CCAA - 2022年07月信息安全管理体系基础答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布2022年07月信息安全管理体系基础答案及解析单选题（共40题，共80分）1.A公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关？（）A.机房设备面临被盗的风险B.机房设备面临受破坏的风险C.机房设备面临灰尘的风险D.机房设备面临人员误入的风险答案：D解析：题目描述的是A公司的机房有一扇临街的窗户，我们需要找出与这种情况无关的风险。A选项提到机房设备面临被盗的风险，这是合理的，因为临街的窗户可能给不法分子提供了进入机房的机会，从而盗取设备。B选项提到机房设备面临受破坏的风险，这也是可能的，因为临街的窗户可能受到外部因素（如天气、人为破坏等）的影响，导致设备受损。C选项提到机房设备面临灰尘的风险，这也是相关的。临街的窗户可能会让灰尘进入机房，对设备造成损害。D选项提到机房设备面临人员误入的风险，这与临街的窗户关系不大。人员误入通常指的是非授权人员进入机房，而临街的窗户虽然可能给外部人员提供进入的机会，但并不直接导致人员误入。人员误入的风险更多地与机房的门禁系统、标识等安全措施有关。因此，与临街的窗户情况无关的风险是D选项，即机房设备面临人员误入的风险。2.根据GB/T22080-2016中控制措施的要求，涉及信息系统审计要求和活动，应（）。A.谨慎地加以规划并取得批准，以便最小化业务过程的中断B.谨慎地加以规划并取得批准，以便最大化保持业务过程的连续C.谨慎地加以实施并取得批准，以便最小化业务过程的中断D.谨慎地加以实施并取得批准，以便最大化保持业务过程的连续答案：A解析：根据GB/T22080-2016中控制措施的要求，涉及信息系统审计要求和活动，应谨慎地加以规划并取得批准，以便最小化业务过程的中断。这是因为信息系统审计涉及到对组织的重要信息进行评估，这些信息对于组织的日常运营至关重要。因此，在进行审计时，必须谨慎规划，确保审计活动不会对组织的业务过程造成过多的干扰或中断。同时，审计活动还需要得到相关部门的批准，以确保其合法性和合规性。因此，选项A“谨慎地加以规划并取得批准，以便最小化业务过程的中断”是正确的选择。3.关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）A.标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B.标准中所表述要求的顺序反映了这些要求要予实现的顺序C.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D.信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性答案：B解析：A选项正确，GB/T22080-2016/ISO/IEC27001:2013标准可以被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求，这是该标准的主要目的之一。B选项错误，GB/T22080-2016/ISO/IEC27001:2013标准中表述的要求的顺序并不反映这些要求要予实现的顺序。标准中的要求是按照主题和领域进行组织的，而不是按照实现的顺序。C选项正确，信息安全管理体系确实是组织的过程和整体管理结构的一部分，并被集成在其中。信息安全管理体系是组织管理体系的一个组成部分，用于确保信息的安全性和保密性。D选项正确，信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性。这是信息安全管理体系的核心目标之一，通过实施风险管理过程，组织可以识别和应对潜在的安全威胁，从而保护信息的安全。因此，B选项是错误的说法。4.不属于计算机病毒防治的策略是（）。A.确认您手头常备一张真正“干净”的引导盘B.及时、可靠升级反病毒产品C.新购置的计算机软件也要进行病毒检测D.整理磁盘答案：D解析：计算机病毒防治的策略主要包括：确认手头常备一张真正“干净”的引导盘，以便在必要时进行系统启动；及时、可靠地升级反病毒产品，以应对新出现的病毒威胁；新购置的计算机软件也要进行病毒检测，以防止病毒带入系统。而整理磁盘并不属于计算机病毒防治的策略，因此选项D是不属于计算机病毒防治的策略。5.管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的管理方式不包括（）。A.自动恢复其IP至原绑定状态B.断开网络并持续阻断C.弹出提示窗口对其发出警告D.锁定键盘鼠标答案：D解析：当管理员通过桌面系统下发IP、MAC绑定策略后，如果终端用户修改了IP地址，以下几种管理方式是可能发生的：A.自动恢复其IP至原绑定状态：如果系统设置了自动恢复功能，那么用户的IP地址会被自动恢复到原先绑定的状态。B.断开网络并持续阻断：这是一种安全措施，当检测到IP地址被修改时，系统可能会断开用户的网络连接，并持续阻断其访问。C.弹出提示窗口对其发出警告：系统可能会弹出一个警告窗口，提示用户其IP地址已被修改，并可能告知其相关的安全策略或风险。