CCAA - 2017年03月审核知识（改考前）答案及解析 - 详解版（52题）

本资料由小桨备考整理，仅供学习参考，非官方发布2017年03月审核知识（改考前）答案及解析单选题（共40题，共40分）1.信息安全管理体系审核范围的确定需考虑（）。A.业务范围和边界B.组织和物理范围边界C.资产和技术范围和边界D.以上全部答案：D解析：信息安全管理体系审核范围的确定需考虑业务范围和边界、组织和物理范围边界以及资产和技术范围和边界。因此，选项D“以上全部”是正确的答案。在信息安全管理体系审核中，审核员需要明确审核的范围，包括被审核的组织、部门、系统、应用等，以及审核的时间段和审核的深度和广度。审核范围的确定需要综合考虑各种因素，包括组织的业务范围、物理范围、资产和技术范围等，以确保审核的全面性和有效性。因此，选项D“以上全部”是符合实际情况的。2.按照PDCA思路进行审核，是指（）。A.按照受审核区域的信息安全管理活动的PDCA过程进行审核B.按照认证机构的PDCA流程进行审核C.按照认可规港中规定的PDCA流程进行审核D.以上都对答案：A解析：按照PDCA思路进行审核，是指按照受审核区域的信息安全管理活动的PDCA过程进行审核。PDCA是Plan（计划）、Do（执行）、Check（检查）和Act（处理）的缩写，是一种常用的质量管理工具。在信息安全管理体系审核中，审核员通常会按照受审核区域的信息安全管理活动的PDCA过程进行审核，以确保审核的全面性和有效性。因此，选项A“按照受审核区域的信息安全管理活动的PDCA过程进行审核”是正确的。选项B“按照认证机构的PDCA流程进行审核”和选项C“按照认可规港中规定的PDCA流程进行审核”都不符合题目要求，因为它们没有明确指出是按照受审核区域的信息安全管理活动的PDCA过程进行审核。因此，选项D“以上都对”也是错误的。3.关于“审核发现”，以下说法正确的是（）。A.人审核发现即审核员观察到的事实B.人审核发现可以表明正面的或负面的结果C.审核发现即审核组提出的不符合项报告D.审核发现即审核结论意见答案：B解析：题目中要求选出关于“审核发现”的正确说法。A选项提到“人审核发现即审核员观察到的事实”，但“人审核发现”这一表述本身并不准确，应该是“审核发现”。因此A选项不正确。C选项说“审核发现即审核组提出的不符合项报告”，这也不准确。审核发现不仅仅是不符合项报告，还包括其他观察结果和事实。D选项提到“审核发现即审核结论意见”，这同样不准确。审核结论意见是基于审核发现得出的，而不是审核发现本身。因此，B选项“人审核发现可以表明正面的或负面的结果”是正确的。审核发现可以揭示出正面的或负面的情况，从而帮助改进过程或系统。4.关于信息安全管理体系认证，以下说法正确的是（）。A.认证决定人员不宜推翻审核组的正面建议B.认证决定人员不宜推翻审核组的负面建议C.认证决定人员宜与审核组长协商做出认证决定D.认证决定人员宜与受审核方协商做出认证决定答案：B解析：在信息安全管理体系认证过程中，审核组通常会对受审核方的管理体系进行评估，并给出建议。审核组的正面建议通常是基于他们对受审核方管理体系的积极评价，因此，认证决定人员通常没有理由推翻这些建议。然而，如果审核组给出负面建议，认证决定人员应当进行独立的判断，并考虑所有相关因素，包括审核组的建议，但不应仅仅基于审核组的负面建议做出决定。因此，认证决定人员不宜推翻审核组的负面建议，故选项B正确。选项A、C、D的说法均不符合信息安全管理体系认证的一般原则和实践。5.关于第三方认证的监督审核，以下说法不正确的是（）。A.可以与其他监督活动一起策划B.目的在于认证机构对获证客户信息安全管理体系在认证周期内持续满足要求保持信任C.次监督审核应包括对内审、管理评审和持续的运作控制的审核D.每不一定是对整个体系的审核，不一定是现场审核答案：D解析：A项：监督审核可以与其他的监督活动一起策划，这是符合第三方认证监督审核的实际操作情况的，所以A项正确。B项：监督审核的目的在于认证机构对获证客户信息安全管理体系在认证周期内持续满足要求保持信任，这是监督审核的基本目的，所以B项正确。C项：次监督审核应包括对内审、管理评审和持续的运作控制的审核，这是第三方认证监督审核的重要组成部分，所以C项正确。