ISMS考试真题
信息安全管理体系(ISMS)考试 选择题 50题
1. 信息安全管理体系(ISMS)的核心目的是什么?A. 提高员工工作效率B. 确保信息的机密性、完整性和可用性C. 增加公司收入D. 降低运营成本2. ISO/IEC 27001是哪个领域的国际标准?A. 质量管理B. 环境管理C. 信息安全管理D. 职业健康安全管理3. 在ISMS中,风险评估的目的是什么?A. 确定所有可能的风险B. 评估风险的可能性和影响C. 消除所有风险D. 增加风险管理成本4. 以下哪项不是ISMS的关键组成部分?A. 风险评估B. 风险处理C. 内部审计D. 市场营销策略5. ISMS中的PDCA循环指的是什么?A. Plan, Do, Check, ActB. Prepare, Design, Construct, ApplyC. Predict, Develop, Control, AdjustD. Program, Deploy, Check, Amend6. 在ISMS中,风险处理包括以下哪些选项?A. 风险避免B. 风险转移C. 风险降低D. 所有上述选项7. 信息安全政策应该由谁来制定?A. 信息安全经理B. 最高管理层C. 所有员工D. 外部顾问8. ISMS的内部审计目的是什么?A. 确保ISMS的有效性B. 增加公司利润C. 提高员工满意度D. 降低客户投诉9. 在ISMS中,风险评估和处理应该多久进行一次?A. 每年B. 每两年C. 根据需要D. 每五年10. 以下哪项不是ISMS认证的好处?A. 提高客户信任B. 增强市场竞争力C. 降低运营成本D. 增加法律风险11. ISMS中的“信息资产”包括哪些?A. 硬件和软件B. 数据和文档C. 人员和流程D. 所有上述选项12. 在ISMS中,风险评估的第一步是什么?A. 识别信息资产B. 评估风险C. 处理风险D. 监控风险13. 信息安全事件管理包括以下哪些步骤?A. 准备B. 检测和响应C. 恢复D. 所有上述选项14. ISMS中的“风险避免”策略是指什么?A. 采取措施完全消除风险B. 转移风险给第三方C. 降低风险的影响D. 忽略风险15. 在ISMS中,风险转移通常通过什么方式实现?A. 保险B. 外包C. 合同D. 所有上述选项16. 信息安全培训的目的是什么?A. 提高员工的安全意识B. 增加公司收入C. 降低运营成本D. 提高员工工作效率17. ISMS中的“风险降低”策略是指什么?A. 采取措施减少风险的影响B. 完全消除风险C. 转移风险给第三方D. 忽略风险18. 在ISMS中,风险监控的目的是什么?A. 确保风险处理措施的有效性B. 增加公司利润C. 提高员工满意度D. 降低客户投诉19. ISMS中的“风险接受”策略是指什么?A. 接受并管理风险B. 完全消除风险C. 转移风险给第三方D. 忽略风险20. 在ISMS中,风险评估和处理的结果应该如何记录?A. 风险评估报告B. 风险处理计划C. 风险登记册D. 所有上述选项21. ISMS中的“信息安全政策”应该包括哪些内容?A. 信息安全目标B. 信息安全责任C. 信息安全管理措施D. 所有上述选项22. 在ISMS中,风险评估和处理的流程应该如何管理?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项23. ISMS中的“信息安全事件”是指什么?A. 任何可能导致信息安全损害的事件B. 任何增加公司收入的事件C. 任何降低运营成本的事件D. 任何提高员工满意度的事件24. 在ISMS中,风险评估和处理的结果应该如何使用?A. 用于制定信息安全政策B. 用于提高员工工作效率C. 用于增加公司收入D. 用于降低运营成本25. ISMS中的“信息安全目标”应该如何制定?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉26. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度27. ISMS中的“信息安全责任”应该如何分配?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉28. 在ISMS中,风险评估和处理的流程应该如何监控?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项29. ISMS中的“信息安全管理措施”应该如何制定?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉30. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项31. ISMS中的“信息安全培训”应该如何进行?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉32. 在ISMS中,风险评估和处理的流程应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项33. ISMS中的“信息安全事件管理”应该如何进行?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉34. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度35. ISMS中的“信息安全政策”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项36. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项37. ISMS中的“信息安全目标”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项38. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度39. ISMS中的“信息安全责任”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项40. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项41. ISMS中的“信息安全管理措施”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项42. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度43. ISMS中的“信息安全培训”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项44. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项45. ISMS中的“信息安全事件管理”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项46. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度47. ISMS中的“信息安全政策”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项48. