CCAA - 信息安全管理体系基础摸底考试一答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布信息安全管理体系基础摸底考试一答案及解析单选题（共40题）1.在第三方认证审核时，（）不是审核员的职责。A.实施审核B.确定不合格项C.对发现的不合格项采取纠正措施D.验证审核方所采取纠正措施的有效性答案：C解析：在第三方认证审核中，审核员的职责是实施审核和验证审核方所采取纠正措施的有效性。确定不合格项和对发现的不合格项采取纠正措施不是审核员的职责，而是审核方或其内部质量体系管理部门的职责。因此，选项C不是审核员的职责。2.包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖。A.系统软件B.游戏软件C.杀毒软件D.任何敏感信息答案：D解析：题目中要求核查包含储存介质的设备的所有项目，确保在处置之前，敏感信息已被删除或安全地写覆盖。系统软件、游戏软件、杀毒软件都属于软件范畴，但它们并不一定都是敏感信息。因此，只有“任何敏感信息”最符合题目要求，确保在处置设备之前，所有敏感信息都被删除或安全地写覆盖。因此，正确答案为D。3.一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性。A.已经发生B.可能发生C.意外D.A+B+C答案：C解析：根据题目中的描述，信息安全事件是由单个或一系列的有害或一系列“信息安全事态”组成，它们具有损害业务运作和威胁信息安全的极大的可能性。因此，选项C“意外”符合题目描述，而选项A“已经发生”、选项B“可能发生”和选项D“A+B+C”都不符合题目描述。因此，正确答案是C。4.以下不属于认证机构应考虑对组织的信息安全管理体系实施特殊审核的情形的是（）。A.组织获证范围内的业务活动场所、地址变更B.组织的适用性声明中对控制措施的选释相关内容发生变更C.组织获证范围内业务应用系统发生重大变更，如系统架构变更D.组织的信息安全管理体系年度内部审核计划变更答案：D解析：认证机构考虑对组织的信息安全管理体系实施特殊审核的情形通常涉及组织的重要变更或可能影响信息安全管理体系有效性的因素。选项A涉及业务活动场所、地址变更，可能影响到组织的物理安全环境，因此需要考虑特殊审核。选项B涉及适用性声明中控制措施的变更，这可能影响到组织的信息安全控制策略，同样需要特殊审核。选项C涉及业务应用系统的重大变更，如系统架构变更，这可能导致信息安全管理体系的变更或失效，也需要特殊审核。而选项D，组织的信息安全管理体系年度内部审核计划变更，通常只是组织内部审核计划的变化，不一定影响到信息安全管理体系的有效性，因此不属于认证机构应考虑对组织的信息安全管理体系实施特殊审核的情形。因此，正确答案是D。5.选择信息安全控制措施应该（）。A.建立在风险评估的结果之上B.针对每一种风险，控制措施并非唯一C.反映组织风险管理战略D.以上各项都对答案：D解析：信息安全控制措施的选择应基于风险评估的结果，同时应理解每一种风险并不仅对应一种控制措施，控制措施应反映组织的整体风险管理战略。因此，选择信息安全控制措施应当建立在风险评估的结果之上、针对每一种风险，控制措施并非唯一、反映组织风险管理战略，故以上各项都对。因此，答案为D。6.根据《中华人民共和国网络安全法》，关键信息基础设施运营者采购网络产品和服务，应当按照规定与提供者签订（）的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。A.供方支撑协议B.服务级别协议C.运营级别协议D.安全保密协议答案：D解析：根据《中华人民共和国网络安全法》的规定，关键信息基础设施运营者在采购网络产品和服务时，如果涉及到与提供者签订的协议需要通过国家网信部门会同国务院有关部门组织的国家安全审查，那么这个协议应当是“安全保密协议”。因此，选项D“安全保密协议”是正确答案。7.根据《中华人民共和国计算机信息系统安全保护条例》，计算机信息系统安全专用产品是指用于保护计算机信息系统安全的（）。A.专用产品B.特定产品C.特定硬件和软件产品D.专用硬件和软件产品答案：D解析：根据《中华人民共和国计算机信息系统安全保护条例》的定义，计算机信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。因此，正确选项为D，即“专用硬件和软件产品”。其他选项如“专用产品”、“特定产品”和“特定硬件和软件产品”均不符合条例的定义。8.当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应当由（）所确定。A.业务子系统的安全等级平均值B.业务子系统的最高安全等级C.业务子系统的最低安全等级D.以上说法都错误答案：C解析：在评估一个包含多个业务子系统的信息系统的安全等级时，每个业务子系统都有各自的安全等级。要确定整个信息系统的安全等级，应该选择这些业务子系统中安全等级最低的一个，因为这可能代表了整个系统中最薄弱的环节。因此，正确答案是“业务子系统的最低安全等级”。其他选项如“业务子系统的安全等级平均值”或“业务子系统的最高安全等级”都不能准确反映整个信息系统的安全等级。9.下列哪一种情况下，网络数据管理协议（NDMP）可用于备份（）？A.