D项：监督审核是对整个体系的审核，且一般是现场审核，这是监督审核的基本特点，所以D项不正确。因此，不正确的说法是D项。6.当获得的审核证据表明不能达到审核目的时，审核组长可以（）。A.宣布停止受审核方的生产/服务活动B.向审核委托方和受审核方报告理由以确定适当的措施C.宣布取消末次会议D.以上各项都不可以答案：B解析：根据题目中的描述，当获得的审核证据表明不能达到审核目的时，审核组长应该向审核委托方和受审核方报告理由以确定适当的措施。因此，选项B是正确的。选项A宣布停止受审核方的生产/服务活动并不是审核组长的职责，选项C宣布取消末次会议与题干描述不符，选项D以上各项都不可以也不符合题目要求。因此，正确答案是B。7.审核方案是指（）。A.对一次审核活动和安排的描述B.针对特定时间段所策划，并具有特定目的的一组(一次或多次)审核C.对“查什么”和“怎么查”的策划D.以上都不对答案：B解析：审核方案是指针对特定时间段所策划，并具有特定目的的一组（一次或多次）审核。这是审核方案的基本定义，它明确了审核方案是针对特定时间段和特定目的进行策划的，可能包括一次或多次审核。因此，选项B是正确的。选项A描述的是一次审核活动和安排，而审核方案可能包括多次审核，因此A不正确。选项C描述的是“查什么”和“怎么查”的策划，这更像是审核计划或审核检查表的内容，而不是审核方案的定义，因此C也不正确。选项D表示以上都不对，由于我们已经确定了B是正确的，所以D也不正确。8.审核报告是（）。A.受审核方的资产B.审核委托和受审核方的共同资产C.审核委托方的资产D.审核组和审核委托方的资产答案：C解析：审核报告是审核委托方的资产。审核报告是审核委托方委托审核组对受审核方进行审核后，由审核组编写的报告，它包含了审核的结果、意见和建议等信息，这些信息是审核委托方需要关注和使用的，因此审核报告是审核委托方的资产。选项A、B、D均不符合审核报告的定义和属性。9.审核的工作文件包括（）。A.检查表B.审核抽样计划C.信息记录表格D.A+B+C答案：D解析：本题考查审核的工作文件。审核的工作文件通常包括多种形式的记录和信息，这些文件为审核过程的实施和记录提供依据。选项A“检查表”是审核中常用的一种工具，用于帮助审核员系统地收集信息，确保不遗漏任何关键点。选项B“审核抽样计划”是审核中用于确定抽样方法和样本大小的文件，以确保审核的效率和准确性。选项C“信息记录表格”用于记录审核过程中发现的信息，包括观察结果、不符合项等。因此，选项D“A+B+C”涵盖了审核工作文件的主要组成部分，是最全面的答案。10.审核人日数的计算方式是（）。A.审核组中审核员+实习审核员技术专家+观察员的审核人天数之和B.审核组中审核员+实可审核员的审核人天数之和C.审核组中审核员的审秽人天数之和D.审核组中审核贡实匀审核员+技术专家的审核人天数之和答案：C解析：根据题目中的描述，审核人日数的计算方式应该是审核组中审核员的审核人天数之和。因此，正确选项是C。其他选项A、B、D均不符合题目要求。在审核过程中，审核人日数是指审核员在审核现场工作的时间，通常以天为单位计算。因此，审核人日数的计算方式应该是审核组中审核员的审核人天数之和。11.审核员的检查表应（）。A.事先提交受审核方评审确认B.基于审核准则事先编制C.轩对不同的受审核组织应统一格式和内容D.由审核组长负贵编制审核组使用的检查表答案：B解析：审核员的检查表应基于审核准则事先编制。这是因为在审核过程中，审核员需要依据一定的准则来评估受审核方的表现和合规性。检查表作为审核员的工作工具，应当基于这些准则进行编制，以确保审核的准确性和一致性。因此，选项B“基于审核准则事先编制”是正确的选择。其他选项如事先提交受审核方评审确认、对不同的受审核组织应统一格式和内容、由审核组长负责编制审核组使用的检查表，与检查表的编制原则不符。12.审核组长在末次会议上宣布的审核结论是依据（）得出的。A.审核目的B.不符合项的严重程度C.所有的审核发现D.A+B+C答案：D解析：审核组长在末次会议上宣布的审核结论是基于所有的审核发现得出的，审核发现包括了所有与审核目的相关的证据和信息。审核结论是基于对审核证据的全面分析和评估得出的，它不仅考虑到了不符合项的严重程度，还考虑了审核目的，以及所有的审核发现。