CCAA - 2023年01月信息安全管理体系基础答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布2023年01月信息安全管理体系基础答案及解析单选题（共40题，共80分）1.在信息安全技术中，涉及信息系统灾难恢复，其中“恢复点目标”指（）。A.灾难发生后，系统和数据必须恢复到的时间点要求B.灾难发生后，信息系统或业务功能项恢复的范围C.灾难发生后，关键数据能被复原的范围D.灾难发生后，信息系统或业务功能从停顿到必须恢复的时间答案：A解析：在信息安全技术中，涉及信息系统灾难恢复，其中“恢复点目标”（RecoveryPointObjective，RPO）指的是灾难发生后，系统和数据必须恢复到的时间点要求。因此，选项A“灾难发生后，系统和数据必须恢复到的时间点要求”是正确的。选项B“灾难发生后，信息系统或业务功能项恢复的范围”是恢复时间目标（RecoveryTimeObjective，RTO）的定义，与题目不符。选项C“灾难发生后，关键数据能被复原的范围”和选项D“灾难发生后，信息系统或业务功能从停顿到必须恢复的时间”都与恢复点目标（RPO）的定义不符。2.关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是（）。A.指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B.指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C.指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D.指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用答案：A解析：《中华人民共和国网络安全法》中的“三同步”要求指的是关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用。这一要求旨在确保在关键信息基础设施的建设过程中，安全技术措施能够得到充分的规划和实施，以保障网络安全。因此，选项A“指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用”是正确的说法。选项B、C、D均不符合这一法律规定。3.根据GB/T22080-2016的要求，内部审核是为了确保信息安全管理体系（）。A.实现和维护的符合性B.实现和维护的适宜性C.适宜的实现和维护D.有效的实现和维护答案：D解析：根据GB/T22080-2016的要求，内部审核是为了确保信息安全管理体系的有效实现和维护。内部审核是一种评估信息安全管理体系是否符合组织策略、程序和标准的过程，其目的是验证体系的有效性。因此，正确答案是D选项，即“有效的实现和维护”。其他选项A、B、C均不符合该标准的要求。4.国家秘密的保密期限应为：（）A.绝密不超过三十年，机密不超过二十年，秘密不超过十年B.绝密不低于三十年，机密不低于二十年，秘密不低于十年C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年答案：A解析：根据《中华人民共和国保守国家秘密法》的规定，国家秘密的保密期限，除另有规定外，绝密级不超过三十年，机密级不超过二十年，秘密级不超过十年。因此，选项A“绝密不超过三十年，机密不超过二十年，秘密不超过十年”是正确的。其他选项B、C、D中的描述与法律规定不符，因此是错误的。5.GB/T29246标准由（）提出并归口。A.SC27B.SAC/TC261C.SC40D.SAC/TC260答案：D解析：根据题目给出的信息，我们需要确定GB/T29246标准是由哪个组织提出并归口的。在给出的选项中，ASC27、SAC/TC261、SC40都不是标准提出和归口的组织，而SAC/TC260是符合题目描述的选项。因此，正确答案是D，即SAC/TC260。6.根据GB17859《计算机信息系统安全保护等级划分准则》，计算机信息系统安全保护能力分为（）等级。A.3B.6C.5D.4答案：C解析：根据GB17859《计算机信息系统安全保护等级划分准则》，计算机信息系统安全保护能力分为5个等级，分别为：第一级，自主保护级；第二级，指导保护级；第三级，监督保护级；第四级，强制保护级；第五级，专控保护级。因此，正确答案为C，即5个等级。7.有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保（）。A.不考虑资产的价值，基本水平的保护都会被实施B.对所有信息资产保护都投入相同的资源C.对信息资产实施适当水平的保护D.信息资产过度的保护答案：C解析：基线方法通常基于预设的、固定的保护级别，不考虑资产的实际价值或风险。而风险评估方法则根据资产的实际价值和潜在风险来确定适当的保护级别。这种方法能够确保对信息资产实施适当水平的保护，而不是过度或不足的保护。因此，与基线方法相比，风险评估方法的主要优势在于它能够确保对信息资产实施适当水平的保护。8.