CCAA - 2023年05月信息安全管理体系基础答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布2023年05月信息安全管理体系基础答案及解析单选题（共40题，共80分）1.根据GB/T22080-2016标准的要求，信息安全管理体系通过风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立（）信心。A.信息安全得到充分管理B.风险得到适当管理C.风险得到充分管理D.信息安全得到适当管理答案：C解析：根据GB/T22080-2016标准的要求，信息安全管理体系通过风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立信心。在给出的选项中，只有“风险得到充分管理”与这一要求相符。因此，正确答案为C。2.根据GB/T22080-2016标准的要求，下列选项不属于最高管理层用来证实对信息安全管理体系的领导和承诺的活动？（）A.确保信息安全组织职责分离B.促进持续改进C.确保建立了信息安全策略和信息安全目标，并与组织战略方向一致D.确保将信息安全管理体系要求整合到组织过程中答案：A解析：根据GB/T22080-2016标准的要求，最高管理层用来证实对信息安全管理体系的领导和承诺的活动包括确保信息安全策略和信息安全目标与组织战略方向一致，以及确保将信息安全管理体系要求整合到组织过程中。而确保信息安全组织职责分离并不是最高管理层用来证实对信息安全管理体系的领导和承诺的活动。因此，选项A不属于最高管理层用来证实对信息安全管理体系的领导和承诺的活动，故选A。3.根据GB/T22080-2016标准，在理解组织及其环境时，组织应确定（）。A.与其意图相关的，且影响其实现信息安全管理能力的外部和内部事项B.与信息安全方针相关的，且影响其实现信息安全管理能力的内部和外部事项C.与其战略相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项D.与其意图相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项答案：D解析：根据GB/T22080-2016标准，在理解组织及其环境时，组织应确定与其意图相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项。因此，正确答案为D。A选项提到的是“与其意图相关的，且影响其实现信息安全管理能力的外部和内部事项”，而B选项提到的是“与信息安全方针相关的，且影响其实现信息安全管理能力的内部和外部事项”，这两个选项都没有明确提到“信息安全管理体系预期结果能力”，因此可以排除。C选项提到的是“与其战略相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项”，虽然提到了“信息安全管理体系预期结果能力”，但是与题目中的“组织及其环境”不太匹配，因此也可以排除。因此，正确答案是D选项，即“与其意图相关的，且影响其实现信息安全管理体系预期结果能力的内部和外部事项”。4.对于信息安全方针，（）是GB/T22080-2016标准所要求的。A.信息安全方针应形成文件化信息并可用B.信息安全方针文件为公司内部重要信息，不得向外部泄露C.信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D.信息安全方针是建立信息安全工作的总方向和原则，不可变更答案：A解析：对于信息安全方针，GB/T22080-2016标准所要求的是“信息安全方针应形成文件化信息并可用”。根据标准的要求，信息安全方针应形成明确的文件化信息，并且这些信息应易于获取和使用。这有助于确保组织内的所有成员都能了解并遵循统一的信息安全方针。因此，选项A“信息安全方针应形成文件化信息并可用”是符合GB/T22080-2016标准要求的。选项B“信息安全方针文件为公司内部重要信息，不得向外部泄露”虽然强调了信息安全方针的保密性，但并未直接涉及文件化信息的要求；选项C“信息安全方针文件应包括对信息安全管理的一般和特定职责的定义”虽然提到了职责的定义，但并未明确提到文件化信息的要求；选项D“信息安全方针是建立信息安全工作的总方向和原则，不可变更”强调了信息安全方针的重要性，但也没有涉及文件化信息的要求。因此，正确答案是A。5.根据GB/T22080-2016标准的要求，信息安全管理体系最高管理层确保信息安全管理达到（）。A.预期效果B.顾客满意C.法规要求D.法律要求答案：A解析：信息安全管理体系最高管理层需要确保信息安全管理达到“预期效果”。这是因为预期效果是信息安全管理体系的核心目标，管理层应确保体系能够按照预定的目标进行运作，从而确保信息安全的有效性和可持续性。而顾客满意、法规要求和法律要求虽然都是信息安全管理体系需要考虑的因素，但不是最高管理层确保信息安全管理的直接目标。因此，正确答案为A，即预期效果。6.根据GB/T22080-2016标准的要求，相关方的要求可能包括（）。A.标准、法规要求和合同义务B.法律、标准要求和合同义务C.法律、法规要求和合同义务D.法律、法规和标准要求和合同义务答案：C解析：根据GB/T22080-2016标准的要求，相关方的要求可能包括法律、法规要求和合同义务。