信息安全基礎(chǔ)知識(shí)試題

一、[單選題]

1.根據(jù) GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分(A)。

A.5

B.6

C.3

D.4

參考解析:1.標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí):第一級(jí)是用戶自主保護(hù)級(jí):第二級(jí)是系統(tǒng)審計(jì)保護(hù)級(jí);第三級(jí)是安全標(biāo)記保護(hù)級(jí);第四級(jí)是結(jié)構(gòu)化保護(hù)級(jí);第五級(jí)是訪問(wèn)驗(yàn)證保護(hù)級(jí)。

2.ISO/IEC27000:2016，3.6SMS 關(guān)鍵成功因素SMS 關(guān)鍵成功因索之一是用于評(píng)價(jià)信息安全管理性能的測(cè)量系統(tǒng)和反饋的改進(jìn)建議。

2.ISMS關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議的(A)系統(tǒng)。

A.測(cè)量

B.報(bào)告

C.傳遞

D.評(píng)價(jià)

參考解析:ISO/IEC27000:2016,3.6SMS 關(guān)鍵成功因素，ISMS 關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全管理性能的測(cè)量系統(tǒng)和反饋的改進(jìn)建議。

3.風(fēng)險(xiǎn)識(shí)別過(guò)程中需要識(shí)別的方面包括:資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、(B)。

A識(shí)別可能性和影響

B識(shí)別脆弱性和識(shí)別后果

C.識(shí)別脆弱性和可能性

D,識(shí)別脆弱性和影響

參考解析:GB/T31722-2015/ISO/EC27005:2008 信息安全風(fēng)險(xiǎn)管理中8 的規(guī)定，風(fēng)險(xiǎn)評(píng)估包括:風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)。風(fēng)險(xiǎn)分析包括:(1)風(fēng)險(xiǎn)識(shí)別:資產(chǎn)識(shí)別、威脅識(shí)別、現(xiàn)有控制措施識(shí)別、脆弱性識(shí)別、后果識(shí)別:(2) 風(fēng)險(xiǎn)估算:風(fēng)險(xiǎn)估算方法、后果評(píng)估、事件可能性評(píng)估、風(fēng)險(xiǎn)級(jí)別估算。

4.關(guān)于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“三同步"要求，以下說(shuō)法正確的是(A)。

A.指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用

B.建設(shè)三級(jí)以上信息系統(tǒng)須保證子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用

C.建設(shè)機(jī)密及以上信息系統(tǒng)須保證子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用

D.以上都不對(duì)

參考解析:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十三條，建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用，本題選A。

5.根據(jù) GB/T22080-2016，應(yīng)按照既定的備份策略，對(duì)(A)進(jìn)行備份，并定期測(cè)試

A.信息、軟件和系統(tǒng)鏡像

B.信息、軟件和數(shù)據(jù)鏡像

C.數(shù)據(jù)、信息和軟件

D.數(shù)據(jù)、信息和系統(tǒng)鏡像

參考解析: 參考 GB/T22080-2016 附錄 A123.1 信息備份原文，應(yīng)按照既定的備份策略，對(duì)信息、軟件和系統(tǒng)鏡像進(jìn)行備份，并定期測(cè)試。

6.關(guān)于散布圖，以下說(shuō)法正確的是:(B)。

A是描述特性值分布區(qū)間的圖一-趨勢(shì)圖

B.是描述一對(duì)變量關(guān)系的圖一-散布圖

C是描述特性隨時(shí)間變化趨勢(shì)的圖一趨勢(shì)圖

D.是描述變量類別分布的圖一-直方圖

參考解析:直方圖、趨勢(shì)圖和散布圖都是描述性統(tǒng)計(jì)技術(shù)方法。趨勢(shì)圖是通過(guò)一段時(shí)間內(nèi)所關(guān)心的特性值形成的圖，來(lái)觀察其隨著時(shí)間變化的狀態(tài)。也稱為運(yùn)行圖:散布圖的主要作用是，可以發(fā)現(xiàn)兩組數(shù)據(jù)之間是相關(guān)或不相關(guān)的，如果相關(guān)可分析其相關(guān)的程度，在質(zhì)量管理中，經(jīng)常要研究一對(duì)變量是否存在相互關(guān)系，可使用散布圖;直方圖是用一系列等寬不等高的長(zhǎng)方形不間斷地排列在一起的圖形，用以描繪所關(guān)心的特性值的分布。綜上，本題選 B。

