CCAA - 2024年08月信息安全管理体系基础答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布2024年08月信息安全管理体系基础答案及解析单选题（共40题，共80分）1.某数据中心申请ISMS认证的范围为“IC基础设施服务的提供”，对此以下说法正确的是（）。A.附录A.17可以删减B.附录A.8可以删减C.附录A.12可以删减D.附录A.14可以删减答案：D解析：数据中心申请ISMS认证的范围为"IC基础设施服务的提供"，对于附录的内容，可以根据实际情况进行筛选。根据参照解析，数据中心主要工作职责是运行维护服务，不涉及开发的内容与职能，因此附录A.14（系统获取、开发和维护等）不适用，可以删减。而其他附录如A.8资产管理、A.12运行安全、A.17业务连续性管理的信息安全方面都是重要的组成部分，不能删减。因此，正确答案是D。2.信息安全管理中，关于脆弱性，以下说法正确的是（）。A.组织使用的开源软件不须考虑其技术脆弱性B.软件开发人员为方便维护留的后门是脆弱性的一种C.识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D.使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会答案：B解析：针对题目中的四个选项，我们可以进行如下分析：A选项：组织使用的开源软件不须考虑其技术脆弱性。这是错误的，根据GB/T27002标准，组织应该考虑其使用的所有软件（包括开源软件）的技术脆弱性管理。B选项：软件开发人员为方便维护留的后门是脆弱性的一种。这是正确的。"后门"是一种安全漏洞，可以被恶意用户利用，因此可以被视为一种脆弱性。C选项：识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施。这是错误的，根据GB/T20984-2007标准，在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。D选项：使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会。这也是错误的，物理隔离不能完全防止所有的威胁和脆弱性。脆弱性不仅包括技术脆弱性，还包括管理脆弱性，涵盖网络结构、物理环境、系统软件、应用中间件、应用系统等多个方面。因此，正确答案是B。3.根据GB/T28450标准，ISMS的规模不包括（）。A.信息系统的数量B.在组织控制下开展工作的人员总数，以及与ISMS有关的相关方和合同方C.组织的部门数量D.ISMS覆盖的场所数量答案：C解析：根据GB/T28450标准，ISMS的规模不包括组织的部门数量。ISMS的规模主要包括以下几个方面：体系所覆盖的人数、使用的信息系统的数量、处理的信息量、用户的数量、特权用户的数量、IT平台的数量、网络的数量及它们的规模以及体系所覆盖的场所等。因此，组织的部门数量并不在ISMS规模的考虑范围内。4.根据GB/T29246标准，风险处置后余下的风险是（）。A.有条件的接受风险B.重大风险C.残余风险D.不可接受的风险答案：C解析：根据GB/T29246标准，风险处置后余下的风险被称为残余风险。因此，正确答案为C。5.防火墙提供的接入模式不包括（）。A.透明模式B.混合模式C.网关模式D.旁路接入模式答案：D解析：防火墙提供的接入模式通常包括透明模式、网关模式和混合模式。透明模式是指防火墙在网络中透明工作，不改变网络流量和路由；网关模式是指防火墙作为网络中的网关来使用，处理所有通过的数据包；混合模式则是结合前两者的特点。因此，旁路接入模式不是防火墙提供的接入模式之一，选项D是正确的答案。6.《互联网信息服务管理办法》所称互联网信息服务，是指通过互联网向（）提供信息的服务活动。A.通过网络B.监视网络睿C.上网用户D.使用网络答案：C解析：《互联网信息服务管理办法》第二条明确指出，互联网信息服务是指通过互联网向上网用户提供信息的服务活动。因此，本题正确答案为C，即上网用户。7.根据GB/T22080-2016标准，关于信息系统登录口令的管理，以下做法不正确的是（）。A.适用互动式管理确保用户使用优质口令B.用提示信息告知用户输入的口令是否正确C.必要时，使用密码技术、生物识别等替代口令D.明确告知用户应遵从的优质口令策略答案：B解析：根据GB/T22080-2016标准关于信息系统登录口令的管理，关于题目中的四个选项，A、C和D都是正确的做法。而B选项“用提示信息告知用户输入的口令是否正确”是不正确的，因为直接告知用户其口令是否正确存在安全隐患，可能会被他人通过窥视等方式获取到密码信息。因此，B选项是不正确的做法。8.访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。是哪一级信息系统安全保护等级？（）A.机构化保护级B.系统审计保护级C.安全标记保护级D.用户自主保护级答案：B解析：根据GB17859标准，题目所描述的安全保护等级为系统审计保护级。这一级别的信息系统实施了粒度更细的自主访问控制，通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。因此，正确答案为B。9.某信用卡制造工厂，对生产线上产生的不合格品卡，进行逐一登记、密封、送粉碎室拆封、再登记后予以粉碎处理。这符合GB/T22080-2016标准要求的（）条款。