这是因为GB/T22080-2016标准是一个关于信息安全管理体系的标准，它要求组织在建立和实施信息安全管理体系时，必须考虑相关方的要求，包括法律、法规要求和合同义务。因此，选项C“法律、法规要求和合同义务”是正确的答案。选项A中的“标准”和选项B中的“标准要求”都没有在题目中明确提到，因此不是正确答案。选项D中的“标准要求”与选项A重复，因此也不是正确答案。7.根据GB/T22080-2016标准中控制措施的要求，有关安全登陆规程，不能接受的做法是（）。A.在设备上张贴警示通告，说明只有已授权用户才能访问计算机B.忘记个人口令，暴力破解尝试登陆C.输入口令时不显示系统或应用标识符，直到登陆过程已成功完成为止D.在安全登陆期间，不提供对未授权用户有帮助作用的信息答案：B解析：根据GB/T22080-2016标准中控制措施的要求，有关安全登陆规程，不能接受的做法是忘记个人口令，暴力破解尝试登陆。这是因为暴力破解是一种非法手段，会破坏系统的安全性，并可能导致数据泄露或系统崩溃。其他选项如A、C和D都是符合安全登陆规程的做法，能够提高系统的安全性。因此，选项B是不符合安全登陆规程的做法。8.根据GB/T22080-2016标准中控制措施的要求，有关系统软件安全开发策略，可以不考虑下列哪一项内容？（）A.项目里程碑的安全检查点B.开发项目进度C.软件开发生命周期中的安全指南D.开发环境的安全答案：B解析：《GB/T22080-2016信息安全技术信息系统安全等级保护要求》标准中，对系统软件安全开发策略提出了控制措施要求。其中包括项目里程碑的安全检查点、软件开发生命周期中的安全指南以及开发环境的安全等，但不包括开发项目进度。因此，正确答案是不考虑开发项目进度。9.根据GB/T22080-2016标准的要求，以下说法正确的是（）。A.潜在事件发生的可能性与后果的和决定了风险的级别B.潜在事件后果的严重性决定了风险级别C.潜在事件发生的可能性和后果相乘决定了风险级别D.已发生事件的后果决定了风险级别答案：C解析：根据GB/T22080-2016标准的要求，风险的级别是由潜在事件发生的可能性和后果相乘来决定的，因此选项C是正确的。而选项A、B、D的说法都与标准的要求不符。10.关于GB/T22080-2016，以下说法正确的是（）。A.相关方的需求和期望是组织制定信息安全方针的输入B.实施标准4.1~4.2，须编制相关方管理程序”，形成文件C.组织须维护一份相关方及其需求和期望的清单D.组织应识别的相关方不随ISMS范围而变化答案：A解析：根据GB/T22080-2016《信息安全管理体系要求》，相关方的需求和期望是组织制定信息安全方针的输入，因此选项A正确。实施标准4.1~4.2需要编制相关方管理程序，形成文件，但这不是一个直接的说法，所以选项B不正确。虽然组织应该维护一份相关方及其需求和期望的清单，但这并不是GB/T22080-2016的直接要求，因此选项C不正确。组织应识别的相关方可能随ISMS范围而变化，因此选项D不正确。因此，正确答案是A。11.根据GB/T22080-2016标准中控制措施的要求，应根据法律、法规、规章、合同和业务要求，确保对记录进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。是（）的条款的要求。A.A.13.2.3B.A.18.1.3C.A.9.4.1D.A.7.5.3答案：B解析：根据题目中的描述，控制措施要求确保对记录进行保护以防止其丢失、损毁、伪造、未授权访问和未授权发布。这符合GB/T22080-2016标准中A.18.1.3条款的要求，该条款是关于记录保护的详细内容。因此，正确答案为B。其他选项A.13.2.3、A.9.4.1和A.7.5.3均不符合题目中描述的控制措施要求。12.以下符合GB/T22080-2016标准A.18.1.4条款要求的情况是（）。A.认证范围内员工的个人隐私数据得到保护B.认证范围内涉及顾客的个人隐私数据得到保护C.认证范围内涉及相关方的个人隐私数据得到保护D.其他选项均正确答案：D解析：在解答本题时，首先要理解题目中的关键词和术语，包括"符合GB/T22080-2016标准A.18.1.4条款要求"以及"认证范围内员工的个人隐私数据得到保护"、"认证范围内涉及顾客的个人隐私数据得到保护"、"认证范围内涉及相关方的个人隐私数据得到保护"等。接着，我们需要分析每个选项是否符合题目要求。A选项提到"认证范围内员工的个人隐私数据得到保护"，但题目中并未明确说明这是否符合GB/T22080-2016标准A.18.1.4条款要求。B选项提到"认证范围内涉及顾客的个人隐私数据得到保护"，同样，题目中也没有明确说明这是否符合标准。C选项提到"认证范围内涉及相关方的个人隐私数据得到保护"，同样，题目中也没有明确说明这是否符合标准。D选项表示"其他选项均正确"，由于A、B、C选项都不符合题目要求，因此D选项实际上是正确的。因此，根据题目和选项的分析，我们可以得出结论：符合GB/T22080-2016标准A.18.1.4条款要求的情况是"其他选项均正确"，即D选项。13.根据ISO/IEC27000标准，（）为组织提供了信息安全管理体系实施指南。A.ISO/IEC27002B.ISO/IEC27007C.ISO/IEC27013D.ISO/IEC27003答案：D解析：ISO/IEC27000是一个信息安全管理体系的标准，它提供了信息安全管理体系的基础和原则。然而，它本身并不提供具体的实施指南。为了获取实施指南，我们需要参考其他相关的ISO/IEC标准。