《2016年12月信息安全管理体系(ISMS)基础知识试卷.docx》由会员分享,可在线阅读,更多相关《2016年12月信息安全管理体系(ISMS)基础知识试卷.docx(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2016年12月信息安全管理体系(ISMS)基础知识试卷1、依据GB/T22080/ISO/IEC27001,制定信息安全管理体系方针,应予以考虑的输入是:() 单选题A、业务战略(正确答案)B、法律法规要求C、合同要求D、以上全部2、信息安全中的可用性是指() 单选题A、根据授权实体的要求可访问和利用的特性(正确答案)B、信息不能被未授权的个人,实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反应失误真实情况的程度3、依据GB/T22080/ISO/IEC27001,以下符合责任分割原则的是() 单选题A、某数据中心机房运维工程师权某负责制定机房访问控制策略,为方便巡检,登录门
2、禁系统为自己配置了各个机房的不限时门禁权限B、某公司由信息安全官(CIO)负责制定访问控制策略,为信息系统管理员的登录权限授权时,由另外5位副总到场分别输入自己的口令然后完成授权。(正确答案)C、某公司制定了访问权限列表,信息系统权限分配为:董事长拥有全部权限,某次为副总,再某次为主管经理,依次类推,运维工程师因职务最低,故拥有最少权限。D以上均符合责任分割原则。4、依据GB/T22080/ISO/IEC27001,建立资产清单即:() 单选题A、列明信息生命周期内关联到的资产,明确其对组织业务的关键性(正确答案)B、完整采用组织的固定资产台账,同时指定资产负责人C、资产价格越高,往往意味着功
3、能越全,因此资产重要性等级就越高。D、A+B5、为信息系统用户注册时,以下正确的是:() 单选题A、按用户的职能或业务角色设定访问权(正确答案)B、组共享用户ID按组任务的最大权限注册C、预设固定用户ID并留有冗余,以保障可用性D、避免频繁变更用户访问权6、信息分类方案的目的是() 单选题A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则(正确答案)D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析。7、以下做法不正确
4、的是:() 单选题A、保留含有敏感信息的介质的处置记录B、将大量含有信息的介质汇集在一起时提高其总体敏感性等级。C、将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略。(正确答案)D、依据风险评估的结果将维修更换下来的磁盘交第三方按双方约定的程序进行处置8、保密性是指() 单选题A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性(正确答案)C、保护信息准确和完整的特险D、以上都不对9、在建立信息安全管理体系时所用的风险评估方法必须() 单选题A、遵循风险评估的国际标准B、使用定性的方法C、使用定量的方法D、选用能够产生可比较和可再现结果的方法(
5、正确答案)10、关于网络服务的访问控制策略,以下正确的是() 单选题A、没有陈述为禁止访问的网络服务,视为允许访问的网络服务B、对于允许访问的网络服务,默认可通过无线、VPN等多种手段C、对于允许访问的网络服务,按照规定的授权机制讲行授权(正确答案)D、以上都对11、关于特权访问,以下说法正确的是:() 单选题A、特权访问用户通常须包含顾客B、特权访问用户必须包含最高管理者C、特权访问用户的访问权限最大权限原则的应用D、特殊访问权应与其职能角色一致(正确答案)12、描述组织采取适当的控制措施的文档是() 单选题A、管理手册B、适用性声明(正确答案)C、风险处置计划D、风险评估程序13、管理者应
6、() 单选题A、制定ISMS方针(正确答案)B、制定ISMS目标和计划C、实施ISMS内部审核D、确保ISMS管理评审的执行14、完整性是指() 单选题A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性(正确答案)D、以上都不对15、关于用户访问权,以下做法正确的是:() 单选题A、用户岗位变更时,其原访问权应终止或撤销(正确答案)B、抽样进行针对信息系统用户访问权的定期评审C、组织主动解聘员工时可不必复审员工访问权D、使用监控系统可替代用户访问权评审16、关于密码技术和密码产品,以下说法正确的是:() 单选题A、未经批准,禁止出