D.锁定键盘鼠标：这不是一种常见的管理方式。通常，当IP地址被修改时，系统不会锁定用户的键盘和鼠标。锁定键盘和鼠标通常与物理安全或特定的安全策略有关，而不是与IP地址修改直接相关。因此，正确答案是D，即“锁定键盘鼠标”不是管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址时的管理方式。6.数字签名要预使用单向HASH函数进行处理的原因是（）。A.多一道加密工序使密文更难破译B.提高密文的计算速度C.缩小签名密文的长度，加快数字签名和验证签名的运算速度D.保证密文能正确还原成明文答案：C解析：数字签名中使用的单向哈希函数主要是用来缩小签名密文的长度，加快数字签名和验证签名的运算速度。这是因为哈希函数可以将任意长度的输入转化为固定长度的输出，这种特性使得哈希函数非常适合用于数字签名。通过哈希函数处理，可以将较长的数据转化为较短的哈希值，从而减少传输和存储的需求，同时也提高了签名和验证签名的效率。因此，选项C“缩小签名密文的长度，加快数字签名和验证签名的运算速度”是正确的。7.在规划如何达到信息安全目标时，组织应确定（）。A.要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B.要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C.要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D.要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果答案：C解析：信息安全目标的规划过程中，组织需要确定：要做什么，需要什么资源，由谁负责，什么时候完成，以及如何评价结果。这个答案符合信息安全管理的常规要求，确保了对目标、资源、责任、时间表和评估的全面考虑。其他选项要么信息不全（如A和D选项），要么用词不准确（如B选项中的“什么时候开始”与“什么时候完成”存在时间上的重复）。因此，C选项最为贴切。8.信息是消除（）的东西。A.不确定性B.物理特性C.不稳定性D.干扰因素答案：A解析：信息是用来消除不确定性的。不确定性是指缺乏明确性、预见性或可知性，而信息则是通过提供事实、数据、知识等，使事物变得更加明确、可预测和可知。因此，信息是消除不确定性的工具。其他选项如物理特性、不稳定性和干扰因素并不是信息的主要作用，所以不正确。9.下列关于DMZ区的说法错误的是（）。A.DMZ可以访问内部网络B.通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C.内部网络可以无限制地访问外部网络以及DMZD.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作答案：A解析：A选项表示“DMZ可以访问内部网络”，这是错误的。DMZ（DemilitarizedZone，非军事化区）通常被设置为一个位于内部网络和外部网络之间的隔离区域，它包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等。然而，DMZ通常不直接访问内部网络，以防止外部攻击者利用DMZ的设备访问内部网络。B选项表示“通常DMZ包含允许来自互联网的通信可进行的设备”，这是正确的。DMZ的主要目的是允许外部网络访问某些设备，同时保护内部网络不受外部攻击。C选项表示“内部网络可以无限制地访问外部网络以及DMZ”，这也是错误的。通常，内部网络对外部网络和DMZ的访问是受限制的，以防止内部网络被外部攻击者利用。D选项表示“有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作”，这是正确的。NAT（NetworkAddressTranslation，网络地址转换）是一种将私有网络地址转换为公共网络地址的技术，用于在多个设备之间共享一个公共IP地址。在有两个DMZ的防火墙环境中，主防火墙可能会采用NAT方式工作，以实现地址转换和访问控制。因此，A选项“DMZ可以访问内部网络”是错误的。10.《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。A.半年B.1年C.1.5年D.2年答案：D解析：根据《信息安全等级保护管理办法》的规定，涉密信息系统在运行过程中应加强保密监督检查。对于秘密级和机密级的信息系统，至少每两年进行一次保密检查或系统测评。因此，正确答案为D，即“2年”。11.根据GB/T22080，以下说法正确的是（）。A.已发生事件的后果决定了风险级别B.潜在事件发生的可能性和后果相乘决定了风险级别C.潜在事件后果的严重性决定了风险级别D.潜在事件发生的可能性与后果的和决定了风险的级别答案：B解析：根据GB/T22080，风险级别是由潜在事件发生的可能性和后果相乘决定的。因此，选项B“潜在事件发生的可能性和后果相乘决定了风险级别”是正确的。选项A、C、D都与GB/T22080中的规定不符。12.以下哪些可由操作人员执行？