因此，正确答案是D，即审核结论是基于A（审核目的）、B（不符合项的严重程度）和C（所有的审核发现）得出的。13.现场审核的结束是指（）。A.末次会议结束B.对不符合项纠正措施进行验证后C.分发了经批准的审核报告时D.监督审核结束答案：A解析：现场审核的结束通常指的是末次会议结束。末次会议是审核过程中的一个重要环节，审核组会在此次会议上总结审核发现，与被审核方确认不符合项，并讨论改进措施。因此，末次会议的结束标志着现场审核的结束。选项B、C和D描述的是对不符合项纠正措施进行验证、分发经批准的审核报告和监督审核结束，这些虽然是审核过程中的一部分，但不是现场审核结束的标志性事件。所以，正确答案是A，即末次会议结束。14.信息安全管理体系初次认证审核时，第一阶段审核应（）。A.对受审核方信息安全管理体系的策划进行审核和评价B.对受审核方信息安全管理体系的内部审核及管理评审的有效性进行审核和评价C.对受审核方信息安全管理体系文件的符合性、适宜性和有效性进行审核和评价D.对受审核方信息安全管理体系文件进行审核和符合性评价答案：D解析：根据信息安全管理体系（ISMS）初次认证审核的规定，第一阶段审核主要对受审核方信息安全管理体系文件进行审核和符合性评价。这是为了确保受审核方已经建立了符合标准要求的信息安全管理体系文件，并且这些文件与审核标准的要求相一致。因此，选项D“对受审核方信息安全管理体系文件进行审核和符合性评价”是正确答案。选项A、B、C涉及的内容是审核过程中的其他阶段或更深入的评价，不属于初次认证审核的第一阶段审核内容。15.下列不属于在组织控制下工作的人员应了解的是（）。A.信息安全方针B.业务影响分析结果C.作人员对信息安全管理体系有效性的贡献D.工不符合信息安全管理体系要求带来的影响答案：B解析：在组织控制下工作的人员应了解的信息安全方针、对信息安全管理体系有效性的贡献以及不符合信息安全管理体系要求带来的影响。业务影响分析结果主要是用于评估业务活动中断或系统失效可能造成的潜在后果，通常不是直接由在组织控制下工作的人员了解的内容。因此，选项B业务影响分析结果不属于在组织控制下工作的人员应了解的内容。16.关于认证审核报告，以下说法正确的是（）。A.审核方案管理人员应确保审核报告得到评审和批准B.审核组长应确保审核报告得到评审和批准C.管理者代表应确保审核报告得到评审和批准D.管理者代表应评审和批准审核报告答案：A解析：在认证审核中，审核报告是一份非常重要的文件，它记录了审核的结果和发现的问题。为了确保审核报告的质量和准确性，需要对其进行评审和批准。根据认证审核的相关规定，审核方案管理人员应确保审核报告得到评审和批准。因此，选项A是正确的说法。选项B、C和D中的描述并不符合认证审核的规定，所以都是错误的。17.与审核准则有关的并且能够证实的记录、事实陈述或息称为（）。A.信息安全信息B.审核证据C.检验记录D.信息源答案：B解析：在审核过程中，与审核准则有关的并且能够证实的记录、事实陈述或息称为审核证据。审核证据是审核过程中的重要依据，用于支持审核结论。因此，正确答案为“审核证据”。其他选项如“信息安全信息”、“检验记录”和“信息源”与审核证据的定义不符。18.GB/T22080-2016/ISO/IEC27001:2013《信思歸安全技术信息安全要求》附录A包括（）。A.11个方面39个控制目标114条控制措施B.14个方面35个控制目标114条控制措施C.11个方面39个控制目标133条控制措施D.14个方面35个控制目标133条控制措施答案：B解析：根据题目给出的信息，我们需要确定《信思歸安全技术信息安全要求》附录A包括的方面、控制目标和控制措施的数量。根据给出的选项，我们可以逐一分析：A选项提到11个方面、39个控制目标、114条控制措施。B选项提到14个方面、35个控制目标、114条控制措施。C选项提到11个方面、39个控制目标、133条控制措施。D选项提到14个方面、35个控制目标、133条控制措施。然而，题目中给出的标准号是“GB/T22080-2016/ISO/IEC27001:2013《信思歸安全技术信息安全要求》”，这个标准号似乎存在错误，因为“信思歸”并不是标准的名称。