《基础-信息安全管理体系.docx》由会员分享,可在线阅读,更多相关《基础-信息安全管理体系.docx(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、基础-信息安全管理体系1、在我国信息安全等级保护管理办法中将信息系统的安全等级分为()级 单选题A、3B、4C、5(正确答案)D、62、可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源(例如:主体、存储客体、只读存储器)相关的敏感标记的等级是() 单选题A、二级、二级、四级B、三级、四级、五级C、四级、五级D、五级(正确答案)3、作为信息安全治理的成果,战略方针提供了() 单选题A、企业所需的安全要求(正确答案)B、遵从最佳实务的安全基准C、日常化、制度化的解决方案D、风险暴露的理解4、信息安全管理体系审核是用来确定() 单选题A、组织的管理效率B、产品和服务符合有关法律法规程度
2、C、信息安全管理体系满足审核准则的程度(正确答案)D、信息安全手册与标准的符合程度5、信息安全控制措施是指() 单选题A、管理信息安全风险的一种方法(正确答案)B、规程、指南C、信息安全技术D、以上都不对6、以下关于认证机构的监督要求表述错误的是() 单选题A、认证机构宜能够针对客户组织的与信息安全相关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定(正确答案)C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督7审核原则要求()是审核的公正性和审核结论客观性的基础 单选题A、系统性B、严格性C、独立性(正确
3、答案)D、可追踪性8、关于信息安全产品的使用,以下说法正确的是() 单选题A、对于所有的信息系统,信息安全产品的核心技术、关键部件应具有我国自主知识产权B、对于三级以上信息系统,已列入信息安全产品认证目录的,应取得国家信息安全产品认证机构颁发的认证证书(正确答案)C、对于四级以上信息系统,信息安全产品研制的主要技术人员应无犯罪记录D、对于四级以上信息系统,信息安全产品研制单位应声明没有故意留有或设置漏洞9、下列信息系统安全说法正确的是() 单选题A、加固所有的服务器和网络设备就可以保证网络的安全B、只要资金允许就可以实现绝对的安全C、断开所有的服务可以保证信息系统的安全D、信息系统安全状态会随
4、着业务的变化而变化,因此网络安全状态需要根据业务而调整相应的网络安全策略(正确答案)10、以下不属于GB/T22080-2016与GB/T22080-2008主要关键词变化的是() 单选题A、将“Control”的定义由2008版的“控制措施,改为“控制”B、将“Imptement”的定义由2008版的“实施”改为“实现”C、将“Assetowner”的定义由2008版的“资产责任人”改为“资产拥有者”D、将“Contoxtoftheorganization”的定义由2008版的“组织背景”改为“组织环境”(正确答案)11、在现场审核时,审核组有权自行决定变更的事项是:() 单选题A、审核人日
5、B、审核的业务范围C、审核日期D、审核组任务调整(正确答案)12、访问控制是为了保护信息的() 单选题A、完整性和机密性B、可用性和机密性C、可用性和完整性D、以上都是(正确答案)13、审核证据是指() 单选题A、与审核准则有关的,能够证实的记录、事实陈述或其他信息(正确答案)B、在审核过程中收集到的所有记录、事实陈述或其他信息C、组方针、程序或要求D、以上都不对14、许多计算机系统为诊断和服务支持的目的提供一些“维护账号”给系统带来的脆弱性,下面哪一种安全技术最不被先考虑使用()。 单选题A、回叫确认B、通讯加密C、智能令牌卡D、口令与用户名(正确答案)15、访问控制是指确定()以及实施访问
6、权限的过程 单选题A、用户权限B、可给予哪些主体访问权利(正确答案)C、可被用户访问的资源D、系统是否遭受入侵16、信息安全管理体系的要求类标准是() 单选题A、GB/T22080-2016(正确答案)B、GB/T22081-2008C、ISO/IEC27003D、ISO/IEC2700417、下列不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标是() 单选题A、资产归还B、资产分发(正确答案)C、资产的处理D、资产清单18、关于可信计算基,以下说法正确的是() 单选题A、指计算机系统中用作保护装置的硬件、固件、软件等的组合体(正确答案)
7、B、指配置有可信赖安全防护硬件、软件产品的计算机环境C、指通过了国家有关安全机构认证的计算机信息系统D、指通过了国家有关机构评测的计算机基础设施,含硬件、软件的配置19风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、和() 单选题A、识别可能性和影响B、识别脆弱性和识别后果(正确答案)C、识别脆弱性和可能性D、识别脆弱性和影响20、下面哪一种日志文件有助于评估计算机安全事例的危害程度?() 单选题A、联络日志B、活动日志C、事件日志(正确答案)D、审计日志21、符合性要求包括() 单选题A、知识产权保护B、公司倍息保护C、个人隐私的保护D、以上都是(正确答案)22、下面