7.有關(guān)數(shù)據(jù)中心機(jī)房中，支持性基礎(chǔ)設(shè)施不包括(D)。

A供電、通信設(shè)施

B.消防、防雷設(shè)施

C.空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)

D.網(wǎng)絡(luò)設(shè)備

參考解析: 參考 2700211.2.2 支持性基礎(chǔ)設(shè)施，支持性設(shè)施如電力、電信、供水、燃?xì)?、排污、通風(fēng)和空調(diào)。題干中，“網(wǎng)絡(luò)設(shè)備”并非為數(shù)據(jù)中心機(jī)房提供安全、可靠、純凈的電力系統(tǒng)和環(huán)境的支持性基礎(chǔ)設(shè)施，可由用戶自行配備。

8.保密性是指(B)。

A.根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性

B.信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性

C保護(hù)信息準(zhǔn)確和完整的特性

D以上都不對(duì)

參考解析:參考270002.12，保密性是信息對(duì)未授權(quán)的個(gè)人、實(shí)體或過(guò)程不可用或不泄露的特性。

9.根據(jù) GB/T22080-2016 標(biāo)準(zhǔn)中控制措施的要求，有關(guān)系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)過(guò)程中的安全問(wèn)題,以下描述錯(cuò)誤的是(B)。

A運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)將帶來(lái)很大的安全風(fēng)險(xiǎn)

B.系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理

C.系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)過(guò)程中的安全問(wèn)題，不僅僅是考慮提供一個(gè)安全的開(kāi)發(fā)環(huán)境，同時(shí)還要考慮開(kāi)發(fā)出安全的系統(tǒng)

D,系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好

參考解析: 參考 GB/T22080-2016 附錄 A10.1 密碼控制，其中包含密碼控制的使用策略和密鑰管理。也就是說(shuō)，密鑰管理對(duì)于有效使用密碼技術(shù)來(lái)說(shuō)是必須的。因此選項(xiàng)中，“不是密鑰的管理表述錯(cuò)誤。

10.根據(jù)GB/T22080-2016 標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(B)。

A.1-10

B.4-10

C.4-7和9-10

D.4-10和附錄A

參考解析:參考 GB/T22080-2016/ISO/IEC270011范圍原文，本標(biāo)準(zhǔn)規(guī)定的要求是通用的, 適用于各種類型、規(guī)?；蛐再|(zhì)的組織,當(dāng)組織聲稱符合本標(biāo)準(zhǔn)時(shí)，不能排除第4章到第10章中所規(guī)定的任何要求。

11.下列說(shuō)法不正確的是(C)。

A.殘余風(fēng)險(xiǎn)需要獲得風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)

B.適用性聲明需要包含必要的控制及其選擇的合理性說(shuō)明

C所有的信息安全活動(dòng)都必須有記錄

D,組織控制下的員工應(yīng)了解信息安全方針

12.在信息安全技術(shù)中，涉及信息系統(tǒng)災(zāi)難復(fù)，其中“恢復(fù)點(diǎn)目標(biāo)”指(C)?

A.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間

B.災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能項(xiàng)恢復(fù)的范圍

C.災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求

D.災(zāi)難發(fā)生后，關(guān)鍵數(shù)據(jù)能被復(fù)原的范圍

參考解析: 參考《災(zāi)難恢復(fù)規(guī)范》，3.19 恢復(fù)點(diǎn)目標(biāo)(RPO:災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求。

13.按照 PDCA思路進(jìn)行審核，是指(C)。

A按照認(rèn)可規(guī)范中規(guī)定的PDCA流程進(jìn)行審核

B.按照認(rèn)證機(jī)構(gòu)的PDCA流程進(jìn)行審核

C.按照受審核區(qū)域的信息安全管理活動(dòng)的PDCA過(guò)程進(jìn)行審核

D.按照檢查表策劃的 PDCA進(jìn)行審核

參考解析:參考GB/T19011-2021 管理體系審核指南，按照 PDCA思路進(jìn)行審核是指按照受審核區(qū)域的信息安全管理活動(dòng)的 PDCA 過(guò)程進(jìn)行審核