可能是题目中的错误或者是一个输入错误。不过，我们可以假设这是“GB/T22080-2016/ISO/IEC27001:2013《信息安全技术信息安全管理体系要求》”。根据这个标准，附录A确实提供了14个方面的信息安全控制，每个方面下又有多个控制目标和控制措施。但是，具体的控制目标和控制措施的数量可能因版本和具体实现而有所不同。题目中给出的“14个方面、35个控制目标、114条控制措施”与标准附录A的结构相符，因此B选项是正确的。至于C和D选项，题目中并没有提到这样的数量，所以它们是不正确的。综上所述，正确答案是B选项：“14个方面、35个控制目标、114条控制措施”。19.关于审核组的现场审核，劣下说法错误的是（）。A.审核组在审核期间现场可根据受审核方实际情况及时变更审核范围B.审核组在审核期间现场可调整审核路线和审核资源分配C.审核组遇到重木风险应报告委托方以决定后续措施D.审核组遇到重大风险应报告受审核方以决定后续措施答案：A解析：本题为单选题，主要考查关于审核组的现场审核的相关内容。A选项表示“审核组在审核期间现场可根据受审核方实际情况及时变更审核范围”，这与审核的一般原则相悖。在审核过程中，审核范围应当明确并固定，不得随意变更，否则可能导致审核结果的失真和不准确。因此，A选项是错误的。B选项表示“审核组在审核期间现场可调整审核路线和审核资源分配”，这是符合审核组在审核期间根据实际情况灵活调整审核策略的做法，因此B选项是正确的。C选项表示“审核组遇到重大风险应报告委托方以决定后续措施”，这也是符合审核组在遇到重大风险时应当及时向委托方报告并寻求解决方案的原则，因此C选项是正确的。D选项表示“审核组遇到重大风险应报告受审核方以决定后续措施”，这在实际操作中可能引发争议，因为审核组与受审核方可能存在利益冲突，报告受审核方可能会影响审核的公正性和客观性，因此D选项是错误的。综上所述，正确答案为A。20.针对获证组织扩大范围的审核，以下说法正确的是（）。A.必须和监督审核一起进行B.是监督审核的形式之一C.一种特殊审核D.以上都对答案：C解析：获证组织扩大范围的审核是一种特殊审核，它并不是和监督审核一起进行，也不是监督审核的形式之一。因此，选项A和B都是错误的。选项D说“以上都对”也是错误的，因为并不是所有选项都是正确的。所以，正确答案是选项C，即获证组织扩大范围的审核是一种特殊审核。21.关于时钟同步的控制要求，描述正确的是（）。A.—个组织或安全区域内的所有相关信息处理设施的时钟，应与多个基准物相同B.一个组织或安全区域内的核心相关信息处理设施的时钟，应与多个基准物相同C.一个组织或安全区域内的所有相关信息处理设施的时钟，应与单一一时钟源同步D.一个组织或安全区域内的核心相关信息处理设施的时钟，应与单一一时钟源同步答案：C解析：根据给出的题目描述，关于时钟同步的控制要求，描述正确的是“一个组织或安全区域内的所有相关信息处理设施的时钟，应与单一一时钟源同步”。这是因为时钟同步对于确保网络和信息系统的安全、稳定、可靠运行至关重要。通过将所有相关信息处理设施的时钟与单一一时钟源同步，可以确保系统内部时间的一致性，避免由于时钟偏差导致的问题，如数据包乱序、会话超时等。因此，选项C是正确的描述。22.表示客体安全级别并描述客体敏感性的一组信息，是（）。A.敏感性标记，是可信计算基中强制访问控制决策的依据B.关键性标记，是可信计算基中强制访问控制决策的依据C.关键性等级标记，是信息资产分类分级的依据D.敏感性标记，是表明访问者安全权限级别的信息答案：A解析：在信息安全领域，敏感性标记是用于表示客体（如数据、文件、系统等）的安全级别和敏感性的信息。它是可信计算基（TCB）中强制访问控制决策的依据，用于确定哪些主体（如用户、进程等）可以访问哪些客体，以及访问的级别和权限。因此，选项A“敏感性标记，是可信计算基中强制访问控制决策的依据”是正确的描述。选项B“关键性标记”通常指的是客体在系统中的重要性或价值，而不是其安全级别或敏感性。选项C“关键性等级标记”的描述不够准确，关键性等级标记可能指的是客体的关键性级别，但题目中要求的是描述客体敏感性的信息，所以C选项不符合题意。