选项A，ISO/IEC27002是一个信息安全管理实践的代码，它提供了一系列信息安全控制措施和指南，以帮助企业建立和实施有效的信息安全管理体系。但它不是ISO/IEC27000的直接实施指南。选项B，ISO/IEC27007是关于信息安全管理体系的指南，但它更侧重于信息安全管理体系的审计和合规性。选项C，ISO/IEC27013是一个关于云计算安全性的标准，它提供了一系列云计算环境的信息安全控制。但它不是ISO/IEC27000的实施指南。选项D，ISO/IEC27003是关于信息安全管理体系实施指南的标准。它详细说明了如何实施和运营一个信息安全管理体系，与ISO/IEC27000的标准相辅相成。综上所述，ISO/IEC27003为组织提供了信息安全管理体系实施指南，所以答案是D。14.根据GB/T22080-2016/ISO/IEC27001：2013标准，以下做法不正确的是（）。A.应保留含有敏感信息的介质的处置记录B.离职人员自主删除敏感信息的即可C.必要时采用多路线路供电D.应定期检查机房空调的有效性答案：B解析：根据GB/T22080-2016/ISO/IEC27001：2013标准，敏感信息的处理和管理是信息安全的重要组成部分。对于选项A，保留含有敏感信息的介质的处置记录，有助于追踪和处理敏感信息的处置，确保信息的安全性，所以A选项是正确的。对于选项B，离职人员自主删除敏感信息可能存在风险，因为员工可能在离职后删除敏感信息，这可能导致信息丢失或泄露，因此B选项是不正确的。对于选项C，采用多路线路供电可以提高供电的可靠性和稳定性，确保信息系统的正常运行，所以C选项是正确的。对于选项D，定期检查机房空调的有效性可以确保机房环境的稳定，防止因环境问题导致的信息泄露或损坏，所以D选项也是正确的。因此，不正确的做法是B选项。15.根据GB/T22081-2016标准的要求，附录A包含（）项控制措施。A.114B.139C.143D.133答案：A解析：根据GB/T22081-2016标准的要求，附录A包含114项控制措施。因此，正确答案为A。16.根据ISO/IEC27006标准，认证决定应基于审核报告中（）对客户ISMS是否通过认证的建议。A.审核组B.观察员C.认证决定人员D.审核员答案：A解析：根据ISO/IEC27006标准，认证决定应基于审核报告中审核组的建议来决定客户ISMS是否通过认证。审核组是负责进行客户ISMS审核的专业团队，他们会根据审核结果给出是否通过认证的建议。因此，选项A“审核组”是正确答案。观察员、认证决定人员和审核员虽然与ISMS认证有关，但都不是基于审核报告中的建议来决定认证结果的。17.根据GB/T28450标准，ISMS文件评审不包括（）。A.信息安全管理手册的充分性B.风险评估报告的合理性C.适用性声明的完备性和合理性D.风险处置计划的完备性答案：A解析：根据GB/T28450标准，ISMS文件评审主要包括风险评估报告的合理性、适用性声明的完备性和合理性以及风险处置计划的完备性。信息安全管理手册的充分性并不属于ISMS文件评审的内容。因此，正确答案是A。18.ISO/IEC27701是（）。A.ISO/IEC27001和ISO/IEC27002在隐私保护方面的扩展B.是ISMS族以外的标准C.在隐私保护方面扩展了ISO/IEC27001的要求D.是一份基于ISO/IEC27002的指南性标准答案：A解析：ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在隐私保护方面的扩展。ISO/IEC27701是一个专门关注隐私保护的信息安全标准，它扩展了ISO/IEC27001在隐私保护方面的要求，并与ISO/IEC27002的原则和控制措施相协调。因此，选项A“ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在隐私保护方面的扩展”是正确的。选项B“是ISMS族以外的标准”不准确，因为ISO/IEC27701是ISMS族的一部分。选项C“在隐私保护方面扩展了ISO/IEC27001的要求”虽然部分正确，但没有明确提到与ISO/IEC27002的协调。选项D“是一份基于ISO/IEC27002的指南性标准”也不准确，因为ISO/IEC27701并不是一个指南性标准，而是一个正式的标准。19.A公司进行风险评估后发现公司的无线网络存在大的安全隐患，为了处置这个风险，公司不再提供无线网络用于办公，这种处置方式属于（）。A.风险接受B.风险规避C.风险转移D.风险减缓答案：B解析：风险规避是指通过避免潜在风险的活动或决策来消除风险。在这个问题中，公司发现无线网络存在大的安全隐患，为了处置这个风险，公司决定不再提供无线网络用于办公，这是一种避免风险的行为，因此属于风险规避。所以，正确答案是B，即风险规避。20.风险偏好是组织寻求或保留风险的（）。A.行动B.计划C.意愿D.批复答案：C解析：风险偏好是组织在决策过程中对于风险的态度，它决定了组织在面临风险时是否愿意寻求或保留风险。因此，风险偏好是组织寻求或保留风险的意愿，选项C“意愿”最符合题意。其他选项如行动、计划和批复虽然与风险有关，但都不直接描述组织对于风险的态度，因此不是最佳答案。21.根据GB/Z20986，由于保障信息系统正常运行所必须的外围设施出现故障而导致的信息安全事件是（）。A.其他设备设施故障B.外围保障设施故障C.