CCAA - 信息安全管理体系基础摸底考试二答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布信息安全管理体系基础摸底考试二答案及解析单选题（共40题）1.下列哪一种属于网络上的被动攻击（）。A.消息篡改B.伪装C.拒绝服务D.流量分扬答案：D解析：被动攻击是指攻击者通过截获、分析网络上传输的信息来实施攻击，而不是直接对目标系统发起攻击。流量分析是一种被动攻击方式，攻击者通过监听网络上的流量，分析其中的数据内容，从而获取敏感信息或进行其他恶意行为。因此，选项D“流量分析”属于网络上的被动攻击。而选项A“消息篡改”是指攻击者修改网络上传输的消息内容，属于主动攻击；选项B“伪装”是指攻击者假冒合法用户或系统发送消息，也是主动攻击；选项C“拒绝服务”是指攻击者通过发送大量请求或数据包来使目标系统无法正常工作，也是主动攻击。因此，这三个选项都不符合被动攻击的定义。2.依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）。A.划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B.划分信息载体所属的职能以便于明确管理责任C.划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析答案：C解析：依据GB/T22080/ISO/IEC27001，信息分类方案的目的是划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则。选项A错误，因为信息分类方案并不是为了划分信息载体的不同介质以便于储存和处理；选项B错误，因为信息分类方案并不是为了划分信息载体所属的职能以便于明确管理责任；选项D错误，因为信息分类方案并不是为了划分信息的数据类型以便于应用大数据技术对其分析。因此，正确答案是C。3.关于信息安全的说法错误的是（）。A.包括技术和管理两个主要方面B.策略是信息安全的基础C.采取充分措施，可以实现绝对安全D.保密性、完整性和可用性是信息安全的目标答案：C解析：信息安全包括技术和管理两个主要方面，这是信息安全的基本组成。策略是信息安全的基础，它为信息安全提供了指导和框架。保密性、完整性和可用性确实是信息安全的目标，这些目标确保信息不被未经授权的访问、修改或破坏，并且始终可用。然而，选项C提到“采取充分措施，可以实现绝对安全”，这是不正确的。在实际中，尽管可以采取各种措施来增强信息安全，但绝对的安全是不存在的，因为总会有新的威胁和漏洞出现。因此，C选项的说法是错误的。4.关于信息系统登录口令的管理，以下做法不正确的是（）。A.必要时，使用密码技术、生物识别等替代口令B.用提示信息告知用户输入的口令是否正确C.明确告知用户应遵从的优质口令策略D.使用互动式管理确保用户使用优质口令答案：B解析：根据题目中的选项，我们需要判断哪一项关于信息系统登录口令的管理是不正确的。A选项提到“必要时，使用密码技术、生物识别等替代口令”，这是正确的，因为使用更安全的身份验证方式可以提高系统的安全性。C选项“明确告知用户应遵从的优质口令策略”也是正确的，因为这可以帮助用户生成更难以被猜测的口令。D选项“使用互动式管理确保用户使用优质口令”也是合理的，互动式管理可以帮助确保用户遵循优质口令策略。而B选项“用提示信息告知用户输入的口令是否正确”是不正确的，因为这会暴露用户输入的口令是否正确，从而增加了口令被猜测的风险。因此，不正确的做法是B选项。5.关于可移动介质的管理，以下说法错误的是（）。A.如果必要并可行，对于从组织取走的所有介质要要求授权、所有这种移动的记录要加保持，以保持审核踪迹；B.要将所有介质存储在安全、保密的环境中C.如果数据保密性或完整性是重要的考虑事项，宜使用加密技术来保护在可移动介质中的数据D.可移动介质属于低值易耗品，因此无需进行管理答案：D解析：对于可移动介质的管理，A选项提到对于从组织取走的所有介质要要求授权，所有这种移动的记录要加保持，以保持审核踪迹，这是正确的做法，有助于确保数据的完整性和安全性。B选项提到要将所有介质存储在安全、保密的环境中，这也是必要的，以防止数据泄露或被非法访问。C选项提到如果数据保密性或完整性是重要的考虑事项，宜使用加密技术来保护在可移动介质中的数据，这也是正确的，加密技术可以有效保护数据的安全。而D选项认为可移动介质属于低值易耗品，因此无需进行管理，这是错误的。可移动介质，如U盘、移动硬盘等，可能包含敏感信息，如果不加以管理，可能会导致数据泄露或被非法访问，因此需要进行适当的管理和保护。6.以下不是ISMS的相关方的是（）。A.可能影响决策的人或组织B.认为自己影响决策的人或组织C.认为自己受到决策影响的人或组织D.可能受到决策影响的人或组织答案：B解析：ISMS（信息安全管理体系）的相关方包括可能影响决策的人或组织、认为自己受到决策影响的人或组织以及可能受到决策影响的人或组织。而认为自己影响决策的人或组织并不属于ISMS的相关方。因此，选项B“认为自己影响决策的人或组织”不是ISMS的相关方。7.关于“纠正措施”，以下说法正确的是（）。A.针对不符合的原因分析必须采用“因果分析法”B.审核组对于不符合项原因分析的准确性影响纠正措施的有效性的因素之一C.受审核方对于不符合项原因分析的准确性是影响纠正措施有效性的因素之一D.审核组与受审核方应对不符合的原因进行共同分析，以确保纠正措施的有效性答案：C解析：A选项提到“针对不符合的原因分析必须采用‘因果分析法’”，但题目中并没有明确说明必须使用因果分析法，因此A选项不正确。