2022年第二期國(guó)家ISMS信息安全管理體系審核員復(fù)習(xí)題含解析

2022年第二期國(guó)家ISMS信息安全管理體系審核員復(fù)習(xí)題一、單項(xiàng)選擇題1、下列措施中，（）是風(fēng)險(xiǎn)管理的內(nèi)容。A、識(shí)別風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)價(jià)C、風(fēng)險(xiǎn)處置D、以上都是2、下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計(jì)劃的時(shí)間間隔3、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶(hù)組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶(hù)共同來(lái)制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的使用進(jìn)行監(jiān)督4、IT服務(wù)中"升級(jí)"是（）A、服務(wù)等級(jí)的升級(jí)B、問(wèn)題管理向變更管理升級(jí)C、將事件、問(wèn)題升級(jí)為更高職能的人員或部門(mén)處理D、事件管理向問(wèn)題管理升級(jí)5、在訪問(wèn)因特網(wǎng)時(shí)，為了防止Web網(wǎng)頁(yè)中惡意代碼對(duì)自己計(jì)算機(jī)的損害，可以采取的防范措施是(）A、利用SSL訪問(wèn)Web站點(diǎn)B、將要訪問(wèn)的Web站點(diǎn)按其可信度分配到瀏覽器的不同安全區(qū)域C、在瀏覽器中安裝數(shù)字證書(shū)D、利用IP安全協(xié)議訪問(wèn)Web站點(diǎn)6、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求7、GB/T29246標(biāo)準(zhǔn)為組織和個(gè)人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語(yǔ)和定義8、（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障9、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性10、關(guān)于《中華人民共和國(guó)保密法》，以下說(shuō)法正確的是()A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)?11、容災(zāi)的目的和實(shí)質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞12、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，（）級(jí)保護(hù)時(shí)，國(guó)家信息安全管部門(mén)對(duì)該級(jí)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。A、3B、2C、5D、413、以下符合GB/T22080-2016標(biāo)準(zhǔn)A18.1,4條款要求的情況是（）A、認(rèn)證范圍內(nèi)員工的個(gè)人隱私數(shù)據(jù)得到保護(hù)B、認(rèn)證范圍內(nèi)涉及顧客的個(gè)人隱私數(shù)據(jù)得到保護(hù)C、認(rèn)證范圍內(nèi)涉及相關(guān)方的個(gè)人隱私數(shù)據(jù)數(shù)據(jù)得到保護(hù)D、以上全部14、在實(shí)施技術(shù)符合性評(píng)審時(shí)，以下說(shuō)法正確的是（）A、技術(shù)符合性評(píng)審即滲透測(cè)試B、技術(shù)符合性評(píng)審即漏洞掃描與滲透測(cè)試的結(jié)合C、滲透測(cè)試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D、滲透測(cè)試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估15、當(dāng)操作系統(tǒng)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響A、隔離和迀移B、評(píng)審和測(cè)試C、評(píng)審和隔離D、驗(yàn)證和確認(rèn)16、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審17、計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類(lèi)隱藏在（）上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤(pán)C、存儲(chǔ)介質(zhì)D、網(wǎng)絡(luò)18、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》應(yīng)予以重點(diǎn)保護(hù)的信息基礎(chǔ)設(shè)施，指的是()A、一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施B、一旦遭到破壞、數(shù)據(jù)泄雷，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生的信息基礎(chǔ)設(shè)施C、一旦遭到破壞、數(shù)據(jù)泄露，可能危害國(guó)家安全、國(guó)計(jì)民生的信息基礎(chǔ)設(shè)施D、—旦遭到破壞、數(shù)據(jù)泄露，可能危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)系統(tǒng)19、信息安全管理中,以下哪一種描述能說(shuō)明“完整性”（）。A、資產(chǎn)與原配置相比不發(fā)生缺失的情況B、資產(chǎn)不發(fā)生任何非授權(quán)的變更C、軟件或信息資產(chǎn)內(nèi)容構(gòu)成與原件相比不發(fā)生缺失的情況D、設(shè)備系統(tǒng)的部件和配件不發(fā)生缺失的情況20、根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中()是較輕的處罰方式A、警告B、罰款C、沒(méi)收違法所得D、吊銷(xiāo)許可證21、設(shè)備維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷(xiāo)毀而不予送修D(zhuǎn)、以上全部22、末次會(huì)議包括（）A、請(qǐng)受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見(jiàn)進(jìn)行討論D、以上都不準(zhǔn)確23、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)屮的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫(kù)系統(tǒng)、用戶(hù)設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)24、下面哪一種環(huán)境控制措施可以保護(hù)計(jì)算機(jī)不受短期停電影響？