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项49. ISMS中的“信息安全目标”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项50. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度答案:1. B2. C3. B4. D5. A6. D7. B8. A9. C10. D11. D12. A13. D14. A15. D16. A17. A18. A19. A20. D21. D22. D23. A24. A25. A26. A27. A28. D29. A30. D31. A32. D33. A34. A35. D36. D37. D38. A39. D40. D41. D42. A43. D44. D45. D46. A47. D48. D49. D50. A。
2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目含解析
2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()A、2019B、2017C、2016D、20212、当发生不符合时,组织应()。
A、对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果B、对不符合做出反应,适用时:采取纠正,以及控制措施:处理后果C、对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果D、对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果3、()是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、TCP/IP协议层次结构由()A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确5、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级A、3B、4C、5D、66、一家投资顾问商定期向客户发送有关经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前,用投资项问商的私钥数字签名邮件D、电子邮件发送前,用投资顾向商的私钥加密邮件7、管理者应()A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行8、管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的处理方式不包括()A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标9、物理安全周边的安全设置应考虑:()A、区域内信息和资产的敏感性分类B、重点考虑计算机机房,而不是办公区或其他功能区C、入侵探测和报警机制D、A+C10、可用性是指()A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人,实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度11、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么中哪一项不是针对该问题的纠正措施?()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、对于较大范围的网络,网络隔离是()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性14、审核抽样时,可以不考虑的因素是()A、场所差异B、管理评审的结果C、最高管理者D、内审的结果15、信息安全管理中,支持性基础设施指:()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部16、构成风险的关键因素有()A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性17、组织应()A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、依据GB/T22080-2016/1SO/1EC.27001:2013标准,不属于第三方服务监视和评审范畴的是()。
2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题(含答案)
2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题(含答案)1.如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为:()A.二级B.三级C.四级D.五级2.当访问单位服务器时,响应速度明显减慢时,最有可能受到了哪一种攻击?()A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务3.《中华人民共和国保密法》规定了国家秘密的范围和密级,国家秘密的密级分为()。
A.低级和高级两个级别B.普密、商密两个级别C.绝密、机密、秘密三个级别D.—密、二密、三密、四密四个级别4.风险过程中,是需要识别的方面包括资产识别,威胁识别,现有控制措施识别和()A.识别可能性和识别稳定性B.识别脆弱性和识别后果C.识别脆弱性和识别可能性D.识别脆弱性和识别稳定性5.信息管理体系审核指南规定,ISMS规模不包括()A.组织控制下开展工作的人员总数以及相关方合同方B.组织的部门数量C.覆盖场所的数量D.信息系统的数量6.《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查。
对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。