需要使用网络附加存储设备（NAS）时B.不能使用TCP/IP的环境中C.需要备份旧的备份系统不能处理的文件许可时D.要保证跨多个数据卷的备份连续、一致时答案：A解析：网络数据管理协议（NDMP）主要用于支持网络附加存储设备（NAS）的备份，它提供了一种跨多个数据卷、连续且一致的备份方法。因此，当需要使用网络附加存储设备时，NDMP可用于备份。所以，正确答案是A。选项B“不能使用TCP/IP的环境中”是不正确的，因为NDMP是基于TCP/IP的协议。选项C“需要备份旧的备份系统不能处理的文件许可时”和选项D“要保证跨多个数据卷的备份连续、一致时”虽然都是NDMP可以处理的情况，但不是NDMP主要用于支持的情况。10.依据GB/Z20986，信息安全事件的分级为（）。A.特别严重事件、严重事件、一般事件B.特别重大事件、重大事件、较大事件、一般事件C.I级、Ⅱ级、Ⅲ级、V级、V级D.严重事件、较严重事件、一般事件答案：B解析：信息安全事件的分级依据GB/Z20986标准，分为特别重大事件、重大事件、较大事件和一般事件。因此，选项B“特别重大事件、重大事件、较大事件、一般事件”是正确的。其他选项A、C、D均不符合该标准的规定。11.我国正式公布了电子签名法，数字签名机制用于实现（）需求。A.抗否认B.保密性C.完整性D.可用性答案：A解析：电子签名法是为了规范电子签名行为，保障电子签名活动中各方主体的合法权益，促进电子签名技术的广泛应用而制定的。数字签名机制是电子签名技术的一种，它用于实现抗否认需求。抗否认是指签名者不能否认其签名，从而确保签名者的行为具有不可抵赖性。因此，选项A“抗否认”是正确的答案。选项B“保密性”是指信息不被未经授权的人员获取，选项C“完整性”是指信息在传输过程中不被篡改，选项D“可用性”是指信息可以被需要的人员获取，这些都不是数字签名机制用于实现的需求。12.审核组长在末次会议上宣布的审核结论是依据（）得出的。A.审核目的B.不符合项的严重程度C.所有的审核发现D.A+B+C答案：D解析：审核组长在末次会议上宣布的审核结论是基于所有的审核发现得出的，审核发现包括了所有与审核目的相关的证据和信息。审核结论是基于对审核证据的全面分析和评估得出的，它不仅考虑到了不符合项的严重程度，还考虑了审核目的，以及所有的审核发现。因此，正确答案是D，即审核结论是基于A（审核目的）、B（不符合项的严重程度）和C（所有的审核发现）得出的。13.数字签名要预使用单向HASH函数进行处理的原因是（）。A.多一道加密工序使密文更难破译B.提高密文的计算速度C.缩小签名密文的长度，加快数字签名和验证签名的运算速度D.保证密文能正确还原成明文答案：C解析：数字签名中使用的单向哈希函数主要是用来缩小签名密文的长度，加快数字签名和验证签名的运算速度。这是因为哈希函数可以将任意长度的输入转化为固定长度的输出，这种特性使得哈希函数非常适合用于数字签名。通过哈希函数处理，可以将较长的数据转化为较短的哈希值，从而减少传输和存储的需求，同时也提高了签名和验证签名的效率。因此，选项C“缩小签名密文的长度，加快数字签名和验证签名的运算速度”是正确的。14.根据《中华人民共和国国家秘密法》，国家秘密的最高密级为（）。A.特密B.绝密C.机密D.秘密答案：B解析：根据《中华人民共和国国家秘密法》的规定，国家秘密的最高密级为“绝密”。因此，选项B“绝密”是正确的答案。其他选项A“特密”、C“机密”和D“秘密”都不是该法规定的最高密级。15.ISO/IEC27002最新版本为（）。A.2022B.2015C.2005D.2013答案：A解析：根据题目要求，我们需要找出ISO/IEC27002的最新版本。题目中给出了四个选项，我们需要确定哪个是正确答案。由于题目没有明确说明具体的年份，我们需要考虑ISO/IEC27002的发布和更新情况。通常情况下，标准会定期更新，以反映技术的发展和变化。因此，我们可以推测，最新的版本应该是最近发布的。在给出的选项中，2022年是最新的年份，因此我们可以推断，ISO/IEC27002的最新版本应该是2022年。因此，正确答案是A选项，即2022年。16.包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或者安全地写覆盖。A.系统软件B.杀毒软件C.游戏软件D.任何敏感信息答案：D解析：根据题目描述，需要核查包含储存介质的设备，确保在处置之前，敏感信息已被删除或者安全地写覆盖。系统软件、杀毒软件和游戏软件并不是与敏感信息直接相关的内容，因此可以排除选项A、B和C。而选项D中的“任何敏感信息”符合题目要求，因此是正确答案。因此，应选D，即任何敏感信息。17.依据GB/T22080，网络隔离指的是（）。A.不同网络运营商之间的隔离B.不同用户组之间的隔离C.内网与外网的隔离D.信息服务〈用户及信息系统答案：D解析：网络隔离是一个关键的安全概念，旨在确保不同网络或信息系统之间的隔离，以防止未经授权的访问、数据泄露或攻击。在GB/T22080中，网络隔离主要指的是对信息服务（包括用户和信息系统）的隔离，以确保信息的安全性和完整性。因此，正确答案是“D.信息服务〈用户及信息系统}”。其他选项如“A.不同网络运营商之间的隔离”、“B.不同用户组之间的隔离”和“C.内网与外网的隔离”虽然也是网络隔离的一部分，但在这里更强调的是对信息服务（用户和信息系统）的隔离，而不是更广泛的网络层面。