CCAA - 2021年10月信息安全管理体系基础答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布2021年10月信息安全管理体系基础答案及解析单选题（共40题，共80分）1.ISO/IEC27001描述的风险分析过程不包括（）。A.分析风险发生的原因B.确定风险级别C.评估识别的风险发生后，可能导致的潜在后果D.评估所识别的风险实际发生的可能性答案：A解析：ISO/IEC27001描述的风险分析过程包括确定风险级别、评估识别的风险发生后，可能导致的潜在后果以及评估所识别的风险实际发生的可能性。然而，分析风险发生的原因并不属于ISO/IEC27001描述的风险分析过程的内容。因此，答案为A。2.依据GB/T22080，网络隔离指的是（）。A.不同网络运营商之间的隔离B.不同用户组之间的隔离C.内网与外网的隔离D.信息服务、用户及信息系统答案：D解析：依据GB/T22080，网络隔离指的是内网与外网的隔离。这是因为在网络安全中，内网和外网是两个不同的网络环境，内网通常指的是组织内部的网络环境，而外网则指的是互联网等外部环境。为了保障组织内部的信息安全，需要将内网和外网进行隔离，以防止外部攻击者通过外网对内部网络进行攻击和窃取信息。因此，网络隔离是指内网与外网的隔离，选项C正确。其他选项A、B、D与题目要求不符。3.有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保（）。A.不考虑资产的价值，基本水平的保护都会被实施B.对所有信息资产保护都投入相同的资源C.对信息资产实施适当水平的保护D.信息资产过度的保护答案：C解析：基线方法通常基于预设的、固定的保护级别，不考虑资产的实际价值或风险。而风险评估方法则根据资产的实际价值和潜在风险来确定适当的保护级别。这种方法能够确保对信息资产实施适当水平的保护，而不是过度或不足的保护。因此，与基线方法相比，风险评估方法的主要优势在于它能够确保对信息资产实施适当水平的保护。4.在以下认为的恶意攻击行为中，属于主动攻击的是（）。A.数据窃听B.误操作C.数据流分析D.数据篡改答案：D解析：在网络安全中，主动攻击和被动攻击是两种主要的攻击类型。主动攻击是指攻击者直接对系统或数据进行干预，如篡改、删除或伪造数据。被动攻击则是指攻击者通过监听、截获或分析网络流量来获取敏感信息，但不直接干预系统或数据。从题目给出的选项中分析：A.数据窃听：这是一种被动攻击，攻击者通过监听网络流量来获取敏感信息。B.误操作：这通常不是攻击行为，而是由于用户或系统错误导致的操作失误。C.数据流分析：这也是一种被动攻击，攻击者通过分析网络流量来识别数据模式或规律。D.数据篡改：这是主动攻击的一种，攻击者直接修改或篡改系统中的数据。因此，属于主动攻击的是数据篡改，所以正确答案是D。5.ISO/IEC27001所采用的过程方法是（）。A.PPTR方法B.SMART方法C.PDCA方法D.SWOT方法答案：C解析：ISO/IEC27001是信息安全管理体系的国际标准，它采用的过程方法是PDCA方法，即Plan（计划）、Do（执行）、Check（检查）和Act（处理）循环。这种方法在质量管理中广泛应用，也适用于信息安全管理体系的建立、实施、监视和改进。因此，选项C“PDCA方法”是正确的。其他选项，如APPTR方法、SMART方法和SWOT方法，都不是ISO/IEC27001所采用的过程方法。6.以下哪些可由操作人员执行？（）A.审批变更B.更改配置文件C.安装系统软件D.添加/删除用户答案：D解析：根据题目描述，我们需要判断哪些操作可以由操作人员执行。A.审批变更-一般来说，审批变更涉及到多个部门的协同工作，可能需要经过管理层或相关部门的审批，因此操作人员可能无法单独执行。B.更改配置文件-更改配置文件通常需要一定的技术知识和操作权限，可能涉及到系统安全或稳定性，因此可能不适合由操作人员单独执行。C.安装系统软件-安装系统软件通常需要管理员权限，并且可能涉及到系统级的更改，因此不适合由操作人员单独执行。D.添加/删除用户-添加或删除用户通常是日常操作的一部分，可以由具有适当权限的操作人员执行。因此，只有选项D是可以由操作人员执行的。7.《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。A.2年B.3年C.4年D.5年答案：D解析：根据《中华人民共和国认证认可条例》的规定，认证人员自被撤销职业资格之日起，认可机构不再接受其注册申请的时间期限为5年。因此，正确答案为D选项，即5年。8.《信息技术安全技术信息安全治理》对应的国际标准号为（）。