B选项说“审核组对于不符合项原因分析的准确性影响纠正措施的有效性”，虽然审核组对原因分析准确性有一定影响，但题目中并未明确提到审核组是唯一的影响因素，因此B选项也不完全正确。C选项指出“受审核方对于不符合项原因分析的准确性是影响纠正措施有效性的因素之一”，这是符合题目要求的，因为受审核方对不符合项原因的分析准确性直接影响纠正措施的有效性。D选项提到“审核组与受审核方应对不符合的原因进行共同分析，以确保纠正措施的有效性”，虽然共同分析可以提高纠正措施的有效性，但题目中并没有强调必须共同分析，因此D选项也不完全正确。因此，正确答案是C选项。8.依据GB/T22080,ISO/IEC27001的要求，管理者应（）。A.确保制定ISMS方针B.制定ISMS目标和计划C.实施ISMS内部审核D.主持ISMS管理评审答案：D解析：根据GB/T22080和ISO/IEC27001的要求，管理者应主持ISMS管理评审。这是因为管理评审是信息安全管理体系（ISMS）的重要组成部分，它有助于确保组织的信息安全策略、方针、目标和过程得到有效实施和持续改进。管理者通过主持管理评审，可以全面了解ISMS的运行情况，识别存在的问题和改进机会，从而推动组织的信息安全管理工作不断向前发展。因此，选项D“主持ISMS管理评审”是符合要求的答案。其他选项，如制定ISMS方针、制定ISMS目标和计划、实施ISMS内部审核等，虽然都是ISMS中的重要环节，但并非管理者在GB/T22080和ISO/IEC27001中应履行的特定职责。9.对于外部方提供的软件包以下说法正确的是（）。A.组织的人员可随时对具进行适用性调整B.应严格限制对软件包的调整以保护软件包的保密性C.应严格限制对软件包的调整以保护软件包的完整性和可用性D.以上都不对答案：C解析：本题考察的是对外部方提供的软件包的管理和使用的理解。A选项提到组织的人员可随时对其进行适用性调整，这意味着软件包的调整是随意的，没有受到任何限制，这与软件包的保密性和完整性保护相违背，因此A选项错误。B选项提到应严格限制对软件包的调整以保护软件包的保密性，虽然强调了保密性，但并未提及完整性和可用性，因此B选项不全面，错误。C选项提到应严格限制对软件包的调整以保护软件包的完整性和可用性，这既考虑了保密性，也考虑了软件包的完整性和可用性，是一个全面的考虑，因此C选项正确。D选项表示以上都不对，由于我们已经分析了A、B选项的错误，并且C选项是正确的，因此D选项也是错误的。综上所述，正确答案是C选项。10.开发、测试和（）设施应分离，以减少未授权访问或改变运行系统的风险。A.配置B.系统C.终端D.运行答案：D解析：在信息安全领域，开发、测试和运行设施分离是一种重要的安全实践。这种分离有助于减少未授权访问或改变运行系统的风险。选项A“配置”通常指的是对系统或应用的配置过程，而不是设施；选项B“系统”是一个更宽泛的术语，不足以明确指出与开发和测试设施相区别的设施；选项C“终端”通常指的是用户与系统交互的界面，也不足以明确指出与开发和测试设施相区别的设施。因此，选项D“运行”最符合题目描述，指的是运行系统或应用的设施，与开发和测试设施相分离。11.设施维护维修时，应考虑的安全措施包括（）。A.维护维修前，按规定程序处理或清除其中的信息B.维护维修后，检査是否有未授权的新增功能C.敏感部件进行物理销毁而不予送修D.以上全部答案：D解析：在设施维护维修时，为了确保安全，需要考虑多种安全措施。首先，维护维修前，需要按规定程序处理或清除其中的信息，以防止信息泄露或误操作。其次，维护维修后，需要检查是否有未授权的新增功能，确保设施的功能正常且未被篡改。最后，对于敏感部件，应该进行物理销毁而不予送修，以防止敏感信息被非法获取。因此，上述所有的安全措施都是必要的，故答案选D，即以上全部。12.在信息安全管理中进行（）。A.内容监控B.安全教育和培训C.责任追查和惩处D.访问控制答案：B解析：信息安全管理的核心在于确保信息资产的安全性和完整性，而安全教育和培训是实现这一目标的重要手段。通过安全教育和培训，可以提高员工的安全意识，使其了解并遵守安全政策和程序，从而有效预防和减少安全事件的发生。因此，选项B“安全教育和培训”是正确答案。其他选项如内容监控、责任追查和惩处、访问控制虽然也是信息安全管理中需要考虑的因素，但不是核心和首要任务。13.包含存储介质的设备的所有项目应进行检查，以确保在处置之前，（）和注册软件已被删除或安全的写覆盖。A.系统软件B.游戏软件C.杀毒软件D.任何敏感信息答案：D解析：题目中要求包含存储介质的设备的所有项目应进行检查，以确保在处置之前，任何敏感信息已被删除或安全的写覆盖。因此，我们需要找到与敏感信息相关的选项。选项A“系统软件”和选项B“游戏软件”与敏感信息没有直接关系，选项C“杀毒软件”虽然可能包含敏感信息，但题目中并未特别指出需要删除或覆盖杀毒软件，因此选项D“任何敏感信息”是最符合题目要求的选项。因此，正确答案是D。14.目前在用的《中华人民共和国保守国家秘密法》是在（）正式实施的。A.2014年3月1日B.2014年11月1日C.2014年12月31日D.2010年10月1日答案：D解析：《中华人民共和国保守国家秘密法》是规定国家秘密保护工作的法律。该法律自2014年11月1日起正式实施。因此，选项D是正确的。其他选项2014年3月1日、2014年12月31日和2010年10月1日都不是该法律正式实施的日期。