人为破坏事故D.软硬件自身故障答案：B解析：题目询问的是由于保障信息系统正常运行所必须的外围设施出现故障而导致的信息安全事件。在GB/Z20986中，这种由于外围保障设施故障而导致的信息安全事件被称为外围保障设施故障。因此，选项B是正确的答案。其他选项，如其他设备设施故障、人为破坏事故和软硬件自身故障，虽然可能也是信息安全事件的原因，但不是由于外围保障设施故障导致的。22.根据GB/T29246，信息处理设施不包括（）。A.信息系统B.系统和设施安置的物理场所C.人及文档D.服务和基础设施答案：C解析：根据GB/T29246，信息处理设施主要包括信息系统、系统和设施安置的物理场所以及服务和基础设施。而人及文档并不属于信息处理设施的一部分，因此，根据题目选项，人及文档是不包括在信息处理设施中的，所以正确答案为C。23.依据GB/T29246，以（）的组合来表示风险的大小。A.后果和其可能性B.资产和其可能性C.资产和其脆弱性D.后果和其脆弱性答案：A解析：依据GB/T29246，风险的大小是通过后果和可能性的组合来表示的。因此，正确选项是A，后果和其可能性。24.关于GB17859，以下说法正确的是（）。A.特定的法律法规引用该标准在引用的范围内视为强制性标准B.这是一份推荐性标准C.这是一份强制性标准D.组织选择使用该标准在选择的范围内视为强制性标准答案：C解析：根据《标准化法》的规定，保障人体健康，人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准，其他标准是推荐性标准。因此，GB17859作为保障人体健康、人身和财产安全的标准，属于强制性标准。因此，选项C“这是一份强制性标准”是正确的。其他选项A、B、D均不符合法律规定。25.根据GB/T25058《信息安全技术网络安全等级保护实施指南》，对等级保护对象实施等级保护的基本流程包括，等级保护对象（）阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和定级对象终止阶段。A.备案与风险评估B.定级与风险管理C.定级与风险评估D.定级与备案答案：D解析：根据GB/T25058《信息安全技术网络安全等级保护实施指南》，等级保护对象实施等级保护的基本流程包括定级对象阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和定级对象终止阶段。题目中给出的选项分别为：备案与风险评估、定级与风险管理、定级与风险评估、定级与备案。根据指南，定级是等级保护对象实施等级保护的首要步骤，因此正确选项为“定级与备案”，对应选项D。选项A“备案与风险评估”和选项B“定级与风险管理”均不准确，选项C“定级与风险评估”中的“风险评估”与指南中的“备案”不符。因此，正确答案为D。26.以下哪个不是威胁？（）A.错误使用B.文献缺乏C.电磁辐射D.权力滥用答案：B解析：在这个问题中，我们需要识别出哪一个选项不是威胁。A选项“错误使用”可能指的是技术或工具的错误使用，这可能会带来风险或威胁。B选项“文献缺乏”指的是缺乏相关的资料或信息，虽然这可能导致某些问题或不便，但它本身并不构成直接的威胁。C选项“电磁辐射”是一种物理现象，如果超出安全范围，可能会对人体和环境造成威胁。D选项“权力滥用”指的是对权力的不当使用，这可能导致不公平、不公正的行为，从而构成威胁。因此，在这四个选项中，只有B选项“文献缺乏”不是直接的威胁。所以，正确答案是B。27.拒绝服务攻击损害了下列哪一种信息安全特性？）。A.完整性B.可用性C.机密性（保密性）D.可靠性答案：B解析：拒绝服务攻击（DenialofService，DoS）是一种使目标系统或服务无法正常响应请求的攻击方式。它通常通过发送大量的无效或重复请求来耗尽目标系统的资源，从而导致合法用户无法获得服务。因此，拒绝服务攻击损害了信息安全特性中的可用性（availability）。完整性（Integrity）是指数据或系统在未经授权的情况下不会被修改或破坏，与拒绝服务攻击无直接关系。机密性（Confidentiality）或保密性是指信息不会被未授权的人员获取，与拒绝服务攻击也不直接相关。可靠性（Reliability）是指系统或服务在给定条件下能够按照预期运行的能力，虽然拒绝服务攻击可能会影响系统的可靠性，但它主要影响的是可用性，而不是可靠性。因此，答案为B，即可用性（availability）。28.某种网络安全威胁是通过非法手段对数据进行恶意修改，这种安全威胁属于（）。A.窃听数据B.破坏数据完整性C.破坏数据可用性D.物理安全威胁答案：B解析：题目中描述的网络安全威胁是通过非法手段对数据进行恶意修改，这种威胁直接影响了数据的完整性和准确性，因此属于破坏数据完整性的安全威胁。选项A“窃听数据”是指未经授权地获取数据，但不涉及数据的修改；选项C“破坏数据可用性”是指使数据无法被正常访问或使用，但题目中并未提到数据不可用；选项D“物理安全威胁”是指对计算机硬件的物理破坏或干扰，与题目描述不符。因此，正确答案是B，即破坏数据完整性。29.当访问某资源存在不存活的链接时，会导致非法用户冒用并进行重放攻击的可能性，因此应采取（）控制措施。A.密码控制B.密钥控制C.会话超时D.远程访问控制答案：C解析：当访问某资源存在不存活的链接时，会导致非法用户冒用并进行重放攻击的可能性。为了防范这种攻击，应采取会话超时控制措施。