（）A.审批变更B.更改配置文件C.安装系统软件D.添加/删除用户答案：D解析：根据题目描述，我们需要判断哪些操作可以由操作人员执行。A.审批变更-一般来说，审批变更涉及到多个部门的协同工作，可能需要经过管理层或相关部门的审批，因此操作人员可能无法单独执行。B.更改配置文件-更改配置文件通常需要一定的技术知识和操作权限，可能涉及到系统安全或稳定性，因此可能不适合由操作人员单独执行。C.安装系统软件-安装系统软件通常需要管理员权限，并且可能涉及到系统级的更改，因此不适合由操作人员单独执行。D.添加/删除用户-添加或删除用户通常是日常操作的一部分，可以由具有适当权限的操作人员执行。因此，只有选项D是可以由操作人员执行的。13.根据GB/T22080-2016标准中控制措施的要求，信息安全控制措施不包括（）。A.安全策略B.物理和环境安全C.访问控制D.安全范围答案：D解析：根据GB/T22080-2016标准中控制措施的要求，信息安全控制措施主要包括安全策略、物理和环境安全、访问控制等。而选项D“安全范围”并不属于信息安全控制措施的内容。因此，正确答案为D。14.根据GB/T9246，风险处置后余下的风险是（）。A.不可接受风险B.有条件的接受风险C.残余风险D.重大风险答案：C解析：本题考查的是对GB/T9246中风险处置后余下的风险的理解。根据GB/T9246的规定，风险处置后余下的风险称为残余风险。因此，选项C“残余风险”是正确答案。其他选项如“不可接受风险”、“有条件的接受风险”和“重大风险”在题目中并未提及或与题目要求不符。15.GB/T29246标准为组织和个人提供（）。A.建立信息安全管理体系的基础信息B.信息安全管理体系的介绍C.ISMS标准族已发布标准的介绍D.ISMS标准族中使用的所有术语和定义答案：B解析：题目询问的是GB/T29246标准为组织和个人提供的内容。根据标准的内容，GB/T29246是信息安全管理体系（ISMS）的基础标准，它提供了建立信息安全管理体系的基础信息，包括信息安全管理体系的原则、框架、过程和要求等。因此，答案为B，即“信息安全管理体系的介绍”。其他选项A、C、D与GB/T29246标准的内容不符。16.根据GB/T22080-2016标准的要求，组织（）实施风险评估。A.应按计划的时间间隔或当重大变更提出或发生时B.应按计划的时间间隔且当重大变更提出或发生时C.只需在重大变更发生时D.只需按计划的时间间隔答案：A解析：根据GB/T22080-2016标准的要求，组织“应按计划的时间间隔或当重大变更提出或发生时”实施风险评估。所以选项A是正确的。选项B表述为“按计划的时间间隔且当重大变更提出或发生时”，但原标准并未使用“且”这样的连接词，所以B错误。选项C和D都只涉及到了重大变更或时间间隔的其中一个条件，没有涵盖标准要求的两个条件，所以也是错误的。17.《中华人民共和国网络安全法》中要求：网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于（）。A.1个月B.3个月C.6个月D.12个月答案：C解析：《中华人民共和国网络安全法》中要求网络运营者应当按照网络安全等级保护制度的要求，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月。因此，正确选项为C。18.国家信息安全等级保护采取（）。A.自主定级、自主保护的原则B.国家保密部门定级、自主保持的原则C.公安部门定级、自主保护的原则D.国家保密部门定级、公安部门监督保护的原则答案：A解析：根据《信息安全等级保护管理办法》的规定，国家信息安全等级保护采取自主定级、自主保护的原则。因此，选项A“自主定级、自主保护的原则”是正确的。其他选项，如国家保密部门定级、自主保持的原则，公安部门定级、自主保护的原则，以及国家保密部门定级、公安部门监督保护的原则，均不符合该管理办法的规定。19.对于“监控系统”的存取与使用，下列正确的是（）。A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略答案：B解析：监控系统是为了监控计算机系统的运行状况，确保系统的安全、稳定、高效运行而设计的。对于监控系统所产生的记录，一般是由系统管理员或相关人员进行存取和管理，而不是任由用户任意存取。因此，选项A是错误的。计算机系统中，各个设备或模块的时间戳需要统一，以便于准确判断事件发生的先后顺序，进行故障定位等。因此，选项B是正确的。监控系统不仅仅是在系统发生异常事件时才进行监控，它还会监控系统的日常运行状况，及时发现潜在问题，因此选项C是错误的。监控系统的投资虽然可能会占用一定的资源，但它对于保障系统的安全、稳定、高效运行是非常重要的，不能予以暂时省略。因此，选项D是错误的。20.《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）。A.ISO/IEC27002B.ISO/IEC27003C.ISO/IEC27004D.ISO/IEC27005答案：B解析：《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为ISO/IEC27002。