7、口密码技术和密码产品,但进口不受限B、经许可,禁止销售商用密码产品,但自行研发供自行使用不受限C、未经指定,禁止生产商用密码(正确答案)D、密码技术和密码产品均是国家秘密,须实行专控管理17、以下属于计算机病毒感染事件的纠正措施的是() 单选题A、对计算机病毒事件进行响应和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对(正确答案)18、物理安全周边的安全设置应考虑:() 单选题A、区域内信息和资产的敏感性分类B、重点考虑计算机机房,而不是办公区或其他功能区C、入侵探测和报警机制D、A+C(正确答案)19、以下哪一项不属于物理入口控制的措施?() 单选题A、仅允许佩戴
8、规定类型工牌的人员进入B、入口处使用指纹识别系统C、仅允许穿戴规定防护服的人员进入(正确答案)D、保安核实来访人员的登记信息20、关于信息安全策略,下列说法正确的是() 单选题A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审(正确答案)21、下列说法不正确的是() 单选题A、残余风险需要获得风险责任人的批准B、适用性声明需要包含必要的控制及其选择的合理性说明C、所有的信息安全活动都必须有记录(正确答案)D、组织控制下的员工应了解信息安全方针22、以下属于安全办公区域控制的
9、措施是:() 单选题A、敏感信息处理设施避免放置在和外部方共用的办公区(正确答案)B、显著标记“敏感档案存储区,闲人免进”标识牌C、告知全体员工敏感区域的位置信息,教育员工保护其安全D、以上都对23、对于交接区域的信息安全管理,以下说法正确的是:() 单选题A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证(正确答案)D、对于进入和离开组织的设备设施,验证携带者身份信息,可替代对设备设施的验证24、附录A有()安全域 单选题A、18个B、16个C、15个D、
10、14个(正确答案)25、文件化信息是指() 单选题A、组织创建的文件B、组织拥有的文件C、组织要求控制和维护的信息及包含该信息的介质(正确答案)D、对组织有价值的文件26、信息安全管理中,支持性基础设施指() 单选题A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部(正确答案)27、设施维护维修时,应考虑的安全措施包括() 单选题A、维护维修前,按规定程序处理或清除其中的信息B、维护维修后,检查是否有未授权的新增功能C、敏感部件进行物理销毁而不予送修D、以上全部(正确答案)28、信息安全管理中,变更管理应予以控制的风险包括() 单选题A、组织架构、业务流程变更的
11、风险B、信息系统配置、物理位置变更的风险C、信息系统新的组件、功能模块发布的风险D、以上全部(正确答案)29、关于容量管理,以下说法不正确的是() 单选题A、根据业务对系统性能的需求,设置阈值和监视调整机制B、针对业务关键性,设置资源占用的优先级C、对于关键业务,通过放宽阈值以避免或减少报警的干扰(正确答案)D、依据资源使用趋势数据进行容量规划30、信息安全管理体系国际标准族中关于信息安全管理测量的标准是() 单选题A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004(正确答案)D、ISO/IEC2700531关于防范恶意软件,以下说法正确的是:() 单选题A、
12、备份介质应定期进行恢复测试B、安装入侵探测系统即可防范恶意软件C、建立白名单即可范恶意软件D、建立探测、预防和恢复机制以防范恶意软件(正确答案)32关于备份,以下说法正确的是:() 单选题A、备份介质应定期进行恢复测试(正确答案)B、如果组织删减了“信息安全连接性”要求,同机备份或备份本地存放时可接受的C、备份介质的退化是质量管理体系的范畴D、备份信息不是管理体系运行记录,不须规定保存期33、关于系统运行日志,以下说法正确的是:() 单选题A、系统管理员负责对日态信息进行编辑、保存B、日志信息文件的保存应纳入容量管理(正确答案)C、日态管理即系统审计日志管理D、组织的安全策略应决定系统管理员的