14.《信息安全等級(jí)保護(hù)管理辦法》規(guī)定的 5級(jí)是信息系統(tǒng)受到破壞后會(huì)對(duì)(A)造成嚴(yán)重?fù)p害

A國(guó)家安全

B.公共利益

C.公民、法人和其他組織的合法權(quán)益

D.社會(huì)秩序

參考解析: 參考《信息安全等級(jí)保護(hù)管理辦法》第七條原文，第五級(jí)，信息系統(tǒng)受到破壞后會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

15.為了達(dá)到組織災(zāi)難恢復(fù)的要求,備份時(shí)間間隔不能超過(guò)(B)。

A服務(wù)水平目標(biāo)(SLO)

B.恢復(fù)點(diǎn)目標(biāo)(RPO)

C恢復(fù)時(shí)間目標(biāo)(RTO)

D.最長(zhǎng)可接受終端時(shí)間(MAO)

參考解析: 參考《災(zāi)難恢復(fù)》，為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)恢復(fù)點(diǎn)目標(biāo)，其中恢復(fù)點(diǎn)目標(biāo)是指，災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求。

16.GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于(B) 。

A資產(chǎn)的價(jià)格

B.資產(chǎn)對(duì)于業(yè)務(wù)的敏感度

C資產(chǎn)的折損率

D.以上全部

參考解析:GB/T20984-2007 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，3.1 資產(chǎn)，是對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。3.2 資產(chǎn)價(jià)值，是資產(chǎn)的重要程度或敏感程度的表征。

17.在決定進(jìn)行第二階段審核之前，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段擇具有(B)。

A客戶組織的準(zhǔn)備程度

B.所需能力的審核組成員

C.所需審核組能力的要求

D.客戶組織的場(chǎng)所分布

參考解析:參考 GB/T25067-2020(SO/EC27006)9.3.1.1 第一階段原文第一階段的結(jié)果應(yīng)形成書(shū)面報(bào)告。在決定進(jìn)行第二階段之前,認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報(bào)告，以便為第二階段選擇具備所需能力的審核組成員。

18.根據(jù) GB/T22080-2016 標(biāo)準(zhǔn)中控制措施的要求，應(yīng)按計(jì)劃的時(shí)間間隔或在重大變化發(fā)生時(shí)，對(duì)組織的信息安全管理方法及其實(shí)現(xiàn)進(jìn)行的(D)。

A內(nèi)部審

B.第三方評(píng)審の滅

C.系統(tǒng)評(píng)審

D.獨(dú)立評(píng)審

參考解析: 參考 GB/T22080-2016 附錄 A18.2.1 信息安全的獨(dú)立評(píng)審控制措施原文，應(yīng)按計(jì)劃的時(shí)間間隔或在重大變化發(fā)生時(shí)，對(duì)組織的信息安全管理方法及其實(shí)現(xiàn)(如信息安全的控制目標(biāo)、控制、策略、過(guò)程和規(guī)程) 進(jìn)行獨(dú)立評(píng)審。

19.國(guó)家秘密的保密期限應(yīng)為:(A)。

A.絕密不超過(guò)三十年，機(jī)密不超過(guò)二十年,秘密不超過(guò)十年

B.絕密不低于三十年,機(jī)密不低于二十年,秘密不低于十年

C.絕密不超過(guò)二十五年，機(jī)密不超過(guò)十五年，秘密不超過(guò)五年

D.絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年

參考解析:參考《保密法》，第十五條，國(guó)家秘密的保密期限，除另有規(guī)定外，絕密級(jí)不超過(guò)三十年，機(jī)密級(jí)不超過(guò)二十年，秘密級(jí)不超過(guò)十年。

20.某公司進(jìn)行風(fēng)險(xiǎn)評(píng)估后發(fā)現(xiàn)公司的無(wú)線網(wǎng)絡(luò)存在大的安全隱患，為了處置這個(gè)風(fēng)險(xiǎn)，公司不再提供無(wú)線網(wǎng)絡(luò)用于辦公，這種處置方式屬于(B)。

A.風(fēng)險(xiǎn)接收

B.風(fēng)險(xiǎn)規(guī)避

C.風(fēng)險(xiǎn)轉(zhuǎn)移

D.風(fēng)險(xiǎn)減緩

參考解析:參考 27005信息安全風(fēng)險(xiǎn)管理3.3 風(fēng)險(xiǎn)規(guī)避不卷風(fēng)險(xiǎn)處境的決定攢育圖置處境的行動(dòng)。