A.半年B.—年C.两年D.1.5年7.信息是()A.干扰因素B.不稳定因素C.物理特性D.不确定性8.数字签名要预先使用hash函数的原因A.保证密文能准确还原成明文B.缩小签名的长度C.提高密文的计算速度D.多一道加密工序,使密文更难破解9.以下不是ISMS体系中,利益相关方的对象A.认为自己受到决策影响人和组织B.认为自己影响决策的人和组织C.可能受到决策影响的人和组织D.可能影响决策的人和组织答案:10.下列哪项不是SSE-CMm的过程()A.工程过程B.保证过程C.分享过程D.设计过程11.管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的管理方式不包括()A.自动恢复其IP至原绑定状态B.断开网络并持续阻断C.弹出提示窗口对其发出警D.锁定键盘鼠标12.GB/T29246标准为组织和个人提供()A.建立信息安全管理体系的基础信息B.信息安全管理体系的介绍C.ISMS标准族已发布标准的介绍D.ISMS标准族中使用的所有术语和定义13.在规划如何达到信息安全目标时,组织应确定()A.要做什么,有什么可用资源,由谁负责,什么时候开始如何测量结果B.要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果C.要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果D.要做什么,有什么可用资源由谁执行什么时候幵始,如何评价结果14.下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应15.《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()A.1个月B.3个月C.6个月D.12个月16.经过风险处理后遗留的风险通常称为()A.重大风险B.有条件的接受风险C.不可接受的风险D.残余风险17.下列关于DMZ区的说法错误的是()A.DMZ可以访问内部网络。
信息安全管理体系考试 选择题 60题
1. 信息安全管理体系(ISMS)的核心目标是:A. 提高员工工作效率B. 确保信息资产的保密性、完整性和可用性C. 增加公司利润D. 扩大市场份额2. ISO/IEC 27001:2013 是关于什么的国际标准?A. 质量管理体系B. 环境管理体系C. 信息安全管理体系D. 职业健康安全管理体系3. 在ISMS中,风险评估的目的是:A. 识别和评估信息资产面临的风险B. 消除所有风险C. 增加信息资产的价值D. 提高信息资产的可见性4. 以下哪项不是ISO/IEC 27001:2013 要求的控制措施?A. 物理和环境安全B. 人力资源安全C. 市场营销策略D. 访问控制5. ISMS的PDCA循环中的“D”代表什么?A. DesignB. DoC. DocumentD. Direct6. 在信息安全管理中,以下哪项是“保密性”的定义?A. 确保信息在需要时可用B. 防止未授权的访问和泄露C. 确保信息的准确性和完整性D. 确保信息的可追溯性7. 风险处理选项不包括:A. 风险接受B. 风险转移C. 风险消除D. 风险增加8. 以下哪项是ISMS的关键组成部分?A. 财务报告B. 风险管理C. 市场分析D. 产品开发9. 在ISMS中,“可用性”是指:A. 信息在需要时可以被授权人员访问B. 信息的保密性C. 信息的完整性D. 信息的可追溯性10. ISMS的持续改进过程包括以下哪项?A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门11. 以下哪项不是ISMS的利益相关者?A. 员工B. 客户C. 竞争对手D. 供应商12. 在ISMS中,“完整性”是指:A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性13. ISMS的实施步骤不包括:A. 风险评估B. 风险处理C. 风险增加D. 持续改进14. 以下哪项是ISMS的认证过程的一部分?A. 内部审计B. 市场推广C. 产品设计D. 员工培训15. 在ISMS中,“访问控制”的主要目的是:A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问16. ISMS的文档管理包括以下哪项?A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项17. 以下哪项是ISMS的风险评估工具?A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估18. 在ISMS中,“物理和环境安全”包括以下哪项?A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击19. ISMS的持续改进过程包括以下哪项?A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门20. 以下哪项不是ISMS的利益相关者?A. 员工B. 客户C. 竞争对手D. 供应商21. 在ISMS中,“完整性”是指:A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性22. ISMS的实施步骤不包括:A. 风险评估B. 风险处理C. 风险增加D. 持续改进23. 以下哪项是ISMS的认证过程的一部分?A. 内部审计B. 市场推广C. 产品设计D. 员工培训24. 在ISMS中,“访问控制”的主要目的是:A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问25. ISMS的文档管理包括以下哪项?A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项26. 以下哪项是ISMS的风险评估工具?A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估27. 在ISMS中,“物理和环境安全”包括以下哪项?A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击28. ISMS的持续改进过程包括以下哪项?A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门29. 以下哪项不是ISMS的利益相关者?A. 员工B. 客户C. 竞争对手D. 供应商30. 在ISMS中,“完整性”是指:A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性31. ISMS的实施步骤不包括:A. 风险评估B. 风险处理C. 风险增加D. 持续改进32. 以下哪项是ISMS的认证过程的一部分?A. 内部审计B. 市场推广C. 产品设计D. 员工培训33. 在ISMS中,“访问控制”的主要目的是:A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问34. ISMS的文档管理包括以下哪项?A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项35. 以下哪项是ISMS的风险评估工具?A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估36. 在ISMS中,“物理和环境安全”包括以下哪项?A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击37. ISMS的持续改进过程包括以下哪项?A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门38. 以下哪项不是ISMS的利益相关者?A. 员工B. 客户C. 竞争对手D. 供应商39. 在ISMS中,“完整性”是指:A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性40. ISMS的实施步骤不包括:A. 风险评估B. 风险处理C. 