A.8.1.1和A.8.2.1B.A.8.3.2和A.8.3.3C.10.1和10.2D.A.11.2.5和A.11.2.7答案：B解析：本题考查的是对GB/T22080-2016标准条款的理解和应用。根据题目描述，某信用卡制造工厂对不合格品卡进行逐一登记、密封、送粉碎室拆封、再登记后予以粉碎处理，这是关于不合格品卡的处理过程。对照GB/T22080-2016标准，A项的A.8.1.1和A.8.2是关于资产清单和信息分级的条款，不符合题干描述的不合格品卡处理过程。D项的A.11.2.5和A.11.2.7是关于资产的移动和设备的安全处置或再利用的条款，也不符合题意。C项的主条款10.1和10.2是关于安全措施和持续改进的，与题干描述的不合格品卡处理流程不符。因此，只有B选项的A.8.3.2介质的处理和A.8.3.3物理介质的转移符合题目描述的不合格品卡处理流程。所以正确答案是B。10.信息安全的保密性是指（）。A.根据授权实体的要求可访问的特性B.保证信息不被其他人使用C.信息不被未授权的个人、实体或过程利用或知悉的特性D.保护信息准确和完整的特性答案：C解析：信息的保密性指的是信息不被未授权的个人、实体或过程利用或知悉的特性。这是信息安全的一个重要方面，确保只有授权的人员能够访问和使用信息。参照GB/T29246-2017标准中的定义，保密性确保信息对未授权的个人、实体或过程不可用或不泄露。因此，正确答案是C。11.信息安全目标应（）。A.可测量B.与信息安全方针一致C.适当时，对相关方可用D.定期更新答案：B解析：根据GB/T22080-2016标准的规定，信息安全目标应与信息安全方针一致。因此，选项B正确，其他选项虽然也是信息安全目标应考虑的内容，但并非核心要求。12.设置防火墙策略是为了（）。A.进行访问控制B.进行病毒防范C.进行邮件内容过滤D.进行流量控制答案：A解析：设置防火墙策略的主要目的是为了进行访问控制，即控制不同用户对网络资源的访问权限。因此，答案为A。13.以下哪一项标准与行为规范、投诉处理、争议解决以及监视和测量顾客满意度无关？（）A.GB/T19013BB.GB/T19001C.GB/T19010D.GB/T19012答案：B解析：题目要求找出与行为规范、投诉处理、争议解决以及监视和测量顾客满意度无关的标准。GB/T19001是关于质量管理体系的标准，并不直接涉及行为规范、投诉处理、争议解决以及监视和测量顾客满意度等方面的内容。因此，选项B是正确答案。其他选项中的标准可能与这些方面有关，但不是本题目的重点。14.某知名电商平台遭受DDoS攻击事件，根据GB/T20986-2023标准，属于以下哪一类网络安全事件？（）A.信息内容安全事件B.网络攻击事件C.恶意程序事件D.数据安全事件答案：B解析：根据GB/T20986-2023标准，某知名电商平台遭受的DDoS攻击事件属于网络攻击事件。DDoS攻击是一种拒绝服务攻击，通过非正常使用网络资源影响或破坏网络可用性。因此，根据该标准，该事件被归类为网络攻击事件。15.建立ISMS体系的目的，是为了充分保护信息资产并给予（）信心。A.相关方B.供应商C.顾客D.上级机关答案：A解析：参照GB/T22080-2016引言0.1总则，组织建立ISMS体系的目的，是为了通过应用风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立风险得到充分管理的信心。因此，建立ISMS体系的目的，是为了充分保护信息资产并给予相关方信心。16.在我国信息系统安全等级保护的基本要求中，针对每一级的基本要求分为（）。A.硬件要求和软件要求B.物理要求和应用要求C.设备要求和网络要求D.技术要求和管理要求答案：D解析：根据GB/T22239-2008标准附录B的规定，在我国信息系统安全等级保护的基本要求中，针对每一级的基本要求分为技术要求和管理要求。因此，针对此题目，应选D。17.根据GB/T22080-2016标准的要求，最高管理层应（），以确保信息安全管理体系符合标准要求A.分配责任和权限B.分配角色和权限C.分配职责与权限D.配岗位与权限答案：A解析：根据GB/T22080-2016标准的要求，最高管理层应分配职责与权限，以确保信息安全管理体系符合标准要求。这一要求在标准的5.3部分“组织的角色、责任和权限”中有明确规定，即最高管理层应确保与信息安全相关的角色、责任和权限得到分配和沟通。因此，正确答案是C，“分配职责与权限”。18.信息安全风险评价是指（）。A.指导和控制一个组织相关风险的协调活动B.改变风险的过程C.系统地使用信息来识别风险来源和估计风险D.将风险分析的结果与风险准则比较的过程答案：D解析：信息安全风险评价是将风险分析的结果与风险准则进行比较的过程，以确定风险和（或）其大小是否可接受或可容忍。这一解释与GB/T29246-2017标准中的定义相符。因此，正确答案是D。19.关于顾客满意，以下说法错误的是（）。A.顾客满意是指顾客对其期望已被满足程度的感受B.确保规定的顾客要求符合顾客的愿望并得到满足，就能确保顾客很满意C.投诉是一种满意程度低的最常见的表达方式，但没有投诉并不一定表明顾客很满意D.为了实现较高的顾客满意，可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望答案：B解析：对于选项B，即使规定的顾客要求符合顾客的愿望并得到满足，也不一定确保顾客很满意。这是因为顾客满意不仅仅是基于规定的要求被满足，还涉及到顾客对整体消费体验的感知和感受。因此，仅仅确保规定要求的符合并不一定能确保顾客满意，故选项B说法错误。20.