所有子文件夹C.IT人员与各项目负责人共同定期评审sharefolder访问权D.IT人员不定期删除sharefolder数据以释放容量，此活动是容量管理，游戏开发人员不参与答案：AC解析：对于选项A，考虑到sharefolder中存储的是公司为客户构建的游戏场景和任务的基础要素模块，这些数据可能包含公司的商业机密或客户的敏感信息。因此，为了确保数据的安全性和保密性，各项目人员访问该sharefolder需要得到授权，这是合理的。对于选项B，虽然获得sharefolder访问权者可以访问该文件夹，但题目中明确指出sharefolder下还有项目数据子文件夹，这些子文件夹可能是对应不同客户的项目数据，不是所有获得sharefolder访问权者都有权限访问所有子文件夹。因此，该选项是不准确的。对于选项C，由于sharefolder中存储的数据对于游戏开发公司非常重要，IT人员与各项目负责人共同定期评审sharefolder访问权可以确保只有经过授权的人员能够访问，从而保障数据的安全性。对于选项D，虽然IT人员可能会进行容量管理活动，如不定期删除sharefolder数据以释放容量，但这与游戏开发人员是否参与没有直接关系。删除数据是为了释放容量，确保系统正常运行，但这并不意味着游戏开发人员不参与。因此，该选项的表述是不准确的。68.信息安全管理体系范围和边界的确定依据包括（）。A.业务B.组织C.物理D.资产和技术答案：ABCD解析：信息安全管理体系（ISMS）的范围和边界的确定依据通常涉及多个方面。业务方面，需要考虑组织在信息安全方面的需求和期望，以及业务活动对信息安全的影响。组织方面，需要考虑组织结构、职责划分、管理策略等因素，以确定信息安全管理体系的适用范围。物理方面，需要考虑组织的物理环境，如办公地点、数据中心、网络设施等，以确定这些物理环境对信息安全管理体系的影响。资产和技术方面，需要考虑组织的信息资产和技术系统，如硬件设备、软件应用、网络架构等，以确定这些资产和技术对信息安全管理体系的要求。因此，信息安全管理体系范围和边界的确定依据包括业务、组织、物理、资产和技术，所以答案为ABCD。69.以下属于信息安全管理体系审核的证据是（）。A.信息系统运行监控中心显示的实时资源占用数据B.信息系统的阈值列表C.数据恢复测试的日志D.信息系统漏洞测试分析报告答案：ABCD解析：信息安全管理体系审核的证据应当能够证明信息安全管理体系的有效性和符合