风险增加D. 持续改进41. 以下哪项是ISMS的认证过程的一部分?A. 内部审计B. 市场推广C. 产品设计D. 员工培训42. 在ISMS中,“访问控制”的主要目的是:A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问43. ISMS的文档管理包括以下哪项?A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项44. 以下哪项是ISMS的风险评估工具?A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估45. 在ISMS中,“物理和环境安全”包括以下哪项?A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击46. ISMS的持续改进过程包括以下哪项?A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门47. 以下哪项不是ISMS的利益相关者?A. 员工B. 客户C. 竞争对手D. 供应商48. 在ISMS中,“完整性”是指:A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性49. ISMS的实施步骤不包括:A. 风险评估B. 风险处理C. 风险增加D. 持续改进50. 以下哪项是ISMS的认证过程的一部分?A. 内部审计B. 市场推广C. 产品设计D. 员工培训51. 在ISMS中,“访问控制”的主要目的是:A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问52. ISMS的文档管理包括以下哪项?A. 文档的创建B. 文档的更新C. 文档的存档D. 所有上述选项53. 以下哪项是ISMS的风险评估工具?A. 风险矩阵B. 市场分析报告C. 财务报表D. 员工绩效评估54. 在ISMS中,“物理和环境安全”包括以下哪项?A. 防止未授权访问B. 防止自然灾害C. 防止数据泄露D. 防止网络攻击55. ISMS的持续改进过程包括以下哪项?A. 定期审计B. 增加员工工资C. 减少信息资产D. 关闭不盈利的部门56. 以下哪项不是ISMS的利益相关者?A. 员工B. 客户C. 竞争对手D. 供应商57. 在ISMS中,“完整性”是指:A. 信息的保密性B. 信息的准确性和完整性C. 信息的可用性D. 信息的可追溯性58. ISMS的实施步骤不包括:A. 风险评估B. 风险处理C. 风险增加D. 持续改进59. 以下哪项是ISMS的认证过程的一部分?A. 内部审计B. 市场推广C. 产品设计D. 员工培训60. 在ISMS中,“访问控制”的主要目的是:A. 确保信息的保密性B. 确保信息的完整性C. 确保信息的可用性D. 防止未授权的访问1. B2. C3. A4. C5. B6. B7. D8. B9. A10. A11. C12. B13. C14. A15. D16. D17. A18. B19. A20. C21. B22. C23. A24. D25. D26. A27. B28. A29. C30. B31. C32. A33. D34. D35. A36. B37. A38. C39. B40. C41. A42. D43. D44. A45. B46. A47. C48. B49. C51. D52. D53. A54. B55. A56. C57. B58. C59. A60. D。
2022年6月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识含解析
2022年6月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述,正确的是()A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时,必须满足该标准的所有要求2、在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC403、系统备份与普通数据备份的不同在于,它不仅备份系统屮的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。
A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统4、数字签名可以有效对付哪一类信息安全风险?A、非授权的阅读B、盗窃C、非授权的复制D、篡改5、关于互联网信息服务,以下说法正确的是A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务,是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动6、关于访问控制,以下说法正确的是()A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中,用户标记级别小于文件标记级别,即可读该文件7、虚拟专用网(VPN)的数据保密性,是通过什么实现的?()A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼8、以下不属于信息安全事态或事件的是:A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知9、《中华人民共和国密码法》规定了国家秘密的范围和密级,国家秘密的密级分为()。
2021年第二期CCAA国家注册审核员ISMS信息安全管理体系考试题目含解析
2021年第二期CCAA国家注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、经过风险处理后遗留的风险通常称为()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险2、—家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前,用投资顾问商的私钥数字签名邮件D、电子邮件发送前,用投资顾问商的私钥加密邮件3、关于GB/T28450,以下说法正确的是()。
A、增加了ISMS的审核指导B、与ISO19011一致C、与ISO/IEC27000一致D、等同采用了ISO190114、关于投诉处理过程的设计,以下说法正确的是:()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用5、下面哪个不是典型的软件开发模型?()A、变换型B、渐增型C、瀑布型D、结构型6、最高管理者应()。