18.信息安全灾备管理中，“灾难备份”指（）。A.备份数据发生了灾难性破坏B.为灾难恢复而对数据、数据处理系统、网络系统进行备份的过程C.为灾难恢复而对基础设施、专业技术支持能力和运行管理能力进行备份的过程D.B+C答案：D解析：信息安全灾备管理中的“灾难备份”指的是为灾难恢复而对数据、数据处理系统、网络系统进行备份的过程，以及为灾难恢复而对基础设施、专业技术支持能力和运行管理能力进行备份的过程。因此，选项D“B+C”是正确的答案。选项A“备份数据发生了灾难性破坏”不是“灾难备份”的定义，选项B“为灾难恢复而对数据、数据处理系统、网络系统进行备份的过程”只是灾难备份的一部分，选项C“为灾难恢复而对基础设施、专业技术支持能力和运行管理能力进行备份的过程”也是灾难备份的一部分，但两者加在一起才是完整的“灾难备份”定义。19.依据ISO/IEC27005，关于风险处置，以下说法正确的是：（）。A.须按风险降低，风险保留、风险避免、风险分担顺序进行B.应组合使用风险降低、风险保留、风险避免、风险分担的手段C.风险降低、风险保留、风险避免、风险分担须择一使用而放弃其他手段D.须按风险避免、风险降低、风险分担、风险保留顺序进行答案：B解析：依据ISO/IEC27005，关于风险处置，应组合使用风险降低、风险保留、风险避免、风险分担的手段。这是因为在实际的风险管理中，不同的风险可能需要不同的处置策略，而这些策略并不是互斥的，而是可以相互补充的。因此，在进行风险处置时，应根据具体情况，综合运用多种手段，以达到最佳的风险管理效果。因此，选项B“应组合使用风险降低、风险保留、风险避免、风险分担的手段”是正确的。选项A、C、D的说法都是错误的。20.关于审核组的现场审核，以下说法错误的是（）。A.审核组在审核期间现场可根据受审核方实际情况及变更审核范围B.审核组在审核期间现场可调整审核路线和审核资源分配C.审核组遇到重大风险应报告委托方以决定后续措施D.审核组遇到重大风险应报告受审核方以决定后续措施答案：A解析：根据题目给出的选项，A选项提到“审核组在审核期间现场可根据受审核方实际情况及变更审核范围”。根据审核组的一般职责和程序，审核组在审核期间有权根据受审核方的实际情况和审核计划调整审核范围，但这并不意味着审核组可以随意变更审核范围。因此，A选项的描述过于绝对，可能是错误的。B选项提到“审核组在审核期间现场可调整审核路线和审核资源分配”。这是审核组在审核过程中的常规操作，审核组可以根据实际情况调整审核路线和资源分配，以确保审核的有效性和效率。C选项提到“审核组遇到重大风险应报告委托方以决定后续措施”。在审核过程中，如果审核组遇到重大风险，报告委托方是合理的做法，因为委托方通常是审核的发起方，对审核的期望和目的有清晰的了解，可以协助审核组做出后续决策。D选项提到“审核组遇到重大风险应报告受审核方以决定后续措施”。虽然报告受审核方也是一种做法，但通常委托方在审核过程中拥有更多的决策权和资源，因此报告委托方可能更为合适。综上所述，A选项的描述过于绝对，可能是错误的。因此，正确答案是A。21.以下强健口令的是（）。A.a8mom9y5fub33B.1234C.CNASD.Password答案：A解析：在评估四个选项的口令强度时，我们需要考虑口令的复杂性和难以猜测性。A选项"a8mom9y5fub33"包含大小写字母、数字和特殊字符，长度也相对较长，这样的口令很难被猜测，因此具有较高的安全性。B选项"1234"是一个非常简单的口令，仅包含数字且顺序排列，非常容易被猜测，因此安全性很低。C选项"CNAS"是一个常见的英文缩写，虽然包含字母，但可能容易被猜测或通过字典攻击破解，因此安全性也较低。D选项"Password"是一个常见的弱口令，因为它是一个常见的英文单词，非常容易被猜测，安全性很低。综上所述，A选项"a8mom9y5fub33"是最安全的口令，因为它包含多种字符类型，长度适中，且难以猜测。因此，正确答案是A。22.安全区域通常的防护措施有（）。A.公司前台的电脑显示器背对来访者B.进出公司的访客须在门卫处进行登记C.重点机房安装有门禁系统D.以上全部答案：D解析：安全区域通常的防护措施包括前台的电脑显示器背对来访者、进出公司的访客须在门卫处进行登记以及重点机房安装有门禁系统。这些都是为了保护公司的重要资产和敏感信息，确保只有授权人员能够访问和操作。因此，选项D“以上全部”是正确的答案。23.（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态。A.信息安全事态B.信息安全事件C.信息安全肃故D.信息安全故障答案：A解析：信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态。这是信息安全事态的基本定义。选项A“信息安全事态”与题目描述相符。选项B“信息安全事件”通常指的是已经发生并对系统或服务造成实际影响的事件，与题目描述不完全吻合。选项C“信息安全肃故”和选项D“信息安全故障”在题目中并未提及，因此可以排除。因此，正确答案是A“信息安全事态”。24.用户访问某Web网站，用户直接采取的安全措施是（）。A.服务器数据备份B.防火墙过滤数据包C.用户输入登录口令D.核心交换机的热备答案：C解析：在访问Web网站时，用户直接采取的安全措施是输入登录口令。