信息安全基础知识试题
一、[单选题]
1.根据 GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分(A)。
A.5
B.6
C.3
D.4
参考解析:1.标准规定了计算机系统安全保护能力的五个等级:第一级是用户自主保护级:第二级是系统审计保护级;第三级是安全标记保护级;第四级是结构化保护级;第五级是访问验证保护级。
2.ISO/IEC27000:2016,3.6SMS 关键成功因素SMS 关键成功因索之一是用于评价信息安全管理性能的测量系统和反馈的改进建议。
2.ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的(A)系统。
A.测量
B.报告
C.传递
D.评价
参考解析:ISO/IEC27000:2016,3.6SMS 关键成功因素,ISMS 关键成功因素之一是用于评价信息安全管理性能的测量系统和反馈的改进建议。
3.风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(B)。
A识别可能性和影响
B识别脆弱性和识别后果
C.识别脆弱性和可能性
D,识别脆弱性和影响
参考解析:GB/T31722-2015/ISO/EC27005:2008 信息安全风险管理中8 的规定,风险评估包括:风险分析、风险评价。风险分析包括:(1)风险识别:资产识别、威胁识别、现有控制措施识别、脆弱性识别、后果识别:(2) 风险估算:风险估算方法、后果评估、事件可能性评估、风险级别估算。
4.关于《中华人民共和国网络安全法》中的“三同步"要求,以下说法正确的是(A)。
A.指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用
B.建设三级以上信息系统须保证子系统同步规划、同步建设、同步使用
C.建设机密及以上信息系统须保证子系统同步规划、同步建设、同步使用
D.以上都不对
参考解析:《中华人民共和国网络安全法》第三十三条,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用,本题选A。
5.根据 GB/T22080-2016,应按照既定的备份策略,对(A)进行备份,并定期测试
A.信息、软件和系统镜像
B.信息、软件和数据镜像
C.数据、信息和软件
D.数据、信息和系统镜像
参考解析: 参考 GB/T22080-2016 附录 A123.1 信息备份原文,应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。
6.关于散布图,以下说法正确的是:(B)。
A是描述特性值分布区间的图一-趋势图
B.是描述一对变量关系的图一-散布图
C是描述特性随时间变化趋势的图一趋势图
D.是描述变量类别分布的图一-直方图
参考解析:直方图、趋势图和散布图都是描述性统计技术方法。趋势图是通过一段时间内所关心的特性值形成的图,来观察其随着时间变化的状态。也称为运行图:散布图的主要作用是,可以发现两组数据之间是相关或不相关的,如果相关可分析其相关的程度,在质量管理中,经常要研究一对变量是否存在相互关系,可使用散布图;直方图是用一系列等宽不等高的长方形不间断地排列在一起的图形,用以描绘所关心的特性值的分布。综上,本题选 B。
7.有关数据中心机房中,支持性基础设施不包括(D)。
A供电、通信设施
B.消防、防雷设施
C.空调及新风系统、水气暖供应系统
D.网络设备
参考解析: 参考 2700211.2.2 支持性基础设施,支持性设施如电力、电信、供水、燃气、排污、通风和空调。题干中,“网络设备”并非为数据中心机房提供安全、可靠、纯净的电力系统和环境的支持性基础设施,可由用户自行配备。
8.保密性是指(B)。
A.根据授权实体的要求可访问的特性
B.信息不被未授权的个人、实体或过程利用或知悉的特性
C保护信息准确和完整的特性
D以上都不对
参考解析:参考270002.12,保密性是信息对未授权的个人、实体或过程不可用或不泄露的特性。
9.根据 GB/T22080-2016 标准中控制措施的要求,有关系统获取、开发和维护过程中的安全问题,以下描述错误的是(B)。
A运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险
B.系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理
C.系统的获取、开发和维护过程中的安全问题,不仅仅是考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统
D,系统的开发设计,应该越早考虑系统的安全需求越好
参考解析: 参考 GB/T22080-2016 附录 A10.1 密码控制,其中包含密码控制的使用策略和密钥管理。也就是说,密钥管理对于有效使用密码技术来说是必须的。因此选项中,“不是密钥的管理表述错误。
10.根据GB/T22080-2016 标准,审核中下列哪些章节不能删减(B)。
A.1-10
B.4-10
C.4-7和9-10
D.4-10和附录A
参考解析:参考 GB/T22080-2016/ISO/IEC270011范围原文,本标准规定的要求是通用的, 适用于各种类型、规模或性质的组织,当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求。
11.下列说法不正确的是(C)。
A.残余风险需要获得风险责任人的批准
B.适用性声明需要包含必要的控制及其选择的合理性说明
C所有的信息安全活动都必须有记录
D,组织控制下的员工应了解信息安全方针
12.在信息安全技术中,涉及信息系统灾难复,其中“恢复点目标”指(C)?