15.GB/T22080/IEC27001:2013标准附录A中有（）个安全域。A.18B.16C.15D.14答案：D解析：根据GB/T22080/IEC27001:2013标准附录A的内容，安全域的数量是14个，因此正确答案是D选项。16.下列哪一种情况下，网络数据管理协议（NDMP）可用于备份（）？A.需要使用网络附加存储设备（NAS）时B.不能使用TCP/IP的环境中C.需要备份旧的备份系统不能处理的文件许可时D.要保证跨多个数据卷的备份连续、一致时答案：A解析：网络数据管理协议（NDMP）主要用于支持网络附加存储设备（NAS）的备份，它提供了一种跨多个数据卷、连续且一致的备份方法。因此，当需要使用网络附加存储设备时，NDMP可用于备份。所以，正确答案是A。选项B“不能使用TCP/IP的环境中”是不正确的，因为NDMP是基于TCP/IP的协议。选项C“需要备份旧的备份系统不能处理的文件许可时”和选项D“要保证跨多个数据卷的备份连续、一致时”虽然都是NDMP可以处理的情况，但不是NDMP主要用于支持的情况。17.在现场审核时，审核组待枚自行决定变更的事项是（）。A.审核人日B.入审核的业务范围C.审核日期D.审核组任务调整答案：D解析：根据审核的相关规定，审核组在进行现场审核时，应当遵循事先确定的审核计划，包括审核的范围、日期、任务等。然而，在现场审核过程中，如果确实需要变更某些事项，审核组有权自行决定，但这些变更应当在保持审核的公正性和有效性的前提下进行。在这些可变更的事项中，审核组任务调整是一个例外，因为它涉及到审核计划的核心内容，审核组有权根据现场实际情况自行决定调整审核任务，以确保审核的顺利进行。因此，正确答案是D，即审核组任务调整。18.《中华人民共和国网络安全法》的实施时间是（）。A.2016年11月7日B.2016年12月1日C.2017年6月1日D.2018年3月1日答案：C解析：《中华人民共和国网络安全法》是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定的法律。该法于2016年11月7日发布，2017年6月1日起施行。因此，正确答案为C选项，即2017年6月1日。19.安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为，属于（）控制腊施。A.管理B.检测C.响应D.运行答案：B解析：在安全管理中，“职位轮换”或“强制休假”办法的目的是让特定岗位的人员暂时离开其工作，由其他人员接手其工作，以此来发现该岗位人员是否存在违规操作行为。这种通过暂时替换人员来观察工作流程和结果的方法，属于检测控制措施。因此，正确答案为“检测”。20.信息分类是信息安全管理工作的重要环节，下面哪一项不是对信息进行分类时需要重点考虑的（）。A.信息的价值B.信息的时效性C.信息的存储D.法律法规的规定答案：C解析：信息分类是信息安全管理工作的重要环节，需要重点考虑的是信息的价值、时效性和法律法规的规定。而选项C“信息的存储”并不是对信息进行分类时需要重点考虑的，因为信息的存储是信息安全管理中的一个环节，但不是分类时需要重点考虑的因素。因此，正确答案是C。21.对于外部方提供的软件包，以下说法正确的是（）。A.组织的人员可随时对其进行适用性调整B.应严格限制对软件包的调整以保护软件包的保密性C.应严格限制对软件包的调整以保护软件包的完整性和可用性D.以上都不对答案：C解析：对于外部方提供的软件包，应严格限制对软件包的调整以保护软件包的完整性和可用性。这是因为软件包可能包含重要的知识产权和敏感信息，对其进行任意调整可能会侵犯他人的权益，并可能导致软件包的功能失效或不稳定。因此，选项C“应严格限制对软件包的调整以保护软件包的完整性和可用性”是正确的。选项A“组织的人员可随时对其进行适用性调整”可能会导致软件包的完整性和可用性受到损害，选项B“应严格限制对软件包的调整以保护软件包的保密性”并没有明确指出软件包的完整性和可用性也需要保护，而选项D“以上都不对”明显是不正确的。22.根据《中华人民共和国保守国家秘密法》，国家秘密的最高密级为（）。A.秘密B.机密C.特密D.绝密答案：D解析：《中华人民共和国保守国家秘密法》中明确规定了国家秘密的密级，包括绝密、机密和秘密三个等级。其中，绝密是最高密级，机密次之，秘密是最低密级。因此，正确答案为“绝密”。23.下列关于DMZ区的说法错误的是（）。A.DMZ可以访问内部网络B.内部网络可以无限制地访问外部网络以及DMZC.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作D.通常DMZ包含允许来自互联网的通信可进入的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等答案：A解析：A选项“DMZ可以访问内部网络”是错误的。DMZ（DemilitarizedZone，非军事化区）通常被设置为一个独立的网络区域，用于放置对外界开放的服务器，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等。DMZ的主要目的是使这些服务器可以访问外部网络，但外部网络不能直接访问内部网络。因此，A选项的说法是错误的。B选项“内部网络可以无限制地访问外部网络以及DMZ”并不完全正确。通常，内部网络对外部网络和DMZ的访问是受限制的，这是为了安全考虑。C选项“有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作”是正确的。