A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审7、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程8、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()A、2019B、2017C、2016D、20219、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是()A、认证范围内员工的个人隐私数据得到保护B、认证范围内涉及顾客的个人隐私数据得到保护C、认证范围内涉及相关方的个人隐私数据数据得到保护D、以上全部10、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为()A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求11、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起()内,认可机构不再接受其注册申请A、2年B、3年C、4年D、5年12、下列那些事情是审核员不必要做的?()A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式13、()是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙14、虚拟专用网(VPN)的数据保密性,是通过什么实现的?()A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼15、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在()向当地县民政府公安机关报告A、8小时内B、12小时内C、24小时内D、48小时内16、《计算机信息系统安全保护条例》中所称计算机信息系统,是指A、对信息进行采集、加工、存储、传输、检索等处理的人机系统B、计算机及其相关的设备、设施,不包括软件C、计算机运算环境的总和,但不含网络D、一个组织所有计算机的总和,包括未联网的微型计算机17、下列措施中不能用于防止非授权访问的是()A、采取密码技术B、采用最小授权C、采用权限复查D、采用日志记录18、依据GB/T22080/ISO/IEC27001,建立资产清单即:()A、列明信息生命周期内关联到的资产,明确其对组织业务的关键性B、完整采用组织的固定资产台账,同时指定资产负责人C、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高D、A+B19、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为:()A、三级B、二级C、四级D、五级20、残余风险是指:()A、风险评估前,以往活动遗留的风险B、风险评估后,对以往活动遗留的风险的估值C、风险处置后剩余的风险,比可接受风险低D、风险处置后剩余的风险,不一定比可接受风险低21、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足,即意味着顾客满意22、ISMS文件的多少和详细程度取决于()A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、以上都对23、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括()A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都不对24、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()。
2022年第一期CCAA国家注册审核员ISMS信息安全管理体系复习题含解析
2022年第一期CCAA国家注册审核员ISMS信息安全管理体系复习题一、单项选择题1、风险偏好是组织寻求或保留风险的()A、行动B、计划C、意愿D、批复2、根据GB/T22080-2016/ISO/IEC27001:2013标准,以下做法不正确的是()A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性3、依据GB/T22080/ISO/IEC27001,建立资产清单即:()A、列明信息生命周期内关联到的资产,明确其对组织业务的关键性B、完整采用组织的固定资产台账,同时指定资产负责人C、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高D、A+B4、创建和更新文件化信息时,组织应确保适当的()。
A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准5、对保密文件复印件张数核对是确保保密文件的()A、保密性B、完整性C、可用性D、连续性6、保密性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対7、关于信息系统登录的管理,以下说法不正确的是()A、网络安全等级保护中,三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率,可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令8、关于《中华人民共和国保密法》,以下说法正确的是:()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护9、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全方针的违反或控制措施的失效,或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障10、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通11、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是:()A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数12、《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于()对信息系统造成物理破坏而导致的信息安全事件。
2023年10月CCAA国家注册审核员ISMS信息安全管理体系考试题目含解析
2023年10月CCAA国家注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作2、局域网环境下与大型计算机环境下的本地备份方式在()方面有主要区别。