会话超时意味着在一段时间内如果用户没有进行任何操作，会话将被自动终止，从而防止攻击者利用过期的会话进行重放攻击。因此，正确答案是“会话超时”。其他选项如密码控制、密钥控制和远程访问控制虽然都是安全措施，但与题目中描述的特定场景不直接相关。30.在以下人为的恶意攻击行为中，属于主动攻击的是（）。A.数据窃听B.误操作C.数据流分析D.数据篡改答案：D解析：在计算机网络中，主动攻击和被动攻击是两种主要类型的攻击方式。主动攻击是对数据包进行篡改或伪造，如数据篡改，它会改变数据包的内容。被动攻击则是对数据包进行监听和截获，如数据窃听，但不会改变数据包的内容。误操作和数据流分析不属于攻击行为，因此可以排除。因此，属于主动攻击的是数据篡改，所以答案是D。31.用户访问某Web网站，用户直接采取的安全措施是（）。A.服务器数据备份B.防火墙过滤数据包C.用户输入登录口令D.核心交换机的热备答案：C解析：在访问Web网站时，用户直接采取的安全措施是输入登录口令。这是因为登录口令是用户身份认证的重要凭据，通过输入正确的登录口令，用户可以证明自己有权访问该网站，从而确保自己的账户安全。而服务器数据备份、防火墙过滤数据包和核心交换机的热备都是网站管理员或系统管理员采取的安全措施，与用户直接采取的安全措施不同。因此，正确答案为C选项，即用户输入登录口令。32.以下不属于描述性统计技术的是（）。A.正态分布B.散布图C.帕累托图D.直方图答案：A解析：描述性统计技术主要用于对一组数据进行整理和概括，帮助人们理解数据的特征和分布。在本题中，给出的选项中，A项“正态分布”描述的是一组数据的概率分布特征，但它并不是描述性统计技术，而是统计理论中的一个重要概念。B项“散布图”、C项“帕累托图”和D项“直方图”都是描述性统计技术，用于描述数据的不同特征。因此，不属于描述性统计技术的是A项“正态分布”。33.关于密码技术，以下哪项属于非对称密码技术？）。A.RSAB.DESC.3DESD.ES答案：A解析：非对称密码技术，也被称为公钥密码技术，它使用一对密钥：公钥和私钥。公钥用于加密信息，而私钥用于解密信息。RSA是一种典型的非对称密码技术，它使用公钥和私钥进行加密和解密操作。相比之下，DES、3DES和ES（可能指的是AES）都是对称密码技术，它们使用相同的密钥进行加密和解密。因此，选项A“RSA”是非对称密码技术。34.对于“监控系统”的存取与使用，下列说法正确的是（）。A.监控系统所产生的记录可由用户任意存取B.应保持时钟同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略答案：B解析：监控系统是为了监控和记录系统运行情况，确保系统安全稳定运行的重要工具。对于监控系统的存取与使用，我们需要根据系统的设计和使用要求来判断。A选项提到监控系统所产生的记录可由用户任意存取，但实际情况是，监控系统的记录通常受到一定的访问控制，以确保数据的安全性和完整性。因此，A选项不正确。B选项提到应保持时钟同步，这是监控系统正常运行的重要条件。监控系统需要精确的时间戳来记录事件，因此保持时钟同步对于确保记录的准确性和一致性至关重要。所以，B选项是正确的。C选项提到只有当系统发生异常事件及其他安全相关事件时才需进行监控，但实际上，监控系统应该持续运行，以监控系统的整体运行情况，而不仅仅是异常事件。因此，C选项不正确。D选项提到监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略。然而，监控系统对于确保系统安全稳定运行至关重要，不能因为投资或效能问题而暂时省略。因此，D选项不正确。综上所述，正确答案是B选项，即应保持时钟同步。35.SaaS是指（）。A.软件即服务B.平台即服务C.应用即服务D.基础设施即服务答案：A解析：SaaS是"SoftwareasaService"的缩写，意为"软件即服务"。它是一种软件交付模式，用户通过订阅的方式使用软件服务，无需购买、安装和维护软件本身。因此，正确答案为A选项。其他选项如B（平台即服务）、C（应用即服务）和D（基础设施即服务）都不是SaaS的正确描述。36.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证（）。A.安全技术措施同步规划、同步建设、同步使用B.三级以上信息系统的安全子系统同步规划、同步建设、同步使用C.秘密级以上信息系统的安全子系统同步规划、同步建设、同步使用D.机密级及以上信息系统的安全子系统同步规划、同步建设、同步使用答案：A解析：根据题目描述，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。因此，正确答案为A选项，即“安全技术措施同步规划、同步建设、同步使用”。其他选项如“三级以上信息系统的安全子系统同步规划、同步建设、同步使用”、“秘密级以上信息系统的安全子系统同步规划、同步建设、同步使用”和“机密级及以上信息系统的安全子系统同步规划、同步建设、同步使用”均不符合题目要求。37.根据《中华人民共和国密码法》所称密码，以下说法不正确的是（）。A.国家密码管理部门负责管理全国的密码工作，市级以上地方各级密码管理部门负责管理本行政区域的密码工作B.密码是指采用特定变换的方法对信息进行加密保护、安全认证的技术、产品和服务C.秘密工作坚持总体国家安全观D.密码分为核心密码、普通密码和商用密码答案：A解析：《中华人民共和国密码法》规定，国家密码管理部门负责管理全国的密码工作，县级以上地方各级密码管理部门负责管理本行政区域的密码工作。