关于GB/T22080-2016标准，下列说法错误的是（）。A.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中B.标准规定的要求是通用的，适用于各种类型、规模或性质的组织C.标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求D.标准中所表述要求的顺序反映了这些要求应该实现的顺序答案：D解析：标准中所表述要求的顺序并不反映这些要求应该实现的顺序，仅仅是为了方便引用而进行的编号。因此，选项D的说法是错误的。21.ISO/IEC27000系列标准中提供有关信息安全治理原则和流程的指导，组织可以通过这些原则和流程来评估，指导和监控信息安全管理的国际标准是（）。A.ISO/IEC27004B.ISO/IEC27014C.ISO/IEC27003D.ISO/IEC27010答案：C解析：题目要求找出ISO/IEC27000系列标准中提供有关信息安全治理原则和流程的国际标准。根据参考答案，正确答案是C选项，即ISO/IEC27003。该标准提供了信息安全治理的原则和流程，组织可以通过这些原则和流程来评估、指导和监控信息安全管理的实施。22.根据《互联网信息服务管理办法》，国家对于经营性互联网信息服务实施（）。A.行政监管制度B.许可制度C.备案制度D.备案与行政监管相结合的管理制度答案：B解析：《互联网信息服务管理办法》第四条规定，国家对经营性互联网信息服务实行许可制度。因此，根据该规定，国家对于经营性互联网信息服务实施许可制度，选项B正确。23.2023年11月，某知名电商平台遭遇恶意程序攻击，导致大量用户数据泄霜部分用户银行卡信息被窃取，造成严重的经济损失和社会恐慌。该事件的类别属于以下哪种？（）A.网络攻击事件B.数据安全事件C.信息内容安全事件D.恶意程序事件答案：B解析：该事件属于数据安全事件。因为该电商平台遭遇恶意程序攻击，导致大量用户数据泄露，部分用户银行卡信息被窃取，造成了经济损失和社会恐慌。根据GB/T20986-2023标准中的定义，数据安全事件是通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等导致业务损失或造成社会危害的网络安全事件。因此，该事件符合数据安全事件的定义，选项B正确。24.Saas是指（）。A.平台即服务B.应用即服务C.设施即服务D.软件即服务答案：D解析：SaaS是软件即服务的缩写，是指向用户提供应用软件、组件、工作流等虚拟化软件的服务。因此，选项D是正确答案。25.根据GB/T31722标准，信息安全风险管理过程由确定范畴（）组成。A.风险监视和评审B.风险评估C.风险沟通D.其他选项均正确答案：D解析：根据GB/T31722标准，信息安全风险管理过程由多个部分构成。题目中提到的确定范畴包括风险评估、风险沟通和风险监视与评审等。因此，选项A、B、C都是该标准中的一部分，所以答案是D，其他选项均正确。26.根据GB/T31722标准，关于信息安全风险处置，以下说法正确的是（）。A.应基于风险评估的结果、实施风险处置选项的预期成本及预期收益来选择风险处置选项B.须按风险降低、风险保留、风险避免、风险分担顺序进行C.须按风险避免、风险降低、风险分担、风险保留顺序进行D.风险降低、风险保留、风险避免、风险分担须择一使用而放弃其他手段答案：A解析：根据GB/T31722标准，关于信息安全风险处置的说法中，应基于风险评估的结果、实施风险处置选项的预期成本及预期收益来选择风险处置选项。这是因为风险处置包括多种选项，如风险降低、风险保留、风险避免（规避）和风险分担（转移），组织可以通过这些选项的组合来充分获益，而不是必须按照某种特定顺序进行或择一使用而放弃其他手段。因此，正确答案是A。27.关于ISO/EC27799，以下说法正确的是（B）。A.这是一份扩展的ISMS要求标准B.这是一份ISMS特定行业指南性质的标准C.这不是ISMS族标准D.这是通信行业信息安全标准答案：B解析：ISO/EC27799是一份基于ISMS特定行业指南性质的标准，它是为健康组织提供行业独特的指南，基于ISO/IEC27002，除了包含通用的信息安全管理体系要求外，还针对健康信息学领域的特点进行了补充和深化。因此，选项B正确。28.根据GB/T22080-2016标准的要求，组织（）实施风险评估。A.只需在重大变更发生时B.只需按计划的时间间隔C.应按计划的时间间隔或当重大变更提出或发生时D.应按计划的时间间隔且当重大变更提出或发生时答案：C解析：根据GB/T22080-2016标准的要求，组织应实施信息安全风险评估。具体的实施时机包括按计划的时间间隔或当重大变更提出或发生时。因此，正确答案为C。29.根据GB/T31497标准，鉴于（）涉及计划活动的实现程度和预期结果的实现程度，绩效测量应涉及信息安全流程和控制措施的实施程度。A.符合性B.可用性C.有效性D.保密性答案：C解析：根据GB/T31497标准，绩效测量应涉及信息安全流程和控制措施的实施程度，尤其是有效性的测量，因为有效性涉及计划活动的实现程度和预期结果的实现程度。所以，正确答案是C。标准提供了如何编制测度和测量以及如何使用的指南，以评估信息安全管理体系（ISMS）和控制措施或控制措施组的有效性。30.信息安全在通信保密阶段中主要应用于（）领域。A.军事B.商业C.科研D.教育答案：A解析：在通信保密阶段中，信息安全主要应用于军事领域。政府和军事通信对信息安全的需求最为强烈，需要使用最先进的保密通信技术来保障通信的安全性，因为信息泄露的后果非常严重。