2024年12月信息安全管理体系基础答案及解析.pdfVIP

一、单选题

1、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算

机密码必须6位及以上，那么下列哪项不是针对该问题的纠正措施？（）

A、要求员工立即改正

B、对员工进行优质口令设置方法的培训

C、通过域控进行强制管理

D、对所有员工进行意识教育

解析：

GB/T29246-2023标准3.17纠正措施

为消除已发现的不合格或其他不期望情况的原因所采取的措施。

2、风险偏好是组织寻求或保留风险的（）。

A、意愿

B、批复

C、计划

D、行动

解析：

GB/T23694-2013标准风险偏好

组织寻求或保留风险的意愿。

3、在ISO组织框架中，负责ISO/IEC

27000系列标准编制工作的技术委员会是（）。

A、ISO/IECJTC1SC27

B、ISO/IECJTC1SC40

C、ISO/IECTC27

D、ISO/IECTC40

解析：

GB/T29246-2017/ISO/IEC27000:2016引言0.2信息安全管理体系标准族

注：通用标题《信息技术安全技术》是指这些标准是由ISO/IEC的信息技术委员会

（JTC1）下属的安全技术分委员会（SC27）组织编制的。

4、根据GB/T22080-

2016标准的要求，SOA宜包含（）的控制，即组织已有的控制、作为风险处置过

程结果的控制。

A、必要的

B、所有必要的

C、未删减的

D、所有的

解析：

GB/T22080-2016标准6.1.3信息安全风险处置

d）制定一个适用性声明，包含必要的控制（见6.1.3b）和c））及其选择的合理性

说明（无论该控制是否已实现），以及对附录A控制删减的合理性说明。SOA的核

心是“必要性”而非“全面性”。组织通过风险评估确定哪些控制是必需的（包括已有

和新增），并据此形成SOA。

标准中提到组织在制定适用性声明时，要包含必要的控制及其选择的合理性说明，

这里的必要控制既包括组织已有的，也包括风险处置过程中确定需要的，以确保对

信息安全风险的有效管理，且要对附录A控制删减的合理性说明，以验证没有忽略

必要的控制。

5、关于适用性声明下面说法错误的是（）。

A、包含附录A的控制及其选择的合理性说明

B、包含所有计划的控制

C、不包含未实现的控制

D、包含附录A控制删减的合理性说明

解析：

GB/T22080-2016/ISO/IEC27001标准6.1.3信息安全风险处置

组织应定义并应用信息安全风险处置过程，以：

d）制定一个适用性声明，包含必要的控制[见6.1.3b）和c）]其选择的合理性说明

（无论该控制是否已实现），以及对附录A控制删减的合理性说明。

6、关于GB/T22080-2016，以下说法正确的是（）。

A、信息安全目标须量化定义以满足“可测量”的要求

B、单位时间内某应用被成功调用数可作为ISMS的目标

C、“顾客满意度”通常是质量管理目标，不是信息安全目标

D、组织ISMS目标即信息系统的可用性，如99.9%

解析：

GB/T22080-2016前言，本部分与GB/T22080-

2008的主要差异如下：objective“目标”改为“目的”。老版GB/T22080-

2008是信息安全目标，新版GB/T22080-2016就是信息安全目的。

6.2信息安全目的及其实现规划：组织应在相关职能和层级上建立信息安全目的。

信息安全目的应：

a）与信息安全方针一致；

b）可测量（如可行）；

7、根据GB/T22080-

2016标准中控制措施的要求，有关开发和支持过程中的信息系统安全，可以不考虑

（）。

A、应在开发过程中进行安全功能测试

B、应建立、文件化和维护系统安全工程原则

C、使用正式的变更控制规程来控制开发生命周期内的系统变更

D、要求用户和操作人员的能力

解析：

GB/T22080-2016标准14.2.8系统安全测试

控制：宜在开发过程中进行安全功能测试。

【A对】A.14.2.5系统安全工程原则：控制：宜建立、文件化和维护系统安全工程

原则，并应用到任何信息系统实现工作中。

【B对】14.2.2系统变更控制规程：控制：宜使用正式的变更控制规程来控制开发

生命周期内的系统变更。

【C对】用户和操作人员的能力属于系统上线后的运维和人力资源管理范畴，而开

发和支持过程主要关注开发团队、测试人员及维护人员的能力，而非最终用户。开

发阶段可不考虑。

8、组织在确定与ISMS相关的内部和外部的沟通需求时，可以不包