8、哪一种属于网络上的被动攻击() 单选题A、消息篡改B、伪装C、拒绝服务D、流量分析(正确答案)23、依据GB/T22080-2016/ISO/IEC27001: 2013标准,不属于第三方服务监视和评审范围的是() 单选题A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程(正确答案)C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力24、构成风险的关键因素有() 单选题A、人、财、物B、技术、管理和操作C、资产、威胁和弱点(正确答案)D、资产、可能性和严重性25、一种基于信任而产生的并且很难防范的主要风险是() 单选题A、正
9、确使用的授权访问B、被滥用的授权访问(正确答案)C、不成功的非授权访问D、成功的非授权访问26、关于入侵检测,以下不正确的是() 单选题A、入侵检测是一个采集知识的过程B、入侵检测指信息安全事件响应过程(正确答案)C、分析反常的使用模式是入侵检测模式之一D、入侵检测包括收集被利用脆弱性发生的时间信息27、关于文件管理下列说法错误的是() 单选题A、文件发布前应得到批准,以确保文件是适宜的B、必要时对文件进行评审、更新并再次批准C、应确保文件保持清晰,易于识别D、作废文件应及时销毁,防止错误使用(正确答案)28、风险责任人是指() 单选题A、具有责任和权限管理一项风险的个人或实体(正确答案)B、
10、实施风险评估的组织的法人C、实施风险评估的项目负责人或项目任务责任人D、信息及信息处理设施的使用29、管理评审应包括评估信息安全管理体系改进的计划和变更的需求,管理评审的输入可以不包括() 单选题A、相关方的反馈B、预防和纠正措施的状况C、有效性测量的结果D、业务连续性演练结果(正确答案)30、目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,计算机信息系统国际联网保密管理规定是由下列哪个部门所制定的规范制度。() 单选题A、公安部B、国家保密局(正确答案)C、信息产业部B、国家密码管理委员会办公室31、管理体系是实现组织目标的方针、()、指南和相关资源的框架
11、单选题A、目标B、规程(正确答案)C、文件D、记录32、管理体系是指() 单选题A、建立方针和目标并实现这些目标的体系(正确答案)B、相互关联和相互作用的一组要素C、指挥和控制组织的协调活动D、以上都不对33、过程是指() 单选题A、有输入和输出的任意活动B、通过使用资源和管理,将输入转化为输出的活动(正确答案)C、所有业务活动的集合D、以上都不对34、下面哪一条措施不能防止数据泄漏() 单选题A、数据冗余(正确答案)B、数据加密C、访问控制D、密码系统35、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为() 单选题A、三级(正确答案)
12、B、二级C、四级D、六级36、资产是对组织()的任何东西 单选题A、 有使用价值B、拥有C、有价值(正确答案)D、购买37、信息系统审计() 单选题A、是发现信息系统脆弱性的手段之一(正确答案)B、应在系统运行期间进行,以便于准确地发现弱点C、审核工具在组织内应公开可获取,以便于提升员工的能力D、只要定期进行,就可以替代内部ISMS审核38、描述与组织信息安全管理体系相关的和适用的控制措施的文档是() 单选题A、信息安全管理体系方针B、适用性声明(正确答案)C、信息安全管理体系范围D、风险评估程序39、某种网络安全威胁是通过非法手段对数据进行恶意修改,这种安全威胁属于() 单选题A、窃听数据B
13、、破坏数据完整性(正确答案)C、破坏数据可用性D、物理安全威肋40、容量管理的对象是() 单选题A、信息系统内存B、办公室空间和基础设施C、人力资源D、A+B+C(正确答案)41、公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期,包括证书目录维护、证书废止列表维护和证书发布,这个要素是() 单选题A、证书机构(CA)(正确答案)B、数字签名C、证书实践声明D、注册机构(R)42、下列说法不正确的是() 单选题A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录(正确答案)D、管理评审至少每年进
14、行一次43、依据中华人民共和国网络安全法,以下说法不正确的是() 单选题A、网络安全域采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全(正确答案)D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护44、信息安全风险(R)计算中涉及脆弱性(V),以下说法正确的是:() 单选题A、脆弱性是资产性质决定的固有的弱点,其赋值不变B、如果当前控制措施有效,资产脆弱性赋值可以降低(正确答案)C、控制措施是管理范畴的概念,脆弱性是技术范畴的概念,二者没有关系D、只要威胁存在,脆弱性就存在,二者的赋值同向增减45、信息安个管理