因此，正确答案为B。21.风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施（）。A.识别可能性和影响B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影响答案：B解析：在风险识别的过程中，需要识别资产、威胁和现有控制措施。对于识别威胁，我们需要了解可能存在的威胁，即识别脆弱性；对于识别现有控制措施，我们需要了解现有措施的效果，即识别影响。因此，正确选项是B，即识别脆弱性和识别影响。其他选项如A、C、D均不符合风险识别的要求。22.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A.三级B.二级C.四级D.五级答案：A解析：《信息安全等级保护管理办法》规定，信息系统根据受到破坏后，对社会秩序和公共利益以及对国家安全造成的损害程度，由低到高分为五个级别：第一级，信息系统受到破坏后，对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第三级，信息系统受到破坏后，对社会秩序和公共利益产生特别严重损害，或者对国家安全产生严重损害；第四级，信息系统受到破坏后，对社会秩序和公共利益产生特别严重损害，或者对国家安全产生特别严重损害；第五级，信息系统受到破坏后，对国家安全产生特别严重损害。根据题目描述，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，因此，应具备的保护水平为第二级。因此，正确答案为A，即三级。题目中的选项描述存在错误，可能是出题者笔误或者理解偏差，实际上并没有“三级”这一等级。23.根据GB/T22080-2016中控制措施的要求，以下哪项物理和环境安全控制措施，可以保护计算机不受停电的影响（）。A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应答案：D解析：根据GB/T22080-2016中控制措施的要求，要保护计算机不受停电的影响，需要采取的措施应该是确保电力供应的连续性。选项A“电力线路调节器”主要是用于调节电力线路中的电压和频率，与防止停电无直接关系；选项B“电力浪涌保护设备”是用于防止电力浪涌对设备造成损坏，与停电问题不直接相关；选项C“备用的电力供应”虽然听起来像是解决停电问题的一种可能方案，但在题目中并没有明确提到。而选项D“可中断的电力供应”实际上是电力中断的描述，与防止停电相反，所以排除。因此，根据题目要求，能够保护计算机不受停电影响的物理和环境安全控制措施是选项D“可中断的电力供应”，但题目中的描述有误，应为“备用的电力供应”。因此，正确答案是D，但题目中的选项描述有误。24.下面哪项不是SSE-CMM的过程域（）。A.风险过程B.工程过程C.设计过程D.保证过程答案：C解析：在SSE-CMM中，定义了五个主要过程域：需求管理过程、软件项目管理过程、软件支持过程、保证质量和工程过程。选项C“设计过程”并不是SSE-CMM所明确列出的过程域之一。因此，正确答案是C。25.《信息安全管理体系审核指南》中规定，ISMS的规模不包括（）。A.组织控制下开展工作的人员总数以及与ISMS有关的相关方和合同方B.信息系统的数量C.组织的部门数量D.ISMS覆盖的场所数量答案：C解析：《信息安全管理体系审核指南》中明确规定了ISMS的规模，包括组织控制下开展工作的人员总数、与ISMS有关的相关方和合同方、信息系统的数量以及ISMS覆盖的场所数量。而组织的部门数量并不在ISMS的规模范围内。因此，正确答案是C。26.信息安全管理体系审核将各行业领域分为几大领域？（）A.6B.4C.5D.3答案：B解析：信息安全管理体系审核将各行业领域分为4大领域，即组织信息安全管理、技术信息安全管理、物理信息安全管理和人员信息安全管理。因此，正确答案为B，即4。27.以下不是ISMS的相关方的是（）。A.可能影响决策的人或组织B.认为自己影响决策的人或组织C.认为自己受到决策影响的人或组织D.可能受到决策影响的人或组织答案：B解析：ISMS（信息安全管理体系）的相关方包括可能影响决策的人或组织、认为自己受到决策影响的人或组织以及可能受到决策影响的人或组织。而认为自己影响决策的人或组织并不属于ISMS的相关方。因此，选项B“认为自己影响决策的人或组织”不是ISMS的相关方。28.关于顾客满意，以下说法正确的是：（）A.顾客没有抱怨，表示顾客满意B.信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C.顾客认为其要求已得到满足，即意味着顾客满意D.组织认为顾客要求已得到满足，即意味着顾客满意答案：C解析：顾客满意是指顾客对其所购买的产品或服务的满意程度。顾客满意不仅仅是缺乏抱怨，而是指顾客对其要求已得到满足的感知。选项A表示顾客没有抱怨就意味着顾客满意，但顾客没有抱怨并不一定意味着他们的要求已得到满足，因此A选项不正确。选项B表示信息安全事件没有给顾客造成实质性的损失就意味着顾客满意，但这只是从组织或企业的角度来看，而不是从顾客的角度来看，因此B选项也不正确。