21.ISMS不一定必須保留的文件化信息有(D)。

A適用性聲明

B.信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程記錄

C.管理評(píng)審結(jié)果

D.重要業(yè)務(wù)系統(tǒng)操作指南

參考解析:其余選項(xiàng)均要保留文件化信息，參考SO/EC270016.12 和 6.1.3，組織應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程的文件化信息及適用性聲明，9.3 組織應(yīng)保留文件化信息作為管理評(píng)審結(jié)果的證據(jù)。

22.殘余風(fēng)險(xiǎn)是指:(D)。

A.風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)

B.風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值

C.風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低

D.風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低

參考解析: 參考GB/T20984-2007 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，3.12 殘余風(fēng)險(xiǎn)是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。規(guī)范中 5.6.4，某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖螅瑲堄囡L(fēng)險(xiǎn)的結(jié)果仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。

23.信息安全管理體系標(biāo)準(zhǔn)族中關(guān)于信息安全管理體系建設(shè)指南的標(biāo)準(zhǔn)是(A)。

A ISO/IEC27003

B ISO/IEC27004

C ISO/IEC27005

D. ISO/EC27002

參考解析: 參考GB/T29246-2017 第四章，ISO/EC27002 是《信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南》，ISO/IEC27003 是《信息技術(shù)安全技術(shù)信息安全控制實(shí)施指南》ISO/IEC27004 是《信息技術(shù)安全技術(shù)信息安全管理測(cè)量》ISO/EC27005 是《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》。題干“建設(shè)”是指實(shí)施”。

24.有關(guān)信息安全管理，風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法，其主要的優(yōu)勢(shì)在于確保(C)。

A.不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會(huì)被實(shí)施

B.對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源

C.對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)

D.信息資產(chǎn)過(guò)度的保護(hù)

參考解析: 選項(xiàng)中提到信息資產(chǎn)，應(yīng)參考 GB/T22080/TSO/IEC7001 附錄A8.2 信息分級(jí)其目標(biāo)是是確保信息按照其對(duì)組織的重要程度受到適當(dāng)水平的保護(hù)。

25.某公司財(cái)務(wù)管理數(shù)據(jù)職能提供給授權(quán)的用戶，安全管理采取措施確保不能被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉，這樣就可以確保數(shù)據(jù)的哪個(gè)方面的安全性得到保障。(A)

A.保密性

B.完整性

C.可用性

D.穩(wěn)定性

26.TCP/IP協(xié)議層次結(jié)構(gòu)由(C)。

A.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成

B.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成

C.網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成

D其他選項(xiàng)均不正確

27.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定:對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在(C)向當(dāng)?shù)乜h級(jí)以上人民政府公*安機(jī)關(guān)報(bào)告。

A.8小時(shí)內(nèi)

B.12小時(shí)內(nèi)

C.24小時(shí)內(nèi)

D.48小時(shí)內(nèi)

28.形成ISMS 審核發(fā)現(xiàn)時(shí)，不需要考慮的是(C)。

A.所實(shí)施控制措施與適用性聲明的符合性

B.適用性聲明的完備性和合理性

C.所實(shí)施控制措施的時(shí)效性D.所實(shí)施控制措施的有效性

參考解析: 參考GB/T28450-2012 信息安全管理體系審核指南，6.5.5，形成審核發(fā)現(xiàn)還需考慮:1)適用性聲明的完備性和合理性:2)所實(shí)施的控制措施與適用性聲明的符合性;3) 所實(shí)施的控制措施的有效性。

29.根據(jù)GB/T22086-2016 的要求，內(nèi)部審核是為了確保信息安全管理體系(D)。

A實(shí)現(xiàn)和維護(hù)的符合性

B.實(shí)現(xiàn)和維護(hù)的適宜性

C.適宜的實(shí)現(xiàn)和維護(hù)

D.有效的實(shí)現(xiàn)和維護(hù)

參考解析:參考GB/T22080-20169.2 內(nèi)部審核原文，組織應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供信息，確定信息安全管理體系:b)是否得到有效實(shí)現(xiàn)和維護(hù)。