根据GB/T22080-2016，应按照既定的备份策略，对（）进行备份，并定期测试。A.信息、软件和系统镜像B.信息、软件和数据镜像C.数据、信息和软件D.数据、信息和系统镜像答案：A解析：题目中提到“应按照既定的备份策略，对（）进行备份，并定期测试。”根据GB/T22080-2016标准，信息安全管理体系（ISMS）要求组织制定并实施数据备份策略，以防止数据丢失。在这个策略中，应该明确需要备份的对象，定期测试备份的完整性，并确保在发生问题时能够恢复数据。根据GB/T22080-2016，对信息、软件和系统镜像进行备份是符合标准的。因此，选项A“信息、软件和系统镜像”是正确的答案。选项B“信息、软件和数据镜像”和选项C“数据、信息和软件”都没有明确提到“系统镜像”，不符合标准的要求。选项D“数据、信息和系统镜像”虽然提到了“系统镜像”，但“数据”和“信息”的描述过于宽泛，不如选项A明确。9.公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么下列选项中哪一项不是钍对该问题的纠正措施？（）A.要求员工立即改正B.对员工进行优质口令设置方法的培训C.通过域控进行强制管理D.对所有员工进行意识教育答案：A解析：公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上。针对这个问题，我们可以分析以下四个选项：A.要求员工立即改正-这个选项虽然看似是一个纠正措施，但实际上它更像是一个结果，而不是一个纠正措施。纠正措施应该是为了预防或解决问题而采取的行动，而“要求员工立即改正”更像是在问题被发现后的一种反应，而不是为了预防或解决问题而采取的行动。B.对员工进行优质口令设置方法的培训-这个选项是一个有效的纠正措施。通过培训，员工可以学习到如何设置符合公司规定的密码，从而避免类似问题的再次发生。C.通过域控进行强制管理-这个选项也是一个有效的纠正措施。通过域控进行强制管理，可以确保所有员工的计算机密码都符合公司的规定，从而避免不符合规定的密码被使用。D.对所有员工进行意识教育-这个选项也是一个有效的纠正措施。通过意识教育，可以提高员工对密码安全性的认识，使他们更加重视密码的设置，从而避免类似问题的发生。综上所述，选项A更像是一个结果，而不是一个纠正措施。因此，不是针对该问题的纠正措施的是A.要求员工立即改正。10.为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。A.服务水平目标（SLO）B.恢复点目标（RPO）C.恢复时间目标（RTO）D.最长可接受终端时间（MAO）答案：B解析：为了达到组织灾难恢复的要求，需要明确恢复点目标（RPO）。恢复点目标（RPO）是指数据丢失的最大可接受量，即在灾难发生后，恢复到特定数据状态所需的最长时间。为了保证数据的安全性和完整性，备份时间间隔不能超过恢复点目标（RPO）。因此，选项B“恢复点目标（RPO）”是正确答案。11.根据GB/T22080-2016标准中控制措施的要求，信息安全控制措施不包括（）。A.安全策略B.物理和环境安全C.访问控制D.安全范围答案：D解析：根据GB/T22080-2016标准中控制措施的要求，信息安全控制措施主要包括安全策略、物理和环境安全、访问控制等。而选项D“安全范围”并不属于信息安全控制措施的内容。因此，正确答案为D。12.ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统。A.测量B.报告C.传递D.评价答案：A解析：ISMS（信息安全管理体系）的关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的测量系统。评价信息安全管理执行情况和改进反馈建议需要量化指标和数据进行支持，因此需要一个测量系统来收集、分析和报告这些数据，以便对信息安全管理的执行情况进行评估和改进。报告、传递和评价虽然都是信息安全管理体系中的重要环节，但都不是专门用于评价信息安全管理执行情况和改进反馈建议的系统。因此，答案为A，即测量系统。13.残余风险是指（）。A.风险评估前，以往活动遗留的风险B.风险评估后，对以往活动遗留的风险的估值C.风险处置后剩余的风险，比可接受风险低D.风险处置后剩余的风险，不一定比可接受风险低答案：D解析：残余风险是指风险处置后剩余的风险，不一定比可接受风险低。在风险评估和处置过程中，尽管已经采取了措施来降低风险，但可能仍然会存在一些未被完全消除的风险，这些风险就是残余风险。残余风险的大小不一定比可接受的风险低，因此选项D是正确的。选项A、B描述的是以往活动的遗留风险，与题目要求的“风险处置后剩余的风险”不符；选项C中“比可接受风险低”的表述与题目要求的“不一定比可接受风险低”不符。14.保密性是指（）。A.根据授权实体的要求可访问的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护信息准确和完整的特性D.以上都不对答案：B解析：保密性是指信息不被未授权的个人、实体或过程利用或知悉的特性。