CCAA - 信息安全管理体系基础摸底考试三答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布信息安全管理体系基础摸底考试三答案及解析单选题（共40题）1.关于信息安全管理体系认证，以下说法正确的是（）。A.认证决定人员不宜推翻审核组的正面结论B.认证决定人员不宜推翻审核组的负面结论C.认证决定人员宜与审核组长协商做出以证决定D.认证决定人员宜与受审核方协商做出认证决定答案：B解析：信息安全管理体系认证的核心是确保受审核方的信息安全管理体系符合相关的标准或要求。审核组在进行审核后，会给出审核结论，无论是正面还是负面。认证决定人员在此基础上进行认证决定。对于审核组的负面结论，认证决定人员不宜推翻，因为这涉及到对受审核方信息安全管理体系的客观评价。因此，选项B“认证决定人员不宜推翻审核组的负面结论”是正确的。而选项A“认证决定人员不宜推翻审核组的正面结论”与这一逻辑不符，因为正面结论通常表示受审核方表现良好，没有需要特别推翻的情况。选项C和D中的“宜与审核组长协商”和“宜与受审核方协商”也与信息安全管理体系认证的基本逻辑不符，因为认证决定人员是根据审核组的结论进行独立决策的。2.根据GB/T29246标准，保密性是指（）。A.根据授权实体的要求可访问的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护信息准确和完整的特性D.保证信息不被其他人使用答案：B解析：保密性是指信息不被未授权的个人、实体或过程利用或知悉的特性。根据GB/T29246标准，这是保密性的定义。其他选项与保密性的定义不符。A选项“根据授权实体的要求可访问的特性”是可用性的一种特性；C选项“保护信息准确和完整的特性”是完整性的一种特性；D选项“保证信息不被其他人使用”没有明确“未授权”的前提，因此不是保密性的准确描述。因此，正确答案是B选项。3.漏洞检测的方法分为（）。A.静态检测B.动态测试C.混合检测D.以上都是答案：D解析：根据题目中的信息，我们需要选择出漏洞检测的方法。静态检测、动态测试和混合检测都是漏洞检测的方法，因此选项D“以上都是”是正确的答案。其他选项A、B、C都是部分正确的，但不足以涵盖所有的检测方法。因此，选项D是最佳答案。4.我国网络安全等级保护共分几个级别？（）A.7B.4C.5D.6答案：C解析：根据中国的网络安全等级保护制度，网络安全等级保护共分五个级别，从第一级到第五级依次增高。所以，选项C“5”是正确的。其他选项A“7”、B“4”、D“6”都是错误的。5.下列说法不正确的是（）。A.残余风险需要获得管理者的批准B.体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C.所有的信息活动都必须有记录D.管理评审至少每年进行一次答案：C解析：题目考查的是关于风险评估和风险控制过程的一些基本原则。A选项表示“残余风险需要获得管理者的批准”。这是正确的，因为在实施控制措施后，可能仍然会存在残余风险，这些风险需要得到管理层的认可，并可能需要进一步的措施来降低。B选项表示“体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果”。这也是正确的，因为体系文件应该能够清晰地展示整个风险评估和风险控制过程，包括所选择的控制措施及其背后的理由。D选项表示“管理评审至少每年进行一次”。这也是正确的，管理评审是评估整个管理体系的有效性、适宜性和充分性的过程，通常建议至少每年进行一次。而C选项“所有的信息活动都必须有记录”是不正确的。虽然记录是信息活动的一部分，但并不是所有的信息活动都必须有记录。有些信息活动可能是口头交流或者非正式的，不一定需要记录。因此，不正确的说法是C选项“所有的信息活动都必须有记录”。6.对于可能超越系统和应用控制的实用程序，以下说法正确的是（）。A.实用程序的使用不在审计范围内B.建立禁止使用的实用程序清单C.应急响应时需使用的实用程序不需额外授权D.建立鉴别，授权机制和许可使用的实用程序清单答案：D解析：对于可能超越系统和应用控制的实用程序，建立鉴别，授权机制和许可使用的实用程序清单是正确的做法。这样可以确保实用程序的使用在审计范围内，并且只有经过授权的人员才能使用。同时，对于应急响应时可能使用的实用程序，也需要建立相应的授权和许可机制，以确保其使用符合安全要求。因此，选项D“建立鉴别，授权机制和许可使用的实用程序清单”是正确的。选项A“实用程序的使用不在审计范围内”是错误的，因为实用程序的使用应该受到审计和监控。选项B“建立禁止使用的实用程序清单”虽然是一种安全措施，但并不是直接针对可能超越系统和应用控制的实用程序的。选项C“应急响应时需使用的实用程序不需额外授权”也是错误的，因为即使是应急响应时使用的实用程序，也需要符合安全和授权的要求。7.以下可认定审核范围变更的事项是（）。A.受审核组织增加一个制造场所B.受审核组织职能单元和人员规模增加C.受审核组织业务过程增加D.以上全部答案：D解析：审核范围变更是指审核的范围发生了变化，这通常涉及到受审核组织的结构、职能、过程等方面的变化。根据给出的选项，我们来逐一分析：A选项“受审核组织增加一个制造场所”，这涉及到受审核组织的物理结构变化，可能影响到审核的范围。B选项“受审核组织职能单元和人员规模增加”，这涉及到受审核组织的组织和人员变化，同样可能影响到审核的范围。C选项“受审核组织业务过程增加”，这涉及到受审核组织的业务过程变化，审核的范围也会相应地发生变化。D选项“以上全部”，包括了上述三个变化，因此，任何一项的变化都可能引起审核范围的变更。综上所述，A、B、C选项的变化都可能引起审核范围的变更，因此，正确答案是D选项，即“以上全部”。8.下面是关于计算机病毒的两种论断，经判断（）。