选项D“敏感性标记，是表明访问者安全权限级别的信息”与A选项有部分相似，但表述不够准确，通常客体的敏感性级别是由敏感性标记表示的，而不是访问者的权限级别。因此，选项D的描述与题意不符。23.认证审核时，审核组应（）。A.在审核前将审核计划提交受审核方，并与受审核方进行沟通得到确认B.在审核中将审核计划提交受审核方，并与受审核方进行沟通得到认定C.在审核后将审核计划提交受审核方，并与受审核方进行沟通得到确认D.在审核后将审核计划提交受审核方，并与受审核方进行沟通得到认可答案：A解析：在认证审核时，审核组应在审核前将审核计划提交受审核方，并与受审核方进行沟通得到确认。这是审核流程中的常规操作，确保审核计划得到受审核方的明确理解和认可，从而确保审核的顺利进行。因此，选项A“在审核前将审核计划提交受审核方，并与受审核方进行沟通得到确认”是正确的。24.设立信息安全管理体系认证机构，须得到以下哪个机构的批准，方可在中国境内从事认证活动（）。A.中国合格评定国家认可委员会B.中国国家认证认可监督管理委员会C.认证认可协会D.工商注册管理部门答案：B解析：根据《认证机构管理办法》的规定，设立认证机构，应当经国家认证认可监督管理委员会批准，并在工商行政管理部门办理登记后，方可从事批准范围内的认证活动。因此，在中国境内从事认证活动，必须得到中国国家认证认可监督管理委员会的批准。因此，答案为B选项，即中国国家认证认可监督管理委员会。25.下列哪项不是监督审核的目的？（）A.验证认证通过的ISMS是否得以持续实现B.验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C.确认是否持续符合认证要求D.作出是否换发证书的决定答案：D解析：监督审核的目的是验证认证通过的ISMS是否得以持续实现，验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化，以及确认是否持续符合认证要求。而作出是否换发证书的决定是监督审核的一个结果，而不是其目的。因此，选项D不是监督审核的目的。26.计算机安全保护等级的第三级是（）人保护等级。A.用户自主B.安全标记C.系统审计D.结构化答案：B解析：在计算机安全保护等级中，第三级是安全标记保护等级。自主保护等级是第二级，系统审计保护等级是第四级，结构化保护等级是第五级。因此，正确答案为B，即安全标记。27.经过风险处理后遗留的风险是（）。A.残余风险，残余风险应得到批准B.残余风险，残余风险应全部消除C.残余风险，残余风险应全部保留D.残余风险，残余风险应继续处置答案：A解析：在风险管理中，经过风险处理后遗留的风险称为“残余风险”。残余风险是风险处理过程中无法完全消除的风险，但可以通过风险评估和管理来降低其影响。因此，残余风险应得到批准，以便进行持续的风险监测和管理。选项B、C、D均不符合风险管理的原则，故正确答案为A。28.为确保信息资产的安全，设备、信息或软件在（）之前不应带出组织场所。A.使用B.授权C.检查合格D.识别出薄弱环节答案：B解析：为确保信息资产的安全，设备、信息或软件在带出组织场所之前，需要经过授权。授权意味着经过组织内部的审核和批准，确保这些资产不会受到未经授权的使用或访问。使用、检查合格或识别出薄弱环节虽然都是保护信息资产安全的环节，但在带出组织场所之前，最重要的是确保已经获得了授权。因此，正确答案是“授权”。29.信息安全管理体系认证是（）。A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信息安全管理体系认证不是合格评定活动D.是信息系统风险管理的实施活动答案：A解析：信息安全管理体系认证是与信息安全管理体系有关的规定要求得到满足的证实活动。信息安全管理体系认证是一种合格评定活动，旨在验证组织的信息安全管理体系是否满足相关标准或规定的要求，以确保组织的信息安全得到保障。因此，选项A“与信息安全管理体系有关的规定要求得到满足的证实活动”是正确的。选项B“对信息系统是否满足有关的规定要求的评价”虽然描述了信息安全管理体系认证的一部分内容，但并不全面。选项C“信息安全管理体系认证不是合格评定活动”与事实不符。选项D“是信息系统风险管理的实施活动”虽然信息安全管理体系认证与风险管理有关，但并非其主要目的。