2023年3月信息安全管理體系審核員(ISMS)復(fù)習(xí)題含解析

2023年3月信息安全管理體系審核員(ISMS)復(fù)習(xí)題一、單項(xiàng)選擇題1、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識(shí)薄弱問(wèn)題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪(fǎng)問(wèn)控制2、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）A、人、財(cái)、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性3、組織機(jī)構(gòu)在建立和評(píng)審ISMS時(shí)，應(yīng)考慮（）A、風(fēng)險(xiǎn)評(píng)估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C4、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求5、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，審核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理由以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上都不可以6、殘余風(fēng)險(xiǎn)是指:（）A、風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低7、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以8、IT服務(wù)中"升級(jí)"是（）A、服務(wù)等級(jí)的升級(jí)B、問(wèn)題管理向變更管理升級(jí)C、將事件、問(wèn)題升級(jí)為更高職能的人員或部門(mén)處理D、事件管理向問(wèn)題管理升級(jí)9、漏洞檢測(cè)的方法分為（）A、靜態(tài)檢測(cè)B、動(dòng)態(tài)測(cè)試C、混合檢測(cè)D、以上都是10、經(jīng)過(guò)風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱(chēng)為（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)11、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，互聯(lián)網(wǎng)接入服務(wù)提供者應(yīng)當(dāng)記錄上網(wǎng)用戶(hù)的(）A、用戶(hù)帳號(hào)、上網(wǎng)時(shí)間、訪(fǎng)問(wèn)端口信息B、用戶(hù)帳戶(hù)、上網(wǎng)時(shí)間、訪(fǎng)問(wèn)內(nèi)容C、用戶(hù)帳號(hào)、訪(fǎng)問(wèn)IP地址、用戶(hù)計(jì)算機(jī)型號(hào)D、上網(wǎng)時(shí)間、用戶(hù)帳號(hào)、互聯(lián)網(wǎng)地址12、關(guān)于入侵檢測(cè)，以下不正確的是：（）A、入侵檢測(cè)是一個(gè)采集知識(shí)的過(guò)程B、入侵檢測(cè)指信息安全事件響應(yīng)過(guò)程C、分析反常的使用模式是入侵檢測(cè)模式之一D、入侵檢測(cè)包括收集被利用脆弱性發(fā)生的時(shí)間信息13、對(duì)于交接區(qū)域的信息安全管理，以下說(shuō)法正確的是:（）A、對(duì)于進(jìn)入組織的設(shè)備設(shè)施予以檢查驗(yàn)證,對(duì)于離開(kāi)組織的設(shè)備設(shè)施則不必驗(yàn)證B、對(duì)于離開(kāi)組織的設(shè)備設(shè)施予以檢查驗(yàn)證,對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對(duì)于進(jìn)入和離開(kāi)組織的設(shè)備設(shè)施均須檢查驗(yàn)證D、對(duì)于進(jìn)入和離開(kāi)組織的設(shè)備設(shè)施，驗(yàn)證攜帶者身份信息;可替代對(duì)設(shè)備設(shè)施的驗(yàn)證14、下列哪個(gè)文檔化信息不是GB/T22080-2016/IS0/IEC27001:2013要求必須有的？（）A、信息安全方針B、信息安全目標(biāo)C、風(fēng)險(xiǎn)評(píng)估過(guò)程記錄D、溝通記錄15、對(duì)于所有擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)通過(guò)（）過(guò)程進(jìn)行評(píng)審。A、薄弱環(huán)節(jié)識(shí)別B、風(fēng)險(xiǎn)分析C、管理方案D、A+CE、A+B16、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制17、風(fēng)險(xiǎn)識(shí)別過(guò)程中需要識(shí)別的方面包括：資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、（）。A、識(shí)別可能性和影響B(tài)、識(shí)別脆弱性和識(shí)別后果C、識(shí)別脆弱性和可能性D、識(shí)別脆弱性和影響18、在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下，下列哪一條屬于增加審核時(shí)間的要素（）。A、其產(chǎn)品/過(guò)程無(wú)風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B、客戶(hù)的認(rèn)證準(zhǔn)備C、僅涉及單一的活動(dòng)過(guò)程D、具有高風(fēng)險(xiǎn)的產(chǎn)品或過(guò)程19、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說(shuō)法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用20、數(shù)字簽名可以有效對(duì)付哪一類(lèi)信息安全風(fēng)險(xiǎn)？