①计算机病毒也是一种程序，它在某些条件下激活，起干扰破坏作用，并能传染到其他程序中去②计算机病毒只会破坏磁盘上的数据A.只有①正确B.只有②正确C.①②都正确D.①②都不正确答案：A解析：计算机病毒是一种程序，它在某些条件下激活，起干扰破坏作用，并能传染到其他程序中去。因此，论断①是正确的。而论断②只提到了计算机病毒会破坏磁盘上的数据，没有提到它还能传染到其他程序中去，因此论断②是不完整的。因此，只有论断①是正确的，答案为A。9.关于可信计算机基，以下说法正确的是（）A.指计算机系统中用作保护装置的硬件、固件、软件等的组合体B.指配置有可信赖安全防护硬件、软件产品的计算机环境C.指通过了国家有关安全机构认证的计算机信息系统D.指通过了国家有关机构评测的计算机基础设施，含硬件、软件的配置答案：A解析：可信计算机基（TCB）是计算机系统中用作保护装置的硬件、固件、软件等的组合体。因此，选项A“指计算机系统中用作保护装置的硬件、固件、软件等的组合体”是正确的。选项B“指配置有可信赖安全防护硬件、软件产品的计算机环境”虽然提到了可信赖安全防护硬件和软件，但并未明确指出这是TCB，因此不正确。选项C“指通过了国家有关安全机构认证的计算机信息系统”和选项D“指通过了国家有关机构评测的计算机基础设施，含硬件、软件的配置”都提到了认证和评测，但这并不是TCB的定义，因此也不正确。10.下列措施中哪一个是用来记录事态并生产证据的？（）A.时钟同步B.信息备份C.软件安装限制D.信息系统审计的控制答案：A解析：题目询问的是哪一个措施是用来记录事态并生产证据的。A选项“时钟同步”主要是用于确保各个系统或设备的时间同步，以便于协调工作和避免时间冲突，但它并不直接记录事态或生产证据。B选项“信息备份”虽然可以保存重要信息，但它主要是为了数据安全，防止数据丢失，并不直接用于记录事态或生产证据。C选项“软件安装限制”是为了确保系统安全，防止恶意软件的安装，但它并不涉及记录事态或生产证据。D选项“信息系统审计的控制”则是一种监控和记录系统活动的方法，它可以记录事态并生产证据，用于审计和调查。因此，正确答案是D选项“信息系统审计的控制”。11.关于互联网信息服务，以下说法正确的是（）。A.互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B.非经营性互联网信息服务未取得许可不得进行C.从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D.经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动答案：C解析：本题主要考察互联网信息服务的相关法规知识。A选项提到“互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案”，但实际上，《互联网信息服务管理办法》规定的是“互联网信息服务分为经营性和非经营性两类”，并且“从事经营性互联网信息服务，应当获得增值电信业务经营许可证；未经许可或未履行备案手续，不得从事互联网信息服务”。所以A选项错误。B选项提到“非经营性互联网信息服务未取得许可不得进行”，但实际上，《互联网信息服务管理办法》规定的是“非经营性互联网信息服务实行备案制度”，即非经营性互联网信息服务在取得备案后是可以进行的。所以B选项错误。C选项提到“从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求”，这是符合《互联网信息服务管理办法》的规定的，所以C选项正确。D选项提到“经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动”，但实际上，《互联网信息服务管理办法》对经营性互联网信息服务的定义是“通过互联网向上网用户有偿提供信息或者网上服务等经营活动或者其他商业行为”，与D选项不符，所以D选项错误。因此，正确答案是C选项。12.关于保密性，以下说法正确的是（）。A.规定被授权的个人和实体，同时规定访问时间和访问范围以及访问类型B.职级越高可访问信息范围越大C.默认情况下|Ⅱ系统维护人员可以任何类型访问所有信息D.顾客对信息的访问权按顾客需求而定答案：A解析：保密性要求明确被授权的个人和实体，同时规定访问时间和访问范围以及访问类型。这是为了确保只有经过授权的人员在特定的时间和范围内，以特定的方式访问信息，从而保护信息的机密性。因此，选项A“规定被授权的个人和实体，同时规定访问时间和访问范围以及访问类型”是正确的说法。选项B“职级越高可访问信息范围越大”并不符合保密性的原则，因为访问权限应该基于授权，而不是职级。选项C“默认情况下|Ⅱ系统维护人员可以任何类型访问所有信息”也不符合保密性的要求，因为系统维护人员的访问权限应该受到限制。选项D“顾客对信息的访问权按顾客需求而定”同样不符合保密性的原则，因为访问权限应该基于授权，而不是顾客需求。13.依据GB/Z20986，信息安全事件的分级为（）。A.特别严重事件、严重事件、一般事件B.特别重大事件、重大事件、较大事件、一般事件C.1级、II级、Ⅲ级、IV级、V级D.严重事件、较严重事件、一般事件答案：B解析：信息安全事件的分级依据GB/Z20986标准，分为特别重大事件、重大事件、较大事件和一般事件。选项A中的“特别严重事件”和选项C中的“1级、II级、Ⅲ级、IV级、V级”以及选项D中的“严重事件、较严重事件”均不是该标准中的分级方式。因此，正确答案为B，即特别重大事件、重大事件、较大事件和一般事件。14.桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）。A.下级管理员无权修改，不可删除B.下级管理员无权修改，可以删除C.