13、活动是否有记入日志34、某公司为软件开发企业,在建立ISMS时却对附录 单选题A、的“A.14.1.1安全要求分析和说明”进行了删减,删减理由为公司使用的系统为非定制系统,相关风险可以接受()(正确答案)A、不合理B、合理C、不一定D、以上都不对35、文件化信息创建和更新时,下列哪个活动不是必须的?() 单选题A、组织应确保适当的标识和描述B、组织应确保适当的格式和介质C、组织应确保适当的对适应险和充分性进行评审和批准D、组织应确保适当的访问控制(正确答案)36、在运行系统上安装软件,以下说法不正确的是:() 单选题A、对于复杂的系统应采取分步部署的策略B、应在安装前在隔离的环境中完成验收测试
14、C、应在安装前完成单元测试,随之进行安装然后进行验收(正确答案)D、安装运行后应评审对关键业务应用的影响37、关于技术脆弱性管理,以下说法正确的是:() 单选题A、技术脆弱性应单独管理,与事件管理没有关联B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制(正确答案)D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径38、信息系统审核() 单选题A、是发现信息系统脆弱性的手段之一(正确答案)B、应在系统运行期间进行,以便于准确地发现弱点C、审核工具在组织内应公开可获取,以便于提升员工的能力D、只要定期进行,就可以替代内部
15、ISMS审核39、在ISO/IEC27005信息安全风险管理中风险管理过程包括确定环境、风险评估、风险处置、()、风险沟通和风险监视和评审。 单选题A、风险接受(正确答案)B、风险再评估C、风险保持D、风险维护40、以下不属于可降低信息传输中的信息安全风险的措施是:() 单选题A、规定使用通信设施的限制规定B、使用铠甲线缆以及数据加密C、双路供电以及定期测试备份电机(正确答案)D、记录物理介质运输全程的交接信息41、对于可能超越系统和应用控制的实用程序,以下说法正确的是() 单选题A、实用程序的使用不在审核范围内B、建立禁止使用的实用程序清单C、应急响应时需要使用的实用程序不需额外授权D、建立
16、鉴别,授权机制和许可使用的实用程序清单(正确答案)42、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为() 单选题A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求(正确答案)43、在风险评估中进行资产的价值估算时,下列哪个不会影响资产的价值() 单选题A、资产的替代价值B、资产丧失或损坏的业务影响C、资产本身的购买价值D、资产的存放位置(正确答案)44、某公司进行风险评估后发现公司的无线网络存在大的安全隐患,为了处置这个风险,公司不再提供无线网络用于办公,这种处理方式属于() 单选题A、风险接受B、风险规避C、风险转移D、风险减缓(正确答
17、案)45、密码技术可以保护信息的() 单选题A、保密性(正确答案)B、完整性C、可用性D、A+B46、设置防火墙策略是为了() 单选题A、进行访问控制(正确答案)B、进行病毒防范C、进行邮件内容过滤D、进行流量控制47、信息系统开发过程中正确的安全措施是() 单选题A、通过开发成果物的访问控制确保保密性、完整性、可用性(正确答案)B、开发过程中的成果物公需考虑保密性保护,不需保护完整性和可用性C、只有完成了集成测试的成果物才需要保护其保密性、完整性和可用性D、由具体担当开发任务的人员决定其成果物的保密性、完整性和可用性是否需要48、无 填空题_49、不属于第三方服务监视和评审范畴的是:() 单
18、选题A、监视和评审服务级别协议和符合性B、监视和评审服务方人员聘用和考核的流程(正确答案)C、监视和评审服务交付遵从协议规定的安全要求的程序D、监视和评审服务方跟踪处理信息安全事件的能力50、信息安全事件管理须包括:() 单选题A、事件升级流程B、事件报告和处理流程以及事件类型的定义(正确答案)C、事态和脆弱除发现者立即对其进行测试和处理的规则D、事态和脆弱性监控和审计软件工具51、国家保密的保密期限应为() 单选题A、绝密不超过三十年,机密不超过二十年,秘密不超过十年(正确答案)B、绝密不低于三十年,机密不低于二十年,秘密不低于十年C、绝密不超过二十五年,机密不超过十五年,秘密不超过五年D、