A.ISO/IEC27011B.ISO/IEC27012C.ISO/IEC27013D.ISO/IEC27014答案：D解析：《信息技术安全技术信息安全治理》对应的国际标准号为ISO/IEC27014。这是根据题目给出的选项进行匹配的结果。因此，正确答案为D。9.文件化信息是指（）。A.组织创建的文件B.组织拥有的文件C.组织要求控制和维护的信息及包含该信息的介质D.对组织有价值的文件答案：C解析：本题主要考查对“文件化信息”概念的理解。文件化信息指的是组织创建、使用或保留的，要求控制和维护的，包含该信息的介质。它不仅仅是组织创建或拥有的文件，而是涵盖了所有与组织活动相关的信息及其载体。因此，选项C“组织要求控制和维护的信息及包含该信息的介质”最符合文件化信息的定义。选项A“组织创建的文件”和选项B“组织拥有的文件”都过于片面，只涉及到文件化信息的某一方面，没有涵盖所有内容。选项D“对组织有价值的文件”则没有突出“要求控制和维护的信息及包含该信息的介质”这一点，因此也不是最佳选择。10.由认可机构对认证机构、检测机构、实验室从事评审、申核的认证活动人员的能力和职业资格，予以承认的合格评定活动是（）。A.认证B.认可C.审核D.评审答案：B解析：根据题目描述，我们需要找出由认可机构对认证机构、检测机构、实验室从事评审、申核的认证活动人员的能力和职业资格，予以承认的合格评定活动。在给出的选项中，只有“认可”符合这一描述。认可是指权威机构对认证机构、检测机构、实验室等从事认证活动的人员的能力和职业资格进行承认和授权的行为，以确保其能够从事相关的评审、审核等活动。因此，正确答案是B，即认可。11.根据《中华人民共和国国家秘密法》，国家秘密的最高密级为（）。A.特密B.绝密C.机密D.秘密答案：B解析：根据《中华人民共和国国家秘密法》的规定，国家秘密的最高密级为“绝密”。因此，选项B“绝密”是正确的答案。其他选项A“特密”、C“机密”和D“秘密”都不是该法规定的最高密级。12.被黑客控制的计算机常被称为（）。A.蠕虫B.肉鸡C.灰鸽子D.木马答案：B解析：在网络安全领域中，被黑客控制的计算机通常被称为“肉鸡”，这是因为这些计算机被黑客利用来进行各种非法活动，如发送垃圾邮件、进行DDoS攻击等。而蠕虫、灰鸽子、木马等术语在网络安全中虽然也有特定的含义，但与“肉鸡”相比，它们并不特指被黑客控制的计算机。因此，正确答案是B选项，即“肉鸡”。13.防火墙提供的接入模式不包括（）。A.透明模式B.混合模式C.网关模式D.旁路接入模式答案：D解析：防火墙提供的接入模式通常包括透明模式、路由模式和混合模式。透明模式是指防火墙在网络中不改变数据包的MAC地址，使得数据包可以像通过一台交换机一样通过防火墙，从而实现网络的透明传输。路由模式是指防火墙作为路由器使用，对数据包进行路由转发。混合模式则是结合前两者的特点，根据需要在透明模式和路由模式之间切换。而旁路接入模式不是防火墙提供的接入模式之一，它是网络安全设备（如入侵检测系统）的部署方式，通过将设备接入网络中的某个点（通常是网络边缘或核心交换机）进行监控和检测，而不是作为网络的路由或透明设备存在。因此，正确答案为D。14.设置防火墙策略是为了（）。A.进行访问控制B.进行病毒防范C.进行邮件内容过滤D.进行流量控制答案：A解析：设置防火墙策略是为了进行访问控制。防火墙的主要作用就是阻止非法的访问和请求，控制访问权限，防止外部网络中的攻击者未经授权访问内部网络资源，保证内部网络的安全。因此，选项A“进行访问控制”是正确的答案。选项B“进行病毒防范”并不是防火墙的主要功能，病毒防范通常需要通过防病毒软件来实现。选项C“进行邮件内容过滤”和选项D“进行流量控制”虽然也是网络安全中需要考虑的问题，但并不是防火墙策略的主要目的。15.组织在确定与ISMS相关的内部和外部沟通需求时可以不包括（）。A.沟通周期B.沟通内容C.沟通时间D.沟通对象一答案：A解析：在组织确定与ISMS（信息安全管理体系）相关的内部和外部沟通需求时，通常需要考虑沟通的内容、时间、对象等要素。沟通周期通常指的是沟通活动进行的频率，而不是在确定沟通需求时需要考虑的内容。因此，沟通周期不是必须包括的要素。所以，选项A“沟通周期”是不包括在确定与ISMS相关的内部和外部沟通需求时的内容。16.审核抽样时，可以不考虑的因素是（）。A.场所差异B.管理评审的结果C.最高管理者D.内审的结果答案：C解析：在审核抽样时，我们主要关注的是样本的代表性，以确保样本能够反映总体的实际情况。场所差异、管理评审的结果和内审的结果都是与审核抽样相关的因素，它们可能影响抽样的结果和样本的代表性。而最高管理者虽然对审核有决策性的影响，但在抽样过程中，他的个人意见或决策通常不会对样本的选择产生直接影响。因此，最高管理者不是审核抽样时必须考虑的因素。所以，正确答案是C。17.PKI的主要组成不包括（）。