下级管理员可以修改，可以删除D.下级管理员可以修改，不可删除答案：A解析：根据题目描述，桌面系统级联状态下，上级服务器制定的强制策略是强制性的，下级管理员无权修改，也不可删除。因此，选项A“下级管理员无权修改，不可删除”是正确的说法。其他选项与题目描述不符。15.组织选择信息安全风险评估方法，应考虑（）。A.适合于组织的ISMS、已识别的安全要求和法律法规要求B.只有采用准确性高的概率模型才能得出可信的结果C.必须采用易学易用的定性评估方法才能提高效率D.）必须采用国家标准规定的相加法或相乘法答案：A解析：组织在选择信息安全风险评估方法时，应考虑到适合于组织的ISMS（信息安全管理体系）、已识别的安全要求和法律法规要求。这是因为风险评估方法应当与组织的具体情况和需求相匹配，以便准确评估安全风险，并为信息安全管理提供有力支持。而其他选项要么过于强调准确性、易用性或特定的评估方法，可能并不适合所有组织的情况。因此，选择A选项是更合适和全面的。16.审核计划中不应包括（）。A.本次以及其后续审核的时间安排B.审核准则C.审核组成员及分工D.审核的日程安排答案：A解析：审核计划是审核活动的重要组成部分，它应明确审核的目的、范围、准则、审核组成员及分工以及审核的日程安排等内容。但是，审核计划不应该包括“本次以及其后续审核的时间安排”，因为这涉及到具体的时间点，而审核计划更注重的是整体的时间安排和规划，而不是具体的时间点。因此，选项A不应包括在审核计划中。17.一家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到的资料没有被修改？（）A.电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B.电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C.电子邮件发送前，用投资顾问商的私钥数字签名邮件D.电子邮件发送前，用投资顾问商的私钥加密邮件答案：C解析：为了保证客户收到的资料没有被修改，应该使用数字签名技术。数字签名技术可以确保邮件的完整性和真实性，防止邮件在传输过程中被篡改。在电子邮件发送前，用投资顾问商的私钥对邮件进行数字签名，接收方可以使用投资顾问商的公钥对签名进行验证，如果签名有效，则说明邮件没有被修改。因此，选项C是正确的。选项A和D使用加密技术，虽然可以保护邮件的机密性，但不能保证邮件的完整性；选项B使用公钥加密邮件的HASH值，但HASH值本身并不能保证邮件的完整性，还需要与原始邮件进行比对。18.内部审核是为了确定信息安全体系的（）。A.有效性和适宜性B.适宜性和充分性C.有效性和符合性D.适宜性和充分性答案：C解析：内部审核是为了确定信息安全体系的有效性和符合性。有效性是指信息安全体系是否能够实现预期的目标和效果，符合性是指信息安全体系是否符合相关的法律法规、标准和规范的要求。因此，选项C“有效性和符合性”是正确的答案。选项A“有效性和适宜性”中的“适宜性”在此题目中并没有明确提及，选项B“适宜性和充分性”中的“充分性”同样没有明确提及，选项D“适宜性和充分性”中的两个选项在此题目中都没有明确提及，因此都不是正确答案。19.T面哪一种属于网络上的被动攻击（）。A.消息篡改B.伪装C.拒绝服务D.流量分析答案：D解析：被动攻击是指攻击者通过截获、分析网络上传输的信息来实施攻击，而不是直接对目标进行破坏。选项A消息篡改、选项B伪装和选项C拒绝服务都是主动攻击的方式，它们会直接对目标进行破坏或干扰。而选项D流量分析是被动攻击的一种方式，攻击者通过分析网络上传输的数据流量来获取敏感信息或进行其他恶意活动。因此，正确答案是D。20.关于“审核发现”，以下说法正确的是（）。A.人审核发现即审核员观察到的事实B.人审核发现可以表明正面的或负面的结果C.审核发现即审核组提出的不符合项报告D.审核发现即审核结论意见答案：B解析：题目中要求选出关于“审核发现”的正确说法。A选项提到“人审核发现即审核员观察到的事实”，但“人审核发现”这一表述本身并不准确，应该是“审核发现”。因此A选项不正确。C选项说“审核发现即审核组提出的不符合项报告”，这也不准确。审核发现不仅仅是不符合项报告，还包括其他观察结果和事实。D选项提到“审核发现即审核结论意见”，这同样不准确。审核结论意见是基于审核发现得出的，而不是审核发现本身。因此，B选项“人审核发现可以表明正面的或负面的结果”是正确的。审核发现可以揭示出正面的或负面的情况，从而帮助改进过程或系统。21.根据ISO/IEC27000标准，（）为组织提供了信息安全管理体系实施指南。A.ISO/IEC27013B.ISO/IEC27002C.ISO/IEC27003D.ISO/IEC27007答案：C解析：根据ISO/IEC27000标准，ISO/IEC27003为组织提供了信息安全管理体系实施指南。因此，正确答案为C。ISO/IEC27000是一个信息安全管理体系的标准，它定义了信息安全管理体系的基本原则和概念。而ISO/IEC27003则是基于ISO/IEC27000标准的信息安全管理体系实施指南，为组织提供了如何实施信息安全管理体系的具体步骤和指南。因此，选择C选项是正确的。22.在根据组织规模确定基本申核时问的前提下，下列咖一条属于増加审核时间的要素（）。A.其产品/过程无风险或有低的风险B.客户的认证准备C.仅涉及单一的活动过程D.具有高风险的产品或过程答案：D解析：在根据组织规模确定基本审核时间的前提下，增加审核时间的要素通常与产品或过程的复杂性和风险性有关。选项A提到“其产品/过程无风险或有低的风险”，这实际上暗示了风险较低，因此不太可能需要增加审核时间。选项B“客户的认证准备”虽然可能影响审核的进度，但不一定直接导致审核时间的增加。