A、非授權(quán)的閱讀B、盜竊C、非授權(quán)的復(fù)制D、篡改21、在ISO組織框架中，負(fù)責(zé)ISO/IEC27000系列標(biāo)準(zhǔn)編制工作的技術(shù)委員會(huì)是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4022、局域網(wǎng)環(huán)境下與大型計(jì)算機(jī)環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯(cuò)能力C、網(wǎng)絡(luò)拓?fù)銬、局域網(wǎng)協(xié)議23、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性24、組織在確定與ISMS相關(guān)的內(nèi)部和外部溝通需求時(shí)可以不包括(）A、溝通周期B、溝通內(nèi)容C、溝通時(shí)間D、溝通對(duì)象25、在我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求中針對(duì)每一級(jí)的基本要求分為（）A、設(shè)備要求和網(wǎng)絡(luò)要求B、硬件要求和軟件要求C、物理要求和應(yīng)用要求D、技術(shù)要求和管理要求26、依據(jù)GB/T22080，關(guān)于職責(zé)分離，以下說(shuō)法正確的是(）A、信息安全政策的培訓(xùn)者與審計(jì)之間的職責(zé)分離B、職責(zé)分離的是不同管理層級(jí)之間的職責(zé)分離C、信息安全策略的制定者與受益者之間的職責(zé)分離D、職責(zé)分離的是不同用戶(hù)組之間的職責(zé)分離27、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過(guò)程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對(duì)28、下列哪項(xiàng)對(duì)于審核報(bào)告的描述是錯(cuò)誤的？（）A、主要內(nèi)容應(yīng)與末次會(huì)議的內(nèi)容基本一致B、在對(duì)審核記錄匯總整理和信息安全管理體系評(píng)價(jià)以后，由審核組長(zhǎng)起草形成C、正式的審核報(bào)告由組長(zhǎng)將報(bào)告交給認(rèn)證/審核機(jī)構(gòu)審核后，由委托方將報(bào)告的副本轉(zhuǎn)給受審核方D、以上都不對(duì)29、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對(duì)資產(chǎn)擁有財(cái)產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門(mén)負(fù)責(zé)人30、對(duì)于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更31、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定32、GB/T29246標(biāo)準(zhǔn)為組織和個(gè)人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語(yǔ)和定義33、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專(zhuān)劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評(píng)審的執(zhí)行34、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)客戶(hù)組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶(hù)組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期35、依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門(mén)及其工作人員，必須對(duì)在履行職責(zé)中知悉的（）嚴(yán)格保密，不得泄露、出售或非法向他人提供。A、個(gè)人信息B、隱私C、商業(yè)秘密D、其他選項(xiàng)均正確36、不屬于計(jì)算機(jī)病毒防治的策略的是（）A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤(pán)B、及時(shí)、可靠升級(jí)反病毒產(chǎn)品C、新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)D、整理磁盤(pán)37、組織應(yīng)（）。A、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)B、對(duì)信息按照制度要求、價(jià)值、有效性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)C、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)D、對(duì)信息按照制度要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)38、在形成信息安全管理體系審核發(fā)現(xiàn)時(shí)，應(yīng)（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性39、文件初審是評(píng)價(jià)受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對(duì)40、描述組織采取適當(dāng)?shù)目刂拼胧┑奈臋n是（）A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)評(píng)估程序二、多項(xiàng)選擇題41、組織建立的信息安全目標(biāo)，應(yīng)（）A、是可測(cè)量的B、與信息安方針一致C、得到溝通D、適當(dāng)時(shí)更新42、風(fēng)險(xiǎn)描述的要素包括（)A、風(fēng)險(xiǎn)源B、原因C、后果D、事件43、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪(fǎng)問(wèn)控制D、密碼系統(tǒng)44、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過(guò)程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險(xiǎn)處置過(guò)程C、溝通記錄D、信息安全目標(biāo)45、“云計(jì)算機(jī)服務(wù)”包括哪幾個(gè)層面？