A.灾难发生后,信息系统或业务功能从停顿到必须恢复的时间
B.灾难发生后,信息系统或业务功能项恢复的范围
C.灾难发生后,系统和数据必须恢复到的时间点要求
D.灾难发生后,关键数据能被复原的范围
参考解析: 参考《灾难恢复规范》,3.19 恢复点目标(RPO:灾难发生后,系统和数据必须恢复到的时间点要求。
13.按照 PDCA思路进行审核,是指(C)。
A按照认可规范中规定的PDCA流程进行审核
B.按照认证机构的PDCA流程进行审核
C.按照受审核区域的信息安全管理活动的PDCA过程进行审核
D.按照检查表策划的 PDCA进行审核
参考解析:参考GB/T19011-2021 管理体系审核指南,按照 PDCA思路进行审核是指按照受审核区域的信息安全管理活动的 PDCA 过程进行审核
14.《信息安全等级保护管理办法》规定的 5级是信息系统受到破坏后会对(A)造成严重损害
A国家安全
B.公共利益
C.公民、法人和其他组织的合法权益
D.社会秩序
参考解析: 参考《信息安全等级保护管理办法》第七条原文,第五级,信息系统受到破坏后会对国家安全造成特别严重损害。
15.为了达到组织灾难恢复的要求,备份时间间隔不能超过(B)。
A服务水平目标(SLO)
B.恢复点目标(RPO)
C恢复时间目标(RTO)
D.最长可接受终端时间(MAO)
参考解析: 参考《灾难恢复》,为了达到组织灾难恢复的要求,备份时间间隔不能超过恢复点目标,其中恢复点目标是指,灾难发生后,系统和数据必须恢复到的时间点要求。
16.GB/T22080标准中所指资产的价值取决于(B) 。
A资产的价格
B.资产对于业务的敏感度
C资产的折损率
D.以上全部
参考解析:GB/T20984-2007 信息安全风险评估规范,3.1 资产,是对组织具有价值的信息或资源,是安全策略保护的对象。3.2 资产价值,是资产的重要程度或敏感程度的表征。
17.在决定进行第二阶段审核之前,认证机构应审查第一阶段的审核报告,以便为第二阶段择具有(B)。
A客户组织的准备程度
B.所需能力的审核组成员
C.所需审核组能力的要求
D.客户组织的场所分布
参考解析:参考 GB/T25067-2020(SO/EC27006)9.3.1.1 第一阶段原文第一阶段的结果应形成书面报告。在决定进行第二阶段之前,认证机构应审查第一阶段的审核报告,以便为第二阶段选择具备所需能力的审核组成员。
18.根据 GB/T22080-2016 标准中控制措施的要求,应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实现进行的(D)。
A内部审
B.第三方评审の灭
C.系统评审
D.独立评审
参考解析: 参考 GB/T22080-2016 附录 A18.2.1 信息安全的独立评审控制措施原文,应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实现(如信息安全的控制目标、控制、策略、过程和规程) 进行独立评审。
19.国家秘密的保密期限应为:(A)。
A.绝密不超过三十年,机密不超过二十年,秘密不超过十年
B.绝密不低于三十年,机密不低于二十年,秘密不低于十年
C.绝密不超过二十五年,机密不超过十五年,秘密不超过五年
D.绝密不低于二十五年,机密不低于十五年,秘密不低于五年
参考解析:参考《保密法》,第十五条,国家秘密的保密期限,除另有规定外,绝密级不超过三十年,机密级不超过二十年,秘密级不超过十年。
20.某公司进行风险评估后发现公司的无线网络存在大的安全隐患,为了处置这个风险,公司不再提供无线网络用于办公,这种处置方式属于(B)。
A.风险接收
B.风险规避
C.风险转移
D.风险减缓
参考解析:参考 27005信息安全风险管理3.3 风险规避不卷风险处境的决定攒育图置处境的行动。
21.ISMS不一定必须保留的文件化信息有(D)。
A适用性声明
B.信息安全风险评估过程记录
C.管理评审结果
D.重要业务系统操作指南
参考解析:其余选项均要保留文件化信息,参考SO/EC270016.12 和 6.1.3,组织应保留信息安全风险评估过程的文件化信息及适用性声明,9.3 组织应保留文件化信息作为管理评审结果的证据。