15、体系的设计应考虑() 单选题A、组织的战略B、组织的目标和需求C、组织的业务过程性质D、以上全部(正确答案)46、信息安全是保证信息的保密性、完整性、() 单选题A、充分性B、适宜性C、可用性(正确答案)D、有效险47、中华人民共和国保守国家秘密法第二章规定了国家秘密的范围和密级,国家秘密的密级分为:() 单选题A、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别(正确答案)D、一密、二密、三密、四密四个级别48、依据GB/T22080-2016/ISO/IEC27001: 2013标准,信息安全管理体系文件应包括() 单选题A、信息安全管理体系的范围、适用性声B、风险评估
16、报告和风险处置计划C、风险评估方法D、以上全部(正确答案)49、依据GB/T22080-2016/ISO/IEC27001:2013标准,制定信息安全管理体系方针,应予以考虑的输入是() 单选题A、业务战略B、法律法规要求C、合同要求D、以上全部(正确答案)50、以下对GB/T22080-2016/ISO/IEC27002:2013标准的描述,正确的是() 单选题A、该标准属于要求类标准B、该标准属于指南类标准(正确答案)C、该标准可用于一致性评估D、组织在建立信息安全管理体系时,应满足该标准的所有要求51主体访问权限的(),即仅执行授权活动所必需的那些权利被称为最小特定权限。 单选题A、最高
17、限度B、最低限度(正确答案)C、平均限度D、次低限度52、关于信息安全连续性,以下说法正确的是() 单选题A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分(正确答案)C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定53、在一个分布式计算环境中,系统安全特别重要。分布式计算环境中的网络攻击存在两种主要的类型:被动攻击和主动攻击。下面哪一种是属于被动攻击?() 单选题A、企业登录到别人的帐号上B、在网络电缆上安装侦听设备,并产生错误消息C、拒绝为合法用户提供服务D、当用户键入系统口令时,进行窃听(正确答案)54、组织进行业
18、务连续性管理主要是为了保护信息的() 单选题A、机密性B、完整性C、可用性(正确答案)D、A+B+C55、某工厂M为某手机品牌S代工,S要求B将其手机设计信息敏感性等级确定为最高级,M的以下做法正确的是() 单选题A、限制S手机外观设计图纸仅在PLM系统中流传,并限制访问权限B、将测试用S手机主板存放于密码柜中,并限制密码知悉人C、将生产线上报废的S手机部件废品粉碎后送环保公司处置D、以上都对(正确答案)56、确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,其所用,是指() 单选题A、完整性B、可用性C、机密性(正确答案)D、抗抵赖性57、对于获准认可的认证机构,认可机构证
19、明() 单选题A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力(正确答案)C、认证机构的每张认证证书都特合要求D、认证机构具有人事相应认证活动的能力58、适用性声明文件应() 单选题A、描述与组织相关和适用的控制目标和控制措施(正确答案)B、版本应保持稳定不变C、应包含标准GB/T22080附录A的所有条款D、应删除组织不拟实施的控制措施59、内部审核是为了确定信息安全体系的() 单选题A、有效性和适宜性B、适宜性和充分性C、有效性和符合性(正确答案)D、适宜性和充分性60、测量控制措施的有效性以验证安全要求是否被满足是()的活动 单选题A、ISMS建立阶段B、IS
20、MS实施和运行阶段C、ISMS监视和评审阶段(正确答案)D、ISMS保持和改进阶段61、ISMS文件的多少和详细程度取决于() 单选题A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、以上都对(正确答案)62、关于信息安全风险评估,以下说法正确的是() 单选题A、如果集团企业的各地分子公司业务性质相同,则针对一介分/子公司识别,评估风险即可,其风险评估过程和结果文件其他分/子公司可直接采用,以节省重要识别和计算的工作量B、风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性C、组织应基于其整体业务活动所在的环境和风险考虑其ISMS设计(正确答案)D、