当有两个DMZ时，主防火墙可能会采用NAT（网络地址转换）方式工作，以确保内部网络和外部网络之间的通信能够顺利进行。D选项“通常DMZ包含允许来自互联网的通信可进入的设备”是正确的。DMZ的主要目的就是为了放置那些允许来自外部网络的通信的设备，确保这些设备可以安全地对外提供服务。24.为了实现在网络上自动标识设备，以下做法错误的是（）。A.启用DHCP动态分配IP地址功能B.为网络设备分配固定IP地址C.将每一台计算机MAC与一个IP地址绑定D.采取有效措施禁止修改MAC答案：A解析：为了实现在网络上自动标识设备，不应该启用DHCP动态分配IP地址功能，因为这样会导致IP地址频繁变化，不利于设备管理和维护。因此，选项A是错误的做法。选项B为网络设备分配固定IP地址是正确的做法，因为固定IP地址可以方便管理和维护设备，避免IP地址冲突等问题。选项C将每一台计算机MAC与一个IP地址绑定也是正确的做法，这样可以确保每台计算机都有一个唯一的IP地址，方便管理和维护网络。选项D采取有效措施禁止修改MAC也是正确的做法，因为MAC地址是网络设备的唯一标识，禁止修改MAC可以防止设备被冒用或攻击。25.据GB/T22080-2016/ISO/IEC27001:2013，以下关于资产清单正确的是（）。A.做好资产分类是其基础B.釆用组织固定资产台账即可C.无需关注资产产权归属者D.A+B答案：A解析：在GB/T22080-2016/ISO/IEC27001:2013中，资产清单是信息安全管理体系的重要组成部分，而资产分类是构建资产清单的基础。通过对资产进行合理的分类，可以更准确地识别和管理资产，从而提高信息安全水平。因此，选项A“做好资产分类是其基础”是正确的。选项B“采用组织固定资产台账即可”并不全面，因为固定资产台账只是资产清单的一部分，不能涵盖所有类型的资产。选项C“无需关注资产产权归属者”也是错误的，因为了解资产的产权归属者有助于更好地管理资产，确保资产的安全性和完整性。选项D“A+B”由于B选项本身存在问题，因此也是不正确的。26.《网络安全审查办法》的制定，是为了（）。A.保守国家秘密，维护国家安全和利益B.保障网络安全，维护网络空间主权和国家安全C.确保关键信息基础设施供应链安全，维护国家安全D.规范互联网信息服务活动，促进互联网信息服务健康有序发展答案：B解析：《网络安全审查办法》的制定，是为了保障网络安全，维护网络空间主权和国家安全。该办法旨在通过审查网络产品和服务的安全性、可控性，防止产品提供者利用提供产品的方便，非法控制、干扰、中断用户系统，非法收集、存储、出售或者向他人提供用户有关信息，确保网络产品和服务安全可控，保障网络安全，维护网络空间主权和国家安全。因此，选项B“保障网络安全，维护网络空间主权和国家安全”是正确的。其他选项A、C、D与《网络安全审查办法》的制定目的不符。27.关于信息安全产品的使用，以下说法正确的是（）。A.对于所有的信息系统，信息安全产品的核心技术、关键部件须具有我国自主知识产权B.对于三级以上信息系统，已列入信息安全产品认证且录的，应取得国家信息安全产品认证机构颁发的认证证书C.对于四级以上信息系统，信息安全产品研制的主要技术人员须无犯罪记录D.对于四级以上信息系统，信息安全产品研制单位须声明没有故意留有或设置漏洞答案：B解析：根据题目描述，我们需要判断关于信息安全产品使用的正确说法。A选项提到“对于所有的信息系统，信息安全产品的核心技术、关键部件须具有我国自主知识产权”。然而，题目中并没有明确说明“所有的信息系统”都需要使用具有我国自主知识产权的信息安全产品，因此A选项不正确。B选项表示“对于三级以上信息系统，已列入信息安全产品认证且录的，应取得国家信息安全产品认证机构颁发的认证证书”。这与题目中的描述相符，因此B选项是正确的。C选项提到“对于四级以上信息系统，信息安全产品研制的主要技术人员须无犯罪记录”。题目中并没有提及技术人员无犯罪记录的要求，因此C选项不正确。D选项说“对于四级以上信息系统，信息安全产品研制单位须声明没有故意留有或设置漏洞”。虽然这是关于信息安全产品的重要要求，但题目中并没有明确指出这一要求，所以D选项也不正确。因此，正确答案是B选项。28.关于系统运行日志，以下说法正确的是（）。A.系统管理员负责对日志信息进行编辑、保存B.日志信息文件的保存应纳入容量管理C.日志管理即系统审计日志管理D.组织的安全策略应决定系统管理员的活动是否有记入日志答案：B解析：根据题目，我们需要找出关于系统运行日志的正确说法。A选项提到“系统管理员负责对日志信息进行编辑、保存”，但系统管理员的职责通常不包括编辑日志信息，他们通常负责日志的生成、收集、存储和管理，而不是编辑。所以A选项不正确。B选项说“日志信息文件的保存应纳入容量管理”，这是正确的。日志信息文件的保存需要考虑到存储空间和容量，以确保日志的完整性和可用性，同时避免存储空间不足的问题。C选项提到“日志管理即系统审计日志管理”，这过于狭隘。日志管理不仅限于系统审计日志，还包括其他类型的日志，如操作日志、系统日志等。因此，C选项不正确。D选项说“组织的安全策略应决定系统管理员的活动是否有记入日志”，虽然安全策略确实对日志管理有重要影响，但它并不直接决定系统管理员的活动是否记入日志。系统管理员的活动是否记入日志通常是由日志管理策略或相关规定决定的。因此，D选项也不正确。综上所述，正确答案是B选项：“日志信息文件的保存应纳入容量管理”。29.对于“监控系统”的存取与使用，下列正确的是（）。