选项D表示组织认为顾客要求已得到满足就意味着顾客满意，但顾客满意是顾客自己的感知，而不是组织或企业的主观判断，因此D选项也不正确。只有选项C表示顾客认为其要求已得到满足就意味着顾客满意，这是从顾客的角度来看的，因此C选项是正确的。29.ISMS文件的多少和详细程度取决于（）。A.组织的规模和活动的类型B.过程及其相互作用的复杂程度C.人员的能力D.以上都对答案：D解析：ISMS文件的多少和详细程度通常取决于组织的规模和活动的类型、过程及其相互作用的复杂程度。这些因素共同影响组织对信息安全管理体系的需求和期望。因此，组织的规模、活动的类型以及过程的复杂程度都会影响到ISMS文件的数量和详细程度。所以，以上都对。30.《中华人民共和国保密法》规定了国家秘密的范围和密级，国家秘密的密级分为（）。A.普密、商密两个级别B.低级和高级两个级别C.绝密、机密、秘密三个级别D.一密、二密、三密、四密四个级别答案：C解析：《中华人民共和国保密法》规定了国家秘密的范围和密级，国家秘密的密级分为绝密、机密、秘密三个级别。因此，正确答案为C。选项A、B、D均不符合法律规定。31.根据《中华人民共和国保守国家秘密法》关于涉密信息系统的管理，以下说法不正确的是：（）A.涉密计算机、存储设备不得接入互联网及其他公共信息网络B.涉密计算机只有采取了适当防护措施才可接入互联网C.涉密信息系统中的安全技术程序和管理程序不得擅自卸载D.涉密计算机未经安全技术处理不得改作其他用途答案：B解析：《中华人民共和国保守国家秘密法》规定，涉密计算机、存储设备不得接入互联网及其他公共信息网络，以防止国家秘密信息被非法获取或泄露。因此，A选项说法正确。而B选项提到涉密计算机只有采取了适当防护措施才可接入互联网，这与法律规定不符，因此B选项说法不正确。C选项提到涉密信息系统中的安全技术程序和管理程序不得擅自卸载，这是为了确保涉密信息系统的安全性，因此C选项说法正确。D选项提到涉密计算机未经安全技术处理不得改作其他用途，这也是为了保障国家秘密信息的安全，因此D选项说法正确。综上，B选项说法不正确。32.下列说法不正确的是（）。A.残余风险需要获得风险责任人的批准B.适用性声明需要包含必要的控制及其选择的合理性说明C.所有的信息安全活动都必须有记录D.组织控制下的员工应了解信息安全方针答案：C解析：A选项提到“残余风险需要获得风险责任人的批准”，这是正确的，因为残余风险是指即使采取了控制措施后仍然存在的风险，需要得到相关责任人的审批。B选项提到“适用性声明需要包含必要的控制及其选择的合理性说明”，这也是正确的，适用性声明是对控制措施适用性的声明，其中必须包含对控制措施及其选择的合理性说明。D选项表示“组织控制下的员工应了解信息安全方针”，这也是正确的，因为员工了解信息安全方针是确保信息安全的重要前提。而C选项“所有的信息安全活动都必须有记录”是不正确的。虽然信息安全活动应该尽可能地进行记录，但并不是所有的信息安全活动都需要有记录。有些活动可能由于各种原因（如涉及敏感信息或实时处理等）而不适合或无法进行记录。因此，C选项是不正确的。33.（）是风险管理的重要一环。A.管理手册B.适用性声明C.风险处置计划D.风险管理程序答案：C解析：在风险管理过程中，风险处置计划是非常关键的一部分。风险处置计划定义了针对潜在风险的应对策略和行动步骤，帮助组织在面对风险时做出有效和及时的反应。通过制定和实施风险处置计划，组织可以降低风险带来的不利影响，并最大限度地保护其资产和业务运营。管理手册、适用性声明和风险管理程序虽然都是风险管理的重要组成部分，但风险处置计划更侧重于具体的行动计划和应对策略，因此是风险管理的重要一环。因此，正确答案是风险处置计划。34.A公司财务管理数据只能提供给授权的用户，安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉，这样就可以确保数据的哪个方面的安全性得到保障（）。A.保密性B.完整性C.可用性D.稳定性答案：A解析：题目描述了一个公司财务管理数据只能提供给授权的用户，并且采取了安全管理措施来确保数据不会被未授权的个人、实体或过程利用或知悉。这种措施的主要目的是确保数据不被未经授权的人员获取，从而保护数据的保密性。因此，正确答案是A，即保密性。35.加强网络安全性的最重要的基础措施是（）。A.设计有效的网络安全策略B.选择更安全的操作系统C.安装杀毒软件D.加强安全教育答案：A解析：网络安全性的基础措施是设计有效的网络安全策略。有效的网络安全策略能够指导组织和个人如何保护其网络资产，包括数据、应用程序和基础设施，从而确保网络的安全性。选择更安全的操作系统、安装杀毒软件和加强安全教育都是重要的补充措施，但它们不能替代设计有效的网络安全策略作为最基础的措施。因此，设计有效的网络安全策略是加强网络安全性的最重要的基础措施。36.以下不属于描述性统计技术的是（）。A.正态分布B.散布图C.帕累托图D.直方图答案：A解析：描述性统计技术主要用于对一组数据进行整理和概括，帮助人们理解数据的特征和分布。在本题中，给出的选项中，A项“正态分布”描述的是一组数据的概率分布特征，但它并不是描述性统计技术，而是统计理论中的一个重要概念。