A、主要结构B、容错能力C、网络拓扑D、局域网协议3、某公司进行风险评估后发现公司的无线网络存在大的安全隐患、为了处置这个风险,公司不再提供无线网络用于办公,这种处置方式属于()A、风险接受B、风险规避C、风险转移D、风险减缓4、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、许可制度D、备案制度5、某公司计划升级现有的所有PC机,使其用户可以使用指纹识别登录系统,访问关键数据实施时需要()A、所有受信的PC机用户履行的登记、注册手续(或称为:初始化手续)B、完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险)C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据6、关于信息安全管理中的“脆弱性”,以下正确的是:()A、脆弱性是威胁的一种,可以导致信息安全风险B、网络中“钓鱼”软件的存在,是网络的脆弱性C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性D、以上全部7、组织应()A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质8、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的()系统A、报告B、传递C、评价D、测量9、以下哪个选项不是ISMS第一阶段审核的目的()A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求10、下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应11、末次会议包括()A、请受审核方确认不符合报告、并签字B、向审核方递交审核报告C、双方就审核发现的不同意见进行讨论D、以上都不准确12、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素()。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IOS/IEC 27001 ISMS审核员考试基础知识201606一、单项选择1、Cp是理想过程能力指数,Cpk是实际过程能力指数,以下()是正确的。
A、Cp>CpkB、Cp<CpkC、Cp≤CpkD、Cp≥Cpk2、信息安全是保证信息的保密性、完整性、()。
A、充分性B、适宜性C、可用性D、有效性3、应为远程工作活动开发和实施策略、()和规程。
A、制定目标B、,明确职责C、编制作业指导书D、操作计划4、一个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务运行和威胁信息安全的极大可能性。
A、已经发生B、可能发生C、意外D、A+B+C5、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()。
A、国家经营B、地方经营C、许可制度D、备案制度6、以下说法不正确的是()A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、组织在建立和评审信息安全管理体系时,应考虑()A、风险评估的结果B、管理方案C、法律、法规和其他要求D、A+C8、管理体系是指()。
A、建立方针和目标并实现这些目标的体系B、相互关联的相互作用的一组要素C、指挥和控制组织的协调活动D、以上都对9、风险评价是指()A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、以下属于计算机病毒感染事件的纠正措施的是()A、对计算机病毒事件进行相应和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对11、监督、检查、指导计算机信息系统安全保护工作是()对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、国家秘密的密级分为()A、绝密B、机密C、秘密D、以上都对13、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查。
对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。
A、半年B、1年C、1.5年D、2年14、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起()内,认可机构再接受其注册申请。
A、2年B、3年C、4年D、5年15、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行。
A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式C、以上都对16、以下关于认证机构的监督要求表述错误的是()A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督17、渗透测试()A、可能会导致业务系统无法正常运行B、是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法C、渗透人员在局域网中进行测试,以期发现和挖掘系统存在的漏洞,然后输出渗透测试报告D、必须在计算机网络系统首次使用前进行,以确保系统安全18、以下哪个算法是非对称加密算法?()A、RSAB、DESC、3DESD、AES19、下面是关于计算机病毒的两种论断,经判断()①计算机病毒也是一种程序,它在某些条件下激活,起干扰破坏作用,并能传染到其他程序中去。
②计算机病毒只会破坏磁盘上的数据。
经判断A、只有①正确B.只有②正确C.①②都正确D.①②都不正确20、以下关于入侵检测系统功能的叙述中,()是不正确的。
A、保护内部网络免受非法用户的侵入B、评估系统关键资源和数据文件的完整性C、识别已知的攻击行为D、统计分析异常行为21、容灾就是减少灾难事件发生的可能性以及限制灾难对()所造成的影响的一整套行为。
A、销售业务流程B、财务业务流程C、生产业务流程D、关键业务流程22、()属于管理脆弱性的识别对象。
A、物理环境B、网络结构C、应用系统D、技术管理23、防止计算机中信息被窃取的手段不包括()A、用户识别B、权限控制C、数据加密D数据备份24、从技术上说,网络容易受到攻击的原因主要是由于网络软件不完善和()本身存在安全漏洞造成的。
A、人为使用B、硬件设备C、操作系统D、网络协议25-32 暂无28、被黑客控制的计算机常被称为()A、蠕虫B、肉鸡C、灰鸽子D、木马30、被动扫描的优点不包括()A、无法被监测B、只需要监听网络流量C、D、不需要主动31、从技术的角度讲,数据备份的策略不包括()A、完全备份B、增量备份C、定期备份D、差异备份32、下列属于公司信息资产的有A、资产信息B、被放置在IDC机房的服务器C、D、以上都不对33、信息安全管理实用规则ISO/IEC 27002属于()标准A、词汇类标准B、指南类标准C、要求类标准D、技术类标准34、依据GB/T22080/ISO/IEC 27001的要求,管理者应()A、制定ISMS目标和计划B、实施ISMS管理评审C、决定接受风险的准则和风险的可接受级别D、以上都不对35、以下对ISO/IEC 27002的描述,正确的是()A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时,必须满足该标准的所有要求36、要确保信息受到适当等级的保护,需要()A、对不同类别的信息分别标记和处理B、将所有信息存放于重要服务器上,严加保管C、应将重要信息打印,加盖机密章后锁起来D、以上都不对37、对于信息安全方针,()是ISO/IEC 27001所要求的。
