2021年05月信息安全管理体系基础答案及解析.pdfVIP

一、单选题

1、信息安全风险评估的基本要素包括（）。

A、资产、可能性、影

B、资产、脆弱性、威胁

C、可能性、资产、脆弱性

D、脆弱性、威胁、后果

解析：【喵呜刷题小喵解析】：信息安全风险评估的基本要素包括资产、脆弱性和

威胁。资产是指组织或系统中需要保护的信息资源，脆弱性是指资产易受攻击或威

胁的程度，威胁是指可能引发安全事件的外部因素。因此，选项B“资产、脆弱性

、威胁”是正确的。选项A中的“可能性”并不是信息安全风险评估的基本要素，选

项C和D中的排列顺序也不正确。

2、在ISO组织框架中，负贵ISO/IEC27000系列标准编制工作的技术委员会是（）

。

A、ISO/IECJTC1SC27

B、ISO/IECJTC1SC40

C、ISO/IECT27

D、ISO/IECTC40

解析：【喵呜刷题小喵解析】ISO/IEC27000系列标准是由ISO/IECJTC1SC

27负责编制的，所以选项A是正确的。而选项B、C、D分别是错误的技术委员会名

称。因此，答案为A。

3、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和

安全没有负面影响。

A、隔离和迁移

B、评审和测试

C、评审和隔离

D、验证和确认

解析：【喵呜刷题小喵解析】：当操作系统发生变更时，为了确保对组织的运行和

安全没有负面影响，应该对业务的关键应用进行评审和测试。评审是为了评估变更

对应用的影响，测试是为了验证变更后的应用是否满足要求，并且没有发现新的问

题。因此，选项B“评审和测试”是正确答案。选项A“隔离和迁移”通常用于将关键

应用与系统变更隔离开来，以便进行单独的测试，但这并不是变更后确保对组织的

运行和安全没有负面影响的关键步骤。选项C“评审和隔离”和选项D“验证和确认”

也不符合题意。

4、下列关于DMZ区的说法错误的是（）。

A、DMZ可以访问内部网络

B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务

器、SMTP服务器和DNS服务器等

C、内部网络可以无限制地访问外部网络以及DMZ

D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作

解析：【喵呜刷题小喵解析】：A选项表示“DMZ可以访问内部网络”，这是错误的

。DMZ（Demilitarized

Zone，非军事化区）通常被设置为一个位于内部网络和外部网络之间的隔离区域

，它包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMT

P服务器和DNS服务器等。然而，DMZ通常不直接访问内部网络，以防止外部攻击

者利用DMZ的设备访问内部网络。B选项表示“通常DMZ包含允许来自互联网的通

信可进行的设备”，这是正确的。DMZ的主要目的是允许外部网络访问某些设备，

同时保护内部网络不受外部攻击。C选项表示“内部网络可以无限制地访问外部网

络以及DMZ”，这也是错误的。通常，内部网络对外部网络和DMZ的访问是受限制

的，以防止内部网络被外部攻击者利用。D选项表示“有两个DMZ的防火墙环境的

典型策略是主防火墙采用NAT方式工作”，这是正确的。NAT（NetworkAddress

Translation，网络地址转换）是一种将私有网络地址转换为公共网络地址的技术，

用于在多个设备之间共享一个公共IP地址。在有两个DMZ的防火墙环境中，主防

火墙可能会采用NAT方式工作，以实现地址转换和访问控制。因此，A选项“DMZ

可以访问内部网络”是错误的。

5、信息安全管理中，关于脆弱性，以下说法正确的是（）。

A、组织使用的开源软件不须考虑其技术脆弱性

B、软件开发人员为方便维护留的后门是脆弱性的一种

C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施

D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会

解析：【喵呜刷题小喵解析】：在信息安全管理中，关于脆弱性的理解是：A选项

提到“组织使用的开源软件不须考虑其技术脆弱性”，这是错误的，因为开源软件同

样可能存在技术脆弱性，需要对其进行评估和管理。C选项“识别资产脆弱性时应

考虑资产的固有特性，不包括当前安全控制措施”也是错误的，因为识别资产脆弱

性时，不仅需要考虑资产的固有特性，还需要考虑当前的安全控制措施，因为安全

控制措施可以降低脆弱性。D选项“使信息系统与网络物理隔离可杜绝其脆弱性被

威胁利用的机会”也是错误的，因为即使信息系统与网络物理隔离，仍然可能存在

其他途径的威胁，因此不能杜绝其脆弱