B项“散布图”、C项“帕累托图”和D项“直方图”都是描述性统计技术，用于描述数据的不同特征。因此，不属于描述性统计技术的是A项“正态分布”。37.当访问单位服务器时，响应速度明显减慢时，最有可能受到了哪一种攻击？（）A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务答案：D解析：当访问单位服务器时，响应速度明显减慢，最有可能受到了拒绝服务（D）攻击。拒绝服务攻击是通过大量无效请求来消耗目标系统的资源，使其无法正常处理合法用户的请求，从而导致服务器响应速度明显减慢。其他选项如特洛伊木马（A）、地址欺骗（B）和缓冲区溢出（C）虽然也是常见的网络攻击手段，但它们通常不会导致服务器响应速度明显减慢。因此，正确答案是D。38.文件化信息创建和更新时，组织应确保适当的（）A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准答案：D解析：在文件化信息创建和更新时，组织应确保适当的对适宜性和充分性的评审和批准。这是因为适宜性指的是文件化信息是否适合组织的需要，而充分性则指的是文件化信息是否足够详细和完整。评审和批准是确保文件化信息质量和符合性的关键步骤，因此选项D“对适宜性和充分性的评审和批准”是正确答案。其他选项要么表述不准确（如选项A的“有效性”在文件中并不常见），要么逻辑不合理（如选项B和C同时提到“批准”和“测量”，这在文件化信息的创建和更新过程中是不常见的）。39.在以下人为的恶意攻击行为中，属于主动攻击的是（）。A.数据篡改及破坏B.数据窃听C.数据流分析D.非法访问答案：A解析：主动攻击是指攻击者试图通过网络或其他手段对系统进行实际的破坏，包括篡改、伪造或破坏数据，如数据篡改及破坏。被动攻击则是对信息的传输进行监听和分析，但不改变其内容，如数据窃听和数据流分析。非法访问则通常被认为是主动攻击的一种形式，因为它涉及到未经授权地访问系统或数据。因此，选项A“数据篡改及破坏”属于主动攻击。40.关于GB17859，以下说法正确的是（）。A.特定的法律法规引用该标准时在引用的范围内视为强制性标准B.这是一份推荐性标准C.这是一份强制性标准D.组织选择使用该标准在选择的范围内视为强制性标准答案：C解析：《信息安全等级保护管理办法》规定，信息安全等级保护工作中采用的国家信息安全标准包括国家标准、行业标准、军事标准，其中对信息系统安全等级保护的有关要求，应尽量采用国家标准。GB17859是信息安全等级保护标准，属于国家标准，具有强制性质，因此是一份强制性标准。所以，选项C“这是一份强制性标准”是正确的。其他选项A、B、D均不正确。多选题（共15题，共30分）41.信息安全是保证信息的（），另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。A.可用性B.机密性C.完备性D.完整性答案：ABD解析：信息安全是指确保信息的机密性、完整性和可用性。机密性是指信息不被未经授权的人员获取，完整性是指信息在传输或存储过程中不被篡改或破坏，可用性是指信息可以被授权人员合法、及时地使用。所以，题目中给出的选项中，A、B、D都是正确的，而C选项“完备性”并不是信息安全的主要特性。因此，正确答案为A、B、D。42.根据GB/T28450，审核方案应考虑的内容包括（）。A.体系覆盖的场所B.体系覆盖的人数C.特权用户的数量D.IT平台的数量答案：ABCD解析：根据GB/T28450的规定，审核方案应考虑的内容应包括体系覆盖的场所、体系覆盖的人数、特权用户的数量以及IT平台的数量。这些要素都是审核方案制定时需要考虑的关键因素，它们直接影响审核的范围、深度和效果。因此，选项A、B、C和D都是正确的。43.根据GB/T22080-2016标准的要求，有关信息安全绩效的反馈，包括以下哪些方面的趋势？（）A.不符合和纠正措施B.监视测量的结果C.审核结果D.信息安全方针完成情况答案：ABC解析：根据GB/T22080-2016标准，信息安全绩效的反馈应包含多个方面的趋势。首先，不符合和纠正措施是信息安全绩效反馈的重要组成部分，因为它们能够揭示出组织在信息安全方面存在的问题以及采取的改进措施。其次，监视测量的结果也是信息安全绩效反馈的关键内容，它们提供了关于信息安全实施效果的实际数据，帮助组织了解安全状况并识别潜在风险。最后，审核结果也是信息安全绩效反馈的一部分，它们反映了组织信息安全管理体系的符合性和有效性。因此，选项A、B、C都是正确的。选项D“信息安全方针完成情况”虽然与信息安全绩效有关，但在此题目中并未明确提及为趋势内容，因此不正确。44.根据《信息安全等级保护管理办法》，对网络安全等级三级及以上系统，以下说法正确的是（）。A.采用双重身份鉴别机制B.对用户和数据采用安全标记C.系统管理员可任意访问日志记录D.三年开展一次网络安全等级测评工作答案：AB解析：根据《信息安全等级保护管理办法》的规定，对于网络安全等级三级及以上的系统，需要采取更为严格的安全措施。A选项提到“采用双重身份鉴别机制”，这是为了确保系统的访问控制更加严格，防止未经授权的人员进入系统。