A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略答案：B解析：监控系统是为了监控计算机系统的运行状况，确保系统的安全、稳定、高效运行而设计的。对于监控系统所产生的记录，一般是由系统管理员或相关人员进行存取和管理，而不是任由用户任意存取。因此，选项A是错误的。计算机系统中，各个设备或模块的时间戳需要统一，以便于准确判断事件发生的先后顺序，进行故障定位等。因此，选项B是正确的。监控系统不仅仅是在系统发生异常事件时才进行监控，它还会监控系统的日常运行状况，及时发现潜在问题，因此选项C是错误的。监控系统的投资虽然可能会占用一定的资源，但它对于保障系统的安全、稳定、高效运行是非常重要的，不能予以暂时省略。因此，选项D是错误的。30.下面哪种属于网络上的被动攻击（）。A.消息篡改B.伪装C.拒绝服务D.流量分析答案：D解析：被动攻击是指攻击者通过截获、分析网络上传输的信息来实施攻击，而不是直接对目标系统发起攻击。在给出的选项中，A消息篡改、B伪装、C拒绝服务都是主动攻击的方式，它们都是直接对目标系统发起攻击。而D流量分析是一种被动攻击方式，攻击者通过分析网络上传输的数据包来获取敏感信息，如用户密码、通信内容等。因此，正确答案是D流量分析。31.（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态。A.信息安全事态B.信息安全事件C.信息安全肃故D.信息安全故障答案：A解析：信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态。这是信息安全事态的基本定义。选项A“信息安全事态”与题目描述相符。选项B“信息安全事件”通常指的是已经发生并对系统或服务造成实际影响的事件，与题目描述不完全吻合。选项C“信息安全肃故”和选项D“信息安全故障”在题目中并未提及，因此可以排除。因此，正确答案是A“信息安全事态”。32.可用性是指（）。A.根据授权实体的要求可访问和利用的特性B.信息不被未授权的个人、实体或过程利用或知悉的特性C.保护资产准确和完整的特性D.反映事物具实情况的程度答案：A解析：可用性是指根据授权实体的要求可访问和利用的特性。这是信息安全中的一个重要概念，它涉及到信息或系统能否被授权用户或实体在需要时访问和使用。因此，选项A“根据授权实体的要求可访问和利用的特性”是描述可用性的准确表达。选项B、C、D虽然都是信息安全相关的特性，但与可用性没有直接关系。33.ISMS有效性的定期评审应考虑（）、事故、有效性策略结果等内容。A.识别风险B.风险评价C.风险评估方法D.安全评审结果答案：D解析：根据题目中的描述，ISMS有效性的定期评审应考虑的内容包括事故、有效性策略结果等。而选项D“安全评审结果”与这些内容是相关的，因为安全评审是评估系统有效性的一种重要手段。选项A“识别风险”、选项B“风险评价”和选项C“风险评估方法”虽然与安全性和风险有关，但与题目中明确提到的“有效性策略结果”和“事故”等内容不直接相关。因此，正确答案是D，“安全评审结果”。34.国家信息安全等级保护采取（）。A.自主定级、自主保护的原则B.国家保密部门定级、自主保持的原则C.公安部门定级、自主保护的原则D.国家保密部门定级、公安部门监督保护的原则答案：A解析：根据《信息安全等级保护管理办法》的规定，国家信息安全等级保护采取自主定级、自主保护的原则。因此，选项A“自主定级、自主保护的原则”是正确的。其他选项，如国家保密部门定级、自主保持的原则，公安部门定级、自主保护的原则，以及国家保密部门定级、公安部门监督保护的原则，均不符合该管理办法的规定。35.以下不属于网络安全控制技术的是（）。A.防火墙技术B.访问控制C.入侵检测技术D.差错控制答案：D解析：本题考察的是网络安全控制技术。防火墙技术、访问控制和入侵检测技术都是网络安全控制技术，用于保护网络免受攻击和未经授权的访问。而差错控制主要用于数据通信中，确保数据的准确性和完整性，不属于网络安全控制技术。因此，选项D“差错控制”是不属于网络安全控制技术的。36.根据GB/T22080-2016标准中控制措施的要求，关于资产清单，正确的是（）。A.做好资产整理是其基础B.识别信息，以及与信息和信息处理设施相关的其他资产C.识别和完整采用组织的固定资产台账，同时指定资产责任人D.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高答案：B解析：根据GB/T22080-2016标准中控制措施的要求，关于资产清单，正确的是“识别信息，以及与信息和信息处理设施相关的其他资产”。在信息安全管理体系中，资产清单是识别和管理组织资产的重要工具。选项A提到“做好资产整理是其基础”，但这并不是对资产清单的准确描述；选项C提到了“识别和完整采用组织的固定资产台账，同时指定资产责任人”，这与资产清单的内容不完全一致；选项D“资产价格越高，往往意味着功能越全，因此资产重要性等级就越高”并不是关于资产清单的正确描述，它涉及的是资产的价值而非清单的内容。因此，正确答案是B。37.（）是对于一个组织成功实施ISMS来满足其业务目标的关键要素。A.信息安全策略、目标和与目标一致的活动B.更有效、经济的信息安全投资管理C.满足社会的需要和期望D.增加利益相关方对组织的信任答案：A解析：信息安全策略、目标和与目标一致的活动是一个组织成功实施ISMS以满足其业务目标的关键要素。ISMS的实施需要明确的策略和与目标一致的活动，以确保组织的信息资产得到妥善保护，并且符合法规要求和业务目标。因此，A选项是正确答案。