这是信息安全领域中的一个重要概念，旨在确保信息仅被授权的人员或实体访问和使用，防止未经授权的人员获取或泄露敏感信息。因此，选项B“信息不被未授权的个人、实体或过程利用或知悉的特性”是保密性的定义。其他选项与保密性的定义不符，所以答案为B。15.风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。A.识别可能性和影响B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影响答案：B解析：风险识别过程包括识别潜在风险的各种方面。从选项中可以看出，题目给出了资产识别、识别威胁、识别现有控制措施三个识别方向，根据风险管理的通用知识，风险识别还应包括识别脆弱性和识别后果。因此，正确答案为B选项，即“识别脆弱性和识别后果”。16.《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在（）向当地县级以上人民政府公安机关报告。A.8小时内B.12小时内C.24小时内D.48小时内答案：C解析：《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。因此，正确答案为C选项，即24小时内。17.根据GB/T22080-2016标准中控制措施的要求，应按计划的时间间隔或在重大变化发生时，对对组织的信息安全管理方法及其实现进行的（）。A.内部评审B.第三方评审C.系统评审D.独立评审答案：D解析：根据GB/T22080-2016标准中控制措施的要求，组织的信息安全管理方法及其实现应该按计划的时间间隔或在重大变化发生时进行独立评审。独立评审是一种独立的、不受组织内部干扰的评审方式，能够更客观地评估组织的信息安全管理方法及其实现的有效性、符合性和适宜性。因此，答案为D，即独立评审。18.当组织声称满足GB/T22080-2016标准时，审核中下列哪些章节不能删减（）。A.4-7和9-10B.4-10C.4-10和附录AD.1-10答案：B解析：本题考查的是GB/T22080-2016标准中哪些章节不能删减。根据GB/T22080-2016标准的规定，审核中不能删减的章节包括4-10。因此，选项B“4-10”是正确的答案。选项A“4-7和9-10”中包含了可删减的章节9-10，不符合题目要求；选项C“4-10和附录A”中包含了附录A，附录不是标准的正式内容，也不能删减；选项D“1-10”包括了所有章节，显然不是正确答案。因此，正确答案是B。19.关于散布图，以下说法正确的是：（）A.是描述特性值分布区间的图B.是描述一对变量关系的图C.是描述特性随时间变化趋势的图D.是描述变量类别分布的图答案：B解析：散布图是用来描述一对变量关系的图，它可以揭示两个变量之间的相关关系，帮助我们判断变量之间的关系是否为线性关系，从而为进一步的统计分析提供依据。因此，正确选项是B。选项A描述的是特性值分布区间的图，选项C描述的是特性随时间变化趋势的图，选项D描述的是变量类别分布的图，这些描述都不符合散布图的定义和用途。20.ISMS不一定必须保留的文件化信息有（）。A.适用性声明B.信息安全风险评估过程记录C.管理评审结果D.重要业务系统操作指南答案：D解析：在信息安全管理体系（ISMS）中，文件化信息指的是形成文件的信息及其承载媒体，通常包括信息安全策略、程序、指南、记录等。对于是否必须保留的文件化信息，我们需要根据具体的ISMS标准或指南来确定。A选项“适用性声明”通常是描述组织如何确保ISMS与组织的业务需求相匹配的声明，对于确保ISMS的有效性和适用性非常重要，因此通常建议保留。B选项“信息安全风险评估过程记录”是信息安全风险评估过程的证据，对于验证组织的风险管理活动是否有效非常关键，因此通常也是建议保留的。C选项“管理评审结果”是组织对其ISMS的评审结果，用于确定ISMS是否持续满足组织的需求和预期，也是建议保留的重要文件化信息。而D选项“重要业务系统操作指南”虽然对于指导员工正确操作重要业务系统非常重要，但它并不是ISMS必须保留的文件化信息。ISMS关注的是信息安全管理体系本身，而操作指南可能涉及具体的业务操作，虽然与信息安全有关，但不属于ISMS必须保留的文件化信息。因此，正确答案是D选项“重要业务系统操作指南”。21.依据GB/T22080，信息的标记应表明：（）A.相关供应商信息、日期、资产序列号B.其敏感性和关键性的类别和等级C.所属部门和批准人D.信息的性质，如软件、文档答案：B解析：依据GB/T22080，信息的标记应表明其敏感性和关键性的类别和等级。这是因为敏感性和关键性对于信息的安全性和保密性至关重要。了解信息的敏感性和关键性可以帮助组织采取适当的措施来保护信息，防止信息泄露或被未经授权的人员访问。因此，选项B“其敏感性和关键性的类别和等级”是正确的答案。22.对于获准认可的认证机构，认可机构证明（）。A.认证机构能够开展认证活动B.其在特定范围内按照标准具有从事认证活动的能力C.认证机构的每张认证证书都符合要求D.认证机构具有从事相应认证活动的能力答案：B解析：对于获准认可的认证机构，认可机构会证明其具备在特定范围内按照标准从事认证活动的能力。