A.SSLB.CRC.CAD.RA答案：A解析：PKI（公钥基础设施）是一种用于管理、分发和撤销公钥的体系。其核心组件包括证书颁发机构（CA）、注册机构（RA）等。SSL（安全套接字层）虽然与PKI相关，但它本身并不是PKI的组成部分。因此，选项A“SSL”是不包括在PKI的主要组成中的。选项B“CR”在题目中并未明确提及，可能是输入错误或题目表述不清，但根据常识和已知信息，它可能指的是证书撤销（CertificateRevocation），这是PKI的一个重要组成部分。选项C“CA”是证书颁发机构，是PKI的核心组件之一。选项D“RA”是注册机构，负责用户注册和证书申请，也是PKI的重要组成部分。因此，正确答案是A。18.ISO/IEC27701是（）。A.是一份基于27002的指南性标准B.是27001和27002在隐私保护方面的扩展C.是ISMS族以外的标准D.在隐私保护方面扩展了27001的要求答案：B解析：ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在隐私保护方面的扩展。ISO/IEC27001是信息安全管理标准，ISO/IEC27002是信息安全管理体系指南，而ISO/IEC27701则是对这两者在隐私保护方面的补充和扩展。因此，选项B“是27001和27002在隐私保护方面的扩展”是正确的。其他选项A、C、D均与ISO/IEC27701的定义不符。19.根据《信息安全等级保护管理办法》，对于违反信息安全法律、法规行为的行政处罚中（）是较轻的处罚方式。A.警告B.罚款C.没收违法所得D.吊销许可证答案：A解析：根据《信息安全等级保护管理办法》的规定，对于违反信息安全法律、法规行为的行政处罚中，警告是较轻的处罚方式。罚款、没收违法所得和吊销许可证等处罚方式在程度上要重于警告。因此，正确答案为A，即警告。20.关于内部审核下面说法不正确的是（）。A.组织应定义每次审核的审核准则和范围B.通过内部审核确定ISMS得到有效实施和维护C.组织应建立、实施和维护一个审核方案D.组织应确保审核结果报告至管理层答案：C解析：组织应建立、实施和维护一个庞大的，用户群体庞大，但是题目中并未明确提到组织应建立、实施和维护拥有拥有对不起，非常软件APP上线感谢您的对不起【喵软件上线成功应商店正式运营。之后，由于该款软件上线运营后迅速花生日导公司又开发的，花版应用软件在各大安卓市场也同步运营。花生日导公司又开发生日导公司又开发的花生日记苹果微信小程序在微信平台上线。由于花生日记软件上线后运营情况良好，在行业内的影响力不断提升，2018年7月份额榜类榜单中排名第1名，总榜排名、京东等一线非常，该软知名P软件。2018年7月总月份榜单类榜单中排名第19名。因此，花生日记软件在行业内具有较大的高的很抱【AI答案日记安卓版下载量超过1亿次，在安卓市场购物类榜单长期占据第一的位置。针对题目中的选项，我们可以分析如下：A选项提到“组织应定义每次审核的审核准则和范围”。这是内部审核的基本要素，确保审核的准确性和有效性。题目中并没有否定这一点，所以A选项是正确的。B选项表示“通过内部审核确定ISMS得到有效实施和维护”。内部审核的目的之一就是验证和确认组织的信息安全管理体系（ISMS）是否按照预期运行，并得到有效的实施和维护。因此，B选项也是正确的。D选项提到“组织应确保审核结果报告至管理层”。这是确保管理层能够了解审核结果并作出相应决策的关键步骤。因此，D选项也是正确的。而C选项“组织应建立、实施和维护一个审核方案”虽然是一个重要的步骤，但题目中并没有明确指出这是不正确的。实际上，建立、实施和维护一个审核方案是组织进行内部审核的基础和前提。因此，C选项是不正确的，但题目中的表述方式可能有些模糊，导致产生误解。综上所述，题目中的C选项“组织应建立、实施和维护一个审核方案”是不正确的说法。因此，正确答案是C。21.依据GB/T22080，关于职责分离，以下说法正确的是（）。A.信息安全策略的培训者与审计之间的职责分离B.职责分离的是不同管理层级之间的职责分离C.信息安全策略的制定者与受益者之间的职责分离D.职责分离的是不同用户组之间的职责分离答案：B解析：在信息安全管理中，职责分离是确保安全策略、流程和控制得以有效实施的重要原则。依据GB/T22080，关于职责分离，应确保不同管理层级之间的职责分离。这意味着，不同的管理层级应有不同的职责和权限，以防止内部人员滥用职权或存在冲突。因此，选项B“职责分离的是不同管理层级之间的职责分离”是正确的说法。选项A“信息安全策略的培训者与审计之间的职责分离”虽然提到了职责分离，但并未明确涉及管理层级，因此不符合题目要求。选项C“信息安全策略的制定者与受益者之间的职责分离”同样没有明确指出管理层级，因此也不符合题目要求。