30.以下说法正确的是（）。A.审核组的每一次审核，均应向委托方提交审核报告B.认证审核的一阶段审核，可视情况决定是否需要提交审核报告C.监督审核不要求提交审核报告D.特殊审核可视情况决定是否需要提交审核报告答案：A解析：本题考察审核报告的相关知识。A选项指出“审核组的每一次审核，均应向委托方提交审核报告”，这是正确的。审核组在进行审核时，无论是对组织的管理体系进行初次审核、复评审核，还是对管理体系运行进行的监督审核，都应将审核的结果向委托方提交审核报告。B选项说“认证审核的一阶段审核，可视情况决定是否需要提交审核报告”，这是错误的。无论是一阶段审核还是二阶段审核，审核组都应将审核结果向委托方提交审核报告。C选项说“监督审核不要求提交审核报告”，这也是错误的。监督审核是对组织管理体系运行情况的定期审核，审核组应将审核结果向委托方提交审核报告。D选项说“特殊审核可视情况决定是否需要提交审核报告”，这同样是错误的。特殊审核，如扩项审核、减少审核范围审核等，审核组也应将审核结果向委托方提交审核报告。因此，正确答案是A选项。31.以下强健口令的是（）。A.a8mom9y5fub33B.1234C.CNASD.Password答案：A解析：在评估四个选项的口令强度时，我们需要考虑口令的复杂性和难以猜测性。A选项"a8mom9y5fub33"包含大小写字母、数字和特殊字符，长度也相对较长，这样的口令很难被猜测，因此具有较高的安全性。B选项"1234"是一个非常简单的口令，仅包含数字且顺序排列，非常容易被猜测，因此安全性很低。C选项"CNAS"是一个常见的英文缩写，虽然包含字母，但可能容易被猜测或通过字典攻击破解，因此安全性也较低。D选项"Password"是一个常见的弱口令，因为它是一个常见的英文单词，非常容易被猜测，安全性很低。综上所述，A选项"a8mom9y5fub33"是最安全的口令，因为它包含多种字符类型，长度适中，且难以猜测。因此，正确答案是A。32.下列哪项不属于信息安全风险评估过程（）。A.识别信息安全风险B.处置信息安全风险C.分析信息安全风险D.评价信息安全风险答案：B解析：信息安全风险评估过程主要包括识别信息安全风险、分析信息安全风险和评价信息安全风险三个步骤。其中，识别信息安全风险是确定可能存在的风险，分析信息安全风险是对风险进行分析，评价信息安全风险是对风险进行评估。而处置信息安全风险并不是信息安全风险评估过程的直接组成部分，它是在风险评估后，根据评估结果采取相应的措施来处置或减轻风险的过程。因此，选项B处置信息安全风险不属于信息安全风险评估过程。33.信息安全管理体系审核时，为了获取审核证据，应考虑的信息源为（）。A.受审核方的业务系统相关的活动和数据B.受审核方场所中已确定为信息安全管理体系范围内的相关C.受审核方申请信息安全管理体系认证范围内的业务过程D.以上全部答案：D解析：在信息安全管理体系审核时，为了获取审核证据，需要考虑的信息源应该包括受审核方的所有相关活动、数据以及业务过程。这些活动、数据和业务过程可能涉及受审核方的业务系统、场所以及申请信息安全管理体系认证的范围。因此，选项D“以上全部”是正确的答案。34.开发、测试和（）设施应分离，以减少未授权访问或改变运行系统的风险。A.配置B.系统C.终端D.运行誕答案：D解析：题目中提到“开发、测试和（）设施应分离”，这是信息安全领域中常见的措施，旨在减少未授权访问或改变运行系统的风险。通常，开发、测试和生产环境应该相互隔离，以确保代码和数据的安全性。在给出的选项中，只有“运行”与这种环境隔离的概念最为相关。因此，正确答案是“运行”。35.以下哪一方面不属于在编制信息安全方针时宜考虑的要求。（）A.业务战略B.法律、法规和合同C.当前和预期的信息安全威胁环境D.年度财务预算要求答案：D解析：在编制信息安全方针时，宜考虑的要求通常与信息安全策略、目标、原则以及实现这些目标所需的措施有关。选项A“业务战略”涉及组织整体业务目标，信息安全方针应与业务战略保持一致；选项B“法律、法规和合同”涉及遵守法律法规和合同要求，确保信息安全；选项C“当前和预期的信息安全威胁环境”涉及评估当前和未来的安全威胁，制定相应策略。