2022年第四期CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系含解析

2022年第四期CCAA注冊(cè)審核員考試題目—ISMS信息安全管理體系一、單項(xiàng)選擇題1、涉及運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)，應(yīng)（）A、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過(guò)程的中斷B、謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過(guò)程的連續(xù)C、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最小化業(yè)務(wù)過(guò)程的中斷D、謹(jǐn)慎地加以實(shí)施并取得批準(zhǔn)，以便最大化保持業(yè)務(wù)過(guò)程的連續(xù)2、關(guān)于防范惡意軟件，以下說(shuō)法正確的是：（）A、物理隔斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接即可防范惡意軟件B、安裝入侵探測(cè)系統(tǒng)即可防范惡意軟件C、建立白名單即可防范惡意軟件D、建立探測(cè)、預(yù)防和恢復(fù)機(jī)制以防范惡意軟件3、《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270054、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶(hù)組之間非授權(quán)訪(fǎng)問(wèn)的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無(wú)線(xiàn)網(wǎng)絡(luò)D、以上都對(duì)5、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年6、物理安全周邊的安全設(shè)置應(yīng)考慮：（）A、區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類(lèi)B、重點(diǎn)考慮計(jì)算機(jī)機(jī)房，而不是辦公區(qū)或其他功能區(qū)C、入侵探測(cè)和報(bào)警機(jī)制D、A+C7、漏洞檢測(cè)的方法分為（）A、靜態(tài)檢測(cè)B、動(dòng)態(tài)測(cè)試C、混合檢測(cè)D、以上都是8、不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤(pán)B、及時(shí)、可靠升級(jí)反病毒產(chǎn)品C、新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)D、整理磁盤(pán)9、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪(fǎng)問(wèn)和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過(guò)程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度10、下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析11、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）A、人、財(cái)、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性12、關(guān)于適用性聲明下面描述錯(cuò)誤的是(）A、包含附錄A中控制刪減的合理性說(shuō)明B、不包含未實(shí)現(xiàn)的控制C、包含所有計(jì)劃的控制D、包含附錄A的控制及其選擇的合理性說(shuō)明13、根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒(méi)收違法所得D、吊銷(xiāo)許可證14、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍15、根據(jù)GB/T22080-2016中控制措施的要求，關(guān)于技術(shù)脆弱性管理，以下說(shuō)法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨(dú)管理，與事件管理沒(méi)有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對(duì)于組織的風(fēng)險(xiǎn)越小C、針對(duì)技術(shù)脆弱性的補(bǔ)丁安裝應(yīng)按變更管理進(jìn)行控制D、及時(shí)安裝針對(duì)技術(shù)脆弱性的所有補(bǔ)丁是應(yīng)對(duì)脆弱性相關(guān)風(fēng)險(xiǎn)的最佳途徑16、組織應(yīng)（）A、定義和使用安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識(shí)別和使用安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識(shí)別和控制安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域17、GB/T22080-2016中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感程度C、資產(chǎn)的折損率D、以上全部18、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對(duì)資產(chǎn)擁有財(cái)產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門(mén)負(fù)責(zé)人19、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營(yíng)商之間的隔離B、不同用戶(hù)組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶(hù)及信息系統(tǒng)20、—個(gè)信息安全事件由單個(gè)的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運(yùn)行和威脅信息安全的極大可能性A、已經(jīng)發(fā)生B、可能發(fā)生C、意外D、A+B+C21、風(fēng)險(xiǎn)責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項(xiàng)風(fēng)險(xiǎn)的個(gè)人或?qū)嶓wB、實(shí)施風(fēng)險(xiǎn)評(píng)估的組織的法人C、實(shí)施風(fēng)險(xiǎn)評(píng)估的項(xiàng)目負(fù)責(zé)人或項(xiàng)目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者22、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞23、關(guān)于GB/T28450,以下說(shuō)法正確的是(）。