30.某數(shù)據(jù)中心申請(qǐng)ISMS 認(rèn)證的范圍為“IDC 基礎(chǔ)設(shè)施服務(wù)的提供，對(duì)此以下說(shuō)法正確的是(C)

A.A.8可以刪減

B.A12可以刪減

C.A14可以刪減

D.以上都對(duì)

31.對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu),認(rèn)可機(jī)構(gòu)證明(B)。

A認(rèn)證機(jī)構(gòu)能夠開(kāi)展認(rèn)證活動(dòng)

B其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力

C認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書(shū)都符合要求

D.認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力

參考解析: 認(rèn)證機(jī)構(gòu)認(rèn)可的本質(zhì)是，對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力。

32.信息系統(tǒng)的安全保護(hù)等級(jí)分為(B)。

A三級(jí)

B.五級(jí)

C.四級(jí)

D.二級(jí)

參考解析:《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》范圍:第一級(jí):用戶自主保護(hù)級(jí):第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí):第三級(jí):安全標(biāo)記保護(hù)級(jí):第四級(jí):結(jié)構(gòu)化保護(hù)級(jí):第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)。

33.公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開(kāi)機(jī)密碼少于六位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須六位及以上，那么下列選項(xiàng)中哪一項(xiàng)不是針對(duì)該問(wèn)題的糾正措施?(A)

A要求員工立刻改正

B.對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)

C.通過(guò)域控進(jìn)行強(qiáng)制管理

D.對(duì)所有員工進(jìn)行意識(shí)教育

參考解析: 本題屬于模糊題，多家平臺(tái)也意見(jiàn)不一，綜合考慮后，解析如下:參考 270002.12糾正措施，消除已查明的不符合項(xiàng)或其他不期望情形的成因的措施。因此糾正措施是針對(duì)問(wèn)題的根本原因，減少或消除問(wèn)題再發(fā)生的措施。A 選項(xiàng)的立即改正應(yīng)為“糾正，而非糾正措施，因此錯(cuò)誤。

34.被黑客控制的計(jì)算機(jī)常被稱為(B)。

A.蠕蟲(chóng)

B.肉雞

C.灰鴿子

D.木馬

參考解析:肉雞也稱傀僵機(jī)，是指可以被黑客遠(yuǎn)程控制的機(jī)器。本題選 B。注:蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒，它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)行電都室鍵盤(pán)記錄、監(jiān)控桌面、文件操作等。還提供了黑客專用功能，如:偽裝系統(tǒng)圖標(biāo)、隨意更換啟動(dòng)項(xiàng)名稱和表述、隨意更換端口、運(yùn)行后自刪除、毫無(wú)提示安裝等，并采用反彈鏈接這種缺陷設(shè)計(jì)，使得使用者擁有最高權(quán)限，一經(jīng)破解即無(wú)法控制。最終導(dǎo)致被黑客惡意使用。原作者的灰鴿子被定義為是一款集多種控制方式于一體的木馬程序。木馬(Trojan),也稱木馬病毒，是指通過(guò)特定的程序(木馬程序)來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序:一個(gè)是控制端，另一個(gè)是被控制端。

35依據(jù) GB/T22080，信息的標(biāo)記應(yīng)表明:(B)。

A.相關(guān)供應(yīng)商信息、日期、資產(chǎn)序列號(hào)

B.其敏感性和關(guān)鍵性的類別和/或等級(jí)

C所屬部門(mén)和批準(zhǔn)人

D.信息的性質(zhì)，如軟件，文檔

參考解析: 參考GB/T22080-2016 附錄A8.21 信息分級(jí)原文，信息應(yīng)按照法律要求、價(jià)值重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí):附錄 A8.2.2 信息的標(biāo)記原文，應(yīng)按照組織采用的信息分級(jí)方案，制定并實(shí)現(xiàn)一組適當(dāng)?shù)男畔?biāo)記規(guī)程。