这是因为登录口令是用户身份认证的重要凭据，通过输入正确的登录口令，用户可以证明自己有权访问该网站，从而确保自己的账户安全。而服务器数据备份、防火墙过滤数据包和核心交换机的热备都是网站管理员或系统管理员采取的安全措施，与用户直接采取的安全措施不同。因此，正确答案为C选项，即用户输入登录口令。25.对于可能超越系统和应用控制的实用程序，以下说法正确的是（）。A.实用程序的使用不在审计范围内B.建立禁止使用的实用程序清单C.应急响应时需使用的实用程序不需额外授权D.建立鉴别、授权机制和许可使用的实用程序清单答案：D解析：对于可能超越系统和应用控制的实用程序，应建立鉴别、授权机制和许可使用的实用程序清单，以确保使用的合法性和安全性。选项A错误，实用程序的使用应在审计范围内，以确保其合规性；选项B错误，建立禁止使用的实用程序清单并不能完全解决问题，因为可能存在绕过禁止的情况；选项C错误，应急响应时需使用的实用程序同样需要额外授权，以确保安全。因此，正确答案为D。26.下列对信息安全风险评估建立准则描述正确的是（）。A.组织应按计划的时间间隔或当重大变更提出或发生时执行信息安全风险评估B.组织应按计划的时间间隔且当重大变更提出或发生时执行信息安全风险评估C.组织只需在重大变更发生时执行信息安全风险评估D.组织只需按计划的时间间隔执行信息安全风险评估答案：A解析：信息安全风险评估是组织为确保信息安全而进行的一项重要活动，其目的是识别潜在的安全风险并评估其对组织的影响。为了确保评估的有效性和及时性，组织应按照一定的准则执行评估。根据给出的选项，A选项“组织应按计划的时间间隔或当重大变更提出或发生时执行信息安全风险评估”是符合信息安全风险评估的准则的。这是因为信息安全环境是动态变化的，重大变更的发生可能导致新的安全风险出现，而按计划的时间间隔进行评估可以确保组织对信息安全状况的持续监控。因此，A选项是正确的描述。27.信息安全管理体系的要求类标准是（）。A.GB/T22080-2016B.GB/T22081-2008C.ISO/IEC27003D.ISO/IEC27004答案：A解析：信息安全管理体系的要求类标准是指为信息安全管理体系的建立、实施、监视、评审和改进提供框架和指南的标准。根据给出的选项，A选项“GB/T22080-2016”是信息安全管理体系的要求类标准，而B选项“GB/T22081-2008”是信息安全管理体系的指南类标准，C选项“ISO/IEC27003”是信息安全管理体系的成熟度模型标准，D选项“ISO/IEC27004”是信息安全管理体系的度量标准。因此，正确答案为A。28.下列哪种情况不影响审核的公正性？（）A.审核收费B.审核员为受审核方前雇员C.审核员参与了受审核方的体系建立工作D.审核员为受审核方的用户答案：A解析：审核的公正性是指审核员在执行审核工作时，不受任何可能干扰其客观、公正判断的因素影响。A选项“审核收费”可能会影响审核员的积极性，但不一定直接影响其公正性。审核员可能会因为收费而更加认真工作，但也可能因为收费而对某些受审核方产生偏见。然而，这并不直接破坏审核的公正性，因为审核员仍然有能力和责任保持公正。B选项“审核员为受审核方前雇员”可能会影响审核的公正性。如果审核员曾是受审核方的雇员，他可能对受审核方有偏见或私人关系，这可能会影响他的判断。C选项“审核员参与了受审核方的体系建立工作”也会影响审核的公正性。如果审核员参与了受审核方的体系建立，他可能对体系的运作和存在的问题有先入为主的看法，这可能会影响他的客观评价。D选项“审核员为受审核方的用户”同样会影响审核的公正性。如果审核员是受审核方的用户，他可能对受审核方的产品或服务有偏好或偏见，这也会影响他的客观判断。综上所述，虽然所有选项都可能在某种程度上影响审核的公正性，但A选项“审核收费”相对其他选项来说，对审核公正性的影响较小。因此，正确答案是A。29.GB/T29246标准由（）提出并归口。A.SC27B.SAC/TC261C.SAC/TC260D.SC40答案：C解析：根据给出的信息，我们需要确定GB/T29246标准是由哪个机构提出并归口的。给出的选项有ASC27、SAC/TC261、SAC/TC260和SC40。根据标准制定和归口的常识，SAC/TC是标准化技术委员会的缩写，通常负责标准的制定和归口工作。对比选项，SAC/TC261和SAC/TC260与SAC/TC相关，而ASC27和SC40则不是。因此，最有可能提出并归口GB/T29246标准的机构是SAC/TC261或SAC/TC260。在给出的选项中，只有SAC/TC261与其中一个选项匹配，因此正确答案是C。30.安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略（）。A.基于角色的策略B.基于身份的策略C.用户向导的策略D.强制性访问控制策略答案：D解析：安全标签是一种访问控制机制，它适用于强制性访问控制策略。强制性访问控制策略是一种基于安全标签的访问控制策略，它要求系统对主体和客体进行强制性的安全级别划分，并根据这些安全级别来决定主体对客体的访问权限。因此，选项D“强制性访问控制策略”是正确答案。其他选项如基于角色的策略、基于身份的策略和用户向导的策略与安全标签的访问控制机制不完全匹配。31.信息安全在通信保密阶段中主要应用于（）领域。