21、以上都对63、管理评审是为了确保信息安全管理体系持续的() 单选题A、适宜性B、充分性C、有效性D、以上都是(正确答案)64、加强网络安全性的最重要的基础措施是() 单选题A、设计有效的网络安全策略(正确答案)B、选择更安全的操作系统C、安装杀毒软件D、加强安全教育65、拒绝服务攻击损害了下列哪种信息安全特性?() 单选题A、完整性B、可用性(正确答案)C、机密性D、可靠性66、渗透测试() 单选题A、可能会导致业务系统无法正常运行B、是通过模拟恶意黑客攻击方法,来评估计算机网络系统安全的一种评估方法(正确答案)C、渗透测试人员在局域网中进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测
22、试报告D、必须在计算机网络系统首次使用前进行,以确保系统安全67、下面哪一种功能不是防火墙的主要功能?() 单选题A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换(正确答案)68、关于信息安全管理体系认证,以下说法正确的是() 单选题A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核(正确答案)D、负责作出认证决定的人员应包含参与了预审核的人员69、信息安全等级保护管理办法规定,应加强涉密倍息系统运行中的保密监督检查。对秘密级、机密系统每()至少进行一次保密检查或者系统测评 单选题A、半年B、1年C、1.5
23、年D、2年(正确答案)70、以下哪一项有助于检测入侵者对服务器系统日志的改动?() 单选题A、在另一台服务器镜像该系统日志B、在一块一次写磁盘上同时复制该系统日志(正确答案)C、将保存系统日志的目录设为写保护D、异地保存该系统日志的备份71、加密技术可以保护信息的() 单选题A、机密性B、完整性C、可用性D、A+B(正确答案)72、根据互联网信息服务管理办法规定,国家对经营性互联网信息服务实行() 单选题A、国家经营B、地方经营C、许可制度(正确答案)D、备案制度73关于中华人民共和国网络安全法中的“三同步”要求,以下说法正确的是() 单选题A、指关键信息基础设施建设时须保证安全技术措施同步规
24、划、同步建设、同步使用(正确答案)B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用74、在实施技术符合性评审时,以下说法正确的是() 单选题A、技术符合性评审即渗透测试B、技术符合性评审即漏洞扫描与渗透测试的结合C、渗透测试与漏洞描述可以替代风险评估D、渗透测试与漏洞描述不可替代风险评估(正确答案)75、以下做法不正确的是() 单选题A、保留含有敏感信息的介质的处置记录B、将大量含有信息的介质汇集在一起时提高其总体敏感性等级
25、C、将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略。(正确答案)D、依据风险评估的结果将维修更换下来的磁盘交第兰方按双方约定的程序进行处置76、中华人民共和国认证认可条例规定,认证人员自被撤销职业资格之日起()内,认可机构不再接受其注册申请。 单选题A、2年B、3年C、4年D、5年(正确答案)77、以下关于入侵检测系统功能的叙述中,()是不正确的。 单选题A、仅保护内部网络免受非法用户的侵入(正确答案)B、评估系统关键资源和数据文件的完整性C、识别已知的攻击行为D、统计分析异常行为78、信息安全管理体系标准族中关于信息安全风险管理的标准是() 单选题A、ISO/IEC2700
26、2B、ISO/IEC 27003C、ISO/IEC 27004D、ISO/IEC 27005(正确答案)79、一个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务动作和威肋信息安全的极大的可能性。() 单选题A、已经发生B、可能发生C、意外(正确答案)D、A+B+C80、数据签名可以有效对付哪一种信息安全的风险?() 单选题A、非授权地阅读B、盗窃C、非授权地复利D、篡改(正确答案)二、多选题81、 GB/T22080-2016/ISO/IEC27001: 2013标准可用于()A、指导组织建立信息安全管理体系(正确答案)B、为组织建立信息安全管理体系提供控制措
27、施的实施指南C、审核员实施审核的依据(正确答案)D、以上都不对82、撤销对信息和信息处理设施的访问权针对的是()A、组织雇员离职的情况(正确答案)B、组织雇员转岗的情况(正确答案)C、临时任务结束的情况(正确答案)B、员工出差83、信息安全管理体系绩效测量的开发包括()A、选择目标和特性(正确答案)B、确定分析模型(正确答案)C、确定测量指标(正确答案)D、确定决策准则(正确答案)84、以下哪几项可以实现和保持对组织信息资产的适当保护()A、形成重要资产清单,并加以维护(正确答案)B、购买相同设备类类中价值最高的产品C、确定所有资产的责任人(正确答案)D、制定合乎公司要求的资产使用规则(正确答