因此，选项A正确。31.在以下拓扑结构中，具有固定传输延时时间的是（）。A.环型拓扑B.网状拓扑C.树状拓扑D.星型拓扑答案：A解析：环型拓扑结构在数据传输中确实具有固定的传输延时时间。这是因为数据在环中按照特定的方向流动，经过每个节点，都会有一定的延时。而题目中所列举的其他拓扑结构（网状拓扑、树状拓扑和星型拓扑）并没有明确指出具有固定的传输延时时间。因此，根据题目的要求和各拓扑结构的特点，正确答案应为A。32.关于投诉，以下说法错误的是（）。A.投诉可以是直接或间接的B.顾客没有提出书面投诉，组织可以不用关注和处理C.投诉可以在组织和顾客互动中的其他环节产生D.投诉是就产品服务或投诉处理过程，表达对组织的不满，无论是否明确地期望得到答复或解决问题答案：B解析：投诉不仅仅是书面形式，还包括口头投诉，甚至是一些行动上的表现，组织应该关注并处理顾客的投诉，无论是书面还是非书面形式。因此，选项B的说法“顾客没有提出书面投诉，组织可以不用关注和处理”是错误的。33.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，信息安全管理中的“可用性”是指（）。A.信息不被未授权的个人、实体或过程利用或知悉的特性B.根据授权实体的要求可访问和利用的特性C.保护资产准确和完整的特性D.反映事物真实情况的程度答案：B解析：根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准中的定义，信息安全管理中的"可用性"是指根据授权实体的要求可访问和利用的特性。因此，正确答案是B。34.根据《中华人民共和国计算机信息系统安全保护条例》，计算机信息系统安全专用产品是指用于保护计算机信息系统安全的（）。A.特定硬件和软件产品B.特定产品C.专用硬件和软件产品D.专用产品答案：C解析：根据《中华人民共和国计算机信息系统安全保护条例》，计算机信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品，因此正确答案为C。35.形成ISMS审核发现时，不需要考虑的是（）。A.所实施控制措施的有效性B.适用性声明的完备性和合理性C.所实施控制措施与适用性声明的符合性D.所实施控制措施的时效性答案：D解析：根据题目中引用的GB/T28450-2012标准6.5.5形成审核发现时，需要考虑的是所实施控制措施与适用性声明的符合性、所实施控制措施的有效性以及适用性声明的完备性和合理性。而所实施控制措施的时效性并没有在标准中被提及，因此不需要考虑。所以，选项D是不需要考虑的内容。36.GB/T22080-2016/ISO/IEC27001:2013标准中所指资产的价值取决于（）。A.资产对于业务的敏感程度B.资产对于技术的实现程度C.资产的价格D.资产的折损率答案：A解析：根据GB/T22080-2016/ISO/IEC27001:2013标准中的描述，资产的价值取决于其对业务的敏感程度。这是评估资产的重要程度或价值的标准之一。因此，正确答案是A。37.以下关于VPN说法正确的是（）。A.VPN只能提供身份认证，不能提供加密数据的功能B.VPN不能做到信息认证和身份认证C.VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路D.VPN指的是用户通过公用网络建立的临时的、安全的连接答案：D解析：虚拟专用网络（VPN）是指用户通过公用网络建立的临时的、安全的连接。VPN的功能包括在公用网络上建立加密通道，以实现安全地访问远程网络资源。选项D正确描述了VPN的定义和功能。选项A错误，因为VPN不仅可以提供身份认证，还可以提供加密数据的功能。选项B错误，因为VPN可以实现信息认证和身份认证。选项C错误，因为VPN不需要用户自己租用线路，而是通过共享公共网络资源来实现安全的连接。38.（）是建立有效的计算机病毒防御体系所需要的技术措施。A.补丁管理系统、网络入侵检测和防火墙B.漏洞扫描、网络入侵检测和防火墙C.漏洞扫描、补丁管理系统和防火墙D.络入侵检测、防病毒系统和防火墙答案：D解析：建立有效的计算机病毒防御体系需要多种技术措施的组合，包括防病毒系统、补丁管理系统和防火墙。防病毒系统可以检测和清除病毒，补丁管理系统可以修复系统中的漏洞，防火墙则可以阻止外部威胁进入网络。因此，选项D“络入侵检测、防病毒系统和防火墙”是建立有效的计算机病毒防御体系所需要的技术措施。39.在IS0/IEC27000系列标准中，为组织的信息安全风险管理提供指南的标准是（）。A.IS0/IEC27004B.IS0/IEC27003C.IS0/IEC27002D.IS0/IEC27005答案：D解析：在ISO/IEC27000系列标准中，为组织的信息安全风险管理提供指南的标准是ISO/IEC27005。该标准提供了关于信息安全风险管理的指南，帮助组织进行风险评估、风险处理以及风险监控等活动。因此，正确答案是D。40.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程所用，是指()。A.可用性B、完整性C、机密性D、抗抵赖性参考解析：参考GB/T29246-2023/IS0/IEC27000:20183术语和定义3.10保密性信息对未经授权的个人、实体或过程不可用或不泄露的性质。二、多选题40、可被视为可靠的电子签名，须同时符合以下条件（）。