因此，A选项中的“市级以上地方各级密码管理部门负责管理本行政区域的密码工作”说法不正确。B选项描述了密码的定义，C选项提到了密码工作要坚持总体国家安全观，D选项列举了密码的分类，均符合《中华人民共和国密码法》的规定。因此，正确答案是A。38.根据《互联网信息服务管理办法》，以下哪个说法是错误的？（）A.互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号B.互联网信息服务提供者变更服务项目、网站网址等事项的，应当提前30日向原审核、发证或者备案机关办理变更手续C.非经营性互联网信息服务提供者可以从事有偿服务D.互联网信息服务提供者应当按照经许可或者备案的项目提供服务，不得超出经许可或者备案的项目提供服务答案：C解析：《互联网信息服务管理办法》规定，非经营性互联网信息服务提供者不得从事有偿服务。因此，选项C的说法是错误的。其他选项A、B、D的说法均符合该管理办法的规定。39.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为（）。A.三级B.二级C.四级D.五级答案：A解析：《信息安全等级保护管理办法》中规定了信息系统安全保护能力应根据信息系统在国家安全、社会稳定方面的重要程度，遭到破坏后对社会产生的危害程度以及系统本身的安全防护能力和系统服务的对象等因素确定，并按照等级测评、建设整改、监督检查、系统定级的流程进行。信息系统安全保护等级分为五级，从低到高依次为：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。因此，如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为第三级。故本题选A。40.根据《中华人民共和国计算机信息系统安全保护条例》，计算机犯罪是指行为人通过（）所实施的危害（）安全以及其他严重危害社会的并应当处以刑罚的行为。A.数据库操作计算机信息系统B.计算机操作计算机信息系统C.数据库操作管理信息系统D.计算机操作应用信息系统答案：B解析：根据《中华人民共和国计算机信息系统安全保护条例》的定义，计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统安全以及其他严重危害社会的并应当处以刑罚的行为。因此，正确答案为B选项，即“计算机操作计算机信息系统”。A选项“数据库操作计算机信息系统”和C选项“数据库操作管理信息系统”都不符合条例的定义，而D选项“计算机操作应用信息系统”则表述不够准确，因为“应用信息系统”并不是条例中明确提到的概念。多选题（共15题，共30分）41.根据GB/T22080-2016，（）活动是ISMS建立阶段完成的内容。A.确定ISMS的范围和边界B.确定ISMS方针C.确定风险评估方法并实施风险评估D.实施体系文件培训答案：AB解析：根据GB/T22080-2016，信息安全管理体系（ISMS）的建立阶段包括确定ISMS的范围和边界以及确定ISMS方针。这两个活动都是建立阶段的重要步骤，用于明确ISMS的覆盖范围和目标，为后续的体系建设和实施奠定基础。因此，选项A和B是正确的。选项C和D虽然也是ISMS中的重要活动，但它们通常是在ISMS建立阶段之后进行的，如风险评估和体系文件培训等。42.信息有其固有的生命周期，即从其（）。A.创建和产生B.使用、传输C.存储、处理D.销毁或消失答案：ABCD解析：题目考察的是信息的生命周期，信息的生命周期通常包括从创建到销毁或消失的过程。因此，选项A“创建和产生”、B“使用、传输”、C“存储、处理”和D“销毁或消失”都是信息生命周期中可能涉及的过程。因此，正确答案是ABCD。43.根据GB/T22080-2016中控制措施的要求，关于用户的秘密鉴别信息管理，正确的是（）。A.鉴别信息宜加密保存B.对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息C.鉴别信息的保护可作为任用条件或条款的内容D.使用QQ传递鉴别信息答案：ABC解析：根据GB/T22080-2016《信息安全技术个人信息安全规范》中的控制措施要求，关于用户的秘密鉴别信息管理，以下选项是正确的：A.鉴别信息宜加密保存：这是为了保障鉴别信息的安全性，防止被非法获取或篡改。B.对新创建的用户，应提供临时鉴别信息，并强制初次使用时需改变鉴别信息：这是为了确保用户初始使用的鉴别信息具有一定的随机性和不易猜测性，从而提高系统的安全性。C.鉴别信息的保护可作为任用条件或条款的内容：这强调了鉴别信息保护的重要性，将其作为任用条件或条款的一部分，有助于确保组织和个人遵守相关规定，保护用户的鉴别信息。D.使用QQ传递鉴别信息：这一选项是不正确的。使用QQ传递鉴别信息存在安全风险，因为QQ并非一个专门用于安全传输鉴别信息的平台，容易被截获或泄露。因此，正确答案为A、B、C。44.根据GB/T22080-2016标准中控制措施的要求，有关信息安全管理中“符合性”的叙述，正确的是（）。A.组织重要记录应予以保护B.清楚识别所有的法律和合同的要求C.要保护个人信息的数据和隐私D.避免非法使用具有知识产权的专利软件产品答案：ABCD解析：根据GB/T22080-2016标准中控制措施的要求，有关信息安全管理中“符合性”的叙述，需要分析每个选项是否符合标准中的控制措施要求。