A.军事B.商业C.科研D.教育答案：A解析：信息安全在通信保密阶段中主要应用于军事领域。军事领域对信息安全的要求非常高，因为涉及到国家安全和军事机密。因此，信息安全在军事领域的应用是非常重要的。选项B商业、选项C科研、选项D教育虽然也需要信息安全保护，但军事领域的信息安全更为重要。因此，正确答案为A军事。32.关于信息安全风险评估，以下正确的是（）。A.包括资产分析、风险识别、风险评估B.包括风险识别、风险分析、风险评价C.包括风险识别、风险分析、风险处置D.包括风险沟速、风险分析、风险评价答案：B解析：信息安全风险评估是一个系统的过程，它通常包括风险识别、风险分析和风险评价三个主要步骤。风险识别是确定系统中可能存在的威胁和脆弱性的过程；风险分析是对这些威胁和脆弱性进行定量或定性评估的过程；风险评价则是根据分析结果确定风险可接受性，并可能采取相应措施的过程。因此，选项B“包括风险识别、风险分析、风险评价”是正确的。而选项A缺少风险分析，选项C缺少风险评价，选项D中的“风险沟速”可能是笔误，应为“风险沟通”，并且整个选项结构也不符合风险评估的标准流程。33.以下不属于密钥管理内容的是（）。A.密钥材料复制、转移、更新和确认B.密钥材料的生成、等级、认证、注销C.密钥材料的撤销、衍生、销毁，和恢复D.密钥材料的分发、安装、存储和归档答案：A解析：在密钥管理中，关于密钥材料的操作包括生成、等级、认证、注销、分发、安装、存储和归档，以及撤销、衍生、销毁和恢复。这些操作涵盖了密钥生命周期的各个环节。然而，选项A中的“密钥材料复制、转移、更新和确认”并不属于密钥管理的内容。因此，正确答案是A。34.（）是建立有效的计算机病毒防御体系所需要的技术措施。A.漏洞扫描、网络入侵检测和防火墙B.漏洞扫描、补丁管理系统和防火墙C.网络入侵检测、防病毒系统和防火墙D.补丁管理系统、网络入侵检测和防火墙答案：B解析：建立有效的计算机病毒防御体系需要综合多种技术措施，包括漏洞扫描、补丁管理系统和防火墙。漏洞扫描用于及时发现系统中可能存在的漏洞，补丁管理系统则用于及时修复这些漏洞，而防火墙则用于阻止外部攻击和病毒入侵。因此，选项B“漏洞扫描、补丁管理系统和防火墙”是建立有效的计算机病毒防御体系所需要的技术措施。选项A缺少了补丁管理系统，选项C缺少了补丁管理系统，选项D缺少了漏洞扫描，因此都不完整。35.ISO/EC17799标准是哪个标准的前身（）？A.BS7799-1B.BS7799-2C.BS7799-3D.GB7799答案：A解析：ISO/EC17799标准是BS7799-1的前身。BS7799-1是一个信息安全管理标准，它提供了对信息安全管理各个方面的指南，包括政策、程序、过程、任务、活动和组织结构。后来，BS7799-1被ISO采用并进行了修订，形成了ISO/EC17799标准。因此，正确答案是A，即BS7799-1。36.《中华人民共和国网络安全法》的实施时间是（）。A.2016年11月7日B.2016年12月1日C.2017年6月1日D.2018年3月1日答案：C解析：《中华人民共和国网络安全法》是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定的法律。该法于2016年11月7日发布，2017年6月1日起施行。因此，正确答案为C选项，即2017年6月1日。37.关于IT系统审计，以下说法正确的是（）。A.IT系统审计是发现系统脆弱性的有效手段，不可删减B.组织经评估认为IT系统审计的风险不可接受时，可以删减C.组织认为IT系统审计成本太高时，可以删减D.组织自己不具备实施IT系统审计的能力时，可以删减答案：B解析：IT系统审计是评估系统安全性的重要手段，其目标是发现系统可能存在的脆弱性，并采取相应措施进行改进。因此，A选项“IT系统审计是发现系统脆弱性的有效手段，不可删减”是正确的。然而，题目要求选择错误的选项，所以A不符合题意。B选项“组织经评估认为IT系统审计的风险不可接受时，可以删减”符合风险评估的基本原则。当组织评估后认为IT系统审计带来的风险超过其带来的价值或收益时，可以根据风险管理的原则选择不执行或删减。C选项“组织认为IT系统审计成本太高时，可以删减”虽然从成本效益角度考虑有其合理性，但成本高低并不是删减IT系统审计的法定或标准理由。D选项“组织自己不具备实施IT系统审计的能力时，可以删减”同样不符合IT系统审计的基本原则。即使组织不具备实施审计的能力，也应该寻求外部专业机构或专家进行审计，而不是直接删减。综上所述，只有B选项是符合题目要求的错误说法。因此，正确答案是B。38.依据GB/T2208/ISO/IC27001，不属于第三方服务监视和评审范畴的是（）。A.监视和评审服务级别协议的符合性B.监视和评审服务方人员聘用和考核的流程C.监视和评审服务交付遵从协议规定的安全要求的程度D.监视和评审服务方跟踪处理信息安全事件的能力答案：B解析：依据GB/T2208/ISO/IC27001，第三方服务监视和评审范畴主要包括监视和评审服务级别协议的符合性、监视和评审服务交付遵从协议规定的安全要求的程度以及监视和评审服务方跟踪处理信息安全事件的能力。而监视和评审服务方人员聘用和考核的流程并不属于第三方服务监视和评审的范畴。因此，答案为B。39.