选项C“仅涉及单一的活动过程”同样暗示了产品或过程的简单性，因此不太可能需要增加审核时间。而选项D“具有高风险的产品或过程”则明确指出了风险性，这通常意味着需要更多的时间来确保审核的准确性和全面性，因此是增加审核时间的要素。因此，正确答案是D。23.关于中国认证认可相关活动的监督管理机制，以下说法正确的是（）。A.CNCA对CNAS、CCAA、认证机构依法实施监督管理B.CNCA依法监管CNAS，CNAS依法监管认证机构C.CCAA依法监管认证机构，CNCA依法监管CNASD.CCAA依法监管认证人员，CNAS依法监管认证机构，CNCA依法监管CNAS答案：A解析：根据《中华人民共和国认证认可条例》的规定，国家认证认可监督管理委员会（CNCA）对认证机构、认可机构以及认证培训、咨询机构等相关机构和人员依法实施监督管理。其中，CNAS（中国合格评定国家认可委员会）和CCAA（中国认证认可协会）都是CNCA监管下的机构。因此，选项A“CNCA对CNAS、CCAA、认证机构依法实施监督管理”是正确的说法。选项B、C、D的说法均不符合条例的规定。24.ISMS标准族中，要求类标准是（）。A.ISO27002B.ISO27001和ISO27003C.ISO27002和ISO27006；D.ISO27001和ISO27006答案：D解析：ISMS标准族中，要求类标准包括ISO27001和ISO27006。ISO27001是信息安全管理体系标准，它提供了一个框架，用于建立、实施、监控、评审和改进信息安全管理体系。ISO27006则是提供关于物理安全控制指南的标准，它提供了关于如何实施物理安全控制的信息，以确保信息资产的安全。因此，选项D“ISO27001和ISO27006”是正确的。25.信息安全管理中，关于脆弱性，以下说法正确的是：（）。A.组织使用的开源软件不须考虑其技术脆弱性B.软件开发人员为方便维护留的后门是脆弱性的一种C.识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D.使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会答案：B解析：A选项错误，组织使用的开源软件同样需要考虑其技术脆弱性。开源软件虽然公开源代码，但并不意味着没有安全漏洞或脆弱性。B选项正确，软件开发人员为方便维护留的后门是脆弱性的一种。后门是未经授权访问系统的方法，它们为攻击者提供了机会，因此可以被视为脆弱性。C选项错误，识别资产脆弱性时应考虑资产的固有特性，并包括当前安全控制措施。安全控制措施是组织为减少或消除脆弱性而采取的措施，因此在评估脆弱性时，必须考虑这些控制措施的效果。D选项错误，使信息系统与网络物理隔离虽然可以增加系统的安全性，但不能杜绝其脆弱性被威胁利用的机会。攻击者可能会利用其他途径或方法来访问或利用系统的脆弱性。因此，仅仅物理隔离是不够的，还需要其他安全措施来增强系统的安全性。26.已获得认证的组织，第二年拟在认证范围上新增加一个场所，针对此情况，以下说法正确的是（）。A.新增场所需实施现场审核，在监督审核人天数基础上加一个人天B.新增场所需实施现场审核，新增场所按初审计算人天数C.若组织内审已覆盖该新增场所，监督审核时对组织内审报告进行评审，不必去该新场所现场审核D.新增场所需实施现场审核，按监督审核计算人天数答案：D解析：根据题目描述，已获得认证的组织第二年拟在认证范围上新增加一个场所。对于这种情况，我们需要考虑如何实施现场审核以及审核人天数的计算。选项A提到“新增场所需实施现场审核，在监督审核人天数基础上加一个人天”。这个选项没有明确说明新增场所的审核人天数如何计算，只是简单地提出在监督审核人天数基础上加一个人天，没有明确的依据。选项B提到“新增场所需实施现场审核，新增场所按初审计算人天数”。这个选项将新增场所的审核人天数按照初审来计算，但题目中并没有提到新增场所需要进行初审，因此这个选项也不正确。选项C提到“若组织内审已覆盖该新增场所，监督审核时对组织内审报告进行评审，不必去该新场所现场审核”。这个选项虽然提到了组织内审已经覆盖新增场所，但监督审核时仍然需要对组织内审报告进行评审，并没有明确说明可以免去现场审核，因此这个选项也不正确。选项D提到“新增场所需实施现场审核，按监督审核计算人天数”。这个选项明确指出新增场所需实施现场审核，并且审核人天数按照监督审核来计算。这是符合认证审核的基本要求的，因此这个选项是正确的。综上所述，答案为选项D。27.依据GB/T22080-2016/ISO/IEC27001:2013，以下关于资产清单正确的是（）。A.做好资产分类是其基础B.采用组织固定资产台账即可C.无需关注资产产权归属者D.A+B答案：A解析：依据GB/T22080-2016/ISO/IEC27001:2013，关于资产清单，做好资产分类是其基础。这是因为资产分类有助于组织了解和管理其资产，包括资产的类型、价值、使用情况和风险等方面。采用组织固定资产台账虽然可以提供一些信息，但可能不足以全面反映组织的资产情况，因此不能仅依赖固定资产台账来建立资产清单。同时，关注资产产权归属者也是重要的，因为不同的产权归属者可能有不同的管理要求和风险。因此，选项A“做好资产分类是其基础”是正确的。选项B“采用组织固定资产台账即可”和选项C“无需关注资产产权归属者”都不符合GB/T22080-2016/ISO/IEC27001:2013的要求。选项D“A+B”虽然包含了选项A，但本身并不符合标准的要求。28.审核抽样时，可以不考虑的因素是（）。A.场所差异B.管理评审的结果C.最高管理者D.内审的结果答案：C解析：在审核抽样时，我们主要关注的是样本的代表性，以确保样本能够反映总体的实际情况。场所差异、管理评审的结果和内审的结果都是与审核抽样相关的因素，它们可能影响抽样的结果和样本的代表性。