B选项提到更有效的信息安全投资管理虽然重要，但不是关键要素。C选项提到的满足社会的需要和期望，以及D选项提到的增加利益相关方对组织的信任，虽然与组织的信息安全有关，但不是ISMS实施的核心要素。38.以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是（）。A.禁止安装未列入白名单的软件B.禁止使用通过互联网下载的免费软件C.禁止安装未经验证的软件包D.禁止软件安装超出许可权证规定的最大用户数答案：D解析：GB/T22080/ISO/IEC27001是信息安全管理体系的国际标准，它要求组织建立、实施、监控、评审和维护信息安全管理体系，以确保信息安全。在软件安装方面，该标准可能要求组织对软件安装进行管理和控制，以确保软件安装符合组织的政策和程序，并且不会引入安全风险。选项D“禁止软件安装超出许可权证规定的最大用户数”符合这一要求，因为它确保了软件的使用符合许可协议的规定，减少了未经授权的软件使用风险。其他选项如禁止安装未列入白名单的软件、禁止使用通过互联网下载的免费软件、禁止安装未经验证的软件包等，虽然可能有助于控制软件安装，但它们并没有直接表明符合GB/T22080/ISO/IEC27001的要求。因此，正确答案是D。39.依据GB/T22081-2016/ISO/IEC27002:2013，信息系统审计是（）。A.发现信息系统脆弱性的手段之一B.应在系统运行期间进行，以便于准确地发现弱点C.审计工具在组织内应公开可获取，以便于提升员工的能力D.只要定期进行，就可以替代内部ISMS审核答案：A解析：依据GB/T22081-2016/ISO/IEC27002:2013，信息系统审计是发现信息系统脆弱性的手段之一。这是由题目中给出的选项A所明确指出的。其他选项并不直接符合这一标准或规定。选项B说“应在系统运行期间进行，以便于准确地发现弱点”，这更像是内部ISMS审核或脆弱性评估的内容，而不是信息系统审计的核心定义。选项C“审计工具在组织内应公开可获取，以便于提升员工的能力”更像是关于审计工具使用或员工能力提升的建议，而不是对信息系统审计的准确描述。选项D“只要定期进行，就可以替代内部ISMS审核”也并未直接反映信息系统审计的核心定义或作用。因此，正确答案是A，即信息系统审计是发现信息系统脆弱性的手段之一。40.对日志数据进行审计检查，属于（）类控制措施。A.预防B.检测C.威慑D.修正答案：B解析：审计检查是一种用于发现、识别和记录系统中发生的活动的行为，属于检测类控制措施。通过对日志数据进行审计检查，可以对系统的运行状况进行实时监测和检查，及时发现并处理潜在的安全威胁和漏洞，因此选项B“检测”为正确答案。选项A“预防”通常指的是在事故发生前采取措施预防其发生，不符合审计检查的目的；选项C“威慑”是指通过展示惩罚或惩罚的威胁来阻止不良行为，与审计检查的目的也不符；选项D“修正”是指对已经发生的问题进行纠正和修复，虽然审计检查可以发现并报告问题，但本身并不是修正措施。多选题（共15题）41.《互联网信息服务管理办法》中对（）。A.新闻、出版B.医疗、保健C.知识类D.教育类答案：ABD解析：《互联网信息服务管理办法》是为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，维护国家安全、社会公共利益和公民的合法权益而制定的法规。根据该法规，互联网信息服务分为经营性和非经营性两类。经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。新闻、出版、医疗、保健、教育等都属于互联网信息服务范畴，因此选项A、B、D都是正确的。而选项C“知识类”并没有在《互联网信息服务管理办法》中明确提及，因此是错误的。因此，正确答案为A、B、D。42.信息安全绩效的反馈，包括以下哪些方面的趋势？（）A.不符合和纠正措施B.监视测量的结果C.审核结果D.信息安全方针完成情况答案：ABC解析：根据信息安全绩效反馈的定义，它通常涉及对信息安全管理体系运行情况的监视和测量，以及对这些结果的评估。因此，反馈应包含对监视和测量的结果、审核结果以及不符合项和纠正措施的趋势。这些趋势共同构成了信息安全绩效的反馈。所以，选项A、B和C都是正确的。而选项D“信息安全方针完成情况”虽然与信息安全绩效有关，但并不直接反映绩效的反馈趋势，因此不应被选入。43.下面哪一条措施可以防止数据泄漏（）。A.数据冗余B.数据加密C.访问控制D.密码系统答案：BCD解析：数据泄漏是指敏感数据被未经授权地泄露出去。为了防止数据泄漏，我们需要采取一系列措施。A.数据冗余：数据冗余通常用于确保数据的完整性和可用性，它并不能直接防止数据泄漏。B.数据加密：数据加密是一种将数据转换为无法直接理解的格式的过程，只有拥有解密密钥的人才能访问原始数据。因此，数据加密可以有效地防止数据在传输或存储过程中被未经授权地访问，从而防止数据泄漏。C.访问控制：访问控制是一种机制，用于确定谁可以访问特定的数据或系统资源。通过实施适当的访问控制策略，可以确保只有授权的人员才能访问敏感数据，从而防止数据泄漏。D.密码系统：密码系统是一种使用密码技术来保护数据的方法。密码系统包括加密、解密、数字签名等功能，可以有效地保护数据在传输和存储过程中的安全性，防止数据泄漏。因此，选项B数据加密、选项C访问控制和选项D密码系统都可以防止数据泄漏。44.投诉处理过程应包括：（）A.投诉受理、跟踪和告知B.投诉初步评审、投诉调查C.投诉响应、沟通决定D.