选项D“职责分离的是不同用户组之间的职责分离”虽然提到了用户组，但并未明确涉及管理层级，因此也不符合题目要求。22.对全国密码工作实行统一领导的机构是（）。A.中央密码工作领导机构B.国家密码管理部门C.中央国家机关D.全国人大委员会答案：A解析：根据题目，我们需要确定对全国密码工作实行统一领导的机构。在给出的选项中，中央密码工作领导机构是专门负责全国密码工作的领导机构，因此它是对全国密码工作实行统一领导的机构。其他选项如国家密码管理部门、中央国家机关和全国人大委员会虽然与密码工作有关，但并不是对全国密码工作实行统一领导的机构。因此，正确答案是“中央密码工作领导机构”。23.关于适用性声明下面描述错误的是（）。A.包含附录A中控制删减的合理性说明B.不包含未实现的控制C.包含所有计划的控制D.包含附录A的控制及其选择的合理性说明答案：B解析：适用性声明应包含所有计划的控制，以及附录A中控制删减的合理性说明，同时应说明未实现的控制的理由。因此，选项B“不包含未实现的控制”是描述错误的。选项A、C和D的描述都是正确的。24.（）是确保信息没有非授权泄密，即信息不被未授权的个人、实体或过程，不为其所用。A.搞抵赖性B.完整性C.机密性D.可用性答案：C解析：根据题目描述，确保信息没有非授权泄密，即信息不被未授权的个人、实体或过程所使用，这对应的是“机密性”的概念。因此，正确答案为C，即“机密性”。其他选项如“搞抵赖性”、“完整性”和“可用性”与题目描述不符。25.以下说法不正确的是（）。A.应考虑组织架构与业务目标的变化对风险评估结果进行再评审B.应考虑以往未充分识别的威胁对风险评估结果进行再评估C.制造部增加的生产场所对信息安全风险无影响D.安全计划应适时更新答案：C解析：A选项提到“应考虑组织架构与业务目标的变化对风险评估结果进行再评审”，这是正确的，因为组织架构和业务目标的变化可能会影响风险评估的结果。B选项提到“应考虑以往未充分识别的威胁对风险评估结果进行再评估”，这也是正确的，因为未充分识别的威胁可能会对信息安全构成新的风险。D选项“安全计划应适时更新”也是正确的，因为随着技术和业务的变化，安全计划需要定期更新以应对新的威胁和挑战。而C选项“制造部增加的生产场所对信息安全风险无影响”是不正确的，因为生产场所的增加可能会带来新的信息安全风险，如物理安全、网络安全等。因此，不正确的说法是C选项。26.风险识切唤审需要识别的方面包括：资产识识威胁、识别现有控制措施、（）。A.识别可能性和影响B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影响答案：B解析：风险识切唤审需要识别的方面包括：资产识识威胁、识别现有控制措施、识别脆弱性和识别后果。选项A“识别可能性和影响”和选项C“识别脆弱性和可能性”都不完整，选项D“识别脆弱性和影响”与题目中的“识别后果”重复。因此，正确答案是B“识别脆弱性和识别后果”。27.关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是（）。A.指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B.指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C.指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D.指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用答案：A解析：《中华人民共和国网络安全法》中的“三同步”要求指的是关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用。这一要求旨在确保在关键信息基础设施的建设过程中，安全技术措施能够得到充分的规划和实施，以保障网络安全。因此，选项A“指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用”是正确的说法。选项B、C、D均不符合这一法律规定。28.关于顾客满意，以下说法正确的是（）。A.顾客没有抱怨，表示顾客满意B.信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C.顾客认为其要求已得到满足，即意味着顾客满意D.组织认为顾客要求已得到满足，即意味着顾客满意答案：C解析：顾客满意是指顾客对其购买的产品或服务的评价，当顾客认为其要求已得到满足时，即意味着顾客满意。选项A中的“顾客没有抱怨”并不能完全代表顾客满意，因为顾客可能选择不抱怨，但内心并不满意。选项B中的“信息安全事件没有给顾客造成实质性的损失”只是从事件的结果出发，没有考虑到顾客对事件的主观感受。