而最高管理者虽然对审核有决策性的影响，但在抽样过程中，他的个人意见或决策通常不会对样本的选择产生直接影响。因此，最高管理者不是审核抽样时必须考虑的因素。所以，正确答案是C。29.风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）和（）。A.识别可能性和影响B.识别脆弱性和识别后果C.识别脆弱性和可能性D.识别脆弱性和影响答案：B解析：风险识别是风险管理过程的第一步，旨在识别和评估潜在的风险。在风险识别过程中，需要识别以下几个主要方面：资产识别、识别威胁、识别现有控制措施、识别脆弱性和识别后果。选项A的“可能性和影响”只涵盖了“可能性”和“影响”两个方面，选项C的“脆弱性和可能性”同样只涵盖了“脆弱性”和“可能性”两个方面，选项D的“脆弱性和影响”只涵盖了“脆弱性”和“影响”两个方面，均不完整。因此，正确答案是B，即“识别脆弱性和识别后果”。30.设置防火墙策略是为了（）。A.进行访问控制B.进行病毒防范C.进行邮件内容过滤D.进行流量控制答案：A解析：设置防火墙策略是为了进行访问控制。防火墙的主要作用就是阻止非法的访问和请求，控制访问权限，防止外部网络中的攻击者未经授权访问内部网络资源，保证内部网络的安全。因此，选项A“进行访问控制”是正确的答案。选项B“进行病毒防范”并不是防火墙的主要功能，病毒防范通常需要通过防病毒软件来实现。选项C“进行邮件内容过滤”和选项D“进行流量控制”虽然也是网络安全中需要考虑的问题，但并不是防火墙策略的主要目的。31.下列哪一种属于网络上的被动攻击（）。A.消息篡改B.伪装C.拒绝服务D.流量分扬答案：D解析：被动攻击是指攻击者通过截获、分析网络上传输的信息来实施攻击，而不是直接对目标系统发起攻击。流量分析是一种被动攻击方式，攻击者通过监听网络上的流量，分析其中的数据内容，从而获取敏感信息或进行其他恶意行为。因此，选项D“流量分析”属于网络上的被动攻击。而选项A“消息篡改”是指攻击者修改网络上传输的消息内容，属于主动攻击；选项B“伪装”是指攻击者假冒合法用户或系统发送消息，也是主动攻击；选项C“拒绝服务”是指攻击者通过发送大量请求或数据包来使目标系统无法正常工作，也是主动攻击。因此，这三个选项都不符合被动攻击的定义。32.对于较大范围的网络，网络隔离是（）。A.可以降低成本B.可以降低不同用户组之间非授权访问的风险C.必须物理离和必须禁止无线网络D.以上都对答案：B解析：对于较大范围的网络，网络隔离的主要目的是降低不同用户组之间非授权访问的风险。网络隔离可以通过物理隔离、逻辑隔离或两者结合的方式实现，以确保不同用户组之间的访问受到严格控制，从而防止未经授权的数据访问和潜在的安全威胁。因此，选项B“可以降低不同用户组之间非授权访问的风险”是正确的。选项A“可以降低成本”并不是网络隔离的主要目的，选项C“必须物理隔离和必须禁止无线网络”过于绝对，选项D“以上都对”也不准确，因为并非所有选项都是网络隔离的正确描述。33.根据ISO/IEC27006标准，认证决定应基于审核报告中（）对客户ISMS是否通过认证的建议。A.审核组B.观察员C.认证决定人员D.审核员答案：A解析：根据ISO/IEC27006标准，认证决定应基于审核报告中审核组的建议来决定客户ISMS是否通过认证。审核组是负责进行客户ISMS审核的专业团队，他们会根据审核结果给出是否通过认证的建议。因此，选项A“审核组”是正确答案。观察员、认证决定人员和审核员虽然与ISMS认证有关，但都不是基于审核报告中的建议来决定认证结果的。34.组织应进行安全需求分析，规定对安全控制的要求，当（）。A.组织需建立新的文件系统时B.组织的原有信息系统扩容或升级时C.组织向顾客交付软件系统时D.A+B答案：D解析：题目中要求组织进行安全需求分析，并规定对安全控制的要求。根据给出的选项，我们需要找到符合这一要求的情境。A选项提到“组织需建立新的文件系统时”，这确实是一个可能需要进行安全需求分析的情况，因为新的文件系统可能涉及到新的安全风险，需要相应的安全控制要求。B选项提到“组织的原有信息系统扩容或升级时”，这也是一个可能需要进行安全需求分析的情况。因为扩容或升级可能引入新的安全风险，或者原有的安全控制可能不再适用。C选项提到“组织向顾客交付软件系统时”，虽然向顾客交付软件系统可能需要满足一定的安全要求，但这一选项并不直接涉及到组织自身进行安全需求分析的过程。D选项“A+B”同时包括了建立新的文件系统和组织原有信息系统扩容或升级两种情况，这两种情况都需要进行安全需求分析，并规定相应的安全控制要求。因此，最符合题目要求的选项是D。35.形成ISMS审核发现时，不需要考虑的是（）。A.所实施控制措施的有效性B.所实施控制措施的时效性C.适用性声明的完备性和合理性D.所实施控制措施与适用性声明的符合性答案：B解析：在形成ISMS（信息安全管理体系）审核发现时，我们主要关注以下几个方面：A.所实施控制措施的有效性：这是审核发现的核心内容之一，确保控制措施在实际操作中能够产生预期的效果。C.适用性声明的完备性和合理性：适用性声明是组织对信息安全管理体系的适用性进行声明的文件，其完备性和合理性对于确保信息安全管理体系的适用性至关重要。D.所实施控制措施与适用性声明的符合性：审核发现应确保所实施的控制措施与适用性声明中描述的内容一致，确保控制措施能够按照适用性声明的要求得到实施。B.所实施控制措施的时效性：虽然控制措施的实施时间是一个重要的考虑因素，但在形成审核发现时，我们更关注控制措施的有效性、适用性和符合性，而不是其具体的实施时间。审核发现应关注控制措施是否能够有效地实施，以及是否符合适用性声明的要求，而不是其是否在特定的时间点上实施。因此，在形成ISMS审核发现时，不需要考虑的是所实施控制措施的时效性，所以答案为B。