（）A、PaasB、SaaSC、IaaSD、PIIS46、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障（）A、計(jì)算機(jī)及相關(guān)配套設(shè)施的安全B、網(wǎng)絡(luò)安全C、運(yùn)行環(huán)境安全D、計(jì)算機(jī)功能和正常發(fā)揮47、設(shè)計(jì)一個(gè)信息安全風(fēng)險(xiǎn)管理工具，應(yīng)包括如下模塊（）。A、資產(chǎn)識(shí)別與分析B、漏洞識(shí)別與分析C、風(fēng)險(xiǎn)趨勢(shì)分析D、信息安全事件管理流程48、管理評(píng)審的輸出應(yīng)包括（）A、與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定B、變更信息安全管理體系的任何需求C、相關(guān)方的反饋D、信息安全方針執(zhí)行情況49、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場(chǎng)所等的冗余配置B、定期或?qū)崟r(shí)進(jìn)行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標(biāo)D、有保障信息安全連續(xù)性水平的過(guò)程和程序文件50、關(guān)于審核委托方，以下說(shuō)法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核51、以下屬于訪(fǎng)問(wèn)控制的是（）。A、開(kāi)發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪(fǎng)問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪(fǎng)問(wèn)D、病毒產(chǎn)品查殺病毒52、依據(jù)GB/Z20986，確定為重大社會(huì)影響的情況包括（）A、涉及到一個(gè)或多個(gè)城市的大部分地區(qū)B、威脅到國(guó)家安全C、擾亂社會(huì)秩序D、對(duì)經(jīng)濟(jì)建設(shè)設(shè)有重大負(fù)面影響53、含有高等級(jí)敏感信息的設(shè)備的處置可采取（）A、格式化處理B、采取使原始信息不可獲取的技術(shù)破壞或刪除C、多次的寫(xiě)覆蓋D、徹底破壞54、信息安全風(fēng)險(xiǎn)分析包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性55、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備三、判斷題56、考慮了組織所實(shí)施的活動(dòng)，即可確定組織信息安全管理體系范圍。正確錯(cuò)誤57、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）正確錯(cuò)誤58、某組織在生產(chǎn)系統(tǒng)上安裝升級(jí)包前制定了回退計(jì)劃，這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求（）正確錯(cuò)誤59、容量管理策略可以考慮增加容量或降低容量要求。（）正確錯(cuò)誤60、客戶(hù)所有場(chǎng)所業(yè)務(wù)的范圍相同，且在同一ISMS下運(yùn)行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評(píng)審時(shí)，認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的認(rèn)證審核（)正確錯(cuò)誤61、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。（）正確錯(cuò)誤62、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。正確錯(cuò)誤63、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。（）正確錯(cuò)誤64、計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸檢索等處理的人機(jī)系統(tǒng)（）正確錯(cuò)誤65、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、B2、C3、E4、B5、B6、D7、B8、C9、D解析:漏洞檢測(cè)分為被動(dòng)檢測(cè)（靜態(tài)），主動(dòng)檢測(cè)（動(dòng)態(tài)），綜合檢測(cè)（混合檢測(cè)）。故選D10、D11、D12、B13、C14、D15、B16、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)，應(yīng)僅向用戶(hù)提供他們已獲專(zhuān)門(mén)授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪(fǎng)問(wèn)。cd選項(xiàng)錯(cuò)誤，必須是已授權(quán)用戶(hù)才可訪(fǎng)問(wèn)。A選項(xiàng)錯(cuò)誤，在家登錄，不符合安全訪(fǎng)問(wèn)控制策略。故選B17、B解析:27005信息安全風(fēng)險(xiǎn)管理8,2,,1風(fēng)險(xiǎn)識(shí)別，包括資產(chǎn)識(shí)別，威脅識(shí)別，現(xiàn)有控制措施識(shí)別，脆弱性識(shí)別，后果識(shí)別。故選B18、D解析:高風(fēng)險(xiǎn)的產(chǎn)品或過(guò)程應(yīng)增加審核時(shí)間要素19、A20、D解析:數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和完整性并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造，篡改或是抵賴(lài)。故選D21、A22、B解析:局域網(wǎng)是指家庭或是辦公室，或者其他環(huán)境中小型網(wǎng)絡(luò)。而大型計(jì)算機(jī)環(huán)境是指類(lèi)似服務(wù)器的大型網(wǎng)絡(luò)。兩者本地備份差別主要體現(xiàn)在容錯(cuò)能力上，故選B23、A24、A25、D26、B27、A28、A29、C30、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時(shí)，對(duì)相關(guān)方可用。故選A31、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A32、D33、A34、B35、D解析:網(wǎng)