19、绝密不低于二十五年,机密不低于十五年,秘密不低于五年52、关于互联网信息服务,以下说法正确的是:() 单选题A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务,应符合中华人民共和国电信条例规定的要求(正确答案)D、经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。53、计算机信息系统安全保护条例中所称计算机信息系统,是指:() 单选题A、对信息进行采集、加工、存储、传输、检索等处理的人机系统(正确答案)B、计算机及其相关的设备、设施,不包括软件C、计
20、算机运算环境的总和,但不含网络D、一个组织所有计算机的总和,包括未联网的微型计算机55,审核计划中应包括() 单选题A、本次审核后续审核的时间安排(正确答案)B、审核准则C、审核组成员及分工D、审核的日程安排56、审核发现是指() 单选题A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果(正确答案)D、审核中的观察项57、以下哪个选项不是ISMS第一价段审核的目的() 单选题A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求(正确答案)58、以下不
21、属于密匙管理内容的是() 单选题A、密匙材料的复制、转移、更新和确认(正确答案)B、密匙材料的生成、等级、认证、注销C、密匙材料的撤销、衍生、销毁和恢复D、密匙材料的分发、安装、存储和归档59、灾难备份系统指() 单选题A、由数据备份系统,备用数据处理系统备用网络系统组成的用于灾难恢复目的的信息系统(正确答案)B、有UPS、备份电机、冗余供电线路组成的用于灾难恢复目的的支持系统C、由数据备份系统、备用数据处理系统和备用网络系统组成的用于为灾难恢复目的备份的系统D、以上全部60、信息安全连续性计划应进行测试或演练,目的是:() 单选题A、备份信息系统功能的正确性和性能水平B、强化人员的安全意识C
22、、对冗余信息系统进行预防性维护D、评价连续性计划对于恢复目标的可行性和有效性(正确答案)61、下列那些事情是审核员不必要做的() 单选题A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好(正确答案)D、尽量使用客户熟悉的表达方式62、以下可表达知识产权方面符合GB/T20080要求的是() 单选题A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件D、禁止软件安装超出许可证规定的最大用户数(正确答案)63、信息系统的安全保护等级分为() 单选题A、三级B、五级(正确答案)C、四级D、二级64、关于涉密信息系统的管理,以下说法不正确
23、的是:() 单选题A、涉密计算机、存储设备不得接入互联网及其他公共信息网络B、涉密计算机只有采取了适当防护措施才可接入互联网(正确答案)C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机未经安全技术处理不得改作其他用途55、某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?() 单选题A、机房设备面临被盗的风险B、机房设备面临受破坏的风险C、机房设备面临灰尘的风险D、机房设备面临人员误入的风险(正确答案)66下列措施中、不能用于防止非授权访问的是() 单选题A、采取密码技术B、采用最小授权C、采用权限复查D、采用日志记录(正确答案)67、关于信息安全管理中的