36.（）是建立有效的计算机病毒防御体系所需要的技术措施。A.防火墙、网络入侵检测和防火墙B.漏洞扫描、网络入侵检测和防火墙C.漏洞扫描、补丁管理系统和防火墙D.网络入侵检测、防病毒系统和防火墙答案：D解析：在建立有效的计算机病毒防御体系时，需要采用多种技术措施来确保系统的安全性和稳定性。在给出的选项中，A选项“防火墙、网络入侵检测和防火墙”存在重复，因为防火墙已经包含了网络入侵检测的部分功能，因此A选项不正确。B选项“漏洞扫描、网络入侵检测和防火墙”虽然包括了漏洞扫描和网络入侵检测，但缺少了防病毒系统，因此B选项也不完全正确。C选项“漏洞扫描、补丁管理系统和防火墙”虽然包括了漏洞扫描和防火墙，但缺少了防病毒系统，因此C选项也不完全正确。而D选项“网络入侵检测、防病毒系统和防火墙”则包括了建立有效计算机病毒防御体系所需要的所有技术措施，因此D选项是正确的。因此，正确答案是D。37.入侵检测技术可以分为误用检测和（）两大类。A.病毒检测B.详细检测C.异常检测D.漏洞检测答案：C解析：入侵检测技术可以分为误用检测和异常检测两大类。误用检测主要是基于已知的攻击模式或签名来识别入侵行为，而异常检测则是通过监测系统的正常行为模式，当检测到与正常模式偏差较大的行为时，认为可能是入侵行为。因此，正确答案为C，即异常检测。其他选项A、B、D与入侵检测技术的分类无关。38.在风险评估中进行资产的价值估算时，下列哪个不会影响资产的价值（）。A.资产的替代价值B.资产丧失或损坏的业务影响C.资产本身的购买价值D.资产的存放位置答案：D解析：在风险评估中进行资产的价值估算时，资产的替代价值、资产丧失或损坏的业务影响以及资产本身的购买价值都会影响资产的价值。然而，资产的存放位置通常不会直接影响资产的价值。因此，选项D“资产的存放位置”是不会影响资产的价值的因素。39.风险处置计划应包含（）。A.管理措施B.资源需求C.职责分配D.A+B+C答案：D解析：风险处置计划是为了应对潜在的风险而制定的，它应该包含多个方面的内容。从给出的选项来看，A选项“管理措施”指的是针对风险所采取的具体行动或策略，B选项“资源需求”指的是为实施这些措施所需的资源，如人力、物力、财力等，C选项“职责分配”指的是明确各个相关部门或人员在风险处置中的责任和角色。因此，一个完整的风险处置计划应该包含这三个方面的内容，即A+B+C。所以，正确答案是D。40.以下关于认证机构的监督要求表述错误的是（）。A.认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性B.认证机构的监督方案应由认证机构和客户共同来指定C.监督审核可以与其他管理体系的审核相结合D.认证机构应对认证证书的使用进行监督答案：B解析：本题考查的是认证机构的监督要求。A选项提到认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案，并判断方案的合理性，这是正确的，因为认证机构需要确保监督方案的有效性。B选项提到认证机构的监督方案应由认证机构和客户共同来指定，这是错误的。实际上，监督方案应由认证机构独立制定，而不是与客户共同制定。C选项提到监督审核可以与其他管理体系的审核相结合，这是正确的，因为这样可以提高审核效率，减少重复工作。D选项提到认证机构应对认证证书的使用进行监督，这也是正确的，因为认证机构需要确保客户按照认证要求使用证书。综上所述，B选项表述错误，因此正确答案为B。多选题（共15题）41.“云计算机服务”包括哪几个层面？（）A.PaasB.SaaSC.IaaSD.PIIS答案：ABC解析：云计算机服务通常包括三个主要的层面：平台即服务（PaaS）、软件即服务（SaaS）和基础设施即服务（IaaS）。这三个层面构成了云计算的核心，提供了不同的资源和服务供用户使用。因此，选项A、B和C是正确的答案。选项D“PIIS”在题目中并未提及，因此不是正确答案。42.信息安全的符合性检查包括（）。A.法律法规符合性B.技术标准符合性C.安全策略符合性D.内部审核活动答案：ABC解析：在信息安全领域，符合性检查主要关注三个方面：法律法规符合性、技术标准符合性和安全策略符合性。这三个方面共同构成了信息安全符合性检查的主要内容。内部审核活动虽然与信息安全有关，但在此题目中并未明确提及，因此不应选入答案中。因此，正确答案为法律法规符合性、技术标准符合性和安全策略符合性。43.《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活功，提高产品、服务的（）促进经济和社会的发展。A.质量B.数量C.管理水平D.竞争力答案：AC解析：根据《中华人民共和国认证认可条例》制定的目的，是为了规范认证认可活动，提高产品、服务的质量和管理水平，从而促进经济和社会的发展。因此，选项A“质量”和选项C“管理水平”都是正确的答案。选项B“数量”和选项D“竞争力”与条例的目的不符，因此不应被选择。44.编制ISMS审核计划需充分理解审核方案，计划需考虑（）。A.需要的技术与工具准备B.前期抽样情况和本期抽样原则C.组织资源保障程度D.人员派遣要求答案：ABCD解析：编制ISMS审核计划时，需要全面考虑审核方案的相关内容，以确保审核的顺利进行。在计划编制过程中，需要考虑以下几个方面：A.需要的技术与工具准备：审核过程中可能涉及到各种技术和工具，如审计软件、安全测试工具等。因此，在计划编制时，需要明确所需的技术和工具，并进行相应的准备。B.前期抽样情况和本期抽样原则：审核计划需要明确抽样方法和原则，以便在审核过程中进行抽样。同时，还需要考虑前期抽样情况，以便对本期抽样进行调整和优化。C.组织资源保障程度：审核计划需要明确所需的组织资源，如人力、物力、财力等，并进行相应的保障。