B选项提到“对用户和数据采用安全标记”，这意味着系统需要对用户身份和数据进行安全标记，以便进行访问控制和审计。C选项“系统管理员可任意访问日志记录”并不符合安全等级保护的要求。系统管理员的权限应当受到合理限制，不能随意访问日志记录。D选项“三年开展一次网络安全等级测评工作”也没有在题目中给出明确依据。通常，网络安全等级测评的频率应根据实际情况和安全需求来确定，不一定是三年一次。综上所述，正确选项是A和B。45.《中华人民共和国计算机信息系统安全保护条例》规定：有下列哪些行为的，由公安机关处以警告或停机整顿。（）A.违反计算机信息系统国际联网备案制度的B.违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的C.不按照规定时间报告计算机信息系统中发生的案件的D.接到公安机关要求改进安全状况的通知后，在限期内拒不改进的答案：ABCD解析：《中华人民共和国计算机信息系统安全保护条例》规定了多种行为，如违反计算机信息系统国际联网备案制度、违反计算机信息系统安全等级保护制度危害计算机信息系统安全、不按照规定时间报告计算机信息系统中发生的案件，以及在接到公安机关要求改进安全状况的通知后，在限期内拒不改进的，公安机关可以对相关责任方处以警告或停机整顿的处罚。因此，选项A、B、C和D都是正确的。46.网络攻击的方式包括（）。A.信息收集B.信息窃取C.系统利用D.资源换递答案：ABCD解析：网络攻击的方式多种多样，通常包括信息收集、信息窃取、系统利用和资源换递等。A选项“信息收集”指的是攻击者通过扫描、监听等手段获取目标网络或系统的信息，以便进一步实施攻击。B选项“信息窃取”指的是攻击者通过各种手段获取目标网络或系统中的敏感信息，如用户密码、个人数据等。C选项“系统利用”指的是攻击者利用目标网络或系统中的漏洞或弱点，进行非法访问、控制或破坏。D选项“资源换递”指的是攻击者通过交换资源或信息的方式，获取目标网络或系统的信任，进而实施攻击。因此，网络攻击的方式包括A信息收集、B信息窃取、C系统利用和D资源换递。47.访问控制包括（）。A.网络和网络服务的访问控制B.逻辑访问控制C.用户访问控制D.物理访问控制答案：BD解析：访问控制是信息安全领域的一个重要概念，它涉及到对系统资源（如文件、目录、设备、网络服务等）的访问权限的管理。在给出的选项中，A选项“网络和网络服务的访问控制”和D选项“物理访问控制”是访问控制的两个方面。其中，网络和网络服务的访问控制涉及对网络资源（如数据库、文件服务器、电子邮件服务器等）的访问权限的管理，而物理访问控制则涉及对物理设备（如服务器、数据中心、办公区域等）的访问权限的管理。B选项“逻辑访问控制”和C选项“用户访问控制”在给出的选项中并未明确提及，因此不应选。因此，正确答案是A和D。48.对公有云服务商，属于其安全职责的是（）。A.有责任为租户提供日志和监控数据B.需无偿为租户提供漏洞扫描报告C.对租户高等数据，不应使用外籍人员充当系统管理员D.当租户退出云服务时，有责任清除租户数据答案：ABCD解析：公有云服务商的安全职责包括为租户提供日志和监控数据、无偿为租户提供漏洞扫描报告、对租户高等数据，不应使用外籍人员充当系统管理员，以及当租户退出云服务时，有责任清除租户数据。这些都是确保租户数据安全和隐私的重要措施。因此，选项A、B、C和D都是公有云服务商的安全职责。49.编制ISMS审核计划，需充分理解审核方案，计划需考虑（）。A.需要的技术与工具准备B.前期抽样情况和本期抽样原则C.组织资源保障程度D.人员派遣要求答案：ABCD解析：编制ISMS审核计划时，需要充分理解审核方案，并考虑多个因素来确保审核的顺利进行。首先，需要的技术与工具准备是确保审核过程能够高效、准确地完成的基础。其次，前期抽样情况和本期抽样原则对于确定审核的范围和重点至关重要。再次，组织资源保障程度关系到审核过程中所需的人力、物力和财力资源是否充足。最后，人员派遣要求则涉及到审核团队的人员构成和配置，以及他们在审核过程中的职责和权限。因此，这四个选项都是编制ISMS审核计划时需要考虑的重要因素。50.根据GB/T22080-2016中控制措施要求，应（）反映组织信息保护需要的保密性或不泄露协议的要求。A.文件化B.定期评审C.识别D.签订答案：ABC解析：根据GB/T22080-2016中的控制措施要求，组织需要确保信息保护需要的保密性或不泄露协议的要求得到反映。为了达到这一目的，组织需要采取一系列措施。首先，组织应该文件化这些要求，确保所有员工都清楚了解并遵守这些保密或不泄露协议。文件化不仅有助于确保信息的保密性，还有助于在发生问题时提供法律依据。其次，组织应该定期评审这些控制措施的有效性。随着组织的变化和外部环境的变化，原有的控制措施可能不再适用。定期评审可以及时发现并调整这些控制措施，确保它们仍然有效。最后，组织应该识别所有可能涉及保密或不泄露协议的信息和资产。只有知道哪些信息和资产需要保护，才能采取有效的控制措施。因此，根据GB/T22080-2016中的控制措施要求，组织应该文件化、定期评审、识别反映组织信息保护需要的保密性或不泄露协议的要求。所以，选项A、B、C都是正确的。51.