以下对于信息安全管理体系中“符合性”的叙述，不正确的是（  ）。
A.清楚识别所有与信息系统有关的法规
B.组织重要记录应予以文件化后进行保护
C.避免使用具有知识产权的专利软件产品
D.要保护个人信息的数据与隐私

关于信息安全风险评估，以下说法正确的是（）

A.如果集团企业的各地分/子公司业务性质相同，则针对一个分/子公司识别，评价风险即可，其风险评估过程和结果文件其他分/子公司可直接采用，以节省重复识别和计算的工作量

B.风险评估过程中各参数的赋值一旦确定，不应轻易改变，以维持风险评估的稳定性

C.组织应基于其整体业务活动所在的环境和风险考虑其ISMS的设计

D.以上都对

关于与雇员和承包方人员的管理，以下说法错误的是（  ）。
A.无需定期对承包方人员进行信息安全培训
B.所有访问保密信息的承包方人员宜在给予访问信息处理设施权限之前签署保密或不泄露协议
C.信息安全角色和职责宜在任用前的过程中传达给职务的候选者
D.应向雇员和承包方人员明确信息处理设施和信息服务有关的信息分类和组织资产管理的职责

关于备份，以下说法正确的是（  ）。
A.备份介质应定期进行恢复测试
B.如果组织删减了“信息安全连续性”要求，同机备份或备份本地存放是可接受的
C.退化的备份介质一定会影响备份信息的恢复
D.备份信息不是管理体系运行记录，不须规定保存期

组织应( )。

A.分离关键的职责及责任范围

B.分离冲突的职责及责任范围

C.分离重要的职责及责任范围

D.分离关联的职责及责任范围

根据GB/T22080-2016标准中控制措施的要求，有关安全登录规程，不能接受的做法是（　）。

A.在设备上张贴警示通告，说明只有已授权用户才能访问计算机

B.忘记个人口令，暴力破解尝试登陆

C.输入口令时不显示系统或应用标识符，直到登陆过程已成功完成为止

D.在安全登陆期间，不提供对未授权用户有帮助作用的信息

下列不属于GB/T22080-2016与GB/T22080-2008主要关键词变化的是（  ）。
A.将“Control”的定义由2008版的“控制措施”改为2016版的“控制”
B.将“Implement”的定义由2008版的“实施”改为“实现”
C.将“Assetowner”的定义由2008版的“资产责任人”改为“资产拥有者”
D.将“Context of the organization”的定义由2008版的“组织背景”改为“组织环境”

根据GB/T22080-2016标准中控制措施的要求，有关系统软件安全开发策略，可以不考虑下列哪一项内容？（　）

A.项目里程碑的安全检查点

B.开发项目进度

C.软件开发生命周期中的安全指南

D.开发环境的安全

适用性声明文件应（）

A.描述与组织相关和适用的控制目标和控制措施

B.版本应保持稳定不变

C.应包含标准GB/T22080附录A的所有条款

D.应删除组织不拟实施的控制措施

依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保 密，不得泄露、出售或非法向他人提供。

A.个人信息

B.隐私

C.商业秘密

D.其他选项均正确