36.關(guān)于信息安全連續(xù)性，以下說(shuō)法正確的是(B)。

A信息安全連續(xù)性即IT 設(shè)備運(yùn)行的連續(xù)性

B.信息安全連續(xù)性應(yīng)是組織業(yè)務(wù)連續(xù)性的一部分

C.信息處理設(shè)施的冗余即兩個(gè)或多個(gè)服務(wù)器互備

D.信息安全連續(xù)性指標(biāo)由IT 系統(tǒng)的性能決定

參考解析: 參考2700217.1，信息安全連續(xù)性應(yīng)納入組織業(yè)務(wù)連續(xù)性管理之中。c項(xiàng)錯(cuò)誤參考 2700217.2 元余，信息處理設(shè)施幾余應(yīng)包括余組件和架構(gòu)，題于中服務(wù)器過(guò)于狹隘A、D 項(xiàng)，信息可以以多種形式存儲(chǔ)，保障T 設(shè)備運(yùn)行的連續(xù)性只是確保信息安全連續(xù)性中的一部分。

37.GB/T29246標(biāo)準(zhǔn)由(D)提出并歸口。

A.SC27

B.SAC/TC261

C.SC40

D.SAC/TC260

參考解析: 參考標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。

38某公司的機(jī)房有一扇臨街的窗戶，下列風(fēng)險(xiǎn)描述中哪個(gè)風(fēng)險(xiǎn)與該種情況無(wú)關(guān)?(D)。

A.機(jī)房設(shè)備面臨被盜的風(fēng)險(xiǎn)

B.機(jī)房設(shè)備面臨受破壞的風(fēng)險(xiǎn)

C.機(jī)房設(shè)備面臨灰塵的風(fēng)險(xiǎn)

D.機(jī)房設(shè)備面臨人員誤入的風(fēng)險(xiǎn)

參考解析:D 項(xiàng)誤入走的是門(mén)，而不是窗戶，本題選 D。

39.根據(jù)GB/T22086-2016 標(biāo)準(zhǔn)中控制措施的要求，信息安全控制措施不包括(D)。

A.安全策略

B.物理和環(huán)境安全

C訪問(wèn)控制

D.安全范圍

參考解析:GB/T22086-2016 參考附錄A，包括A5 信息安全策略，A9 訪問(wèn)控制，A11物理和環(huán)境安全，不包括安全范圍。

40.GB/T22080/IEC27001:2013標(biāo)準(zhǔn)附錄A中有(D)個(gè)安全域。

A18

B.16

C.15

D.14

參考解析:參考27001 附錄可知，共有5~18，共14 個(gè)安全域。

二、[多選題]

41.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》適用于在中華人民共和國(guó)境內(nèi)(ABCD)網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。

A.建設(shè)

B.運(yùn)營(yíng)

C.維護(hù)

D.使用

參考解析: 參考本法第二條，在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，適用本法。

42.含有敏感信息的設(shè)備的處置可采取(BCD)。

A格式化處理

B.采取使原始信息不可獲取的技術(shù)破壞或刪除

C.多次的寫(xiě)覆蓋

D.徹底摧毀.

參考解析:27002中11.2.7 設(shè)備的安全處置或再利用，包含存儲(chǔ)介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在處置之前，任何敏感信息和注冊(cè)軟件已被刪除或安全的寫(xiě)覆蓋。

43.GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于(AC)

A.指導(dǎo)組織建立信息安全管理體系

B.為組織建立信息安全管理體系提供控制措施的實(shí)施指南

C.審核員實(shí)施審核的依據(jù)

D.以上都不對(duì)

參考解析:27001是要求類標(biāo)準(zhǔn)，而非指南類，因此 B、D 錯(cuò)誤

44.對(duì)于組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施需(BCD)。

A.將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別

B.可以將風(fēng)險(xiǎn)轉(zhuǎn)移

C.在滿足公司策略和方針條件下，有意識(shí)、客觀地接受風(fēng)險(xiǎn)

D.規(guī)避風(fēng)險(xiǎn)

參考解析: 參考270059 風(fēng)險(xiǎn)處置有四種選擇:風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)保留、風(fēng)險(xiǎn)規(guī)、風(fēng)險(xiǎn)轉(zhuǎn)移B、C、D正確。2700510 信息安全風(fēng)險(xiǎn)接受，組織管理者決定接受的風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)，在某些情況下，由于所用的風(fēng)險(xiǎn)接受準(zhǔn)則沒(méi)有考慮當(dāng)前環(huán)境，殘余風(fēng)險(xiǎn)級(jí)別可能不滿足風(fēng)險(xiǎn)接受準(zhǔn)則，因此 A 錯(cuò)誤，所有風(fēng)險(xiǎn)太絕對(duì)