根据GB/T29246，以下说法正确的是（）。A.ISMS族包含阐述要求的标准B.ISMS族包含阐述通用概述的标准C.ISMS族包含特定行业概述的标准D.ISMS族包含阐述ISMS概述和词汇的标准答案：ACD解析：根据GB/T29246的定义，ISMS族包含多个标准，这些标准涵盖了信息安全管理体系的不同方面。其中，A选项提到ISMS族包含阐述要求的标准，这是正确的，因为信息安全管理体系需要满足一定的要求。C选项提到ISMS族包含特定行业概述的标准，也是正确的，因为不同行业可能需要对信息安全管理体系有特定的要求。D选项提到ISMS族包含阐述ISMS概述和词汇的标准，这同样是正确的，因为标准中需要对信息安全管理体系进行概述，并定义相关术语。而B选项提到ISMS族包含阐述通用概述的标准，这与题目中给出的选项内容不符，因此B选项是错误的。综上所述，正确的选项是A、C和D。52.在统计技术方法中，常规控制图主要用于区分（）。A.过程处于稳态还是非稳态B.过程能力的大小C.过程加工的不合格品率D.过程中存在偶然波动还是异常波动答案：ABCD解析：控制图是一种用来判断生产过程是否稳定，并预测生产过程是否会出现不良品的统计工具。在控制图的运用中，主要目的是区分生产过程中是否存在异常波动，即是否有系统性原因导致了产品质量的变化。因此，选项D“过程中存在偶然波动还是异常波动”是正确的。然而，控制图不仅能反映过程是否稳定，还能反映过程的能力大小，即过程在稳定状态下满足规格要求的能力。因此，选项B“过程能力的大小”也是正确的。当过程处于稳态时，其不合格品率应该保持在较低的水平；而非稳态过程则可能导致不合格品率上升。因此，选项C“过程加工的不合格品率”也是控制图的一个应用方面。另外，控制图还能帮助我们判断过程是否处于稳态。稳态过程意味着过程参数（如均值、标准差等）在控制限内保持相对稳定，而非稳态过程则意味着这些参数发生了系统性变化。因此，选项A“过程处于稳态还是非稳态”也是控制图的一个重要应用。综上所述，选项A、B、C和D都是控制图在统计技术方法中的主要应用，因此它们都是正确的答案。53.根据GB/T22080-2016标准中控制措施的要求，有关资产管理的叙述，正确的是（）。A.应制定资产清单并进行维护B.信息分类与相关保护控制措施应考虑企业共享或限制信息的需求C.所有主要的信息资产应由高级管理人员负责保管D.应制订一套与组织采用的分类方式相同的信息标识和处理流程答案：ABD解析：本题考察的是对GB/T22080-2016标准中控制措施的要求中关于资产管理的理解。A选项提到“应制定资产清单并进行维护”，这是符合标准的。资产管理的一个核心要素是确保所有资产都得到清晰、准确的记录，并定期进行更新和维护。B选项提到“信息分类与相关保护控制措施应考虑企业共享或限制信息的需求”，这也是符合标准的。不同的信息有不同的安全级别，对于某些信息，企业可能需要限制访问，而对于其他信息，企业可能希望共享。因此，信息分类和相关保护控制措施必须考虑到这些需求。C选项提到“所有主要的信息资产应由高级管理人员负责保管”，这不符合标准。在大多数组织中，信息资产的管理和保管是由信息安全团队或相关的技术部门负责的，而不是由高级管理人员直接负责。D选项提到“应制订一套与组织采用的分类方式相同的信息标识和处理流程”，这也是符合标准的。为了有效地管理信息资产，组织需要有一套明确的信息标识和处理流程，并且这套流程应该与组织的分类方式相一致。综上，正确答案为A、B、D。54.在编写业务恢复策略时，下列哪些因素应该考虑？（）A.重要业务的恢复优先级B.应急响应小组成员的角色和职责C.灾备中心的距离D.为生产中心中的设备购买保险答案：ABC解析：业务恢复策略是组织在遭受自然灾害、技术故障或其他突发事件时，为了恢复其关键业务而制定的计划。在制定这样的策略时，有几个关键因素需要考虑。首先，重要业务的恢复优先级是一个关键因素。这意味着需要明确哪些业务对组织的运营至关重要，并在恢复策略中优先考虑这些业务。其次，应急响应小组成员的角色和职责也是非常重要的。在突发事件发生时，需要明确每个成员的责任和角色，以确保他们能够有效地响应并恢复业务。最后，灾备中心的距离也是一个重要因素。较远的灾备中心可能需要更长的时间来恢复业务，因此，在选择灾备中心时，需要权衡其地理位置与恢复时间的关系。至于为生产中心中的设备购买保险，虽然保险可以为设备损失提供经济保障，但它并不直接涉及业务恢复策略的核心要素，如恢复优先级、应急响应角色和职责以及灾备中心的选择。因此，它不应作为编写业务恢复策略时的主要考虑因素。55.根据GB/Z20986，信息安全事件分为有害程序事件、网络攻击事件、（）和其他信息安全事件等。A.计算机病毒事件B.信息破坏事件C.设备设施故障D.信息泄漏事件答案：BC解析：根据GB/Z20986，信息安全事件分为有害程序事件、网络攻击事件、设备设施故障和其他信息安全事件等。其中，有害程序事件和网络攻击事件是明确列出的，而设备设施故障是第三个选项，因此是正确答案。而选项A“计算机病毒事件”和选项B“信息破坏事件”虽然与信息安全事件有关，但不是GB/Z20986明确列出的分类。选项D“信息泄漏事件”虽然在信息安全中很重要，但题目中并未将其作为一个明确的分