28、案)85、网络攻击的方式包括()A、信息搜集(正确答案)B、信息窃取(正确答案)C、系统利用(正确答案)D、资源损耗(正确答案)86、对于某企业作为数据中心备用发电机用没的20吨油库,以下符合GB/T22080-2016/ISO/IEC27001:2013标准要求的做法是()A、将油库识别为重要危险源进行风险防控(正确答案)B、油库的防雷检测不列为信息安全管理体系审核范围C、对备用发电机定期进行带载测试(正确答案)D、油库通过了当地消防部门的验收,可替代定期风险评估87、以下说法不正确的是()A、信息安全管理体系审核是信息系统审计的一种(正确答案)B、信息安全技术应用的程度决定信息安全管理体系
29、认证审核的结论(正确答案)C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素D、如果组织已获得业务连续性管理体系认证,则信息安全管理体系审核可略过风险评估(正确答案)88、按覆盖的地理范围进行分类,计算机网络可以分为()A、局域网(正确答案)B、城域网(正确答案)C、广域网(正确答案)D、区域网89、以下符合GB/T22080-2016/ISO/IEC27001: 2013标准A 17要求的情况是()A、银监会规定业务中断后须在4小时内恢复,因此某银行IT运维中心规定:如发生网络中断、数据库系统运行中断等,均应在4小时内恢复(正确答案)B、某公司所在市区历来供电稳定,因此核心业务
30、机房采用单路市电及单台UPS为所有系统设备供电(正确答案)C、某金融押运服务公司在A、B两台服务器上安装了押运车实时位置和状态跟踪系统,A为日常运行用系统定期升级,B为备机平时为冷态,A和B安置于同一机房共用同一套基础设施(正确答案)D、某跨国贸易公司每3个月一次将其核心业务系统中的数据备份一套磁盘,然后送往当地银行保险箱保存90、信息安全面临哪些威胁()A、信息间谍(正确答案)B、网络访问C、计算机病毒(正确答案)D、脆弱的信息系统(正确答案)91、关于信息安全风险自评估,下列选项正确的是()A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行风险评估(正确答案)B、周期性的自评估
31、可以在评估流程上适当简化(正确答案)C、可由发起方实施或委托风险评估服务技术支持方实施(正确答案)D、由信息系统上级管理部门组织的风险评估92、以下做法正确的是()A、使用生产系统数据测试时,应先将数据进行脱敏处理(正确答案)B、为强化新员工培训效果,应尽可能使用真实业务案例和数据C、员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用(正确答案)D、信息系统管理域内所有的终端启动屏幕保护时间应一致93、组织的信息安全管理体系初次认证应包括的审核活动是()A、审核准备B、第一阶段审核(正确答案)C、第二阶段审核(正确答案)D、认证决定94、互联网信息服务管理办法中对()类
32、的互联网信息服务实行主管部门审核制度A、新闻、出版(正确答案)B、医疗、保健(正确答案)C、知识类D、教育类(正确答案)95某软件开发公司要求开发人员使用私有计算机工作,公司支付开发人员“设备租赁补贴”作为福利,以下不符合GB/T22080-2016/ISO/IEC27001: 2013标准要求的做法是()A、公司要求员工自己为其计算机失窃风险负责(正确答案)B、公司要求员工定期提交开发成果物C、公司要求员工自己确定防病毒策略和系统升级策略(正确答案)D、公司不限定员工访问网络服务(正确答案)96、信息安全管理体系范围和边界的确定依据包括()A、业务(正确答案)B、组织(正确答案)C、物理(正
33、确答案)D、资产和技术(正确答案)97、当满足()时,可考虑使用基于抽样的方法对多场所进行审核。A、所有的场所在相同信息安全管理体系中,这些场所被集中管理和审核(正确答案)B、所有的场所在相同信息安全管理体系中,这些场所被分别管理和审核C、所有场所包括在客户组织的内部信息安全管理体系审核方案中(正确答案)D、所有场所包括在客户组织的信息安全管理体系管理评审方案中(正确答案)98、以下场景中符合GB/T22080-2016/ISO/IEC27001:2013标准要求的情况是()A、某公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡,方便其在每天上班前和下班后打扫这些房间B、某公司将
34、其物理区域敏感性划分为四个等级,分别给这些区域入口的门上贴上红、橙、黄、蓝色标志(正确答案)C、某公司为少数核心项目人员发放了手机,允许其使用手机在指定该域使用公司无线局域网访问客户数据FTP,但不允许将手机带离指定区域(正确答案)D、某公司门禁系统的时钟比公司视频监视系统的时钟慢约10分钟99、对于组织在风险处置过程中所选的控制措施,以下说法正确的是()A、将所有风险都必须被降低至可接受的级别B、可以将风险转移(正确答案)C、在满足公司策略和方针条件下,有意识、客观地接受风险(正确答案)D、规避风险(正确答案)100、信息安全管理体系认证审核时的文件评审应包括()A、信息安全事件分析报告B、适用性声明(正确答案)C、信息安全风险评估报告(正确答案)D、信息安全风险处置计划(正确答案)