选项D中的“组织认为顾客要求已得到满足”是从组织的角度出发，而不是从顾客的角度出发，因此也不能代表顾客满意。因此，正确答案是选项C。29.根据ISO/IEC27001中规定，在决定进行第二阶段审核之间，认证机枸应审査第一阶段的审核报告，以便为第二阶段呢择具有（）。A.所需审核组能力的要求B.客户组织的准备程度C.所需能力的审核组成员D.客户组织的场所分布答案：C解析：在ISO/IEC27001中，第一阶段审核完成后，认证机构需要审查第一阶段的审核报告，以便为第二阶段选择具有所需能力的审核组成员。这是因为第二阶段审核需要更深入的评估，需要审核组成员具备相应的能力和专业知识。因此，正确答案是C，即“所需能力的审核组成员”。30.文件化信息创建和更新时，组织应确保适当的（）。A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准答案：D解析：在文件化信息创建和更新时，组织应确保适当的评审和批准，以确保文件化信息的适宜性和充分性。这是为了确保文件化信息能够满足组织的需求，并且具有足够的详细性和准确性。选项D中的“对适宜性和充分性的评审和批准”与这一要求相符，因此是正确答案。其他选项如“对适宜性和有效性的评审和批准”、“对充分性和有效性的测量和批准”以及“对适宜性和充分性的测量和批准”都不完全符合文件化信息创建和更新时的要求。31.《信息安全管理体系审核指南》中规定，ISMS的规模不包括（）。A.体系覆盖的人数B.使用的信息系统的数量C.用户的数量D.其他选项都正确答案：D解析：《信息安全管理体系审核指南》中规定的ISMS规模通常包括体系覆盖的人数、使用的信息系统的数量等，但不包括用户的数量。因此，选项D“其他选项都正确”是不正确的。32.根据GB17859《计算机信息系统安全保护等级划分准则》，计算机信息系统安全保护能力分为（）等级。A.5B.6C.3D.4答案：A解析：《计算机信息系统安全保护等级划分准则》规定，计算机信息系统安全保护能力分为五个等级，由高到低依次为：A、B、C、D、E。题目中的选项A是“5”，符合规定，是正确答案。其他选项B“6”、C“3”、D“4”都不符合标准规定，因此是错误的。33.建立ISMS体系的目的，是为了充分保护信息资源并给予（）信心。A.相关方B.供应商C.顾客D.上级机关答案：A解析：建立ISMS体系的主要目的是为了确保信息安全，保障组织的信息资源不受到非法获取、使用、泄露或破坏。这种保障不仅是对组织自身而言，更重要的是给予相关方信心，让他们相信组织能够妥善管理其信息资产，从而建立和维护组织与相关方之间的信任关系。因此，建立ISMS体系的目的，是为了充分保护信息资源并给予相关方信心。选项A“相关方”是最符合题目描述的答案。34.根据GB/T22080-2016标准，审核中下列哪些章节不能删减（）。A.1-10B.4-10C.4-7和9-10D.4-10和附录A答案：B解析：根据GB/T22080-2016标准，审核中不能删减的章节是4-10。因此，选项B“4-10”是正确的。其他选项A“1-10”、C“4-7和9-10”和D“4-10和附录A”都是错误的。35.关于GB/T28450，以说法不正确的是（）。A.增加了ISMS的审核指导B.与ISO19011一致C.与ISO/IEC27006一致D.等同采用了ISO19011答案：D解析：题目要求找出关于GB/T28450的不正确的说法。A选项提到“增加了ISMS的审核指导”，这个描述与GB/T28450的内容相符，因此A选项是正确的。B选项说“与ISO19011一致”，GB/T28450与ISO19011的关系也需要进一步了解，但题目中没有明确指出这一点，所以B选项不能确定为错误。C选项提到“与ISO/IEC27006一致”，同样，题目中也没有给出与ISO/IEC27006不一致的信息，所以C选项也不能确定为错误。D选项说“等同采用了ISO19011”，这个说法与题目中提到的GB/T28450的内容不符，因为题目中并没有提到GB/T28450等同采用了ISO19011。因此，D选项是不正确的说法。36.根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是（）。A.参加信息安全培训B.背景调查C.安全技能与岗位要求匹配的评估D.签署保密协议答案：A解析：在GB/T22080-2016中，控制措施部分关于人员招聘的安全要求中，参加信息安全培训并不是必须的控制措施。虽然信息安全培训对于提高员工的安全意识和技能是有益的，但它并不直接属于人员招聘的安全要求。背景调查、安全技能与岗位要求匹配的评估以及签署保密协议都是与人员招聘直接相关的安全控制措施。因此，选项A“参加信息安全培训”不属于人员招聘的安全要求。