A、电子签名制作数据用于电子签名时，属于电子签名人专有B、签署时电子签名制作数据仅由电子签名人控制C、签署后对数据电文内容和形式的任何改的能够被发现D、签署后对电子签名的任何改动能够被发现解析：：根据参照解析，一个可靠的电子签名需要同时符合四个条件，分别是：电子签名制作数据用于电子签名时，属于电子签名人专有（选项A）；签署时电子签名制作数据仅由电子签名人控制（选项B）；签署后对电子签名的任何改动能够被发现（选项D）；签署后对数据电文内容和形式的任何改动能够被发现（选项C）。因此，选项A、B、C和D都是正确的。41、以下哪些是不能用来进行问责追溯的文件？（）A、系统日志B、用户口令C、用户配置文件D、配置文件解析：系统日志记录了系统的活动和事件，包括用户的操作等，通常可以用于追踪和审查系统的活动，所以可以用来进行问责追溯；用户口令是用户用于认证身份的凭据，不适合作为问责追溯的文件，因为其泄露或被他人使用可能导致安全风险和身份盗窃；用户配置文件包含了用户的个性化设置和偏好，并不涉及系统的安全和管理，故不应用于问责追溯；配置文件包含了系统或应用程序的设置和参数，可以用于问责追溯。因此，不能用于进行问责追溯的文件是用户口令（B）和用户配置文件（C）。42、根据《中华人民共和国密码法》，密码工作坚持总体国家安全观，遵循统一领导、（）依法管理、保障安全的原则。A、创新发展B、分级应用C、服务大局D、分级负责解析：根据《中华人民共和国密码法》第三条的规定，密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则。因此，本题正确答案为ACD。43、以下（）活动是ISMS建立阶段应完成的内容。A、确定ISMS的范围和边界B、确定ISMS方针C、确定风险评估方法和实施D、实施体系文件培训解析：ISMS建立阶段应完成的活动包括确定ISMS的范围和边界、确定ISMS方针以及确定风险评估方法和实施。实施体系文件培训是在执行阶段进行的活动。因此，选项A、B、C是正确答案。44、根据GB/T28450的规定，影响审核时间安排的因素包括（）。A、认证机构审核人员的数量B、场所的数量C、认证机构审核人员的能力D、ISMS的范围大小解析：根据GB/T25067-2020附录及GB/T25067-2016标准中的相关说明，影响审核时间安排的因素包括ISMS的复杂程度、所开展的业务的类型、以往已证实的ISMS绩效、技术的水平和多样性、外包和第三方安排的程度等。其中，场所的数量（选项B）和ISMS的范围大小（选项D）是被明确提及的影响因素。而认证机构审核人员的数量和能力虽然可能影响审核过程，但并不是GB/T28450直接规定的影响审核时间安排的因素。因此，正确答案是B和D。45、《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度。A、新闻、出版B、医疗、保健C、知识类D、教育类解析：《互联网信息服务管理办法》规定，对于新闻、出版、医疗、保健等类别的互联网信息服务实行主管部门审核制度。因此，选项A、B、D都是正确的。而选项C“知识类”和选项E“教育类”并未在原文中明确提到需要主管部门审核，因此不是正确答案。46、以下属于相关方的是（）。A、供方B、组织内的人员C、所有者D、顾客解析：根据IEC27000：2016标准中的定义，相关方是指对于一项决策或活动，可能受到影响或被影响，或认为自己受到影响的个人或组织。在这个情境中，供方、组织内的人员、所有者、顾客都是可能影响或受到决策或活动影响的实体或个人，因此都属于相关方。47、依据GB/T22080-2016标准，经管理层批准，定期评审的信息安全策略包括（）。A、信息备份策略B、访问控制策略C、信息传输策略D、密钥管理策略解析：依据GB/T22080-2016标准，经管理层批准，定期评审的信息安全策略包括：A.信息备份策略：标准中的A.12.3.1提到应按照既定的备份策略对信息、软件和系统镜像进行备份，并定期测试。B.访问控制策略：标准中的A.9.1.1要求建立访问控制策略，并进行评审。C.信息传输策略：标准中的A.13.2.1指出应有正式的传输策略、规程和控制，以保护信息传输。D.密钥管理策略：标准中的A.1O.1.2要求制定和实现密钥使用的全生命周期策略。因此，以上四个选项都是依据GB/T22080-2016标准，经管理层批准，定期评审的信息安全策略的内容。48、根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，风险描述的要素包括（）。A、可能性B、威胁C、脆弱性D、后果解析：根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准中的定义，风险描述的要素包括事态的后果（包括情形的改变）和其发生可能性。因此，选项A“可能性”和选项D“后果”是正确的描述。而选项B“威胁”和选项C“脆弱性”虽然与信息安全相关，但并不是GB/T29246标准中风险描述的要素。49、根据GB/T22080-2016标准中控制措施的要求，有关设备安全的相关行为，适当的是（）。A、设备报废前将信息安全清除B、保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏C、应保护设备降低来自环境的威胁及灾害D、保护设备不受电力故障及其他电力异常影响解析：根据GB/T22080-2016标准中控制措施的要求，关于设备安全的相关行为，以下是适当的：A.设备报废前将信息安全清除：这与标准中的设备安全处置或再利用的要求相符，确保设备在报废前信息安全被清除，防止信息泄露。B.