选项A只描述了认证机构能够开展认证活动，没有提到特定范围和标准，不够准确。选项C只涉及认证证书，没有涉及到认证机构的能力，与题意不符。选项D虽然提到了认证机构具有从事相应认证活动的能力，但没有明确提到是在特定范围内按照标准，所以也不是最准确的答案。因此，正确答案是B，即其在特定范围内按照标准具有从事认证活动的能力。23.根据ISO/IEC27001中规定，在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）。A.所需审核组能力的要求B.客户组织的准备程度C.所需能力的审核组成员D.客户组织的场所分布答案：C解析：根据ISO/IEC27001中的规定，认证机构在决定进行第二阶段审核之前，需要审查第一阶段的审核报告。这是为了确保第二阶段审核的有效性，并基于第一阶段的审核结果来选择合适的审核组成员。因此，认证机构应为第二阶段选择具有所需能力的审核组成员，以确保审核的准确性和有效性。选项A、B、D虽然都是重要的考虑因素，但并不是决定第二阶段审核前需要审查第一阶段审核报告的主要原因。因此，正确答案为C，即“所需能力的审核组成员”。24.《信息安全等级保护管理办法》规定的5级是信息系统受到破坏后会对（）造成严重损害。A.国家安全B.公共利益C.公民、法人和其他组织的合法权益D.社会秩序答案：A解析：根据《信息安全等级保护管理办法》的规定，信息系统的安全等级保护级别分为5级，其中第五级（专控保护级）表示信息系统受到破坏后会对国家安全造成严重损害。因此，选项A“国家安全”是正确的答案。其他选项如“公共利益”、“公民、法人和其他组织的合法权益”和“社会秩序”虽然都是重要的，但在此情境下并不是最符合规定的选项。25.有关数据中心机房中，支持性基础设施不包括（）。A.空调及新风系统、水气暖供应系统B.消防、防雷设施C.网络设备D.供电、通信设施答案：C解析：在数据中心机房中，支持性基础设施通常指的是为确保机房设备正常运行和人员安全所需的各项设施。选项中A、B、D所述内容均属于支持性基础设施，如空调及新风系统用于维持机房内的适宜环境，水气暖供应系统提供必要的能源，消防、防雷设施确保人员和设备的安全，供电、通信设施则是机房运行的基础。而选项C“网络设备”不属于支持性基础设施，而是机房内部运行的核心设备，因此正确答案为C。26.TCP/IP协议层次结构由（）。A.网络接口层、网络层组成B.网络接口层、网络层、传输层组成C.网络接口层、网络层、传输层和应用层组成D.其他选项均不正确答案：C解析：TCP/IP协议层次结构包括网络接口层、网络层、传输层和应用层。这个协议层次结构被广泛应用于互联网和计算机网络中，它定义了在不同层之间通信的方式和标准。其中，网络接口层负责将数据包发送到网络上，网络层负责数据包在网络中的路由和传输，传输层负责数据在源和目的节点之间的传输，应用层负责处理应用程序之间的通信。因此，选项C“网络接口层、网络层、传输层和应用层组成”是正确的。27.被黑客控制的计算机常被称为（）。A.蠕虫B.肉鸡C.灰鸽子D.木马答案：B解析：在网络安全领域中，被黑客控制的计算机通常被称为“肉鸡”，这是因为这些计算机被黑客利用来进行各种非法活动，如发送垃圾邮件、进行DDoS攻击等。而蠕虫、灰鸽子、木马等术语在网络安全中虽然也有特定的含义，但与“肉鸡”相比，它们并不特指被黑客控制的计算机。因此，正确答案是B选项，即“肉鸡”。28.形成ISMS审核发现时，不需要考虑的是（）。A.所实施控制措施与适用性声明的符合性B.适用性声明的完备性和适宜性C.所实施控制措施的时效性D.所实施控制措施的有效性答案：C解析：在形成ISMS（信息安全管理体系）审核发现时，我们需要考虑控制措施与适用性声明的符合性、适用性声明的完备性和适宜性以及所实施控制措施的有效性。然而，所实施控制措施的时效性并不是审核发现时需要考虑的因素。因此，选项C“所实施控制措施的时效性”是不需要考虑的。29.根据GB/T22080-2016标准中控制措施的要求，有关系统获取、开发和维护过程中的安全问题，以下描述错误的是（）。A.运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险B.系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理C.系统的获取、开发和维护过程中的安全问题，不仅仅是考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统D.系统的开发设计，应该越早考虑系统的安全需求越好答案：B解析：在GB/T22080-2016标准中，控制措施要求系统获取、开发和维护过程中的安全问题。针对选项B，它提到“系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理”。然而，加密技术的应用并不仅仅是选择密码算法，密钥的管理同样至关重要。一个安全的加密系统需要同时考虑密码算法和密钥的管理。因此，选项B的描述是错误的。对于选项A，运营系统上的敏感、真实数据直接用作测试数据确实会带来很大的安全风险，因为测试过程中可能引发数据泄露或系统崩溃等问题。