A、增加了ISMS的審核指導(dǎo)B、與ISO19011一致C、與ISO/IEC27000一致D、等同采用了ISO1901124、組織的風(fēng)險(xiǎn)責(zé)任人不可以是（）A、組織的某個(gè)部門(mén)B、某個(gè)系統(tǒng)管理員C、風(fēng)險(xiǎn)轉(zhuǎn)移到組織D、組織的某個(gè)虛擬小組負(fù)責(zé)人25、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下正確的是（）。A、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于2個(gè)月B、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)日志保存不得少于12月C、檢測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的相關(guān)網(wǎng)絡(luò)8志保存不得少于6個(gè)月D、重要數(shù)據(jù)備份保存不得少于12個(gè)月，網(wǎng)絡(luò)日志保存不得少于6個(gè)月26、下列不屬于公司信息資產(chǎn)的有A、客戶(hù)信息B、被放置在IDC機(jī)房的服務(wù)器C、個(gè)人使用的電腦D、審核記錄27、根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級(jí)。A、5B、6C、3D、428、依據(jù)GB/T22080/ISO/1EC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)控制策略，以下正確的是（）A、沒(méi)有陳述為禁止訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，視為允許方問(wèn)的網(wǎng)絡(luò)服務(wù)B、對(duì)于允許訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過(guò)無(wú)線(xiàn)、VPN等多種手段鏈接C、對(duì)于允許訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)D、以上都對(duì)29、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（）A、列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性B、完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)負(fù)責(zé)人C、資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高D、A+B30、信息安全管理中，支持性基礎(chǔ)設(shè)施指：（）A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、以上全部31、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識(shí)產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個(gè)人隱私的保護(hù)D、以上都對(duì)32、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)33、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)D、以上都對(duì)34、對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）A、認(rèn)證機(jī)構(gòu)能夠開(kāi)展認(rèn)證活動(dòng)B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書(shū)都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力35、對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B、國(guó)家密碼管理部門(mén)C、中央國(guó)家機(jī)關(guān)D、全國(guó)人大委員會(huì)36、國(guó)家秘密的保密期限應(yīng)為:（）A、絕密不超過(guò)三十年，機(jī)密不超過(guò)二十年，秘密不超過(guò)十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過(guò)二十五年，機(jī)密不超過(guò)十五年，秘密不超過(guò)五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年37、某公司計(jì)劃升級(jí)現(xiàn)有的所有PC機(jī)，使其用戶(hù)可以使用指紋識(shí)別登錄系統(tǒng)，訪(fǎng)問(wèn)關(guān)鍵數(shù)據(jù)實(shí)施時(shí)需要（）A、所有受信的PC機(jī)用戶(hù)履行的登記、注冊(cè)手續(xù)（或稱(chēng)為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險(xiǎn)（即：把非授權(quán)者錯(cuò)誤識(shí)別為授權(quán)者的風(fēng)險(xiǎn)）C、在指紋識(shí)別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶(hù)不可能訪(fǎng)問(wèn)到關(guān)鍵數(shù)據(jù)38、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制39、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員40、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是：（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)二、多項(xiàng)選擇題41、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)42、以下屬于訪(fǎng)問(wèn)控制的是（）。A、開(kāi)發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪(fǎng)問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪(fǎng)問(wèn)D、病毒產(chǎn)品查殺病毒43、第二階段審核中，應(yīng)重點(diǎn)審核被審核單位的（）。