A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息,不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义38、适用性声明文件应()A、描述与组织相关和适用的控制目标和控制措施B、版本应保持稳定不变C、应包含标准GB/T22080附录A的所有条款D、应删除组织不拟实施的控制措施39、信息系统的变更管理包括()A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部40、以下对信息安全描述不准确的是()A、保密性、完整性、可用性B、适宜性、充分性、有效性C、保密性、完整性、可核查性D、真实性、可核查性、可靠性41、ISMS文件的多少和详细程度取决于()A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、以上都对42、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括()A、业务要求变更B、合同义务变更C、安全要求的变更D、以上都对43、经过风险处理后遗留的风险通常称为()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险44、在公共可用系统中可用信息的()宜受保护,以防止未授权的修改。
A、保密性B、可用性C、完整性D、不可抵赖性45、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响。
A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认46、应要求信息系统和服务的()记录并报告观察到的或怀疑的任何系统或服务的安全弱点A、雇员B、承包方C、第三方人员D、以上全对47、主体访问权限的()。
即仅执行授权活动所必需的那些权利被称为最小特定权限。
A、最高限度B、最低限度C、平均限度D、次低限度48、远程访问就是从另一网络或者从一个()到所访问网络的终端设备上访问网络资源的过程。
A、连接B、永不连接C、并不永久连接D、永久连接49、业务连续性管理主要目标是防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时()A、可用B、恢复C、回退D、维护50、设置研发内部独立内网是采取()的控制措施A、上网流量管控B、行为管理C、敏感系统隔离D、信息交换51、当访问某资源存在不存活的联接时,会导致非法用户冒用并进行重放攻击的可能性,因此应采取()控制措施A、密码控制B、密匙控制C、会话超时D、远程访问控制52、开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
A、配置B、系统C、终端D、运行53、()是建立有效的计算机病毒防御体系所需要的技术措施A、防火墙、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙54、符合性要求包括()A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对55、容灾的目的和实质是()A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏56、以下描述正确的是()A、只要组织的业务不属于网络实时交易,即可不考虑应用“时钟同步”B、对一段时间内发生的信息安全事件类型、频次、处理成本的统计分析不属于时间管理的范畴C、实施信息安全管理,须考虑各利益相关方的需求以及可操作性方面的权衡D、撤销对信息和信息处理设施的访问权是针对的组织雇员离职的情况57、以下描述不正确的是()A、防范恶意和移动代码的目标是保护软件和信息的完整性B、纠正措施的目的是为了消除不符合的原因,防止不符合的再发生C、风险分析、风险评价、风险处理的整个过程称为风险管理D、控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响58、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统59、计算机病毒是计算机系统中一类隐藏在()上蓄意破坏的捣乱程序。
A、内存B、软盘C、存储介质D、网络60、以下说法不正确的是()A、信息网络的物理安全要从环境安全和设备安全两个角度来考虑B、网络边界保护主要采用防火墙系统C、防火墙安全策略一旦设定,就不能再做任何改变D、数据备份按数据类型划分可以分成系统数据备份和用户数据备份61、访问控制是指确定()以及实施访问权限的过程。
A、用户权限B、可给予哪些主体访问权利62、信息安全管理体系是用来确定()A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度63、安全区域通常的防护措施有()A、公司前台的电脑显示器背对来防者B、进出公司的访客须在门卫处进行登记C、弱点机房安装有门禁系统D、A+B+C64、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制65、信息安全管理体系的设计应考虑()A、组织的战略B、组织的目标和需求C、组织的业务过程性质D、以上全部66、抵御电子又想入侵措施中,不正确的是()A、不用生日做密码C、不要使用纯数字B、不要使用少于5位的密码D、自己做服务器67、对于所有拟定的纠正和预防措施,在实施前应先通过()过程进行评审A、薄弱环节识别B、风险分析C、管理方案D、A+B68、建立ISMS体系的目的,是为了充分保护信息资产并给予()信心A、相关方B、供应商C、顾客D、上级机关69、口令管理系统应该是(),并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C70、GB/T22080标准中所指资产的价值取决于()A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部71、加强网络安全性的最重要的基础措施是()A、设计有效的网络安全策略B、选择更安全的操作系统C、安装杀毒软件D、加强安全教育72、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?()A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷73、以下()不是访问控制策略中所允许的A、口令使用B、无人值守的用户设备的适当保护C、清空桌面D、屏幕上留存经常工作用文档74、某种网络安全威胁是通过非法手段对数据进行恶意修改,这种安全威胁属于()A、窃听数据B、破坏数据完整性C、破坏数据可用性D、物理安全威胁75、以下()不是信息安全管理体系中所指的资产76、信息安全方针可以不包括的要求是()A、考虑业务和法律法规的要求,是合同中的安全义务B、建立风险评估的准则C、可测量D、获得管理者批准77、构成风险的关键因素有()A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性78、一般来说单位工作中()安全风险最大A、临时员工B、外部咨询人员C、对公司不满的员工D、离职员工79、()是指系统、服务或网络的一种可识别的状态的发生它可能是对信息安全方针的违反或控制措施的实效。