保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏：这涉及到布缆安全和设备的安全通信，是标准中要求的重要措施。C.应保护设备降低来自环境的威胁及灾害：这与标准中的设备安置和保护要求一致，确保设备不受环境威胁和灾害的影响。D.保护设备不受电力故障及其他电力异常影响：这也是标准中的要求，确保设备的正常运行不受电力问题的影响。综上所述，选项A、B、C和D都是符合GB/T22080-2016标准中控制措施的要求的。50、根据GB/T22080-2016标准的要求，信息安全方针应（）。A、与组织内外相关方全面进行沟通B、与组织的意图相适宜C、适当时，对相关方可用D、形成文件化信息并可用解析：根据GB/T22080-2016标准的要求，信息安全方针应：A.与组织内外相关方全面进行沟通：虽然标准中未明确提到“与组织内外相关方全面沟通”，但“适当时，对相关方可用”可以理解为需要与相关方进行沟通。B.与组织的意图相适宜：这与标准中的“与组织意图相适宜”相符。C.适当时，对相关方可用：符合标准中的要求。D.形成文件化信息并可用：这是标准中明确提到的要求。因此，正确答案是A、B、C、D。51、《中华人民共和国网络安全法》是为了保障网络安全，（）。A、维护网络空间主权B、维护国家安全C、维护社会公共利益D、保护公民、法人和其他组织的合法权益解析：《中华人民共和国网络安全法》的第一条明确表明了该法的目的：为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，并保护公民、法人和其他组织的合法权益。因此，本题中提到的四个选项A、B、C、D都是正确的。52、根据《信息安全等级保护管理办法》，对网络安全等级三级及以上系统，以下说法正确的是（）。A、采用双重份鉴别机制B、对用户和数据采用安全标记C、系统管理员可任意访问日志记录D、三年开展一次网络安全等级测评工作解析：根据《信息安全等级保护管理办法》，对于网络安全等级三级及以上的系统，应该采用双重份鉴别机制，并对用户和数据采用安全标记。因此，选项A和B是正确的。而选项C，系统管理员不能任意访问日志记录，应该有相应的权限管理和审计机制。对于选项D，网络安全等级测评工作的频率应根据系统的安全等级来确定，第三级信息系统应该每年至少进行一次等级测评，而不是三年开展一次。因此，选项C和D均不正确。53、（）是关于一个良好的配置过程的关键要素。A、控制修改系统硬件，以防止资源的变化B、确保所有要求保持清晰、简洁和有效C、适应可重复使用的标准和最佳实践D、确保变更，标准和要求及时准确地传达解析：一个良好的配置过程的关键要素包括：B.确保所有要求保持清晰、简洁和有效。清晰、简洁和有效的要求是配置管理的基础，只有明确了需求，才能准确地进行配置管理，确保软件或系统的功能符合用户的期望。C.适应可重复使用的标准和最佳实践。遵循标准和最佳实践有助于提高效率，减少错误，并确保配置管理过程的一致性和可预测性。D.确保变更，标准和要求及时准确地传达。及时准确的传达是配置管理中不可或缺的一环，只有确保所有相关人员都了解最新的变更、标准和要求，才能确保配置管理过程的顺利进行。选项A“控制修改系统硬件，以防止资源的变化”并不是配置管理的核心要素，配置管理更侧重于软件配置的管理，包括版本控制、变更管理等，而不只是硬件资源的控制。因此，A不是关键要素。54、GB/T28450审核方案管理的内容包括（）。A、信息安全风险管理要求B、ISMS的复杂度C、是否存在相似场所D、ISMS的规模解析：GB/T28450审核方案管理的内容包括信息安全风险管理要求（A）、ISMS的复杂度（B）、ISMS的规模（D）以及是否存在相似场所（C）。这些因素都会影响审核方案的范围和详略程度。选项中的ISMS规模、复杂度、风险的重要性和场所数量等都是影响审核方案的重要因素。因此，答案为ABCD。三、判断题55、所有联网和未联网的微型计算机的安全保护办法由《中华人民共和国计算机信息系统安全保护条例》规定。（）A正确B错误解析：《中华人民共和国计算机信息系统安全保护条例》主要规定了联网的计算机信息系统的安全保护办法，对于未联网的微型计算机的安全保护办法，该条例并未涉及，需要另行制定。因此，本题说法错误。56、IS0/IEC27006是对提供信息安全管理体系审核和认证的机构的要求。（）A正确B错误解析：ISO/IEC27006确实是对提供信息安全管理体系审核和认证的机构的要求。该标准在ISO/IEC17021所含要求的基础上，为根据ISO/IEC27001提供审核和ISMS认证的机构提供了进一步的规范和指南。因此，此题目的描述是正确的。57、信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）A正确B错误解析：信息安全管理体系的范围确实需要涵盖组织的所有场所和业务，以保证安全。但题目中的表述忽略了这一范围的确定还需要参考GB/T22080-2016条款的条款4.3等标准规定。因此，题目的表述是不准确的，答案为错误（B）。58、ISO/IEC27008是《信息技术安全技术信息安全控制评估指南》。（）A正确B错误解析：根据参考解析，ISO/IECTR27008是信息技术安全技术信息安全控制措施审核员指南，而非信息技术安全技术信息安全控制评估指南。因此，题目中的说法是错误的。59、国家保密行政管理部门主管全国的保密工作。乡级以上地方各级保密行政管理部门主管本行政区域的保密工作。（）A正确B错误解析：题目中提到“乡级以上地方各级保密行政管理部门主管本行政区域的保密工作”，但根据《中华人民共和国保守国家秘密法》第五条的规定，是县级以上地方各级保密行政管理部门主管本行政区域的保密工作，而不是乡级以上。