A、最高管理者的領(lǐng)導(dǎo)力B、與信息安全有關(guān)的風(fēng)險(xiǎn)C、基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程D、ISMS有效性44、依據(jù)GB/T22080，經(jīng)管理層批準(zhǔn)，定期評(píng)審的信息安全策略包括（）A、信息備份策略B、訪(fǎng)問(wèn)控制策略C、信息傳輸策略D、密鑰管理策略45、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測(cè)試時(shí)，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致46、信息安全績(jī)效的反饋，包括以下哪些方面的趨勢(shì)（）A、不符合和糾正措施B、監(jiān)視測(cè)量的結(jié)果C、審核結(jié)果D、信息安全方針完成情況47、最高管理層應(yīng)建立信息安全方針,方針應(yīng)（）A、對(duì)相關(guān)方可用B、包括對(duì)持續(xù)改進(jìn)ISMS的承諾C、包括信息安全目標(biāo)D、與組織意圖相適宜48、在設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程時(shí)，宜考慮（）A、基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動(dòng)B、為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，宜避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作C、使用的安全區(qū)域宜上鎖并定期予以評(píng)審D、經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的相機(jī)49、風(fēng)險(xiǎn)處置包括（)A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)計(jì)劃C、風(fēng)險(xiǎn)控制D、風(fēng)險(xiǎn)轉(zhuǎn)移50、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩51、對(duì)于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審52、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排53、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品C、銷(xiāo)售前D、投入運(yùn)行后54、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪(fǎng)問(wèn)，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理55、對(duì)風(fēng)險(xiǎn)安全等級(jí)三級(jí)及以上系統(tǒng)，以下說(shuō)法正確的是（）。A、采用雙重身份鑒別機(jī)制B、對(duì)用戶(hù)和數(shù)據(jù)采用安全標(biāo)記C、系統(tǒng)管理員可任意訪(fǎng)問(wèn)日志記錄D、三年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作三、判斷題56、某組織在生產(chǎn)系統(tǒng)上安裝升級(jí)包前制定了回退計(jì)劃，這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求（）57、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則。（）58、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）59、通過(guò)修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，可以稱(chēng)這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)計(jì)算機(jī)病毒的變形。60、“資產(chǎn)清單”包含與信息生命周期有關(guān)的資產(chǎn)，與信息的創(chuàng)建、處理、存儲(chǔ)、傳輸、刪除和銷(xiāo)毀無(wú)關(guān)聯(lián)的資產(chǎn)不在“資產(chǎn)清單”的范圍內(nèi)。（）61、審核員由實(shí)習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過(guò)4次完整體系20天的審核。（）62、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。63、利用生物信息進(jìn)行身份鑒別包括生物行為特征鑒別及生物特征鑒別。64、審核組可以由一個(gè)人組成。（）65、組織應(yīng)識(shí)別并提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。（）

參考答案一、單項(xiàng)選擇題1、A2、D3、B4、B5、D6、D7、D解析:漏洞檢測(cè)分為被動(dòng)檢測(cè)（靜態(tài)），主動(dòng)檢測(cè)（動(dòng)態(tài)），綜合檢測(cè)（混合檢測(cè)）。故選D8、D9、A10、D解析:主動(dòng)攻擊會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類(lèi)攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）。被動(dòng)攻擊中攻擊者不對(duì)數(shù)據(jù)信息做任何修改，截取/竊聽(tīng)是指為未經(jīng)用戶(hù)同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽(tīng)，流量分析，破解弱加密的數(shù)據(jù)流等攻擊方式。故選D11、C12、B13、A14、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無(wú)意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)15、C16、A17、B18、C19、D20、C解析:信息安全事件，指一個(gè)或一系列意外或不期望的信息安全事態(tài)組成，他們極有可能損害業(yè)務(wù)運(yùn)行并威脅信息安全。故選C21、A22、B23、A24、C25、C26、D27、A28、C29、A30、D31、D32、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)臉?biāo)識(shí)和描述；格式和介質(zhì)；對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)33、B34、B35、A36、A解析:國(guó)家秘密的保密期限,除有特殊規(guī)定外,絕密級(jí)事項(xiàng)不超過(guò)三十年,機(jī)密級(jí)事項(xiàng)不超過(guò)二十年,秘密級(jí)事項(xiàng)不超過(guò)十年37、A38、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)，應(yīng)僅向用戶(hù)提供他們已獲專(zhuān)門(mén)授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)。cd選項(xiàng)錯(cuò)誤，必須是已授權(quán)用戶(hù)才可訪(fǎng)問(wèn)。A選項(xiàng)錯(cuò)誤，在家登錄，不符合安