37.Saas是指（）。A.软件即服务B.服务平台即服务C.服务应用即服务D.服务设施即服务答案：A解析：SaaS（软件即服务）是一种软件交付模式，用户无需购买和维护软件，而是根据使用量来付费使用。这种模式允许软件供应商在云基础设施上运行和维护软件，并通过互联网将软件作为服务提供给用户。因此，选项A“软件即服务”是正确的答案。其他选项如“服务平台即服务”、“服务应用即服务”和“服务设施即服务”并不是SaaS的常见术语或定义。38.信息是消除（）的东西。A.不确定性B.物理特性C.不稳定性D.干扰因素答案：A解析：信息是用来消除不确定性的。不确定性是指缺乏明确性、预见性或可知性，而信息则是通过提供事实、数据、知识等，使事物变得更加明确、可预测和可知。因此，信息是消除不确定性的工具。其他选项如物理特性、不稳定性和干扰因素并不是信息的主要作用，所以不正确。39.组织应在相关（）上建立信息安全目标。A.组织环境和相关方要求B.战略和意思C.战略和方针D.职能和层次答案：D解析：题目问的是“组织应在相关（）上建立信息安全目标。”，我们需要从给定的选项中选择正确的答案。选项A“组织环境和相关方要求”虽然与组织的运作有关，但它更多地关注组织的外部环境，而不是直接涉及信息安全目标的建立。选项B“战略和意思”中的“意思”一词可能是个输入错误，因为通常我们说的是“战略和方针”。即使如此，这个选项也没有明确指向信息安全目标的建立。选项C“战略和方针”虽然与组织的整体战略有关，但它并没有特指信息安全目标。选项D“职能和层次”则直接关联到信息安全目标的建立。信息安全通常被视为一个特定的职能领域，其目标需要在组织的不同职能和层次上明确和建立。因此，根据题目要求，最符合的答案应该是选项D“职能和层次”。然而，题目给出的标准答案却是C，这可能是一个错误，正确答案应该是D。40.在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）。A.设备要求和网络要求B.硬帷求和软f樓求C.物理要求和应用要求D.技术要求和管理要求答案：D解析：在我国信息系统安全等级保护的基本要求中，每一级的基本要求分为技术要求和管理要求。这是根据信息系统安全等级保护的基本框架来确定的，其中技术要求包括物理安全、网络安全、数据安全等方面，而管理要求则涉及安全管理机构、安全管理制度、人员安全管理等方面。因此，选项D“技术要求和管理要求”是正确的。其他选项如设备要求和网络要求、硬件要求和软件要求、物理要求和应用要求等并不全面或准确地反映每一级的基本要求。多选题（共15题，共30分）41.根据《中华人民共和国密码法》，密码工作坚持总体国家安全观，遵循统一领导（）依法管理、保障安全的原则。A.创新发展B.分级应用C.服务大局D.分级负责答案：ACD解析：《中华人民共和国密码法》是为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，而制定的法律。根据该法律，密码工作应当坚持总体国家安全观，遵循统一领导、创新发展、依法管理、保障安全的原则。因此，选项A“创新发展”、选项C“依法管理”和选项D“保障安全”都是正确的，而选项B“分级应用”并不在列出的原则中。所以，正确答案为ACD。42.最高管理层应建立信息安全方针，方针应（）。A.对相关方可用B.包括对持续改进ISMS的承诺C.包括信息安全目标D.与组织意图相适宜答案：ABCD解析：信息安全方针应：对相关方可用；包括对持续改进ISMS的承诺；包括信息安全目标；与组织意图相适宜。这些选项都是信息安全方针应包含的内容，因此都是正确的选择。最高管理层应确保信息安全方针与组织的整体业务目标相一致，并且能够得到相关方的理解和支持。同时，信息安全方针还应明确组织对持续改进信息安全管理体系的承诺，以及具体的信息安全目标。因此，选项A、B、C和D都是正确的。43.下列哪些属于网络攻击事件（）。A.钓鱼攻击B.后门攻击事件C.社会工程攻击D.DOS攻击答案：ABCD解析：题目询问哪些属于网络攻击事件，A选项钓鱼攻击是一种利用电子邮件和网站进行诈骗的网络攻击手段；B选项后门攻击事件是指攻击者利用系统或应用程序的漏洞，绕过安全机制，获得对系统的非法访问权限；C选项社会工程攻击是通过欺骗、诱导等手段获取敏感信息或执行恶意操作；D选项DOS攻击是通过向目标系统发送大量请求，耗尽其资源，使其无法正常工作。因此，A、B、C、D选项均属于网络攻击事件。44.依据GB/T22080，经管理层批准，定期评申的信息安全策略包括（）。A.信息备份策略B.访问控制策略C.信息传输策略D.密钥管理策略答案：ABCD解析：《GB/T22080-2008信息安全技术信息系统安全管理要求》是信息安全领域的重要标准，它规定了信息安全管理的要求，包括安全策略、安全组织、人员安全管理、资产安全、访问控制、通信安全管理、系统开发和维护、业务连续性管理以及符合性管理等多个方面。