22.残余风险是指:(D)。
A.风险评估前,以往活动遗留的风险
B.风险评估后,对以往活动遗留的风险的估值
C.风险处置后剩余的风险,比可接受风险低
D.风险处置后剩余的风险,不一定比可接受风险低
参考解析: 参考GB/T20984-2007 信息安全风险评估规范,3.12 残余风险是指采取了安全措施后,信息系统仍然可能存在的风险。规范中 5.6.4,某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
23.信息安全管理体系标准族中关于信息安全管理体系建设指南的标准是(A)。
A ISO/IEC27003
B ISO/IEC27004
C ISO/IEC27005
D. ISO/EC27002
参考解析: 参考GB/T29246-2017 第四章,ISO/EC27002 是《信息技术安全技术信息安全控制实践指南》,ISO/IEC27003 是《信息技术安全技术信息安全控制实施指南》ISO/IEC27004 是《信息技术安全技术信息安全管理测量》ISO/EC27005 是《信息技术安全技术信息安全风险管理》。题干“建设”是指实施”。
24.有关信息安全管理,风险评估的方法比起基线的方法,其主要的优势在于确保(C)。
A.不考虑资产的价值,基本水平的保护都会被实施
B.对所有信息资产保护都投入相同的资源
C.对信息资产实施适当水平的保护
D.信息资产过度的保护
参考解析: 选项中提到信息资产,应参考 GB/T22080/TSO/IEC7001 附录A8.2 信息分级其目标是是确保信息按照其对组织的重要程度受到适当水平的保护。
25.某公司财务管理数据职能提供给授权的用户,安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉,这样就可以确保数据的哪个方面的安全性得到保障。(A)
A.保密性
B.完整性
C.可用性
D.稳定性
26.TCP/IP协议层次结构由(C)。
A.网络接口层、网络层组成
B.网络接口层、网络层、传输层组成
C.网络接口层、网络层、传输层和应用层组成
D其他选项均不正确
27.《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在(C)向当地县级以上人民政府公*安机关报告。
A.8小时内
B.12小时内
C.24小时内
D.48小时内
28.形成ISMS 审核发现时,不需要考虑的是(C)。
A.所实施控制措施与适用性声明的符合性
B.适用性声明的完备性和合理性
C.所实施控制措施的时效性D.所实施控制措施的有效性
参考解析: 参考GB/T28450-2012 信息安全管理体系审核指南,6.5.5,形成审核发现还需考虑:1)适用性声明的完备性和合理性:2)所实施的控制措施与适用性声明的符合性;3) 所实施的控制措施的有效性。
29.根据GB/T22086-2016 的要求,内部审核是为了确保信息安全管理体系(D)。
A实现和维护的符合性
B.实现和维护的适宜性
C.适宜的实现和维护
D.有效的实现和维护
参考解析:参考GB/T22080-20169.2 内部审核原文,组织应按计划的时间间隔进行内部审核,以提供信息,确定信息安全管理体系:b)是否得到有效实现和维护。
30.某数据中心申请ISMS 认证的范围为“IDC 基础设施服务的提供,对此以下说法正确的是(C)
A.A.8可以删减
B.A12可以删减
C.A14可以删减
D.以上都对
31.对于获准认可的认证机构,认可机构证明(B)。
A认证机构能够开展认证活动
B其在特定范围内按照标准具有从事认证活动的能力
C认证机构的每张认证证书都符合要求
D.认证机构具有从事相应认证活动的能力
参考解析: 认证机构认可的本质是,对于获准认可的认证机构,认可机构证明其在特定范围内按照标准具有从事认证活动的能力。
32.信息系统的安全保护等级分为(B)。
A三级
B.五级
C.四级
D.二级
参考解析:《计算机信息系统安全保护等级划分准则》范围:第一级:用户自主保护级:第二级:系统审计保护级:第三级:安全标记保护级:第四级:结构化保护级:第五级:访问验证保护级。
