2024年第一期CCAA注冊審核員考試題目-ISMS信息安全管理體系知識(shí)含解析

2024年第一期CCAA注冊審核員考試題目—ISMS信息安全管理體系知識(shí)一、單項(xiàng)選擇題1、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式2、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時(shí)候開始，如何測量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時(shí)候開始，如何評(píng)價(jià)結(jié)果3、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度4、在安全模式下殺毒最主要的理由是（）A、安全模式下查殺病速度快B、安全模式下查殺比較徹底C、安全模式下查殺不連通網(wǎng)絡(luò)D、安全模式下查殺不容易死機(jī)5、關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）A、認(rèn)證決定人員不宜推翻審核組的正面結(jié)論B、認(rèn)證決定人員不宜推翻審核組的負(fù)面結(jié)論C、認(rèn)證機(jī)構(gòu)應(yīng)對客戶組織的ISMS至少進(jìn)行一次完整的內(nèi)部審核D、認(rèn)證機(jī)構(gòu)必須遵從客戶組織規(guī)定的內(nèi)部審核和管理評(píng)審的周期6、保密性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対7、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備(NAS)時(shí)B、不能使用TCP/IP的環(huán)境時(shí)C、需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)中先創(chuàng)學(xué)D、要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)8、信息安全目標(biāo)應(yīng)()A、可測量B、與信息安全方針一致C、適當(dāng)時(shí)，對相關(guān)方可用D、定期更新9、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測評(píng)。A、半年B、1年C、1.5年D、2年10、某公司計(jì)劃升級(jí)現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識(shí)別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實(shí)施時(shí)需要（）A、所有受信的PC機(jī)用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險(xiǎn)（即：把非授權(quán)者錯(cuò)誤識(shí)別為授權(quán)者的風(fēng)險(xiǎn)）C、在指紋識(shí)別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)11、你所在的組織正在計(jì)劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源，在評(píng)估這樣一個(gè)軟件產(chǎn)品時(shí)最重要的標(biāo)準(zhǔn)是什么?（）A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價(jià)12、在形成信息安全管理體系審核發(fā)現(xiàn)時(shí)，應(yīng)（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性13、根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,對于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒收違法所得D、吊銷許可證14、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素15、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責(zé)任。A、安全保密B、安全保護(hù)C、安全保障D、安全責(zé)任16、（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C、漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D、網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻17、依據(jù)GB/T22080/ISO/IEC27001的要求，管理者應(yīng)（）A、制定ISMS目標(biāo)和計(jì)劃B、實(shí)施ISMS管理評(píng)審C、決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別D、其他選項(xiàng)均不正確18、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)通常稱為（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)19、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)，是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)20、組織應(yīng)（）。A、對信息按照法律要求、價(jià)值、重要性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)B、對信息按照制度要求、價(jià)值、有效性及其對授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)C、對信息按照法律要求、價(jià)值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)D、對信息按照制度要求、價(jià)值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)21、信息安全的機(jī)密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個(gè)人、實(shí)體或過程利用或知悉的特性C、根據(jù)授權(quán)實(shí)體的要求可訪問的特性D、保護(hù)信息準(zhǔn)確和完整的特性?22、關(guān)于GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，下列說法錯(cuò)誤的是（）A、標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評(píng)估組織的能力是否滿足自身的信息安全要求B、標(biāo)準(zhǔn)中所表述要求的順序反映了這些要求要實(shí)現(xiàn)的順序C、信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中D、信息安全管理體系通過應(yīng)用風(fēng)險(xiǎn)管理過程來保持信息的保密性、完整性和可用性23、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA24、組織應(yīng)（）A、分離關(guān)鍵的職責(zé)及責(zé)任范圍B、分離沖突的職責(zé)及貴任范圍C、分離重要的職責(zé)及責(zé)任范圍D、分離關(guān)聯(lián)的職責(zé)及責(zé)任范圍25、以下哪些可由操作人員執(zhí)行？（)A、審批變更B、更改配置文件C、安裝系統(tǒng)軟件D、添加/刪除用戶26、下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計(jì)劃的時(shí)間間隔27、文件初審是評(píng)價(jià)受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性B、有效性和符合性C、適宜性、充分性和有效性D、以上都不對28、以下可表明知識(shí)產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶數(shù)29、關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識(shí)產(chǎn)權(quán)B、對于三級(jí)以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國家信息安全產(chǎn)品人證機(jī)構(gòu)頒發(fā)的認(rèn)證證書C、對于四級(jí)以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級(jí)以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞30、下列措施中不能用于防止非授權(quán)訪問的是（）A、采取密碼技術(shù)B、采用最小授權(quán)C、采用權(quán)限復(fù)查D、采用日志記錄31、關(guān)于《中華人民共和國保密法》，以下說法正確的是：（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISCVIEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護(hù)D、國家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)32、下列哪個(gè)措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作33、關(guān)于訪問控制，以下說法正確的是（）A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問控制B、三層交換機(jī)基于MAC實(shí)施訪問控制C、路由器根據(jù)路由表確定最短路徑D、強(qiáng)制訪問控制中，用戶標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別，即可讀該文件34、Saas是指(）A、軟件即服務(wù)B、服務(wù)平臺(tái)即月勝C、服務(wù)應(yīng)用即服務(wù)D、服務(wù)瞇即服務(wù)35、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè),同步使用36、風(fēng)險(xiǎn)評(píng)價(jià)是指（）A、系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和評(píng)估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D、以上都對37、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用38、訪問控制是指確定（）以及實(shí)施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵39、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定：對計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在()向當(dāng)?shù)乜h民政府公安機(jī)關(guān)報(bào)告A、8小時(shí)內(nèi)B、12小時(shí)內(nèi)C、24小時(shí)內(nèi)D、48小時(shí)內(nèi)40、漏洞檢測的方法分為（）A、靜態(tài)檢測B、動(dòng)態(tài)測試C、混合檢測D、以上都是二、多項(xiàng)選擇題41、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為42、風(fēng)險(xiǎn)評(píng)估過程一般應(yīng)包括（）A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)評(píng)價(jià)D、風(fēng)險(xiǎn)處置43、對于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審44、A,B,C解析:gb/t20984-20077,2自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營和使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估，A正確。周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡化，重點(diǎn)針對自上次評(píng)估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識(shí)別，以便于兩次評(píng)估結(jié)果對比，B正確。自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，C正確。D錯(cuò)誤，主體錯(cuò)誤，檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門組織的或國家有關(guān)職能部門依法展開的風(fēng)險(xiǎn)評(píng)估。本題選ABC45、在開展信息安全績效和ISMS有效性評(píng)價(jià)時(shí)，組織應(yīng)確定（）A、監(jiān)視、測量、分析和評(píng)價(jià)的過程B、適用的監(jiān)視、測量、分析和評(píng)價(jià)的方法C、需要被監(jiān)視和測量的內(nèi)容D、監(jiān)視、測量、分析和評(píng)價(jià)的執(zhí)行人員46、根據(jù)《中華人民共和國密碼法》，密碼工作堅(jiān)持總體國家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)，(）依法管理、保障安全的原則。A、創(chuàng)新發(fā)展B、分級(jí)應(yīng)用C、服務(wù)大局D、分級(jí)負(fù)責(zé)47、某金融服務(wù)公司為其個(gè)人注冊會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會(huì)議，對申請借貸的會(huì)員背景資料、借貸額度等進(jìn)行討論評(píng)審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會(huì)議上討論的信息48、對于涉密信息系統(tǒng)，以下說法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)檢測C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國家信息安全等級(jí)保護(hù)第四級(jí)水平49、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風(fēng)險(xiǎn)管理要求B、ISMS的復(fù)雜度C、是否存在相似場所D、ISMS的規(guī)模50、計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)保障;（）A、計(jì)算機(jī)及相關(guān)和配套設(shè)備的安全B、設(shè)施(含網(wǎng)絡(luò))的安全C、運(yùn)行壞境的安全D、計(jì)算機(jī)功能的正常發(fā)揮51、《中華人民共和國網(wǎng)絡(luò)安全法》適用于在中華人民共和國境內(nèi)（）網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。A、建設(shè)B、運(yùn)營C、維護(hù)D、使用52、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計(jì)算機(jī)制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號(hào)控制系統(tǒng)53、移動(dòng)設(shè)備策略宜考慮（)A、移動(dòng)設(shè)備注冊B、惡意軟件防范C、訪問控制D、物理保護(hù)要求54、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項(xiàng)B、國民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)C、科學(xué)技術(shù)中的秘密事項(xiàng)D、國防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)55、下面哪一條措施可以防止數(shù)據(jù)泄漏（)A、數(shù)據(jù)冗余B、數(shù)據(jù)加密C、訪問控制D、密碼系統(tǒng)三、判斷題56、拒絕服務(wù)器攻擊包括消耗目標(biāo)服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬57、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）58、ISO/IEC27018是用于對云安全服務(wù)中隱私保護(hù)認(rèn)證的依據(jù)。(）59、當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識(shí)別來自任何來源的控制。（）60、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）61、信息安全風(fēng)險(xiǎn)準(zhǔn)則包括風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則。（）62、審核方案應(yīng)包括審核所需的資源，例如交通和食宿。（）63、訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。64、最高管理層應(yīng)確保方針得到建立（）65、組織業(yè)務(wù)運(yùn)行使用云基礎(chǔ)設(shè)施服務(wù),同時(shí)員工通過自有手機(jī)APP執(zhí)行業(yè)務(wù)過程,此情況下GB/T22080-2016標(biāo)準(zhǔn)A8.1條款可以刪減。（）

參考答案一、單項(xiàng)選擇題1、D2、C3、A4、B5、B6、B7、A8、B9、D10、A11、D12、B13、A14、A15、A解析:《中華人民共和國網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。故選A16、D17、D解析:信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃，組織應(yīng)在相關(guān)職能和層級(jí)上建立信息安全目標(biāo)，A項(xiàng)錯(cuò)誤。B項(xiàng)27001最高管理層應(yīng)按計(jì)劃的時(shí)間間隔評(píng)審組織的信息安全管理體系，以確保其持續(xù)的適宜性，充分性，和有效性。而管理評(píng)審的實(shí)施執(zhí)行者是組織，因此B表述不準(zhǔn)確。C項(xiàng)，27001,5.1.2組織應(yīng)建立并維護(hù)信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括風(fēng)險(xiǎn)接受準(zhǔn)則和信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則。而非最高管理者，因此C錯(cuò)誤，綜上故選D18、D19、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實(shí)現(xiàn)信息安全管理體系過程中選擇控制時(shí)的參考，或作為組織在實(shí)現(xiàn)通用信息安全控制時(shí)的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù)，故選B20、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級(jí)，信息應(yīng)按照法律要求、價(jià)值、重要性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)21、B22、B解析:引言中明確表述，標(biāo)準(zhǔn)中所表述要求的順序不反映各要求的重要性或暗示這些要求要予以實(shí)現(xiàn)的順序23、B24、B解析:根據(jù)GB/T22080-2016標(biāo)準(zhǔn)A6,1,2原文：應(yīng)分離沖突的職責(zé)及其貴任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)25、C26、D27、A28、D29、B30、D31、A32、B33、C34、A35、A36、B37、A38、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的手段。A表述更為全面，B,C選項(xiàng)過于細(xì)化，故選A39、C40、D解析:漏洞檢測分