其中，信息安全策略是信息安全管理的基础，它规定了组织应如何管理信息安全，确保信息的机密性、完整性和可用性。依据GB/T22080，经管理层批准，定期评审的信息安全策略包括信息备份策略、访问控制策略、信息传输策略和密钥管理策略。因此，选项A、B、C和D都是正确的答案。45.风险处置包括（）。A.风险降低B.风险计划C.风险控制D.风险转移答案：AD解析：风险处置主要包括风险降低和风险转移两种方式。风险降低是指采取措施来减小风险的发生概率或减小风险可能造成的损失，如通过制定安全措施、进行培训等；风险转移是指将风险转移到其他方，如通过购买保险将风险转移给保险公司。选项B风险计划和选项C风险控制并不属于风险处置的直接方式，而是风险管理中的重要环节，因此不应选。因此，正确答案为A和D。46.认证机构应有验证审核组成员背景经验，特定培训或情况的准测，以确保审核组至少具备（）。A.管理体系的知识B.ISMS监视、测量、分析和评价的知识C.与受审核话动相关的技术知识D.信息安全的知识答案：ABCD解析：根据题目描述，认证机构应有验证审核组成员的背景经验，以确保审核组至少具备与管理体系相关的知识、ISMS监视、测量、分析和评价的知识、与受审核活动相关的技术知识以及信息安全的知识。因此，选项A、B、C和D都是正确的答案。这些知识点对于审核组来说非常重要，因为它们可以帮助审核组更好地理解和评估受审核题：认证机构应有验证审核组成员的背景经验，以确保审核组至少具备（）。A管理体系的知识BISMS监视、测量、分析和评价的知识C与受审核话动相关的技术知识D信息安全的知识答案：A,B,⁇题：认证机构应有验证审核组成员的背景经验，以确保审核组至少具备（）。A管理体系的知识BISMS监视、测量、分析和评价的知识C与受审核话动相关的技术知识D信息安全的知识答案：A,B,C,D解析：认证机构在验证审核组成员的背景经验时，需要确保审核组至少具备与管理体系相关的知识、ISMS监视、测量、分析和评价的知识、与受审核活动相关的技术知识以及信息安全的知识。这些都是确保审核组成员具备足够的专业知识和技能，能够有效地进行审核工作的关键要素。因此，选项A、B、C和D都是正确的答案。在审核过程中，审核组成员需要理解管理体系的运作方式，以便能够评估其是否符合相关标准和要求；他们还需要了解ISMS的监视、测量、分析和评价的知识，以便能够评估其有效性；同时，他们还需要具备与受审核活动相关的技术知识，以便能够理解受审核对象的运作方式；最后，信息安全的知识也是必不可少的，因为审核过程中可能会涉及到各种信息安全问题。因此，选择A、B、C和D都是确保审核组成员具备足够专业知识和技能的关键要素。47.根据《互联网信息服务管理办法》，从事非经营性互联网信息服务，应当向（）电信管理机构或者国务院信息产业主管部门办理备案手续。A.省B.自治区C.直辖市D.特别行政区答案：ABC解析：根据《互联网信息服务管理办法》的规定，从事非经营性互联网信息服务，应当向主办单位所在地的省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。因此，正确选项为A省，B自治区，C直辖市。特别行政区并不在此列，故D选项不正确。48.按覆盖的地理范围进行分类，计算机网络可以分为（）。A.局域网B.城域网C.广域网D.区域网答案：ABC解析：在计算机网络的分类中，根据覆盖的地理范围，网络可以被划分为局域网（LocalAreaNetwork，LAN）、城域网（MetropolitanAreaNetwork，MAN）和广域网（WideAreaNetwork，WAN）。局域网通常覆盖一个较小的地理区域，如办公室或建筑物。城域网则覆盖一个城市或更大的区域。广域网则覆盖更广泛的地理范围，如一个国家或多个国家。因此，选项A、B和C都是正确的。选项D“区域网”并不是计算机网络按覆盖地理范围的标准分类之一，因此是错误的。49.操作系统的基本功能有（）。A.存储管理B.文件管理C.设备管理D.处理器管理答案：ABCD解析：操作系统的基本功能通常包括存储管理、文件管理、设备管理和处理器管理。存储管理涉及对主存储器的管理，如分配、回收和交换等。文件管理则涉及对文件和目录的创建、删除、修改和访问等。设备管理涉及对输入/输出设备的控制和管理。处理器管理则涉及对中央处理器（CPU）的调度、分配和回收等。因此，选项A、B、C和D都是操作系统的基本功能。50.移动设备策略宜考虑（）。A.移动设备注册B.恶意软件防范C.访问控制D.物理保护要求答案：ABCD解析：移动设备策略涉及到移动设备的各个方面，以确保设备的安全性和管理的有效性。