33.公司A在内审时发现部分员工计算机开机密码少于六位,公司文件规定员工计算机密码必须六位及以上,那么下列选项中哪一项不是针对该问题的纠正措施?(A)
A要求员工立刻改正
B.对员工进行优质口令设置方法的培训
C.通过域控进行强制管理
D.对所有员工进行意识教育
参考解析: 本题属于模糊题,多家平台也意见不一,综合考虑后,解析如下:参考 270002.12纠正措施,消除已查明的不符合项或其他不期望情形的成因的措施。因此纠正措施是针对问题的根本原因,减少或消除问题再发生的措施。A 选项的立即改正应为“纠正,而非纠正措施,因此错误。
34.被黑客控制的计算机常被称为(B)。
A.蠕虫
B.肉鸡
C.灰鸽子
D.木马
参考解析:肉鸡也称傀僵机,是指可以被黑客远程控制的机器。本题选 B。注:蠕虫病毒是一种常见的计算机病毒,它是利用网络进行复制和传播,传染途径是通过网络行电都室键盘记录、监控桌面、文件操作等。还提供了黑客专用功能,如:伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等,并采用反弹链接这种缺陷设计,使得使用者拥有最高权限,一经破解即无法控制。最终导致被黑客恶意使用。原作者的灰鸽子被定义为是一款集多种控制方式于一体的木马程序。木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。
35依据 GB/T22080,信息的标记应表明:(B)。
A.相关供应商信息、日期、资产序列号
B.其敏感性和关键性的类别和/或等级
C所属部门和批准人
D.信息的性质,如软件,文档
参考解析: 参考GB/T22080-2016 附录A8.21 信息分级原文,信息应按照法律要求、价值重要性及其对未授权泄露或修改的敏感性进行分级:附录 A8.2.2 信息的标记原文,应按照组织采用的信息分级方案,制定并实现一组适当的信息标记规程。
36.关于信息安全连续性,以下说法正确的是(B)。
A信息安全连续性即IT 设备运行的连续性
B.信息安全连续性应是组织业务连续性的一部分
C.信息处理设施的冗余即两个或多个服务器互备
D.信息安全连续性指标由IT 系统的性能决定
参考解析: 参考2700217.1,信息安全连续性应纳入组织业务连续性管理之中。c项错误参考 2700217.2 元余,信息处理设施几余应包括余组件和架构,题于中服务器过于狭隘A、D 项,信息可以以多种形式存储,保障T 设备运行的连续性只是确保信息安全连续性中的一部分。
37.GB/T29246标准由(D)提出并归口。
A.SC27
B.SAC/TC261
C.SC40
D.SAC/TC260
参考解析: 参考标准,本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
38某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?(D)。
A.机房设备面临被盗的风险
B.机房设备面临受破坏的风险
C.机房设备面临灰尘的风险
D.机房设备面临人员误入的风险
参考解析:D 项误入走的是门,而不是窗户,本题选 D。
39.根据GB/T22086-2016 标准中控制措施的要求,信息安全控制措施不包括(D)。
A.安全策略
B.物理和环境安全
C访问控制
D.安全范围
参考解析:GB/T22086-2016 参考附录A,包括A5 信息安全策略,A9 访问控制,A11物理和环境安全,不包括安全范围。
40.GB/T22080/IEC27001:2013标准附录A中有(D)个安全域。
A18
B.16
C.15
D.14
参考解析:参考27001 附录可知,共有5~18,共14 个安全域。
二、[多选题]
41.《中华人民共和国网络安全法》适用于在中华人民共和国境内(ABCD)网络,以及网络安全的监督管理。
A.建设
B.运营
C.维护
D.使用
参考解析: 参考本法第二条,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
42.含有敏感信息的设备的处置可采取(BCD)。
A格式化处理
B.采取使原始信息不可获取的技术破坏或删除
C.多次的写覆盖
D.彻底摧毁.