（）A、電力線路調(diào)節(jié)器B、電力浪涌保護(hù)設(shè)備C、備用的電力供應(yīng)D、可中斷的電力供應(yīng)25、對(duì)于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更26、信息安全目標(biāo)應(yīng)()A、可測(cè)量B、與信息安全方針一致C、適當(dāng)時(shí)，對(duì)相關(guān)方可用D、定期更新27、信息安全風(fēng)險(xiǎn)的基本要素包括（）A、資產(chǎn)、可能性、影響B(tài)、資產(chǎn)、脆弱性、威脅C、可能性、資產(chǎn)、脆弱性D、脆弱性、威脅、后果28、以下關(guān)于安全接層協(xié)議(SSL)的敘述中,錯(cuò)誤的是(）A、為T(mén)CP/IP連接提供服務(wù)器認(rèn)證B、為T(mén)CP/IP連接提供數(shù)據(jù)加密C、提供數(shù)據(jù)安全機(jī)制D、是一種應(yīng)用層安全協(xié)議29、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過(guò)程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過(guò)程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更30、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備(NAS)時(shí)B、不能使用TCP/IP的環(huán)境時(shí)C、需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)中先創(chuàng)學(xué)D、要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)31、ISMS文件的多少和詳細(xì)程度取于A、組織的規(guī)模和活動(dòng)的類(lèi)型B、過(guò)程及其相互作用的復(fù)雜程度C、人員的能力D、A+B+C32、對(duì)于所有擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)通過(guò)（）過(guò)程進(jìn)行評(píng)審。A、薄弱環(huán)節(jié)識(shí)別B、風(fēng)險(xiǎn)分析C、管理方案D、A+CE、A+B33、第三方認(rèn)證審核時(shí)，對(duì)于審核提出的不符合項(xiàng)，審核組應(yīng)：（）A、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合的條款B、與受審核方共同評(píng)審不符合項(xiàng)以確認(rèn)不符合事實(shí)的準(zhǔn)確性C、與受審核方共同評(píng)審不符合以確認(rèn)不符合的性質(zhì)D、以上都對(duì)34、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA35、組織應(yīng)()與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保36、以下說(shuō)法不正確的是(）A、應(yīng)考慮組織架構(gòu)與業(yè)務(wù)目標(biāo)的變化的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)審B、應(yīng)考慮以往未充分識(shí)別的威脅對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再評(píng)估C、制造部增加的生產(chǎn)場(chǎng)所對(duì)信息安全風(fēng)險(xiǎn)無(wú)影響D、安全計(jì)劃應(yīng)適時(shí)更新37、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚(yú)”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部38、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識(shí)產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個(gè)人隱私的保護(hù)D、以上都對(duì)39、組織應(yīng)（）與其意圖相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。A、確定B、制定C、落實(shí)D、確保40、ISMS關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全管理執(zhí)行情況和改進(jìn)反饋建議的（）系統(tǒng)A、報(bào)告B、傳遞C、評(píng)價(jià)D、測(cè)量二、多項(xiàng)選擇題41、信息安全管理體系審核應(yīng)遵循的原則包括:（）A、誠(chéng)實(shí)守信B、保密性C、基于風(fēng)險(xiǎn)D、基于事實(shí)的決策方法42、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品C、銷(xiāo)售前D、投入運(yùn)行后43、網(wǎng)絡(luò)常見(jiàn)的拓?fù)湫问接校?A、星型B、環(huán)型C、總線型D、樹(shù)型44、關(guān)于信息安全風(fēng)險(xiǎn)自評(píng)估，下列選項(xiàng)正確的是（）A、是指信息系統(tǒng)擁有、運(yùn)營(yíng)和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化C、可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施D、由信息系統(tǒng)上級(jí)管理部門(mén)組織的風(fēng)險(xiǎn)評(píng)估45、關(guān)于鑒別信息保護(hù)，正確的是（）A、使用QQ傳遞鑒別信息B、對(duì)新創(chuàng)建的用戶(hù)，應(yīng)提供臨時(shí)鑒別信息，并強(qiáng)制初次使用時(shí)需改變鑒別信息C、鑒別信息宜加密保存D、鑒別信息的保護(hù)可作為任用條件或條款的內(nèi)容46、對(duì)于涉密信息系統(tǒng)，以下說(shuō)法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國(guó)產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)檢測(cè)C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國(guó)家信息安全等級(jí)保護(hù)第四級(jí)水平47、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩48、下列哪些屬于網(wǎng)絡(luò)攻擊事件（）A、釣魚(yú)攻擊B、后門(mén)攻擊事件C、社會(huì)工程攻擊D、DOS攻擊49、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問(wèn),使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為50、風(fēng)險(xiǎn)評(píng)估過(guò)程中威脅的分類(lèi)一般應(yīng)包括（）A、軟硬件故障、物理環(huán)境影響B(tài)、無(wú)作為或操作失誤、管理不到位、越權(quán)或?yàn)E用C、網(wǎng)絡(luò)攻擊、物理攻擊D、泄密、篡改、抵賴(lài)51、以下屬于訪問(wèn)控制的是（）。A、開(kāi)發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問(wèn)D、病毒產(chǎn)品查殺病毒52、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車(chē)監(jiān)控系統(tǒng)B、行車(chē)路線信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支53、《信息安全等級(jí)保護(hù)管理辦法》的分級(jí)是依據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)（）的危害程度等因素確定。A、公民、法人和其他組織的合法權(quán)益B、公共利益C、國(guó)家安全D、社會(huì)秩序54、依據(jù)GB/Z20986,信息安全事件包括（)A、信息破壞事件B、設(shè)備設(shè)施故障C、信息泄露事件D、計(jì)算機(jī)病毒事件55、風(fēng)險(xiǎn)處置包括（)A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)計(jì)劃C、風(fēng)險(xiǎn)控制D、風(fēng)險(xiǎn)轉(zhuǎn)移三、判斷題56、某組織定期請(qǐng)第三方對(duì)其IT系統(tǒng)進(jìn)行漏洞掃描，因此不再進(jìn)行其他形式的信息安全風(fēng)險(xiǎn)評(píng)估，這在認(rèn)證審核時(shí)是可接受的（）正確錯(cuò)誤57、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）正確錯(cuò)誤58、J020相關(guān)方可以是組織內(nèi)部也可以是組織外部的。(）正確錯(cuò)誤59、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）正確錯(cuò)誤60、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類(lèi)型的網(wǎng)絡(luò)所有者和管理者。（）正確錯(cuò)誤61、審核組長(zhǎng)在末次會(huì)議中應(yīng)該對(duì)受審核方是否通過(guò)認(rèn)證給出結(jié)論。（）正確錯(cuò)誤62、容量管理策略可以考慮增加容量或降低容量要求。（）正確錯(cuò)誤63、最高管理層應(yīng)通過(guò)“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾正確錯(cuò)誤64、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每?jī)赡曛辽龠M(jìn)行一次檢測(cè)評(píng)估。（）正確錯(cuò)誤65、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、D2、D3、B4、C5、B6、B7、D8、A9、A10、A11、C12、D13、D14、D15、B解析:2700214,2,3運(yùn)行平臺(tái)變更后對(duì)應(yīng)用的技術(shù)評(píng)審，當(dāng)運(yùn)行平臺(tái)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。故選B16、B17、C18、A19、B20、A21、D22、C23、D24、D解析:短期停電即電力中斷，故選D。可中斷的電力供應(yīng)25、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時(shí)，對(duì)相關(guān)方可用。故選A26、B27、B28、D29、B30、A31、D32、B33、B34、B35、A36、C37、C38、D39、A解析:理解組織及其環(huán)境40、D二、多項(xiàng)選擇題41、B,C42、A,B,C43、A,B,C,D44、A,B,C解析:gb/t20984-20077,2自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估，A正確。周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，重點(diǎn)針對(duì)自上次評(píng)估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識(shí)別，以便于兩次評(píng)估結(jié)果對(duì)比，B正確。自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，C正確。D錯(cuò)誤，主體錯(cuò)誤，檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門(mén)組織的或國(guó)家有關(guān)職能部門(mén)依法展開(kāi)的風(fēng)險(xiǎn)評(píng)估。本題選ABC45、B,C,D解析:參考27002,9,2,4用戶(hù)的秘密鑒別信息管理，B、C、D均正確，同時(shí)該控制中，還包含：建立一些規(guī)程，以在提供一個(gè)新的、代替的