对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由以下部门归口管理（）。A.工业和信息化部B.公安部C.信息产业部D.国家安全部答案：B解析：根据题目描述，对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，应由公安部归口管理。因此，正确答案为B选项，即公安部。其他选项如工业和信息化部、信息产业部和国家安全部与题目描述不符。40.根据GB/T22080-2016标准的要求，组织（）实施风险评估。A.应按计划的时间间隔或当重大变更提出或发生时B.应按计划的时间间隔目当重大变更提出或发生时C.只需在重大变更发生时D.只需按计划的时间间隔答案：A解析：在GB/T22080-2016标准中，明确要求组织应按照计划的时间间隔或当重大变更提出或发生时实施风险评估。选项A中的表述与此标准的要求一致，故为正确答案。其他选项中的表述均有出入，不符合标准要求。因此，答案应选A。多选题（共15题）41.以下做法正确的是（）A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实业务案例和数据C.员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D.信息系统管理域内所有的终端启动屏幕保护时间应一致答案：AD解析：A选项：使用生产系统数据测试时，应先将数据进行脱敏处理。这一做法是正确的，因为在测试环境中使用生产系统的真实数据存在泄露敏感信息的风险。通过脱敏处理，可以去除敏感信息，确保测试的安全性。B选项：为强化新员工培训效果，应尽可能使用真实业务案例和数据。这一做法是不安全的，使用真实的业务案例和数据可能会泄露敏感信息或业务逻辑，存在较大的风险。因此，不建议使用真实业务案例和数据进行培训。C选项：员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用。这一做法可能存在问题，因为删除数据并不保证数据被彻底清除。如果数据未被彻底删除，可能会留下安全隐患。此外，将数据从一个项目组带到另一个项目组也可能违反数据隔离和权限控制的原则。D选项：信息系统管理域内所有的终端启动屏幕保护时间应一致。这一做法有助于确保终端的安全性，因为一致的屏幕保护时间可以确保终端在无人使用时自动进入锁定状态，减少未经授权访问的风险。综上所述，正确选项为A和D。42.涉密安全管理包括（）。A.涉密设备管理B.涉密信息管理C.涉密人员管理D.涉密场所、媒体管理答案：ABCD解析：涉密安全管理是一个综合性的概念，它涵盖了多个方面。涉密设备管理涉及对涉密设备的管理和控制，确保设备的安全性和保密性；涉密信息管理则是对涉密信息的产生、传输、存储和使用等环节进行管理和保护；涉密人员管理涉及到对涉密岗位的人员的任用、考核、保密教育和监督等方面的管理；涉密场所、媒体管理则是对涉密场所的保密环境、涉密媒体的使用和管理进行规范和监督。因此，涉密安全管理应包括涉密设备管理、涉密信息管理、涉密人员管理和涉密场所、媒体管理等多个方面。43.以下说法正确的是（）。A.顾客不投诉表示顾客满意了B.监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价C.顾客满意测评只能通过第三方机构来实施D.顾客不投诉并不意味着顾客满意了答案：BD解析：选项A：顾客不投诉并不一定表示顾客满意了。顾客可能因为各种原因不投诉，例如他们可能不知道有问题，或者他们可能认为问题不重要。因此，不能仅凭顾客不投诉就断定顾客满意。选项B：监视和测量顾客满意的方法之一是发调查问卷，并对结果进行分析和评价。这是一种常用的方法，通过收集和分析顾客的意见和反馈，可以了解顾客对产品和服务的满意度，从而改进产品和服务。选项C：顾客满意测评不一定只能通过第三方机构来实施。虽然第三方机构可以提供专业的测评服务，但企业也可以自己建立测评体系，通过内部员工或顾客进行调查和评估。选项D：顾客不投诉并不意味着顾客满意了。正如选项A的解释，顾客可能因为各种原因不投诉，所以不能仅凭顾客不投诉就断定顾客满意。44.信息安全管理体系认证是（）。A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信息安全管理体系认证是合格评定活动的一种D.是信息系统风险管理的实施活动答案：AC解析：信息安全管理体系认证是指由权威的第三方机构依据相关的标准对组织的信息安全管理体系进行审核和评估，确认其是否满足信息安全管理体系的相关要求，并颁发相应的认证证书的活动。这一活动是对信息安全管理体系的规定要求得到满足的证实活动，同时也是合格评定活动的一种。因此，选项A和C是正确的。选项B描述的是对信息系统是否满足有关的规定要求的评价，这并不等同于信息安全管理体系认证的定义；选项D描述的是信息系统风险管理的实施活动，与信息安全管理体系认证无直接关联。因此，选项B和D是错误的。45.根据ISO/IEC27000，以下说法正确的是（）。A.ISMS族包含阐述要求的标准B.ISMS族包含阐述通用概述的标准C.ISMS族包含特定行业概述的标准D.ISMS族包含阐述ISMS概述和词汇的标准答案：ACD解析：根据ISO/IEC27000，信息安全管理标准（ISMS）族包含阐述要求的标准、特定行业概述的标准以及阐述ISMS概述和词汇的标准。