参考解析:27002中11.2.7 设备的安全处置或再利用,包含存储介质的设备的所有项目应进行检查,以确保在处置之前,任何敏感信息和注册软件已被删除或安全的写覆盖。
43.GB/T22080-2016/ISO/IEC27001:2013标准可用于(AC)
A.指导组织建立信息安全管理体系
B.为组织建立信息安全管理体系提供控制措施的实施指南
C.审核员实施审核的依据
D.以上都不对
参考解析:27001是要求类标准,而非指南类,因此 B、D 错误
44.对于组织在风险处置过程中所选的控制措施需(BCD)。
A.将所有风险都必须被降低到可接受的级别
B.可以将风险转移
C.在满足公司策略和方针条件下,有意识、客观地接受风险
D.规避风险
参考解析: 参考270059 风险处置有四种选择:风险降低、风险保留、风险规、风险转移B、C、D正确。2700510 信息安全风险接受,组织管理者决定接受的风险处置计划和残余风险,在某些情况下,由于所用的风险接受准则没有考虑当前环境,残余风险级别可能不满足风险接受准则,因此 A 错误,所有风险太绝对
45.《互联网信息服务管理办法》中对(ABD)类的互联网信息服务实行主管部门审核制度
A.新闻、出版
B.医疗、保健
C.知识类
D.教育类
参考解析:《互联网信息服务管理办法》第五条,从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的,在申请经营许可或者履行备案手续前,应当依法经有关主管部门审核同意。
46.管理评审的输出包括(BD)。
A.管理评审报告
B.持续改进机会相关决定
C.管理评审会议纪要
D.变更信息安全管理体系的任何要求
参考解析:参考GB/T22080-20169.3 管理评审管理评审的输出应包括与持续改进机余相甫核员自习室关决定以及变更信息安全管理体系的任何要求。47ISO/IEC27000系列标准主要包括哪几类标准?(ABCD)
A.要求类
B.应用类
C.指南类
D.术语类
参考解析: 参考ISO/IEC27000 引言。
48.设计一个信息安全风险管理工具,应包括如下模块(ABCD)。
A.资产识别与分析
B.漏洞识别与分析
C.风险趋势分析
D.信息安全事件管理流程
参考解析:参考27001 附录A16,信息安全事件管理必不可少,D 选项正确。参考SO/IEC27005,风险评估包括风险分析和风险评价,c 选项正确。风险分析又包括风险识别和风险估算。而在风险识别中,需要进行资产识别、威胁识别、现有控制措施识别、脆弱性识别。因此A、B选项也正确
49.依据 GB/T22080,建立风险评估过程,包括(BC)。
A明确风险评估的职责
B.定义风险接受准则
C.定义风险评估实施准则
D.编写风险评估程序
参考解析:参考GBT22080-20166.1.2信息安全凤险评估原文组织应定义并应用信息安全风险评估过程,以:a)建立并维护信息安全风险准则,包括:1)风险接受准则2)信息安全风险评估实施准则。
50.审核方案应考虑的内容包括(ABCD)。
A.体系覆盖人数
B.体系覆盖场所
C.IT平台的数量
D.特权用户数量
参考解析:GB/T28450 条款 5.2.3a)ISM 的规模:1-8 的内容
51.根据 GB/T22080-2016 标准中控制措施的要求,有关设备安全的相关行为,适当的是(ABCD)。
A保护设备不受电力故障及其他电力异常影响
B.应保护设备降低来自环境的威胁及灾害
C.设备报废前将信息安全清除