选项C强调了在系统获取、开发和维护过程中，不仅要提供一个安全的开发环境，还要确保开发出安全的系统，这是符合标准要求的。选项D指出系统的开发设计应尽早考虑系统的安全需求，这也是符合标准的建议。综上所述，选项B的描述是错误的。30.A公司财务管理数据只能提供给授权的用户，安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉，这样就可以确保数据的哪个方面的安全性得到保障（）。A.保密性B.完整性C.可用性D.稳定性答案：A解析：题目描述了一个公司财务管理数据只能提供给授权的用户，并且采取了安全管理措施来确保数据不会被未授权的个人、实体或过程利用或知悉。这种措施的主要目的是确保数据不被未经授权的人员获取，从而保护数据的保密性。因此，正确答案是A，即保密性。31.按照PDCA思路进行审核，是指（）。A.按照认可规范中规定的PDCA流程进行审核B.按照认证机构的PDCA流程进行审核C.按照受审核区域活动的PDCA过程进行审核D.按照检查表策划的PDCA进行审核答案：C解析：PDCA循环是质量管理中的一个重要工具，包括计划（Plan）、执行（Do）、检查（Check）和行动（Act）四个阶段。按照PDCA思路进行审核，意味着审核应该按照被审核区域活动的PDCA过程进行，这样可以确保审核的完整性和系统性。选项A、B和D都没有明确指出按照被审核区域活动的PDCA过程进行审核，只有选项C明确提到了这一点，因此选项C是正确的。32.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”，对此以下说法正确的是（）。A.A.8可以删减B.A.12可以删减C.A.14可以删减D.以上都对答案：C解析：根据题目中的描述，数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”。ISMS认证通常要求涵盖组织的信息安全管理体系的各个方面，包括策略、过程、技术和人员等。对于题目中的选项，A.8、A.12和A.14是否可以删减，需要具体参考ISMS认证的相关标准和规范。由于题目没有提供具体的标准和规范内容，无法直接判断哪个选项是正确的。因此，需要更多的背景信息或上下文来确定正确答案。在没有更多信息的情况下，无法确定A.8、A.12和A.14是否可以删减，因此选项D“以上都对”显然是不正确的。唯一可以确定的是，如果题目中有关于这些条款是否可以删减的明确标准或规定，那么选项C“A.14可以删减”可能是正确的。因此，正确答案是C。然而，需要注意的是，这个答案是基于题目中的信息和常识推测得出的，并不一定准确，因为缺乏具体的背景信息。33.下列说法不正确的是（）。A.残余风险需要获得风险责任人的批准B.适用性声明需要包含必要的控制及其选择的合理性说明C.所有的信息安全活动都必须有记录D.组织控制下的员工应了解信息安全方针答案：C解析：A选项提到“残余风险需要获得风险责任人的批准”，这是正确的，因为残余风险是指即使采取了控制措施后仍然存在的风险，需要得到相关责任人的审批。B选项提到“适用性声明需要包含必要的控制及其选择的合理性说明”，这也是正确的，适用性声明是对控制措施适用性的声明，其中必须包含对控制措施及其选择的合理性说明。D选项表示“组织控制下的员工应了解信息安全方针”，这也是正确的，因为员工了解信息安全方针是确保信息安全的重要前提。而C选项“所有的信息安全活动都必须有记录”是不正确的。虽然信息安全活动应该尽可能地进行记录，但并不是所有的信息安全活动都需要有记录。有些活动可能由于各种原因（如涉及敏感信息或实时处理等）而不适合或无法进行记录。因此，C选项是不正确的。34.关于信息安全“连续性”，以下说法正确的是：（）A.信息安全连续性即IT设备运行的连续性B.信息安全连续性应是组织业务连续性的一部分C.信息处理设施的冗余即指两个或多个服务器互备D.信息安全连续性指标由IT系统的性能决定答案：B解析：信息安全连续性应该是指信息系统的持续运行和保障业务连续性的一种能力。它是组织业务连续性的重要组成部分，而不仅仅是IT设备运行的连续性。因此，选项B“信息安全连续性应是组织业务连续性的一部分”是正确的。选项A“信息安全连续性即IT设备运行的连续性”过于狭隘，没有涵盖业务连续性的更广泛含义。选项C“信息处理设施的冗余即指两个或多个服务器互备”虽然涉及到冗余，但并未涉及到信息安全连续性的整体概念。选项D“信息安全连续性指标由IT系统的性能决定”过于片面，信息安全连续性还包括其他因素，如人员、流程等。35.A公司的机房有一扇临街的窗户，下列风险描述中哪个风险与该种情况无关？（）A.机房设备面临被盗的风险B.机房设备面临受破坏的风险C.机房设备面临灰尘的风险D.机房设备面临人员误入的风险答案：D解析：题目描述的是A公司的机房有一扇临街的窗户，我们需要找出与这种情况无关的风险。A选项提到机房设备面临被盗的风险，这是合理的，因为临街的窗户可能给不法分子提供了进入机房的机会，从而盗取设备。B选项提到机房设备面临受破坏的风险，这也是可能的，因为临街的窗户可能受到外部因素（如天气、人为破坏等）的影响，导致设备受损。