A选项“组织重要记录应予以保护”是符合信息安全管理要求的，因为组织的重要记录是组织的宝贵资产，需要得到保护以防止泄露或损坏。B选项“清楚识别所有的法律和合同的要求”也是符合标准的，因为组织需要遵守各种法律和合同的规定，以确保其业务活动的合法性和合规性。C选项“要保护个人信息的数据和隐私”也是符合信息安全管理要求的，因为个人信息的泄露会对个人隐私造成损害，因此需要进行保护。D选项“避免非法使用具有知识产权的专利软件产品”也符合标准，因为使用未经授权的软件产品可能会侵犯他人的知识产权，因此需要进行避免。综上所述，A、B、C、D选项都是符合GB/T22080-2016标准中控制措施的要求的，因此都是正确的。45.根据GB/T22081标准，有关安全区域的叙述，正确的是（）。A.划设为安全区域的场所已有适当管控，可容许任何人进出B.其目标是避免营运场所及信息遭到未授权存取、损害与干扰C.应设立安全区域，以满足不同业务场景的安全需求D.在安全区域内工作时应采取额外的控制措施及指引，以强化该区域的安全性答案：BCD解析：根据GB/T22081标准，安全区域是为了满足不同业务场景的安全需求而设立的，其目标是避免营运场所及信息遭到未授权存取、损害与干扰。同时，在安全区域内工作时应采取额外的控制措施及指引，以强化该区域的安全性。因此，选项B、C和D是正确的。选项A“划设为安全区域的场所已有适当管控，可容许任何人进出”与标准描述不符，因为安全区域通常有严格的访问控制和安全措施，不是任何人都可以随意进出。46.根据GB/T22080-2016标准中控制措施的要求，变更管理应予以控制的风险包括（）。A.组织架构、业务流程变更的风险B.信息系统新的组件、功能模块发布的风险C.信息系统配置、物理位置变更的风险D.供应商内部的体系文件修改造成流程变更的风险答案：ABC解析：根据GB/T22080-2016标准中控制措施的要求，变更管理应予以控制的风险包括组织架构、业务流程变更的风险、信息系统新的组件、功能模块发布的风险以及信息系统配置、物理位置变更的风险。这些变更都可能导致风险，因此，在变更管理中，应针对这些风险采取适当的控制措施。而供应商内部的体系文件修改造成流程变更的风险虽然也可能涉及风险，但题目中并未明确提及该风险与变更管理直接相关，因此不选D。所以，正确答案为A、B、C。47.ISMS审核目标可包括（）。A.评价ISMS是否充分识别B.确定信息安全控制对ISMS要求和规程的符合程度C.解决信息安全要求D.评价维护和有效改进ISMS的过程答案：ABCD解析：ISMS审核的目标通常包括评价ISMS是否充分识别、确定信息安全控制对ISMS要求和规程的符合程度以及评价维护和有效改进ISMS的过程。这些目标旨在确保信息安全管理体系（ISMS）的有效性和持续改进。因此，选项A、B和D都是正确的。选项C“解决信息安全要求”并不是ISMS审核的直接目标，而是审核过程中可能涉及的一个方面。因此，C选项不应被选作正确答案。48.根据GB/T29264标准，运行维护服务采用信息技术手段及方法，依据需方提出的服务级别要求，对其信息系统的（）等提供的各种技术支持和管理服务。A.硬件B.安全C.基础环境D.软件答案：ABCD解析：根据GB/T29264标准，运行维护服务采用信息技术手段及方法，依据需方提出的服务级别要求，对其信息系统的硬件、安全、基础环境、软件等提供的各种技术支持和管理服务。因此，选项A、B、C、D均为正确答案。49.为了成功达成信息安全管理体系的持续改进，信息安全测量项目应当考虑（）。A.基于信息安全管理体系目标的定量安全测度B.业务连续性计划C.信息安全管理体系各过程和规程的存在D.管理层的承诺并有适当资源支持答案：ACD解析：在信息安全管理体系的持续改进中，我们需要关注的关键点包括：定量安全测度、信息安全管理体系各过程和规程的存在，以及管理层的承诺和资源的支持。A选项提到“基于信息安全管理体系目标的定量安全测度”，这是确保我们能够对信息安全管理体系的效果进行量化评估，从而明确改进的方向。C选项“信息安全管理体系各过程和规程的存在”强调了信息安全管理体系的完整性和规范性，这是确保信息安全管理体系能够持续运行并不断改进的基础。D选项“管理层的承诺并有适当资源支持”则强调了管理层对信息安全管理体系的重视和支持，以及确保有足够的资源投入，这些都是推动信息安全管理体系持续改进的重要保障。B选项“业务连续性计划”虽然与信息安全有关，但它更多地关注于在业务中断或灾难发生时如何保持业务的连续性，与信息安全管理体系的持续改进并不直接相关。因此，B选项不应被选入。50.访问控制机制包括（）。A.自主访问控制B.安全标记C.客体重用D.强制访问控制答案：ABD解析：访问控制机制包括自主访问控制、安全标记和强制访问控制。自主访问控制（A）是一种访问控制模型，其中主体可以对其所拥有的对象进行访问控制。安全标记（B）是一种标识系统，用于标识和分类信息或对象，以便进行访问控制。强制访问控制（D）是一种访问控制模型，其中访问权限由系统强制分配，而不是由主体自主决定。客体重用（C）通常与访问控制无关，它涉及对象或资源的重复使用，而不是访问控制机制的一部分。因此，正确答案为A、B和D。51.关于31000标准，以下哪些说法是正确的？（）A.该标准可用于任何公有、私有企业、协会、团体或个体。因此，该标准不针对任何行业或部门B.尽管该标准提供了风险管理的通用性指南，但不要求组织风险管理的统一性C.