因此，选项A、C和D是正确的。选项B“ISMS族包含阐述通用概述的标准”并不符合ISO/IEC27000的描述。所以，正确答案是A、C和D。46.信息安全方针应包括下列要求（）。A.考虑业务和法律法规的要求及合同中的安全义务B.建立风险评价的准则C.可测量D.获得管理者批准答案：ABD解析：信息安全方针是组织为确保信息安全而制定的一系列指导原则，它应包含多个方面的要求。A选项提到“考虑业务和法律法规的要求及合同中的安全义务”，这是信息安全方针中非常关键的一点。组织在制定信息安全方针时，必须充分考虑到其业务特性、相关法律法规的要求以及合同中可能涉及的安全义务，以确保信息安全方针的合规性和实用性。B选项提到“建立风险评价的准则”，这也是信息安全方针中不可或缺的一部分。风险评价是信息安全管理的核心环节，通过建立风险评价的准则，组织可以更加科学、系统地评估信息安全风险，从而采取有效的应对措施。D选项提到“获得管理者批准”，这表示信息安全方针需要得到组织高层管理者的认可和支持。只有获得管理者的批准，信息安全方针才能在整个组织中得到有效的执行和推广。C选项“可测量”虽然也是信息安全方针中需要考虑的一个方面，但它并不是信息安全方针应包括的基本要求。可测量性通常是在信息安全管理体系中，用于评估信息安全方针执行效果的一个指标，而不是信息安全方针本身的要求。因此，根据题目要求，信息安全方针应包括的要求是A.考虑业务和法律法规的要求及合同中的安全义务；B.建立风险评价的准则；D.获得管理者批准。47.移动设备策略宜考虑（）。A.移动设备注册B.恶意软件防范C.访问控制D.物理保护要求答案：ABCD解析：移动设备策略涉及到移动设备的各个方面，以确保设备的安全性和管理的有效性。移动设备注册是确保设备能够被有效管理和控制的基础；恶意软件防范是保护设备免受恶意软件攻击的关键；访问控制是限制对敏感数据的访问，确保数据的安全；物理保护要求则是确保设备在物理层面上得到保护，避免丢失或被盗。因此，移动设备策略宜考虑移动设备注册、恶意软件防范、访问控制和物理保护要求。48.相关方是指对于一项与SMS或服务相关的决策或活动（）的个人或组织。A.能够影响B.及其影响C.认为自己受到影响D.无法影响答案：AC解析：根据题目描述，相关方是指对于一项与SMS或服务相关的决策或活动能够产生影响或认为自己受到影响的个人或组织。因此，选项A“能够影响”和选项C“认为自己受到影响”是正确的，而选项B“及其影响”和选项D“无法影响”则与题目描述不符。所以，正确答案应该是选项A和选项C。49.影响审核时间安排的因素包括（）。A.ITSMS的范围大小B.场所的数量C.认证机构审核人员的能力D.认证机构审核人员的数量答案：AB解析：审核时间安排受到多种因素的影响。在给出的选项中，A.ITSMS的范围大小是一个重要因素。范围越大，审核所需的时间通常也会越长。B.场所的数量也是一个关键因素，因为审核人员需要在每个场所进行工作，场所数量增加意味着审核时间的增加。C.认证机构审核人员的能力虽然可能影响审核的质量，但并不直接影响审核的时间安排。D.认证机构审核人员的数量可能会间接影响审核时间，但题目中并未明确说明审核人员数量与审核时间之间的直接关系。因此，根据题目所给选项，正确答案是A和B。50.为确保员工和合同方理解其职责、并适合其角色，在员工任用之前，必须（）。A.对其进行试用B.对员工的背景进行适当验证检查C.在任用条款和合同中指明安全职责D.面试答案：BC解析：首先，我们要明确题目的核心要求：确保员工和合同方理解其职责并适合其角色。这涉及到在任用之前，公司需要采取哪些措施来确保员工的资质和职责明确。A选项“对其进行试用”虽然是一种评估员工能力的方式，但它并不能确保员工理解其职责并适合其角色。试用期间，员工可能只是尝试性地工作，并不一定能完全理解其职责。B选项“对员工的背景进行适当验证检查”是一个重要的步骤。通过背景调查，公司可以了解员工的学历、工作经验、个人品质等，从而判断其是否适合担任该职位。C选项“在任用条款和合同中指明安全职责”也是一个必要的步骤。明确的安全职责可以确保员工知道他们在工作中需要承担的责任，从而更好地履行其角色。D选项“面试”虽然是一个常规的招聘步骤，但它并不能保证员工理解其职责并适合其角色。面试更多地是了解应聘者的基本信息和求职动机，而不是确保他们适合该职位。综上所述，为确保员工和合同方理解其职责并适合其角色，在员工任用之前，公司需要对员工的背景进行适当验证检查，并在任用条款和合同中指明安全职责。因此，正确答案为B和C。51.以下不符合GB/T22080-2016/ISO/IEC27001:2013标准A17要求的情况是（）。A.银监会规定业务中断后须在4小时内恢复，因此某银行T运维中心规定：如发生网络中断，数据库系统运行中断等，均应在4小时内恢复B.A公司所在市区历来供电稳定，因此核心业务机房采用单路市电及单台UPS为所有系统设备供电C.某金融押运服务公司在A、B两台服务器上安装了押运车实时位置和状态跟踪系统，A为日常运行用，系统定期升级，B为备机，平时为冷态，A和B安置在同一机房，共用一套基础设施D.某跨国贸易公司每3个月一次将其核心业务系统中的数据备份一套磁盘，然后送往当地银行保险箱保存答案：ABCD解析：A选项：银监会规定业务中断后须在4小时内恢复，因此某银行T运维中心规定：如发生网络中断，数据库系统运行中断等，均应在4小时内恢复。