而选项D“年度财务预算要求”与信息安全方针的直接关系不明显，它更多地与信息安全项目的预算和资源配置有关，而不是信息安全方针本身应考虑的要素。因此，D选项“年度财务预算要求”不属于在编制信息安全方针时宜考虑的要求。36.在ISO组织框架中负贵ISO/IEC27000系列标准编制工作的技术委员会是（）。A.ISO/IECJTCISC27B.ISO/IECJTCISC40C.ISO/IEC27D.ISO/IECTC40答案：A解析：ISO/IEC27000系列标准属于信息安全管理体系标准，这些标准在ISO组织框架中由特定的技术委员会负责编制。在给出的选项中，只有ISO/IECJTC1SC27负责信息安全管理体系相关标准的工作，包括ISO/IEC27000系列。因此，答案是A选项。其他选项如ISO/IECJTC1SC40、ISO/IEC27和ISO/IECTC40与ISO/IEC27000系列标准的编制工作无关。37.在A公司审核时，发现公司某机房管理员虽然离职，但门禁权限分配记录中仍保留该人员的权限，询问发现该门禁止已发放新的机房管理员，但权限未进行更改，请问该情况不符合GB/T22080-2G16/ISO/IEC27001:2013标准哪个条款（）。A.A9.2.6撤销访问权B.A11.2.1用户注册C.A11.2.4用户访问权的复查D.A11.5.2用户标示和鉴别答案：A解析：根据题目描述，公司某机房管理员虽然离职，但门禁权限分配记录中仍保留该人员的权限，询问发现该门禁止已发放新的机房管理员，但权限未进行更改。这种情况违反了GB/T22080-2G16/ISO/IEC27001:2013标准中A9.2.6条款，即“撤销访问权”。该条款要求组织应确保在员工离职或不再需要访问权限时，能够撤销其访问权限，以防止未经授权的人员访问组织的信息资产。因此，该情况不符合GB/T22080-2G16/ISO/IEC27001:2013标准A9.2.6条款“撤销访问权”。38.在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A.内容监控B.安全教育和培训C.责任追查和惩处D.访问控制答案：B解析：在信息安全管理中，解决人员安全意识薄弱问题的有效方法是进行安全教育和培训。通过教育和培训，可以提高员工对信息安全的认识和意识，使其了解并遵守相关的安全规定和流程，从而降低安全风险。因此，选项B“安全教育和培训”是正确答案。其他选项如内容监控、责任追查和惩处、访问控制虽然都是信息安全管理的重要方面，但与解决人员安全意识薄弱问题不直接相关。39.以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的安全事件称之为（）。A.有害程序事件B.僵尸网络事件C.拒绝服务攻击D.信息破坏事件答案：C解析：有害程序事件、僵尸网络事件、拒绝服务攻击和信息破坏事件都是与信息安全相关的事件类型。然而，拒绝服务攻击（DoS攻击）是一种通过大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行的攻击方式。有害程序事件通常指的是恶意软件或病毒，而僵尸网络事件则涉及到被控制的计算机组成的网络。信息破坏事件则更侧重于对信息的完整性和可用性的破坏。因此，选项C“拒绝服务攻击”最符合题目描述的安全事件类型。40.下列对信息安全风险评估建立准则描述正确的是（）。A.组织应按计划的时间间隔或当重大变更提出或发生时执行信息安全风险评估B.组织应按计划的时间间隔且当重大变更提出或发生时执行信息安全风险评估C.组织只需在重大变更发生时执行信息安全风险评估D.组织只需按计划的时间间隔执行信息安全风险评估答案：A解析：信息安全风险评估是组织为确保信息安全而进行的一项重要活动，其目的是识别潜在的安全风险并评估其对组织的影响。为了确保评估的有效性和及时性，组织应按照一定的准则执行评估。根据给出的选项，A选项“组织应按计划的时间间隔或当重大变更提出或发生时执行信息安全风险评估”是符合信息安全风险评估的准则的。这是因为信息安全环境是动态变化的，重大变更的发生可能导致新的安全风险出现，而按计划的时间间隔进行评估可以确保组织对信息安全状况的持续监控。因此，A选项是正确的描述。多选题（共5题，共5分）41.