C选项提到机房设备面临灰尘的风险，这也是相关的。临街的窗户可能会让灰尘进入机房，对设备造成损害。D选项提到机房设备面临人员误入的风险，这与临街的窗户关系不大。人员误入通常指的是非授权人员进入机房，而临街的窗户虽然可能给外部人员提供进入的机会，但并不直接导致人员误入。人员误入的风险更多地与机房的门禁系统、标识等安全措施有关。因此，与临街的窗户情况无关的风险是D选项，即机房设备面临人员误入的风险。36.信息安全管理体系标准族中关于信息安全管理体系建设指南的标准是（）。A.ISO/IEC27003B.ISO/IEC27004C.ISO/IEC27005D.ISO/IEC27002答案：A解析：信息安全管理体系标准族中，关于信息安全管理体系建设指南的标准是ISO/IEC27003。ISO/IEC27003为信息安全管理体系提供了实践指南，旨在帮助组织建立、实施、监视、评审、保持和改进信息安全管理体系。因此，正确答案是A。37.GB/T22080标准中所指资产的价值取决于（）。A.资产的价格B.资产对于业务的敏感程度C.资产的折损率D.资产对于技术的实现程度答案：B解析：根据GB/T22080标准，资产的价值取决于资产对于业务的敏感程度。这是因为资产对于业务的重要性决定了其在业务运营中的价值。资产的价格、折损率以及对于技术的实现程度虽然都是评估资产价值的重要因素，但在该标准中，资产对于业务的敏感程度被认为是决定资产价值的核心因素。因此，正确答案为B。38.A公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）。A.风险接受B.风险规避C.风险转移D.风险减缓答案：B解析：风险规避是指通过避免潜在风险的活动或决策来消除风险。在这个问题中，公司发现无线网络存在大的安全隐患，为了处置这个风险，公司决定不再提供无线网络用于办公，这是一种避免风险的行为，因此属于风险规避。所以，正确答案是B，即风险规避。39.《信息安全等级保护管理办法》，信息系统的安全保护等级分为（）级。A.五级B.四级C.二级D.三级答案：A解析：《信息安全等级保护管理办法》中，信息系统的安全保护等级分为五级，分别是第一级（自主保护）、第二级（指导保护）、第三级（监督保护）、第四级（强制保护）和第五级（专控保护）。所以，本题的正确答案是A，即五级。40.GB/T22080-2016/ISO/IEC27001:2013标准附录A有（）安全域。A.18个B.16个C.15个D.14个答案：D解析：根据GB/T22080-2016/ISO/IEC27001:2013标准附录A，安全域的数量是14个，因此正确答案为D。在信息安全管理体系中，安全域是指具有相同或相似的安全需求、受相同或相似安全威胁的资产集合。GB/T22080-2016/ISO/IEC27001:2013标准附录A详细描述了这些安全域，并给出了每个安全域的定义和范围。因此，了解这些安全域对于建立有效的信息安全管理体系至关重要。多选题（共15题，共30分）41.管理评审的输出包括（）。A.管理评审报造B.持续改进机会相关决定C.管理评审会议纪要D.变更信息的安全管理体系任何需求答案：BD解析：管理评审的输出是管理评审活动结束后，由最高管理者或其授权人员根据评审输入信息，经过系统的评审活动，作出的关于安全管理体系及其过程的有效性和效率等方面的综合评价结论。根据管理评审的通常做法，管理评审的输出至少应包括对持续改进机会、管理体系变更的需要、资源需求等作出的相关决定。所以，持续改进机会相关决定和变更信息的安全管理体系任何需求都属于管理评审的输出。因此，正确答案为B、D。而选项A“管理评审报造”和C“管理评审会议纪要”都不是管理评审输出的正确选项。A选项中“报造”显然不是专业术语，可能是输入错误；C选项中的“管理评审会议纪要”虽然与管理评审有关，但它并不是管理评审的输出，而是管理评审过程中的一种记录或文件。42.风险处置的可选措施包括（）。A.风险识别B.风险分析C.风险转移D.风险减缓答案：CD解析：题目要求列出风险处置的可选措施。风险处置通常包括风险转移和风险减缓两种策略。风险转移是将风险从一个实体转移到另一个实体，例如通过保险或合同将风险转移给第三方。风险减缓则是通过采取措施来降低风险的可能性或影响，例如改进安全措施或增加备份系统。因此，正确答案是风险转移和风险减缓，即选项C和D。选项A风险识别是风险管理的第一步，涉及识别和记录潜在的风险，但不属于风险处置措施。选项B风险分析是对风险进行定量或定性评估的过程，也不属于风险处置措施。43.《中华人民共和国网络安全法》适用于在中华人民共和国境内（）网络，以及网络安全的监督管理。A.建设B.运营C.维护D.使用答案：ABCD解析：根据《中华人民共和国网络安全法》的规定，该法适用于在中华人民共和国境内建设、运营、维护、使用网络，以及网络安全的监督管理。因此，选项A、B、C、D都是正确的。44.依据GB/T22080，建立风险评估过程，包括（）。A.明确风险评估的职责B.定义风险接收准则C.定义风险评估实施准则D.编写风险评估程序答案：BC解析：在依据GB/T22080建立风险评估过程时，根据题目中的选项，我们需要判断哪些内容是风险评估过程应包括的部分。