45.《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)(ABD)類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門(mén)審核制度

A.新聞、出版

B.醫(yī)療、保健

C.知識(shí)類

D.教育類

參考解析:《互聯(lián)網(wǎng)信息服務(wù)管理辦法》第五條，從事新聞、出版、教育、醫(yī)療保健、藥品和醫(yī)療器械等互聯(lián)網(wǎng)信息服務(wù)，依照法律、行政法規(guī)以及國(guó)家有關(guān)規(guī)定須經(jīng)有關(guān)主管部門(mén)審核同意的，在申請(qǐng)經(jīng)營(yíng)許可或者履行備案手續(xù)前，應(yīng)當(dāng)依法經(jīng)有關(guān)主管部門(mén)審核同意。

46.管理評(píng)審的輸出包括(BD)。

A.管理評(píng)審報(bào)告

B.持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定

C.管理評(píng)審會(huì)議紀(jì)要

D.變更信息安全管理體系的任何要求

參考解析:參考GB/T22080-20169.3 管理評(píng)審管理評(píng)審的輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)余相甫核員自習(xí)室關(guān)決定以及變更信息安全管理體系的任何要求。47ISO/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類標(biāo)準(zhǔn)?(ABCD)

A.要求類

B.應(yīng)用類

C.指南類

D.術(shù)語(yǔ)類

參考解析: 參考ISO/IEC27000 引言。

48.設(shè)計(jì)一個(gè)信息安全風(fēng)險(xiǎn)管理工具，應(yīng)包括如下模塊(ABCD)。

A.資產(chǎn)識(shí)別與分析

B.漏洞識(shí)別與分析

C.風(fēng)險(xiǎn)趨勢(shì)分析

D.信息安全事件管理流程

參考解析:參考27001 附錄A16，信息安全事件管理必不可少，D 選項(xiàng)正確。參考SO/IEC27005，風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)，c 選項(xiàng)正確。風(fēng)險(xiǎn)分析又包括風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)估算。而在風(fēng)險(xiǎn)識(shí)別中，需要進(jìn)行資產(chǎn)識(shí)別、威脅識(shí)別、現(xiàn)有控制措施識(shí)別、脆弱性識(shí)別。因此A、B選項(xiàng)也正確

49.依據(jù) GB/T22080,建立風(fēng)險(xiǎn)評(píng)估過(guò)程，包括(BC)。

A明確風(fēng)險(xiǎn)評(píng)估的職責(zé)

B.定義風(fēng)險(xiǎn)接受準(zhǔn)則

C.定義風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則

D.編寫(xiě)風(fēng)險(xiǎn)評(píng)估程序

參考解析:參考GBT22080-20166.1.2信息安全鳳險(xiǎn)評(píng)估原文組織應(yīng)定義并應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，以:a)建立并維護(hù)信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括:1)風(fēng)險(xiǎn)接受準(zhǔn)則2)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則。

50.審核方案應(yīng)考慮的內(nèi)容包括(ABCD)。

A.體系覆蓋人數(shù)

B.體系覆蓋場(chǎng)所

C.IT平臺(tái)的數(shù)量

D.特權(quán)用戶數(shù)量

參考解析:GB/T28450 條款 5.2.3a)ISM 的規(guī)模:1-8 的內(nèi)容

51.根據(jù) GB/T22080-2016 標(biāo)準(zhǔn)中控制措施的要求,有關(guān)設(shè)備安全的相關(guān)行為,適當(dāng)?shù)氖?ABCD)。

A保護(hù)設(shè)備不受電力故障及其他電力異常影響

B.應(yīng)保護(hù)設(shè)備降低來(lái)自環(huán)境的威脅及災(zāi)害

C.設(shè)備報(bào)廢前將信息安全清除

D.保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電源與通訊纜線，以防止竊聽(tīng)或破壞

參考解析:參考GB/T22080-2016A.11.2.1 設(shè)備安置和保護(hù)，應(yīng)安置或保護(hù)設(shè)備，以跟少由環(huán)繞威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問(wèn)的機(jī)會(huì):A.11.2.2 支持性設(shè)施，應(yīng)保護(hù)設(shè)備使其免于囪支持性設(shè)施的失效而引起的電源故障和其他中斷;A.11.2.3 布纜安全，應(yīng)保證傳輸數(shù)據(jù)或文持信怠服務(wù)的電源布纜和通信布纜免受確聽(tīng)、干擾或損壞:A.11.2.7 設(shè)備的安全處置或再利用，包含儲(chǔ)存介質(zhì)的設(shè)備的所有部分應(yīng)進(jìn)行核查，以確保在處置或再利用之前，任何敏感信息和注冊(cè)軟件已被刪除或安全的重寫(xiě)。