移动设备注册是确保设备能够被有效管理和控制的基础；恶意软件防范是保护设备免受恶意软件攻击的关键；访问控制是限制对敏感数据的访问，确保数据的安全；物理保护要求则是确保设备在物理层面上得到保护，避免丢失或被盗。因此，移动设备策略宜考虑移动设备注册、恶意软件防范、访问控制和物理保护要求。51.管理评审的输出包括（）。A.管理评审报告B.持续改进机会相关决定C.管理评审会议纪要D.变更信息的安全管理体系任何需求答案：BD解析：管理评审是组织对其自身的安全管理体系进行定期和系统的评价，以确保其持续适用、充分和有效，并识别改进的机会。管理评审的输出应该包括与持续改进机会相关的决定，以及可能需要对安全管理体系进行变更的信息和任何需求。管理评审报告和会议纪要虽然可能是管理评审过程中生成的重要文档，但它们不是管理评审的直接输出。因此，选项A“管理评审报告”和选项C“管理评审会议纪要”不符合题意。52.根据ISO/IEC27000，以下说法正确的是（）。A.ISMS族包含阐述要求的标准B.ISMS族包含阐述通用概述的标准C.ISMS族包含特定行业概述的标准D.ISMS族包含阐述ISMS概述和词汇的标准答案：ACD解析：根据ISO/IEC27000，信息安全管理标准（ISMS）族包含阐述要求的标准、特定行业概述的标准以及阐述ISMS概述和词汇的标准。因此，选项A、C和D是正确的。选项B“ISMS族包含阐述通用概述的标准”并不符合ISO/IEC27000的描述。所以，正确答案是A、C和D。53.信息安全管理中，以下属于“按需知悉（need-to-know）”原则的是（）。A.根据工作需要仅获得最小的知悉权限B.工作人员仅需要满牡作路所囑的信息C.工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围D.得到管理者批准的信息是可访问的信息答案：ABC解析：“按需知悉（need-to-know）”原则指的是在信息安全管理中，员工或用户仅应获得完成工作所需的最小、最必要的信息。这一原则强调最小化原则，即仅提供完成工作所需的最少信息。A选项“根据工作需要仅获得最小的知悉权限”符合按需知悉原则，强调员工仅应获得完成工作所需的最小权限。B选项“工作人员仅需要满足工作所需要的信息”同样符合按需知悉原则，说明员工只需要知道完成工作所需的信息，而不是更多的。C选项“工作人员在满足工作任务所需要的信息，仅在必要时才可扩大范围”也符合按需知悉原则，表明员工在满足工作需求的前提下，只有在必要时才能扩大信息知悉范围。D选项“得到管理者批准的信息是可访问的信息”并不直接涉及按需知悉原则，它更多地是关于信息访问的授权问题，而不是关于信息知悉的最小化原则。综上所述，A、B、C选项均符合“按需知悉（need-to-know）”原则，因此应选A、B、C。54.ISO/IEC27001标准要求以下哪些过程要形成文件化的信息？（）A.信息安全方针B.信息安全风险处置过程C.沟通记录D.信息安全目标答案：ABD解析：ISO/IEC27001标准要求形成文件化的信息的过程包括信息安全方针、信息安全风险处置过程和信息安全目标。这些过程需要被明确记录、管理和维护，以确保组织的信息安全得到充分的保障。因此，选项A、B和D是正确的。选项C“沟通记录”不是ISO/IEC27001标准要求的必须形成文件化的信息的过程，所以是不正确的。55.关于目标，下列说法正确的是（）。A.目标是要实现的结果B.目标可以是战略性的、战术性的或操作性的C.目标可以采用不同方式进行表示，例如：操作准则D.目标可以是不同层次的，例如组织、项目和产品答案：ABCD解析：这道题目考察的是对目标的理解。A选项提到“目标是要实现的结果”，这是正确的。目标通常是我们希望达到的结果或成就。B选项说“目标可以是战略性的、战术性的或操作性的”，这也是正确的。战略性目标通常涉及长期规划和发展，战术性目标关注中期实施和策略，而操作性目标则关注具体的日常行动和步骤。C选项提到“目标可以采用不同方式进行表示，例如：操作准则”，这也是正确的。目标可以用不同的方式来表达，包括具体的操作准则、指标或度量标准。D选项说“目标可以是不同层次的，例如组织、项目和产品”，这也是正确的。目标可以存在于不同的层次，从整个组织的战略目标到特定项目或产品的具体目标。因此，所有选项A、B、C和D都是正确的。判断题（共10题，共10分）56.ISO/IEC27018是用乐对云安全服务中隐私保护认证的依据（）。A.正确B.错误答案：A解析：ISO/IEC27018是云安全服务中隐私保护认证的依据。ISO/IEC27018是ISO（国际标准化组织）和IEC（国际电工委员会）联合发布的关于公共云隐私保护的标准。该标准提供了关于如何保护云环境中个人信息的指南，包括数据收集、存储、处理、传输和删除等各个阶段的隐