A.明确风险评估的职责：这个选项涉及的是风险评估过程中的人员分配和职责明确，虽然重要，但不是建立风险评估过程的直接内容。B.定义风险接收准则：这是风险评估过程中的关键部分，它定义了组织愿意接受的风险水平，为评估风险提供了参考标准。C.定义风险评估实施准则：这部分定义了如何实施风险评估，包括评估的方法、步骤和工具等，是风险评估过程的核心。D.编写风险评估程序：虽然编写程序是风险评估过程的一部分，但它更多地是实施准则的具体化，而不是建立风险评估过程的直接内容。综上所述，依据GB/T22080建立风险评估过程应包括B.定义风险接收准则和C.定义风险评估实施准则。因此，答案选B和C。45.含有高等级敏感信息的设备的处置可采取（）。A.采取使原始信息不可获取的技术破坏或删除B.多次的安全写覆盖C.彻底摧毁D.格式化处理答案：ABC解析：根据题目，需要选择适合处置含有高等级敏感信息的设备的措施。敏感信息的高等级意味着信息的重要性和敏感性非常高，需要采取强有力的措施确保信息不被泄露或被不当获取。A选项提到“采取使原始信息不可获取的技术破坏或删除”，这种技术破坏或删除的方式能够确保原始信息无法被获取，从而达到保护敏感信息的目的。B选项“多次的安全写覆盖”也是一种有效的措施。通过多次的安全写覆盖，可以覆盖原有的敏感信息，使其无法被恢复，从而保护敏感信息的安全。C选项“彻底摧毁”也是一种选择。彻底摧毁设备可以确保设备上的敏感信息无法被任何人获取，从而达到保护敏感信息的目的。D选项“格式化处理”虽然可以清除设备上的部分信息，但不一定能够确保敏感信息被完全清除，因此不是最佳的选择。综上所述，A、B和C选项都是适合处置含有高等级敏感信息的设备的措施，因此正确答案是A、B和C。46.可被视为可靠的电子签名，须同时符合以下条件（）。A.签署后对电子签名的任何改动能够被发现B.签署时电子签名制作数据仅由电子签名人控制C.签署后对数据电文内容和形式的任何改动能够被发现D.电子签名制作数据用于电子签名时，属于电子签名人专有答案：ABCD解析：根据《电子签名法》的规定，可被视为可靠的电子签名须符合以下四个条件：A.签署后对电子签名的任何改动能够被发现这是为了保证签名的不可篡改性，确保签名在签署后不会被非法修改。B.签署时电子签名制作数据仅由电子签名人控制这确保了签名的唯一性和责任归属，只有电子签名人能够制作并使用其电子签名。C.签署后对数据电文内容和形式的任何改动能够被发现这保证了数据电文在签署后的完整性，任何对数据电文内容和形式的改动都能够被发现。D.电子签名制作数据用于电子签名时，属于电子签名人专有这确保了电子签名制作数据的专属性，只有电子签名人能够使用其电子签名制作数据进行签名。因此，选项A、B、C和D都是可靠的电子签名所必须满足的条件。47.组织在风险处置过程中所选的控制措施需（）。A.将所有风险都必须被降低到可接受的级别B.可以将风险转移C.在满足公司策略和方针条件下有意识、客观地接受风险D.规避风险答案：BCD解析：在风险处置过程中，组织需要选择适当的控制措施来应对风险。这些控制措施可以是降低风险、转移风险、接受风险或规避风险。对于A选项“将所有风险都必须被降低到可接受的级别”，这过于绝对，因为有些风险可能无法完全降低，或者降低风险的成本可能过高。对于B选项“可以将风险转移”，这是风险处置的一种有效方式，例如通过购买保险来转移财务风险。对于C选项“在满足公司策略和方针条件下有意识、客观地接受风险”，这是组织在评估风险后，根据自身的承受能力和策略，有意识地接受某些风险。对于D选项“规避风险”，这也是风险处置的一种方式，特别是在风险过大或无法有效管理的情况下。因此，选项B、C和D都是正确的。48.根据GB/T22080-2016标准中控制措施的要求，有关设备安全的相关行为，适当的是（）。A.保护设备不受电力故障及其他电力异常影响B.应保护设备降低来自环境的威胁及灾害C.设备报废前将信息安全清除D.保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏答案：ABCD解析：根据GB/T22080-2016标准中控制措施的要求，有关设备安全的相关行为，适当的有：A.保护设备不受电力故障及其他电力异常影响-这是确保设备在电力故障或异常情况下能够正常运行，避免设备损坏或数据丢失的重要措施。B.应保护设备降低来自环境的威胁及灾害-这涉及到设备的环境适应性，确保设备在恶劣环境下能够稳定运行，减少因自然灾害或环境因素导致的设备故障。C.设备报废前将信息安全清除-这是确保设备报废后，其中的敏感信息不会被泄露或滥用，保护信息安全的重要步骤。D.保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏-这是确保数据传输和通讯安全的关键措施，防止数据被非法窃取或破坏。因此，选项A、B、C和D都是适当的设备安全相关行为。49.GB/T22080-2016/ISO/IEC27001:2013标准可用于（）。A.指导组织建立信息安全管理体系B.为组织建立信息安全管理体系提供控制措施的实施指南C.