投诉终止答案：ABCD解析：投诉处理过程应包括投诉受理、初步评审、调查、响应、沟通决定和终止等各个环节。投诉受理是处理投诉的第一步，需要明确投诉的内容、来源和投诉人的联系方式；初步评审是对投诉进行初步的分析和判断，确定投诉的性质和优先级；投诉调查是对投诉进行深入调查，了解事实真相，找出问题所在；投诉响应是根据调查结果，对投诉人进行回应和解释；沟通决定是在双方沟通的基础上，达成解决方案或协议；投诉终止是在问题得到解决后，对投诉进行终结处理。因此，选项A、B、C、D都是投诉处理过程应包含的环节。45.针对系统和应用访问控制，以下做法不正确的是（）。A.对于数据库系统审计人员开放不限时权限B.登录之后，不活动超过规定时间强制使其退出登录C.对于修改系统核心业务运行数据的操作限定操作时间D.用户尝试登录失败时，明确提示其用户名错误或口令错误答案：AD解析：A选项提到“对于数据库系统审计人员开放不限时权限”，这种做法是不正确的。在系统和应用访问控制中，权限管理是非常关键的，应该根据实际需求为每个用户或角色分配适当的权限，并且这些权限应该是有限制的，而不是无限制的。对于数据库系统审计人员，应该根据他们的职责和工作需求，为他们分配必要的、有限的权限，而不是无限制的权限。D选项提到“用户尝试登录失败时，明确提示其用户名错误或口令错误”，这种做法也是不正确的。在系统和应用访问控制中，当用户尝试登录失败时，应该提供一种安全的反馈机制，而不是明确提示用户名或口令错误。这是因为明确提示用户名或口令错误可能会给攻击者提供有关用户账户的有用信息，从而增加账户被破解的风险。一种更安全的做法是，在用户尝试登录失败时，系统可以显示一个通用的错误消息，如“用户名或口令错误”，而不是具体指出哪个部分错误。B选项“登录之后，不活动超过规定时间强制使其退出登录”是正确的。这是一种常见的会话超时机制，可以确保用户在一段时间内没有进行任何活动后，其会话被自动终止，从而增强系统的安全性。C选项“对于修改系统核心业务运行数据的操作限定操作时间”也是正确的。这种操作时间限制可以确保在特定的时间段内，只有经过授权的用户才能修改系统核心业务运行数据，从而增加系统的安全性和可靠性。46.根据GB/T28450，审核方案应考虑的内容包括（）。A.体系覆盖的场所B.体系覆盖的人数C.特权用户的数量D.IT平台的数量答案：ABCD解析：根据GB/T28450的规定，审核方案应考虑的内容应包括体系覆盖的场所、体系覆盖的人数、特权用户的数量以及IT平台的数量。这些要素都是审核方案制定时需要考虑的关键因素，它们直接影响审核的范围、深度和效果。因此，选项A、B、C和D都是正确的。47.在ISO/IEC7799标准中，信息安全特指保护（）。A.信息的保密性B.信息的完整性C.信息的流动性D.信息的可用性答案：ABD解析：在ISO/IEC7799标准中，信息安全特指保护信息的保密性、完整性和可用性。这是信息安全的核心原则，旨在确保信息在传输、存储和处理过程中不被未经授权的访问、修改或破坏，同时保持其可用性和完整性。因此，选项A、B和D都是正确的。选项C“信息的流动性”并不是ISO/IEC7799标准中信息安全特指的保护对象，所以是不正确的。48.关于云计算服务中的安全，以下说法不正确的是（）。A.服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则B.服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则C.云服务客户提供身份鉴别能力，服务提供方定义并实施身份鉴别准则D.云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则答案：ABD解析：在云计算服务中，关于安全性的考虑，特别是身份鉴别能力，核心在于明确服务提供方和云服务客户在其中的角色。A选项提到“服务提供方提供身份鉴别能力，云服务客户自己定义并实施身份鉴别准则”。这意味着云服务客户有完全的自主权来定义和实施自己的身份鉴别准则，而服务提供方只是提供了基础的身份鉴别能力。但实际上，为了确保整体的安全性和一致性，通常期望服务提供方能统一地定义和实施身份鉴别准则。B选项表示“服务提供方提供身份鉴别能力，并定义和实施身份鉴别准则”。这同样存在问题，因为云服务客户可能希望根据自己的特定需求对身份鉴别准则进行微调或定制。C选项“云服务客户提供身份鉴别能力，服务提供方定义并实施身份鉴别准则”则更符合逻辑。云服务客户可能拥有特定的业务逻辑或安全要求，他们可能希望基于这些要求来提供身份鉴别能力，而服务提供方则基于这些能力来统一实施身份鉴别准则。D选项“云服务客户提供身份鉴别能力，并定义和实施身份鉴别准则”与A选项类似，也存在逻辑问题。因此，A、B和D选项都是不正确的说法。正确答案是C，即“云服务客户提供身份鉴别能力，服务提供方定义并实施身份鉴别准则”。49.ISMS审核目标可包括（）。A.评价ISMS是否充分识别B.确定信息安全控制对ISMS要求和规程的符合程度C.解决信息安全要求D.评价维护和有效改进ISMS的过程答案：ABCD解析：ISMS审核的目标通常包括评价ISMS是否充分识别、确定信息安全控制对ISMS要求和规程的符合程度以及评价维护和有效改进ISMS的过程。这些目标旨在确保信息安全管理体系（ISMS）的有效性和持续改进。因此，选项A、B和D都是正确的。选项C“解决信息安全要求”并不是ISMS审核的直接目标，而是审核过程中可能涉及的一个方面。因此，C选项不应被选作正确答案。50.关于“审核发现”，以下说法不正确的是（）。