D.保护传送数据或支持信息服务的电源与通讯缆线,以防止窃听或破坏
参考解析:参考GB/T22080-2016A.11.2.1 设备安置和保护,应安置或保护设备,以跟少由环绕威胁和危险所造成的各种风险以及未授权访问的机会:A.11.2.2 支持性设施,应保护设备使其免于囱支持性设施的失效而引起的电源故障和其他中断;A.11.2.3 布缆安全,应保证传输数据或文持信怠服务的电源布缆和通信布缆免受确听、干扰或损坏:A.11.2.7 设备的安全处置或再利用,包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。
52.信息安全管理体系审核范围的确定应考虑(ABCD)。
A业务范围和边界
B.组织的范围和边界
C.物理范围和边界
D.资产范围和边界
53.可被视为可靠的电子签名,须同时符合以下条件(ABCD)。
A.签署后对电子签名的任何改动能够被发现
B.签署时电子签名制作数据仅由电子签名人控制
C.签署后对数据电文内容和形式的任何改动能够被发现
D.电子签名制作数据用于电子签名时,属于电子签名人专有
54.依据GB/Z20986,确定为严重的系统损失的情况包括(BD).
A系统大面积瘫癌丧失业务处理能力
B.系统关键数据的保密性、完整性、可用性遭到破坏
C恢复系统正常运行和消除安全事件负面影响所需代价较大D.恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的
55.风险处置的可选措施包括(CD)
A.风险识别
B.风险分析
C.风险转移
D.风险减缓
参考解析: 参考 270059 风险处置有四种选择:风险降低、风险保留、风险规、风险转移
三、[判断题]
56.完全备份就是对全部数据库数据进行备份。(X)
参考解析: 参见百科,完全备份就是用一盘磁带对整个系统进行完全备份,包括系统和数据。题干“全部数据描述不当,还应包括系统。57.组织的业务连续性策略即其信息安全连续性策略。( X)
参考解析:参考270002.34 信息安全持续性确保信息安全持续作用的过程和规程,与业务连续性不同。
58.《中华人民共和国网络安全法》是 2017 年1月1日开始实施的。(√)
参考解析:《中华人民共和国网络安全法》的实施时间是 2017 年6月1日
59.访问控制列表指由主体以及主体对客体的访问权限所组成列表。(√)
参考解析: 访问控制列表可以方便的确定对每个客体具有访问权限的所有主体,也可以决定任意主体是否能够访问该客体。
60.最高管理层应建立信息安全方针,该方针应包括对持续改进信息安全管理体系的承诺(√)
参考解析:270015.2 方针,最高管理层应建立信息安全方针,该方针应 d) 包括对持续改进信息安全管理体系的承诺。
61.如果一个ISMS 没有至少实施过一次覆盖认证范围的管理评审和内部审核,认证机构不应对该ISMS 实施认证。(√ )
62.ISO/IEC27018是信息技术安全技术可识个人信息PII,处理者在公有云中保护 PII 实践指南。(√)
63.ISMS审核方案的内容应考虑规划ISMS 时所确定的风险和机会的重要性(√ )。参考答案:对
64.信息安全风险准则包括风险接受准则和风险评价准则。(X)参考解析:270015.1.2组织应建立并维护信息安全风险准则,包括风险接受准则和信息安全风险评估实施准则。
65.依据GB17859 第三级及以上信息系统,需具备强制访问控制的能力,第二级及以下不要。(√)
参考解析:GB17859 正文4.2/4.3。