24、“脆弱性”,以下正确的是:() 单选题A、脆弱性是威胁的一种,可以导致信息安全风险B、网络中“钓鱼”软件的存在,是网络的脆弱性C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性(正确答案)D、以上全部68、残余风险是指() 单选题A、风险评估前,以往活动遗留的风险B、风险评估后,对以往活动遗留的风险的估值C、风险处置后剩余的风险,比可接受风险低D、风险处置后的剩余的风险,不一定比可接受风险低(正确答案)69、信息安全风险(R)计算中涉及威胁(T)脆弱性(V)资产价值(F)等参数,以下说法正确的是: 单选题A、R由T、V、F共同决定,并与T、V、F同向增减(正确答案)B、R由T、V、
25、F共同决定,并与T、V、F同反增减C、V由T、F共同决定,并与T、F同向增减D、F由R、V共同决定,并与R、V同向增减70、关于信息安全管理体系认证,以下说法正确的是() 单选题A、授予认证决定的实体不宜推翻审核正面结论B、授予认证决定的实体不宜推翻审核组的负面结论(正确答案)C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期。71、关于中华人民共和国保密法,以下说法正确的是:() 单选题A、该法的目的是为了保守国家秘密而定(正确答案)B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织
26、对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护72、以下哪个场景表明了对保密性的保护?() 单选题A、将含有敏感信息的介质集中在一个地方存放B、组织安全策略中规定所有的变更必须得到评审、批准和授权C、针对某一系统服务,用户只有在通过了指纹验证,才可在允许的时间段使用(正确答案)D、为计算机机房配备双路供电、UPS电源、柴油发动机等多重保障措施73、旨在评估信息安全管理体系有效性的标准是:() 单选题A、ISO/IEC27001B、ISO/IEC27002C、ISO/IEC27006D、ISO/IEC27004(正确答案)74、对违反CCAA从注册人员行为准则和
27、不满足CCAA相关注册准则要求的注册人员,做出()资格处置决定。 单选题A、撤销、暂停、降级(正确答案)B、通报、暂停、降级C、通报、暂停、撤销D、批评、暂停、降级75、关于顾客满意以下说法正确的是:() 单选题A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意(正确答案)D、组织认为顾客要求已得到满足,即意味着顾客满意76、关于GB/T22081标准,以下说法正确的是() 单选题A、提供了选择控制措施的指南,可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据(正
28、确答案)C、提供了信息安全风险评估的指南,是ISO/IEC27000的构成部分D、提供了信息安全风险评估的依据,是ISO/IEC27000的支持性标准77、纠正措施是指() 单选题A、消除已发现的不符合的措施B、消除已发现的不符合的原因的措施(正确答案)C、消除潜在不符合的措施D、消除潜在不符合的原因的措施78、计算机信息系统安全专用产品是指() 单选题A、用于保护计算机信息系统安全的专用硬件和软件产品(正确答案)B、按安全加固要求设计的专用计算机C、安装了专用安全协议的专用计算机D、特定用途(如高保密)专用的计算机软件和硬件产品79、关于信息安全产品的使用,以下说法正确的是:() 单选题A、
29、对于所有的信息系统,信息安全产品的核心技术、关键部件须具有我国自主知识产权B、对于三级以上信息系统,已列入信息安全产品认证目录的,应取得国家信息安全产品认证机构颁发的认证证书(正确答案)C、对于四级以上信息系统,信息安全产品研制的主要技术人员须无犯罪记录D、对于四级以上信息系统,信息安全产品研制单位须声明没有故意留有或设置漏洞80、对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由以下部门归口管理:() 单选题A、工业和信息化部B、公安部(正确答案)C、信息产业部D、国家安全部二、多选题81、计算机信息系统的安全保护,应保障:()A、计算机及相关和配套设备的安全(正确答案)B、设施