因此，题目中的表述存在错误，答案为B。60、对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险。（）A正确B错误解析：对于不同的风险，组织可以根据自身的目标、价值观和特定情境来制定不同的风险接受准则。对于违反法律法规的风险，由于可能涉及法律责任和声誉损害，通常被认为是不可接受的。而对于违背合同要求的风险，组织可能会考虑与合同方的关系、经济成本等因素，并可能决定接受这种风险。因此，题目中的描述是合理的，答案是正确的。61、根据GB/T22080-2016标准中控制措施的要求，组织应建立并实施正式的用户注册及注销过程。（）A正确B错误解析：根据GB/T22080-2016标准中的控制措施要求，组织应该建立并实施正式的用户注册及注销过程。这是因为用户注册和注销过程可以帮助组织分配访问权限，确保只有授权的用户能够访问系统或数据。因此，题目中的说法是正确的。62、组织的信息资产越重要，其安全风险值就越大。（）A正确B错误解析：组织的信息资产的重要性确实是决定其安全风险值的一个因素，但并不是唯一的因素。安全风险值通常由多个因素共同决定，如资产的价值、面临的威胁以及组织的脆弱性等。这些因素需要通过一定的计算函数进行综合评估，以确定最终的风险值。因此，不能简单地说信息资产越重要，其安全风险值就越大。所以，该题目的说法是错误的。63、根据GB/T22080-2016标准中控制措施的要求，关于软件安装限制，“黑名单”策略比“白名单”策略更有效。（）A正确B错误解析：根据参照解析所述，“黑名单”策略和“白名单”策略在软件安装限制方面效果相同，因此无法确定哪种策略更有效。所以题目中的说法是错误的。64、记录作为信息安全管理体系运行的证据，应具有可追溯性。（）A正确B错误解析：根据信息安全管理体系的要求，记录作为体系运行的证据，确实应具有可追溯性，以便能够追溯和验证体系的运行情况和结果。因此，该题目的陈述是正确的。B.完整性C.机密性D.抗抵赖性答案：A多选题（共15题，共30分）41.可被视为可靠的电子签名，须同时符合以下条件（）。A.电子签名制作数据用于电子签名时，属于电子签名人专有B.签署时电子签名制作数据仅由电子签名人控制C.签署后对数据电文内容和形式的任何改的能够被发现D.签署后对电子签名的任何改动能够被发现答案：ABCD解析：：根据参照解析，一个可靠的电子签名需要同时符合四个条件，分别是：电子签名制作数据用于电子签名时，属于电子签名人专有（选项A）；签署时电子签名制作数据仅由电子签名人控制（选项B）；签署后对电子签名的任何改动能够被发现（选项D）；签署后对数据电文内容和形式的任何改动能够被发现（选项C）。因此，选项A、B、C和D都是正确的。42.以下哪些是不能用来进行问责追溯的文件？（）A.系统日志B.用户口令C.用户配置文件D.配置文件答案：BC解析：系统日志记录了系统的活动和事件，包括用户的操作等，通常可以用于追踪和审查系统的活动，所以可以用来进行问责追溯；用户口令是用户用于认证身份的凭据，不适合作为问责追溯的文件，因为其泄露或被他人使用可能导致安全风险和身份盗窃；用户配置文件包含了用户的个性化设置和偏好，并不涉及系统的安全和管理，故不应用于问责追溯；配置文件包含了系统或应用程序的设置和参数，可以用于问责追溯。因此，不能用于进行问责追溯的文件是用户口令（B）和用户配置文件（C）。43.根据《中华人民共和国密码法》，密码工作坚持总体国家安全观，遵循统一领导、（）依法管理、保障安全的原则。A.创新发展B.分级应用C.服务大局D.分级负责答案：ACD解析：根据《中华人民共和国密码法》第三条的规定，密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则。因此，本题正确答案为ACD。44.以下（）活动是ISMS建立阶段应完成的内容。A.确定ISMS的范围和边界B.确定ISMS方针C.确定风险评估方法和实施D.实施体系文件培训答案：ABC解析：ISMS建立阶段应完成的活动包括确定ISMS的范围和边界、确定ISMS方针以及确定风险评估方法和实施。实施体系文件培训是在执行阶段进行的活动。因此，选项A、B、C是正确答案。45.根据GB/T28450的规定，影响审核时间安排的因素包括（）。A.认证机构审核人员的数量B.场所的数量C.认证机构审核人员的能力D.ISMS的范围大小答案：BD解析：根据GB/T25067-2020附录及GB/T25067-2016标准中的相关说明，影响审核时间安排的因素包括ISMS的复杂程度、所开展的业务的类型、以往已证实的ISMS绩效、技术的水平和多样性、外包和第三方安排的程度等。其中，场所的数量（选项B）和ISMS的范围大小（选项D）是被明确提及的影响因素。而认证机构审核人员的数量和能力虽然可能影响审核过程，但并不是GB/T28450直接规定的影响审核时间安排的因素。因此，正确答案是B和D。46.《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度。A.新闻、出版B.医疗、保健C.知识类D.教育类答案：ABD解析：《互联网信息服务管理办法》规定，对于新闻、出版、医疗、保健等类别的互联网信息服务实行主管部门审核制度。因此，选项A、B、D都是正确的。而选项C“知识类”和选项E“教育类”并未在原文中明确提到需要主管部门审核，因此不是正确答案。47.以下属于相关方的是（）。A.供方B.组织内的人员C.