A.审核发现即审核员观察到的事实B.审核发现可以表明正面的或负面的结果C.审核发现即审核组提出的不符合项报告D.审核发现即审核结论意见答案：ACD解析：A选项错误，审核发现不仅仅是审核员观察到的事实，它还包括对事实的分析和解释。C选项错误，审核发现并不等同于审核组提出的不符合项报告，不符合项报告只是审核发现的一部分，审核发现可能包括正面的结果。D选项错误，审核发现并不是审核结论意见，审核结论意见是基于审核发现得出的结论。B选项正确，审核发现可以表明正面的或负面的结果。在审核过程中，审核员可能会发现符合要求的情况，也可能会发现不符合要求的情况，这些都是审核发现，都可以表明正面或负面的结果。所以，不正确的选项有ACD。51.信息安全方针应包括下列要求（）。A.考虑业务和法律法规的要求及合同中的安全义务B.建立风险评价的准则C.可测量D.获得管理者批准答案：ABD解析：信息安全方针是组织为确保信息安全而制定的一系列指导原则，它应包含多个方面的要求。A选项提到“考虑业务和法律法规的要求及合同中的安全义务”，这是信息安全方针中非常关键的一点。组织在制定信息安全方针时，必须充分考虑到其业务特性、相关法律法规的要求以及合同中可能涉及的安全义务，以确保信息安全方针的合规性和实用性。B选项提到“建立风险评价的准则”，这也是信息安全方针中不可或缺的一部分。风险评价是信息安全管理的核心环节，通过建立风险评价的准则，组织可以更加科学、系统地评估信息安全风险，从而采取有效的应对措施。D选项提到“获得管理者批准”，这表示信息安全方针需要得到组织高层管理者的认可和支持。只有获得管理者的批准，信息安全方针才能在整个组织中得到有效的执行和推广。C选项“可测量”虽然也是信息安全方针中需要考虑的一个方面，但它并不是信息安全方针应包括的基本要求。可测量性通常是在信息安全管理体系中，用于评估信息安全方针执行效果的一个指标，而不是信息安全方针本身的要求。因此，根据题目要求，信息安全方针应包括的要求是A.考虑业务和法律法规的要求及合同中的安全义务；B.建立风险评价的准则；D.获得管理者批准。52.编制ISMS审核计划，需充分理解审核方案，计划需考虑（）。A.需要的技术与工具准备B.前期抽样情况和本期抽样原则C.组织资源保障程度D.人员派遣要求答案：ABCD解析：编制ISMS审核计划时，需要充分理解审核方案，并考虑多个因素来确保审核的顺利进行。首先，需要的技术与工具准备是确保审核过程能够高效、准确地完成的基础。其次，前期抽样情况和本期抽样原则对于确定审核的范围和重点至关重要。再次，组织资源保障程度关系到审核过程中所需的人力、物力和财力资源是否充足。最后，人员派遣要求则涉及到审核团队的人员构成和配置，以及他们在审核过程中的职责和权限。因此，这四个选项都是编制ISMS审核计划时需要考虑的重要因素。53.组织的信息安全管理体系初次认证应包括的审核活动是（）。A.审核准备B.第一阶段审核C.第二阶段审核D.认证决定答案：BC解析：根据信息安全管理体系的审核流程，初次认证审核通常包括两个阶段：第一阶段审核和第二阶段审核。第一阶段审核主要是审核组织的信息安全管理体系文件，确认其符合相关标准的要求，并确定第二阶段审核的范围和重点。第二阶段审核则是对组织的信息安全管理体系进行实际的现场审核，验证其运行的有效性和符合性。因此，选项B“第一阶段审核”和选项C“第二阶段审核”都是组织的信息安全管理体系初次认证应包括的审核活动。而选项A“审核准备”通常指的是审核前的准备工作，不是审核活动本身，因此不应选。选项D“认证决定”是审核完成后，由认证机构根据审核结果作出的决定，不是审核活动，也不应选。因此，正确答案是B和C。54.下列哪些是SSL支持的内容类型？（）A.changecipherspecB.alertC.handshakleD.applicationdata答案：ABCD解析：SSL（SecureSocketsLayer）是一种安全协议，用于在网络上提供安全通信。在SSL协议中，有多种消息类型用于不同的目的。A.changecipherspec：这个消息类型用于通知对方更改加密套件。在SSL握手过程中，客户端和服务器会协商一个加密套件，用于后续的数据加密。当一方想要更改加密套件时，它会发送一个changecipherspec消息。B.alert：这个消息类型用于通知对方发生了某种错误或异常。例如，如果一方检测到对方发送的消息格式不正确，它会发送一个alert消息来通知对方。C.handshake：这个消息类型用于建立SSL连接。在SSL握手过程中，客户端和服务器会交换证书、密钥等信息，以确保双方的身份和加密能力。D.applicationdata：这个消息类型用于传输应用层的数据。在SSL连接建立后，客户端和服务器可以通过发送applicationdata消息来传输应用层的数据。因此，A、B、C和D都是SSL支持的内容类型。55.《互联网信息服务管理办法》中对（）类的互联网信息服务实行主管部门审核制度。A.新闻、出版B.医疗、保健C.知识类D.教育类答案：ABD解析：《互联网信息服务管理办法》是为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益而制定的法规。根据该法规，互联网信息服务分为经营性和非经营性两类。对于新闻、出版、医疗保健、药品和医疗器械等关系国家利益和社会公共利益的系统使用的互联网信息服务，以及生产建设经营单位使用并形成向社会公众提供互联网信息服务的系统，需要经主管部门或者主管单位审核同意后，才能由互联网信息服务提供者开展相关