30、(含网络)的安全(正确答案)C、运行环境的安全(正确答案)D、计算机功能的正常发挥(正确答案)82、风险评估过程一般应包括()A、风险识别(正确答案)B、风险分析(正确答案)C、风险评价(正确答案)D、风险处置83、信息安全管理体系绩效测量的开发包括:()A、选择目标和特性(正确答案)B、确定分析模型(正确答案)C、确定分析模型测量指标(正确答案)D、确定决策准则(正确答案)84、不同组织的ISMS文件的详略程度取决于()A、文件编写人员的态度和能力B、组织的规模和活动的类型(正确答案)C、人员的能力(正确答案)D、管理系统的复杂程度85、关于信息安全管理体系认证的监督审核方案,以下说法正确的
31、是:()A、必须包含ISMS内审,可不包含管理评审B、所选择的GB/T22080/ISO/IEC2700I要素(正确答案)C、变更所涉及的区域(正确答案)D、由企业制定的监督方案,须得到认证机构的确认86、以下属于信息安全管理体系审核的证据是:()A、信息系统运行监控中心显示的实时资源占用数据(正确答案)B、信息系统的阈值列表(正确答案)C、数据恢复测试的日志(正确答案)D、信息系统漏洞测试分析报告(正确答案)87、以下措施可以实现和保持对信息资产的适当保护()A、形成重要资产清单,并加以维护(正确答案)B、购买相同设备类型中价值最高的产品C、确定所有资产的责任人(正确答案)D、制定合乎公司要
32、求的资产使用规则(正确答案)88、用以确定审核范围的信息须包括:()A、适用性声明版本及内容(正确答案)B、受审核方的业务过程和活动(正确答案)C、受审核方的业务过程和活动的运行场所(正确答案)D、受审核方业务过程和活动的组织单元(正确答案)89、以下属于“信息处理设施”的是()A、信息处理系统(正确答案)B、与信息处理相关的服务(正确答案)C、与信息处理相关的设备(正确答案)D、安置信息处理设备的物理场所与设施(正确答案)90、在未得到授权的前提下,以下属于信息安全“攻击”的是:()A、盗取、暴露、变更资产的行为(正确答案)B、破坏、或使资产失去预期功能的行为(正确答案)C、访问、使用资产的
33、行为(正确答案)D、监视和获取资产使用状态信息的行为(正确答案)91、为确保员工和合同方理解其职责、并适合其角色,在员工任用之前,必须()A、对其进行试用B、对员工的背景进行适当验证检查(正确答案)C、在任用条款和合同中指明安全职责(正确答案)D、以上都不对92、要将失效的风险降至最小,需要()A、监视资源的使用,做出对于未来系统容量要求的预测(正确答案)B、在系统开发和使用密码措施来保护信息的策略C、在系统投入运行前,进行验收(正确答案)D、对系统进行备份93、信息安全管理体系审核应遵循的原则包括()A、诚实守信B、保密性(正确答案)C、基于风险(正确答案)D、基于事实的决策方法94、投诉处
34、理过程应包括:()A、投诉受理、跟踪和告知(正确答案)B、投诉初步评审、投诉调查(正确答案)C投诉响应、沟通决定(正确答案)D、投诉终止(正确答案)95、风险评估过程中威胁的分类一般应包括()A、软硬件故障、物理环境影响(正确答案)B、无作为或操作失误,管理不到位、越权或滥用(正确答案)C、网络攻击、物理攻击(正确答案)D、泄密、篡改、抵赖(正确答案)96、关于审核方案,以下说法正确的是:()A、审核方案是审核计划的一种B、审核方案可包括一段时期内各种类型的审核(正确答案)C、审核方案即年度内部审核计划D、审核方案是审核计划的输入(正确答案)97、以下说法正确的是()A、认证审核的委托方即受审
35、核方B、受审核方是第一方审核的委托方(正确答案)C、受审核方的行政上级作为委托方是第二方审核D、组织对其外包服务提供方的审核时二方审核(正确答案)98、关于“不可否认性”,以下说法正确的是:()A、数字签名是实现“不可否认性”的有效技术手段(正确答案)B、身份认证是实现“不可否认性”的重要环节(正确答案)C、数字时间戳是“不可否认性”的关键属性(正确答案)D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性(正确答案)99、关于“信息安全连续性”,以下正确的做法包括:()A、人员、设备、设施、场所等的冗余配置(正确答案)B、定期或实时进行数据备份(正确答案)C、考虑业务关键性确定恢复优先顺序和目标(正确答案)D、有保障信息安全连续性水平的过程和程序文件(正确答案)100、不符合项报告应包括()A、不符合事实的描述(正确答案)B、不符合的标准条款及内容(正确答案)C、不符合的原因(正确答案)D、不符合的性质(正确答案)