依据GB/T22080/ISO/IEC27001，关于网络服务的访问控制策略，以下正确的说法是（）

第1题：

以下哪个东软通过的信息安全管理认证说法正确（）。

• A、东软软件外包和BPO业务同时获得了ISO/IEC27001，2005认证
• B、东软通过ISO9001，1994认证
• C、东软医疗通过ISO9001，ISO13485
• D、东软通过ISO9001，2000认证

第2题：

访问控制策略一般分为以下几类？（）

• A、被动访问控制
• B、自主访问控制
• C、强制访问控制
• D、完全访问控制
• E、客体访问控制

第3题：

第4题：

依据GB/T22080/ISO/IEC27001，关于网络服务的访问控制策略，以下正确的说法是（）

• A、没有描述为禁止访问的网络服务，应为允许访问的网络服务
• B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段连接
• C、对于允许访问的网络服务，按照规定的授权机制进行授权
• D、以上都对

第5题：

依据GB/T22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是（）

• A、业务战略
• B、法律法规要求
• C、合同要求
• D、以上全部

第6题：

访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问，包括（）、（）、（）要素。

第7题：

建立和支持安庆管理框架是ISO17799：2000那个安全领域的目标？（）

• A、组织安全
• B、资产分类和控制
• C、安全策略
• D、访问控制

第8题：

若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在人力资源安全方面实施常规控制，人力资源安全划分为3个控制阶段，不包括哪一项（）。

• A、任用之前
• B、任用中
• C、任用终止或变化
• D、任用后

第9题：

依据GB/T22080/ISO/IEC27001，信息系统审计是（）

• A、发现信息系统脆弱性的手段之一
• B、应在系统运行期间进行，以便于准确地发现弱电
• C、审计工具在组织内应公开可获取，以便于提升员工的能力
• D、只要定期进行，就可以替代内部ISMS审核

第10题：

依据GB/T22080/ISO/IEC27001，以下符合责任分割原则的是（）

• A、某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己配置了各个机房的不限时门禁权限
• B、某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由另外5位副总到场分别输入自己的口令然后完成授权
• C、某公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，其次为副总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限
• D、以上均符合责任分割原则