52.信息安全管理體系審核范圍的確定應(yīng)考慮(ABCD)。

A業(yè)務(wù)范圍和邊界

B.組織的范圍和邊界

C.物理范圍和邊界

D.資產(chǎn)范圍和邊界

53.可被視為可靠的電子簽名，須同時(shí)符合以下條件(ABCD)。

A.簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)

B.簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制

C.簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)

D.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有

54.依據(jù)GB/Z20986，確定為嚴(yán)重的系統(tǒng)損失的情況包括(BD).

A系統(tǒng)大面積癱癌喪失業(yè)務(wù)處理能力

B.系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞

C恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需代價(jià)較大D.恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件所需付出的代價(jià)對(duì)于事發(fā)組織是可承受的

55.風(fēng)險(xiǎn)處置的可選措施包括(CD)

A.風(fēng)險(xiǎn)識(shí)別

B.風(fēng)險(xiǎn)分析

C.風(fēng)險(xiǎn)轉(zhuǎn)移

D.風(fēng)險(xiǎn)減緩

參考解析: 參考 270059 風(fēng)險(xiǎn)處置有四種選擇:風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)保留、風(fēng)險(xiǎn)規(guī)、風(fēng)險(xiǎn)轉(zhuǎn)移

三、[判斷題]

56.完全備份就是對(duì)全部數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行備份。(Ｘ)

參考解析: 參見(jiàn)百科，完全備份就是用一盤(pán)磁帶對(duì)整個(gè)系統(tǒng)進(jìn)行完全備份，包括系統(tǒng)和數(shù)據(jù)。題干“全部數(shù)據(jù)描述不當(dāng)，還應(yīng)包括系統(tǒng)。57.組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。( Ｘ)

參考解析:參考270002.34 信息安全持續(xù)性確保信息安全持續(xù)作用的過(guò)程和規(guī)程，與業(yè)務(wù)連續(xù)性不同。

58.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是 2017 年1月1日開(kāi)始實(shí)施的。(√)

參考解析:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施時(shí)間是 2017 年6月1日

59.訪問(wèn)控制列表指由主體以及主體對(duì)客體的訪問(wèn)權(quán)限所組成列表。(√)

參考解析: 訪問(wèn)控制列表可以方便的確定對(duì)每個(gè)客體具有訪問(wèn)權(quán)限的所有主體，也可以決定任意主體是否能夠訪問(wèn)該客體。

60.最高管理層應(yīng)建立信息安全方針，該方針應(yīng)包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾（√）

參考解析:270015.2 方針，最高管理層應(yīng)建立信息安全方針，該方針應(yīng) d) 包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。

61.如果一個(gè)ISMS 沒(méi)有至少實(shí)施過(guò)一次覆蓋認(rèn)證范圍的管理評(píng)審和內(nèi)部審核,認(rèn)證機(jī)構(gòu)不應(yīng)對(duì)該ISMS 實(shí)施認(rèn)證。(√ )

62.ISO/IEC27018是信息技術(shù)安全技術(shù)可識(shí)個(gè)人信息PII，處理者在公有云中保護(hù) PII 實(shí)踐指南。(√)

63.ISMS審核方案的內(nèi)容應(yīng)考慮規(guī)劃ISMS 時(shí)所確定的風(fēng)險(xiǎn)和機(jī)會(huì)的重要性(√ )。參考答案:對(duì)

64.信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則。(Ｘ)參考解析:270015.1.2組織應(yīng)建立并維護(hù)信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括風(fēng)險(xiǎn)接受準(zhǔn)則和信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則。

65.依據(jù)GB17859 第三級(jí)及以上信息系統(tǒng)，需具備強(qiáng)制訪問(wèn)控制的能力，第二級(jí)及以下不要。(√)

參考解析:GB17859 正文4.2/4.3。