该标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果D.风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践答案：ABCD解析：A选项提到“该标准可用于任何公有、私有企业、协会、团体或个体。因此，该标准不针对任何行业或部门”。从题干中的信息来看，这一说法是正确的，因为标准本身具有广泛的适用性，并不特定针对某一行业或部门。B选项提到“尽管该标准提供了风险管理的通用性指南，但不要求组织风险管理的统一性”。从题干中我们可以看到，标准确实提供了关于风险管理的通用性指南，但它并不强制要求所有组织采用统一的风险管理方式。因此，B选项也是正确的。C选项提到“该标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果”。题干中并未明确提到这一点，但考虑到风险管理通常涉及所有类型的风险，无论其性质如何，因此我们可以推断出C选项也是正确的。D选项提到“风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践”。这一说法与题干中的描述相符，因为每个组织都有其独特的需求和情况，所以在设计和实施风险管理计划和框架时，必须考虑到这些因素。因此，D选项也是正确的。综上所述，A、B、C和D选项都是正确的。52.以下哪些是不能用来进行问责追溯的文件？（）A.系统日志B.用户口令C.用户配置文件D.配置文件答案：BC解析：问责追溯通常涉及对系统或用户行为的记录和分析，以确定责任归属。系统日志通常记录了系统的运行情况和事件，对于问责追溯非常有用。用户配置文件可能包含用户的配置信息，但通常不直接记录用户的操作或行为，因此可能不适合直接用于问责追溯。用户口令是用户的私密信息，通常不公开，也不应被用于问责追溯。配置文件可能包含系统或应用的配置信息，但通常不直接记录用户的操作或行为，因此可能不适合直接用于问责追溯。因此，选项B用户口令和选项C用户配置文件是不能用来进行问责追溯的文件。选项A系统日志和选项D配置文件虽然在问责追溯中可能有用，但题目并未要求选出不能用来进行问责追溯的文件，所以不应被选入答案中。53.在信息安全管理中，以下属于“按需知悉（need-to-know）”原则的是（）。A.针对所需完成的工作，赋予最小集的权限B.工作人员仅需知悉可支持其完成工作任务的信息C.工作人员可访问的信息范围是有限的，仅在必要时可扩大范围D.得到高层管理者批准的信息范围是可访问的信息答案：ABC解析：“按需知悉（need-to-know）”原则在信息安全管理中强调的是对信息访问的最小化授权。这意味着只有当工作人员需要特定的信息来完成其职责时，他们才能访问这些信息。根据这一原则，我们可以分析每个选项：A.针对所需完成的工作，赋予最小集的权限-这符合“按需知悉”原则，因为它确保只有完成特定工作所需的最小权限被赋予。B.工作人员仅需知悉可支持其完成工作任务的信息-这同样符合“按需知悉”原则，因为它限制了工作人员只能知道完成工作所需的信息。C.工作人员可访问的信息范围是有限的，仅在必要时可扩大范围-这同样符合“按需知悉”原则，因为它限制了信息访问的范围，并仅在必要时扩大。D.得到高层管理者批准的信息范围是可访问的信息-这并不直接符合“按需知悉”原则，因为它没有强调最小化授权，而是依赖于高层管理者的批准来决定信息访问范围。因此，正确答案是A、B和C。54.以下哪种说法是正确的？（）A.经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动B.非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动C.国家对经营性互联网信息服务和非经营性互联网信息服务均实行备案制度D.互联网信息服务分为经营性和非经营性两类答案：ABD解析：本题为多选题，要求选择正确的说法。A选项：经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。这个定义符合题目中给出的描述，是正确的。B选项：非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。这个定义同样符合题目中给出的描述，也是正确的。C选项：国家对经营性互联网信息服务和非经营性互联网信息服务均实行备案制度。题目中并未提到关于备案制度的内容，所以这一选项是错误的。D选项：互联网信息服务分为经营性和非经营性两类。这一说法符合题目中的描述，也是正确的。因此，正确答案为A、B和D。55.《中华人民共和国网络安全法》适用于在中华人民共和国境内（）网络，以及网络安全的监督管理。A.建设B.运营C.维护D.使用答案：ABCD解析：根据《中华人民共和国网络安全法》的规定，该法适用于在中华人民共和国境内建设、运营、维护、使用网络，以及网络安全的监督管理。因此，选项A、B、C、D都是正确的。判断题（共10题，共10分）56.审核方案风险一般不包括保密要求相关的风险（）。A.正确B.错误答案：B解析：审核方案风险是指审核方案实施过程中发生问题的可能性。保密要求相关的风险是审核方案风险的一种，涉及到审核过程中信息的保密性、完整性和可用性等方面的问题。因此，审核方案风险一般应该包括保密要求相关的风险。所以，题目中的说法“审核方案风险一般不包括保密要求相关的风险”