审核员实施审核的依据D.评估组织建立信息安全管理体系提供控制措施的实施指南答案：AC解析：GB/T22080-2016/ISO/IEC27001:2013标准主要用于指导组织建立信息安全管理体系，并为审核员实施审核提供依据。因此，选项A“指导组织建立信息安全管理体系”和选项C“审核员实施审核的依据”是正确的。选项B“为组织建立信息安全管理体系提供控制措施的实施指南”和选项D“评估组织建立信息安全管理体系提供控制措施的实施指南”不是该标准的主要用途，因此是错误的。50.设计一个信息安全风险管理工具，应包括如下模块（）。A.资产识别与分析B.漏洞识别与分析C.风险趋势分析D.信息安全事件管理流程答案：ABCD解析：信息安全风险管理工具应该包含资产识别与分析、漏洞识别与分析、风险趋势分析和信息安全事件管理流程等模块。资产识别与分析模块用于识别和评估组织的信息资产，包括硬件、软件、数据等；漏洞识别与分析模块用于发现和评估系统中存在的安全漏洞，以便及时采取修复措施；风险趋势分析模块用于分析信息安全风险的变化趋势，帮助决策者制定有效的风险管理策略；信息安全事件管理流程模块用于规范信息安全事件的响应和处理流程，确保在发生安全事件时能够迅速、有效地应对。因此，选项A、B、C、D都是信息安全风险管理工具应该包含的模块。51.依据GB/Z20986，确定为严重的系统损失的情况包括（）A.系统大面积瘫痪，丧失业务处理能力B.系统关键数据的保密性、完整性、可用性遭到破坏C.恢复系统正常运行和消除安全事件负面影响所需代价较大D.恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的答案：BD解析：首先，我们来分析题目中的选项：A.系统大面积瘫痪，丧失业务处理能力-这个描述的是系统瘫痪的严重程度，但题目要求的是依据GB/Z20986确定为严重的系统损失的情况，所以我们需要查看GB/Z20986中的相关规定。B.系统关键数据的保密性、完整性、可用性遭到破坏-这个选项直接涉及到了系统数据的安全性问题，是符合GB/Z20986对严重系统损失的定义的。C.恢复系统正常运行和消除安全事件负面影响所需代价较大-这个选项描述的是恢复系统所需的代价，但题目要求的是严重的系统损失，所以我们需要查看是否这个代价大到被认为是严重的损失。D.恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的-这个选项描述的是代价的可承受性，与严重的系统损失的定义不符。综上，根据题目要求和GB/Z20986的规定，确定为严重的系统损失的情况包括系统关键数据的保密性、完整性、可用性遭到破坏。因此，正确答案是B。52.《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度。A.新闻、出版B.医疗、保健C.知识类D.教育类答案：ABD解析：《互联网信息服务管理办法》是为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益而制定的法规。根据该法规，互联网信息服务分为经营性和非经营性两类。对于新闻、出版、医疗保健、药品和医疗器械等关系国家利益和社会公共利益的系统使用的互联网信息服务，以及生产建设经营单位使用并形成向社会公众提供互联网信息服务的系统，需要经主管部门或者主管单位审核同意后，才能由互联网信息服务提供者开展相关服务。因此，新闻、出版、医疗、保健、教育类的互联网信息服务实行主管部门审核制度。53.根据GB/T28450，审核方案应考虑的内容包括（）。A.体系覆盖的场所B.体系覆盖的人数C.特权用户的数量D.IT平台的数量答案：ABCD解析：根据GB/T28450的规定，审核方案应考虑的内容应包括体系覆盖的场所、体系覆盖的人数、特权用户的数量以及IT平台的数量。这些要素都是审核方案制定时需要考虑的关键因素，它们直接影响审核的范围、深度和效果。因此，选项A、B、C和D都是正确的。54.ISO/IEC27000系列标准主要包括哪几类标准？（）A.要求类B.应用类C.指南类D.术语类答案：ACD解析：ISO/IEC27000系列标准主要包括要求类、指南类和术语类。这些标准在信息安全管理体系（ISMS）的建立、实施、监视、评审、改进以及提供信息安全保证等方面提供了指导。其中，要求类标准定义了组织需要满足的信息安全控制要求；指南类标准提供了如何实施这些控制要求的建议；术语类标准则定义了信息安全领域的相关术语。因此，选项A、C和D是正确的。选项B“应用类”并不在ISO/IEC27000系列标准的主要分类中。55.信息安全管理体系审核范围的确定，需要考虑（）。A.业务范围和边界B.组织的范围和边界C.物理范围和边界D.资产范围和边界答案：ABCD解析：在信息安全管理体系审核中，审核范围的确定需要考虑多个方面。首先，需要考虑组织的业务范围和边界，以确定组织在信息安全方面的职责和义务。其次，组织的范围和边界也是重要的考虑因素，包括组织的规模、部门、人员等，以确保审核的全面性和准确性。此外，物理范围也是需要考虑的，这包括组织的物理设施、网络架构、设备等，以确保信息安全管理体系的有