所有者D.顾客答案：ABCD解析：根据IEC27000：2016标准中的定义，相关方是指对于一项决策或活动，可能受到影响或被影响，或认为自己受到影响的个人或组织。在这个情境中，供方、组织内的人员、所有者、顾客都是可能影响或受到决策或活动影响的实体或个人，因此都属于相关方。48.依据GB/T22080-2016标准，经管理层批准，定期评审的信息安全策略包括（）。A.信息备份策略B.访问控制策略C.信息传输策略D.密钥管理策略答案：ABCD解析：依据GB/T22080-2016标准，经管理层批准，定期评审的信息安全策略包括：A.信息备份策略：标准中的A.12.3.1提到应按照既定的备份策略对信息、软件和系统镜像进行备份，并定期测试。B.访问控制策略：标准中的A.9.1.1要求建立访问控制策略，并进行评审。C.信息传输策略：标准中的A.13.2.1指出应有正式的传输策略、规程和控制，以保护信息传输。D.密钥管理策略：标准中的A.1O.1.2要求制定和实现密钥使用的全生命周期策略。因此，以上四个选项都是依据GB/T22080-2016标准，经管理层批准，定期评审的信息安全策略的内容。49.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，风险描述的要素包括（）。A.可能性B.威胁C.脆弱性D.后果答案：AD解析：根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准中的定义，风险描述的要素包括事态的后果（包括情形的改变）和其发生可能性。因此，选项A“可能性”和选项D“后果”是正确的描述。而选项B“威胁”和选项C“脆弱性”虽然与信息安全相关，但并不是GB/T29246标准中风险描述的要素。50.根据GB/T22080-2016标准中控制措施的要求，有关设备安全的相关行为，适当的是（）。A.设备报废前将信息安全清除B.保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏C.应保护设备降低来自环境的威胁及灾害D.保护设备不受电力故障及其他电力异常影响答案：ABCD解析：根据GB/T22080-2016标准中控制措施的要求，关于设备安全的相关行为，以下是适当的：A.设备报废前将信息安全清除：这与标准中的设备安全处置或再利用的要求相符，确保设备在报废前信息安全被清除，防止信息泄露。B.保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏：这涉及到布缆安全和设备的安全通信，是标准中要求的重要措施。C.应保护设备降低来自环境的威胁及灾害：这与标准中的设备安置和保护要求一致，确保设备不受环境威胁和灾害的影响。D.保护设备不受电力故障及其他电力异常影响：这也是标准中的要求，确保设备的正常运行不受电力问题的影响。综上所述，选项A、B、C和D都是符合GB/T22080-2016标准中控制措施的要求的。51.根据GB/T22080-2016标准的要求，信息安全方针应（）。A.与组织内外相关方全面进行沟通B.与组织的意图相适宜C.适当时，对相关方可用D.形成文件化信息并可用答案：ABCD解析：根据GB/T22080-2016标准的要求，信息安全方针应：A.与组织内外相关方全面进行沟通：虽然标准中未明确提到“与组织内外相关方全面沟通”，但“适当时，对相关方可用”可以理解为需要与相关方进行沟通。B.与组织的意图相适宜：这与标准中的“与组织意图相适宜”相符。C.适当时，对相关方可用：符合标准中的要求。D.形成文件化信息并可用：这是标准中明确提到的要求。因此，正确答案是A、B、C、D。52.《中华人民共和国网络安全法》是为了保障网络安全，（）。A.维护网络空间主权B.维护国家安全C.维护社会公共利益D.保护公民、法人和其他组织的合法权益答案：ABCD解析：《中华人民共和国网络安全法》的第一条明确表明了该法的目的：为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，并保护公民、法人和其他组织的合法权益。因此，本题中提到的四个选项A、B、C、D都是正确的。53.根据《信息安全等级保护管理办法》，对网络安全等级三级及以上系统，以下说法正确的是（）。A.采用双重份鉴别机制B.对用户和数据采用安全标记C.系统管理员可任意访问日志记录D.三年开展一次网络安全等级测评工作答案：AB解析：根据《信息安全等级保护管理办法》，对于网络安全等级三级及以上的系统，应该采用双重份鉴别机制，并对用户和数据采用安全标记。因此，选项A和B是正确的。而选项C，系统管理员不能任意访问日志记录，应该有相应的权限管理和审计机制。对于选项D，网络安全等级测评工作的频率应根据系统的安全等级来确定，第三级信息系统应该每年至少进行一次等级测评，而不是三年开展一次。因此，选项C和D均不正确。54.（）是关于一个良好的配置过程的关键要素。A.控制修改系统硬件，以防止资源的变化B.确保所有要求保持清晰、简洁和有效C.适应可重复使用的标准和最佳实践D.确保变更，标准和要求及时准确地传达答案：BCD解析：一个良好的配置过程的关键要素包括：B.确保所有要求保持清晰、简洁和有效。清晰、简洁和有效的要求是配置管理的基础，只有明确了需求，才能准确地进行配置管理，确保软件或系统的功能符合用户的期望。C.适应可重复使用的标准和最佳实践。遵循标准和最佳实践有助于提高效率，减少错误，并确保配置管理过程的一致性和可预测性。D.确保变更，标准和要求及时准确地传达。及时准确的传达是配置管理中不可