这有助于确保审核的顺利进行，并避免资源不足导致审核失败。D.人员派遣要求：审核计划需要明确审核人员的派遣要求，包括人员数量、技能水平、工作经验等。这有助于确保审核人员具备相应的能力和素质，能够完成审核任务。综上所述，编制ISMS审核计划需要充分理解审核方案，并考虑以上四个方面，以确保审核的顺利进行。因此，选项A、B、C和D都是正确的。45.信息安全管理体系审核应遵循的原则包括（）A.诚实守信B.保密性C.基于风险D.基于事实的决策方法答案：BC解析：信息安全管理体系审核的目的是为了验证组织的信息安全管理体系是否有效运行，并识别可能存在的改进机会。根据信息安全管理体系的相关标准，审核应遵循以下原则：A.诚实守信：这不是信息安全管理体系审核的直接原则，诚实守信更多的是一种职业道德和行为准则，用于指导审核员在审核过程中的行为。B.保密性：审核过程中涉及大量的敏感信息，包括组织的业务流程、技术细节、人员信息等。保密性是确保这些信息不被泄露，保护组织的商业机密和信息安全的重要原则。C.基于风险：信息安全管理体系的审核应基于风险进行，即审核员应识别和评价信息安全管理体系可能面临的各种风险，并基于这些风险来确定审核的重点和深度。D.基于事实的决策方法：这是审核过程中的一种方法，但不是审核的直接原则。基于事实的决策方法要求审核员基于客观的证据和事实进行决策，而不是主观臆断。因此，信息安全管理体系审核应遵循的原则包括B.保密性和C.基于风险。46.信息安全管理体系审核的范围即（）。A.组织的全部经尊管理B.组织的都信息安全管理范围C.组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息安全管理体系范围D.组织承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系的范围答案：CD解析：根据题目中的描述，信息安全管理体系审核的范围需要依据组织的实际情况来确定。这包括组织的业务、组织、位置、资产和技术等方面的特性。同时，组织还需要承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系。因此，选项C和D都是正确的答案。选项A“组织的全部经尊管理”与题目无关，选项B“组织的都信息安全管理范围”表述不明确，均不符合题意。47.信息有其固有的生命周期，即从其（）。A.创建和产生B.使用、传输C.存储、处理D.销毁或消失答案：ABCD解析：题目考察的是信息的生命周期，信息的生命周期通常包括从创建到销毁或消失的过程。因此，选项A“创建和产生”、B“使用、传输”、C“存储、处理”和D“销毁或消失”都是信息生命周期中可能涉及的过程。因此，正确答案是ABCD。48.某工程公司意图采用更为灵活的方式建立信息安全管理体系，以下说法不正确的（）。A.信息安全可以按过程管理，采用这种方法时不必再编制资产清单B.信息安全可以按项目来管理，原项目管理机制中的风险评估可替代GB/T22080-2016/ISO/IEC27001:2013标准中的风险评估C.公司各类项目的临时场所存在时间都较短，不必纳入ISMS范围D.工程项目方案因包含设计图纸等核心技术信息，其敏感性等级定义为“最高”答案：ABC解析：A选项中提到“信息安全可以按过程管理，采用这种方法时不必再编制资产清单”。这是不正确的。信息安全管理体系（ISMS）中，资产清单是识别、记录和管理组织资产的重要工具，不论采用何种管理方式，编制资产清单都是必要的。B选项表示“信息安全可以按项目来管理，原项目管理机制中的风险评估可替代GB/T22080-2016/ISO/IEC27001:2013标准中的风险评估”。这也是不正确的。信息安全管理体系中的风险评估是一个独立且重要的环节，不能简单地由原项目管理机制中的风险评估替代。C选项提到“公司各类项目的临时场所存在时间都较短，不必纳入ISMS范围”。这也是不正确的。信息安全管理体系应覆盖组织的所有场所，包括临时场所。D选项“工程项目方案因包含设计图纸等核心技术信息，其敏感性等级定义为“最高””是正确的。对于包含敏感信息的工程项目方案，其敏感性等级应被正确地定义为“最高”。综上所述，不正确的选项是A、B、C。49.完整的体系审核末次会议的内容包括（）。A.宣读不合格报告B.宣布审核结论C.递交审核报告D.监督要求答案：ABD解析：体系审核末次会议是审核过程中的重要环节，其内容包括宣读不合格报告、宣布审核结论以及监督要求。这些内容都是确保审核过程公正、透明，以及确保审核结果得到有效执行的关键。选项C递交审核报告通常不是末次会议的内容，而是在审核结束后由审核组向被审核方或相关方递交审核报告。因此，正确答案为A、B、D。50.《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度。A.新闻、岀版B.医疗、保健C.知识类D.教育类答案：ABD解析：根据《互联网信息服务管理办法》的规定，互联网信息服务分为经营性和非经营性两类。对于新闻、出版、医疗保健、药品和医疗器械等关系国家利益和社会公共利益的系统使用的互联网信息服务，以及生产、销售或者提供有毒有害的信息内容等破坏国家和社会公共利益、危害信息安全的互联网信息服务，实行许可制度。也就是说，这些类别的互联网信息服务需要主管部门审核通过后才能提供。因此，选项A新闻、出版，选项B医疗、保健，选项D教育类，都是需要进行主管部门审核的互联网信息服务类别。选项C知识类并没有明确规定需要主管部门审核，因此不正确。51.访问信息系统的用户注册的管理是（）。A.对用户访问信息系统和服务的授权的管理B.对用户予以注册时须同时考虑与访问控制策略的一致性C.当ID资源充实时可允许用户使用多个IDD.用户在组织内变换工作岗位时不必重新评审其所用ID的访问权答案：AB解析：这道题目考查的是对访问信息系统的用户注册管理的理解。