这个规定只满足了业务恢复时间的要求，但并未明确说明在业务中断后如何确保数据的安全性和完整性，以及是否采取了必要的预防措施来防止类似中断再次发生。因此，这个规定并不完全符合GB/T22080-2016/ISO/IEC27001:2013标准A17的要求。B选项：A公司所在市区历来供电稳定，因此核心业务机房采用单路市电及单台UPS为所有系统设备供电。这种设计过于依赖单一的电源供应，没有考虑到可能的电源故障或意外断电的情况，缺乏足够的冗余和备份机制。因此，这个设计不符合GB/T22080-2016/ISO/IEC27001:2013标准A17的要求。C选项：某金融押运服务公司在A、B两台服务器上安装了押运车实时位置和状态跟踪系统，A为日常运行用，系统定期升级，B为备机，平时为冷态，A和B安置在同一机房，共用一套基础设施。虽然这里提到了有两台服务器，并且一台作为备机，但是备机是冷态，也就是说它并不实时在线，而且在同一机房使用同一套基础设施，没有明确的物理隔离措施，这增加了单点故障的风险。因此，这个设计也不符合GB/T22080-2016/ISO/IEC27001:2013标准A17的要求。D选项：某跨国贸易公司每3个月一次将其核心业务系统中的数据备份一套磁盘，然后送往当地银行保险箱保存。虽然这里提到了数据备份，但是备份的频率是每3个月一次，过于稀疏，无法确保数据的及时恢复。此外，将备份送往银行保险箱保存，没有说明备份的存储和管理机制，存在数据丢失或泄露的风险。因此，这个做法也不符合GB/T22080-2016/ISO/IEC27001:2013标准A17的要求。52.关于商用密码技术和产品，以下说法正确的是（）。A.任何组织不得随意进口密码产品，但可以出一商用密码产品B.商用密码技术属于国家秘密C.商用密码是对不涉及国家秘密的内容进行加密保护的产品D.商用密码产品的用户不得类其使用的商用密码产品答案：BCD解析：根据《商用密码管理条例》规定，任何组织或者个人不得自行启用或者转让、出售、出租、出借商用密码产品。因此，选项A中的“任何组织不得随意进口密码产品，但可以出售商用密码产品”说法错误。商用密码技术是指用于保护不属于国家秘密的信息的密码技术，因此选项B“商用密码技术属于国家秘密”说法错误。商用密码是指对不属于国家秘密的信息进行加密保护或者安全认证所使用的密码技术和密码产品，因此选项C“商用密码是对不涉及国家秘密的内容进行加密保护的产品”说法正确。商用密码产品的用户应当按照法律、行政法规的规定使用商用密码产品，不得擅自改变商用密码产品的功能或者危害商用密码产品安全，因此选项D“商用密码产品的用户不得擅自使用其使用的商用密码产品”说法正确。综上所述，正确答案为BCD。53.ISMS范围和边界的确定依据包括（）。A.业务B.组织C.物理D.资产和技术答案：ABCD解析：ISMS（信息安全管理体系）的范围和边界的确定，需要考虑多个因素。业务是ISMS的基础，因为信息安全需要保障业务的正常运作。组织是ISMS的实施主体，组织的管理和流程会对ISMS的范围和边界产生影响。物理因素，如地理位置、网络架构等，也会影响ISMS的范围和边界。资产和技术是ISMS保护的对象，包括硬件、软件、数据等，这些资产和技术需要得到适当的保护和管理。因此，业务、组织、物理、资产和技术都是确定ISMS范围和边界的重要依据。54.根据采用的技术，入侵检测系统有以下分类（）。A.正常检测B.异常检测C.特征检测D.固定检测答案：BC解析：入侵检测系统（IDS）根据采用的技术，主要有异常检测和特征检测两种分类。异常检测是通过分析网络或系统的行为，识别出与正常行为不符的异常行为，从而发现入侵。特征检测则是基于已知的攻击特征或模式，通过匹配这些特征来识别攻击。选项A正常检测和选项D固定检测并不是入侵检测系统基于技术的分类，因此不选。所以正确答案为B和C。55.为控制文件化信息，适用时，组织应强调以下哪些活动？（）A.分发，访问，检索和使用B.存储和保护，包括保持可读性C.控制变更（例如版本控制）D.保留和处理答案：ABCD解析：为了控制文件化信息，组织需要强调以下活动：A.分发，访问，检索和使用：这是确保文件化信息能够被正确、有效地传递和使用，以便组织内部成员和外部相关方能够获取所需的信息。B.存储和保护，包括保持可读性：这是确保文件化信息能够安全、完整地保存，并且能够在需要时容易地访问和使用。保持可读性意味着文件化信息应该以清晰、易于理解的方式呈现，以便读者能够准确获取所需的信息。C.控制变更（例如版本控制）：这是确保文件化信息的一致性和准确性。通过控制变更，组织可以跟踪和管理文件化信息的更改，以确保所有相关方都能够获得最新、最准确的信息。D.保留和处理：这是确保文件化信息能够被适当地保留和处理，以符合法规和组织政策的要求。适当的保留和处理可以确保文件化信息不会被过早地销毁或丢失，并且在需要时能够被检索和使用。因此，选项A、B、C和D都是组织为了控制文件化信息需要强调的活动。判断题（共10题）56.对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险（）。A.正确B.错误答案：A解析：对于不同类型的风险，确实可以采用不同的风险接受准则。在这个问题中，提到导致对法律法规不符合的风险可能是不可接受的，这通常意味