A选项“对用户访问信息系统和服务的授权的管理”是正确的。在访问信息系统中，用户注册管理通常涉及对用户访问权限的授权，即确定用户可以访问哪些信息系统和服务，以及他们拥有何种访问权限。B选项“对用户予以注册时须同时考虑与访问控制策略的一致性”也是正确的。在注册用户时，需要确保用户的访问权限与组织的访问控制策略保持一致，以确保信息系统的安全性和完整性。C选项“当ID资源充实时可允许用户使用多个ID”与题目要求不符。题目并没有提到ID资源是否充足，也没有提到允许用户使用多个ID。D选项“用户在组织内变换工作岗位时不必重新评审其所用ID的访问权”也是不正确的。当用户在组织内变换工作岗位时，通常需要重新评审其访问权限，以确保其访问的信息系统和服务与其新的工作职责相符。综上所述，正确答案是A和B。52.关于审核发现，以下说法正确的是：（）。A.审核发现是收集的审核证据对照审核准则进行评价的结果B.审核发现包括正面的和负面的发现C.审核发现是审核结论的输入D.审核发现是制定审核准则的依据答案：ABC解析：审核发现是指将收集的审核证据对照审核准则进行评价的结果，包括正面的和负面的发现，是审核结论的输入。因此，选项A、B、C的说法都是正确的。而审核发现并不是制定审核准则的依据，审核准则是在审核开始之前就已经确定的，因此选项D的说法是错误的。53.可用于信息安全风险分析的方法包括（）。A.场景分析法B.ATA（攻击路径分析）法C.FMEA（失效模式分析）法D.HACCP（危害分析与关键控制点）法答案：AD解析：本题要求选择可用于信息安全风险分析的方法。根据题目给出的选项，我们来逐一分析：A.场景分析法-这种方法通常用于分析特定的安全事件或场景，例如模拟攻击者如何攻击系统，或者分析系统在特定情况下的表现。因此，场景分析法是一种适用于信息安全风险分析的方法。B.ATA（攻击路径分析）法-虽然ATA法可能涉及分析攻击路径，但它更侧重于分析攻击者如何成功攻击系统，而不是分析风险。因此，ATA法不是直接用于信息安全风险分析的方法。C.FMEA（失效模式分析）法-FMEA法主要用于分析系统的失效模式，而不是风险。虽然它可能间接地涉及到风险分析，但它并不是专门为信息安全风险分析设计的。D.HACCP（危害分析与关键控制点）法-HACCP法是一种专门用于食品安全管理的方法，但它也可以被应用于其他领域，包括信息安全。HACCP法通过识别危害并确定关键控制点来降低风险，因此，它是一种适用于信息安全风险分析的方法。综上所述，场景分析法和HACCP（危害分析与关键控制点）法是可以用于信息安全风险分析的方法。因此，正确答案为A和D。54.以下做法正确的是（）。A.使用生产系统数据测试时，应先将数据进行脱敏处理B.为强化新员工培训效果，应尽可能使用真实业务案例和数据C.员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用D.信息系统管理域内所有的终端启动屏幕保护时间应一致答案：AC解析：选项A提到使用生产系统数据测试时，应先将数据进行脱敏处理。这是正确的，因为直接使用生产数据可能会导致数据泄露或违反数据保护政策。脱敏处理是一种保护敏感数据的方法，确保在测试或开发环境中使用数据时不会泄露敏感信息。选项B提到为强化新员工培训效果，应尽可能使用真实业务案例和数据。这一选项可能引发争议，因为使用真实业务案例和数据可能会涉及到数据保护和隐私问题。虽然真实案例和数据可能有助于培训效果，但必须在遵守相关法规的前提下进行。选项C提到员工调换项目组时，其原使用计算机中的项目数据经妥善删除后可带入新项目组使用。这是正确的，因为员工从一个项目组转到另一个项目组时，应该确保他们带走的数据不会包含敏感或专有信息，以避免数据泄露或侵犯知识产权。选项D提到信息系统管理域内所有的终端启动屏幕保护时间应一致。这一选项与数据保护或隐私没有直接关系，因此不是本题考查的重点。综上所述，选项A和C是正确的。55.关于31000标准，以下哪些说法是正确的？（）A.该标准可用于任何公有、私有企业、协会、团体或个体。因此，该标准不针对任何行业或部门B.尽管该标准提供了风险管理的通用性指南，但不要求组织风险管理的统一性C.该标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果D.风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践答案：ABCD解析：A选项提到“该标准可用于任何公有、私有企业、协会、团体或个体。因此，该标准不针对任何行业或部门”。从题干中的信息来看，这一说法是正确的，因为标准本身具有广泛的适用性，并不特定针对某一行业或部门。B选项提到“尽管该标准提供了风险管理的通用性指南，但不要求组织风险管理的统一性”。从题干中我们可以看到，标准确实提供了关于风险管理的通用性指南，但它并不强制要求所有组织采用统一的风险管理方式。因此，B选项也是正确的。C选项提到“该标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果”。题干中并未明确提到这一点，但考虑到风险管理通常涉及所有类型的风险，无论其性质如何，因此我们可以推断出C选项也是正确的。D选项提到“风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践”。这一说法与题干中的描述相符，因为每个组织都有其独特的需求和情况，所以在设计和实施风险管理计划和框架时，必须考虑到这些因素。因此，D选项也是正确的。综上所述，A、B、C和D选项都是正确的。判断题（共10题）56.访问控制列表指由主体以及主体对客体的访问权限所组成列表（）。A.正确B.错误答案：A解析