以下不符合“客体重用”准则的是（）。A.当项目组A成员离开项目组A进入项目组B时，其在项目组A时持有并使用的PC直接带入项目组B使用B.资产编号为101#的磁盘分配给财务部用于具所存账务报表等的数据备份，由于财务部数据量较小，该101#磁盘剩余空间很大，因此将该磁盘同时指派给客户接待中心共用C.IT部对所有的新员工、调岗员工分配计算机之前，将计算机中原存有的所有信息另做备份后进行彻底删除D.业务应用系统运维部为了节约资源，多个不同职能角色的员工共用一部计算机，每个人分别建立文件夹用来存放自己的文件答案：ABD解析：“客体重用”准则是指资源在分配时，应该尽量避免资源的重用导致的信息泄露、冲突等问题。A选项描述了一个成员从项目组A离开，带入自己的PC到项目组B使用。这种情况下，原项目组A的成员可能在其PC上存储了敏感信息，如果直接带入项目组B使用，可能导致信息泄露。因此，A选项不符合“客体重用”准则。B选项描述了编号为101#的磁盘分配给财务部，后又同时指派给客户接待中心共用。这样做可能导致数据混淆，特别是在磁盘上有敏感或保密信息的情况下，这种“客体重用”可能会引发安全隐患。因此，B选项也不符合“客体重用”准则。C选项描述了IT部在分配计算机之前，对原有信息进行备份后彻底删除。这种做法遵循了“客体重用”准则，因为它确保了在资源被重用之前，原始信息得到了适当的处理，从而减少了信息泄露的风险。D选项描述了多个不同职能的员工共用一部计算机。这种情况下，每个人都在自己的文件夹中存放文件，但仍然存在信息被误删除或误修改的风险，这也不符合“客体重用”准则。因此，选项A、B和D都不符合“客体重用”准则。42.依据GB/Z20986，确定为重大社会影响的情况包括（）。A.涉及到一个或多个地市的大部分地区B.威胁到国家安全C.扰乱社会秩序D.对经济建设有重大负面影响答案：ABD解析：重大社会影响的情况依据GB/Z20986标准，包括涉及到一个或多个地市的大部分地区、威胁到国家安全以及对经济建设有重大负面影响。这些情况都可能对社会产生广泛而深远的影响，因此被确定为重大社会影响的情况。选项C“扰乱社会秩序”并未在GB/Z20986标准中明确列为重大社会影响的情况，因此不应选。43.在设计和平应用安全区域工作规程时，宜考虑（）。A.基于“须知”原则，员工宜仅规定安全区的存在或其中的活动B.为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C.使用的安全区域宜上锁并定期予以评审D.经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机答案：AB解析：在设计和平应用安全区域工作规程时，需要考虑的因素包括员工对安全区的认知以及安全区内的活动监督。选项A提到基于“须知”原则，员工宜仅规定安全区的存在或其中的活动。这意味着在设计规程时，应确保员工明确知道安全区的存在，并了解他们在安全区内的活动范围。选项B提到为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作。这强调了在工作规程中，需要对安全区内的活动进行适当的监督，以减少潜在的安全风险或恶意行为。因此，这两个选项都是设计安全区域工作规程时应考虑的重要因素。44.（）是ISMS关键成功因素。A.用于评价信息安全管理执行情况和改进反馈建议的测量系统B.信息安全方针、目标和与目标保持一致的活动C.有效的业务连续性管理方法D.有效的信息安全事件管理答案：ABCD解析：在ISMS（信息安全管理体系）中，多个关键成功因素共同影响着其运行效果。首先，A选项提到的“用于评价信息安全管理执行情况和改进反馈建议的测量系统”是确保ISMS持续改进和优化的重要手段。其次，B选项的“信息安全方针、目标和与目标保持一致的活动”是确保ISMS方向明确、目标一致的关键。再次，C选项的“有效的业务连续性管理方法”对于确保在信息安全事件发生时，业务能够迅速恢复至关重要。最后，D选项的“有效的信息安全事件管理”能够及时应对各种信息安全威胁和挑战，保障信息资产的安全。因此，ABCD都是ISMS的关键成功因素。45.关于个人信息安全的基本原则，以下正确的是（）。A.目的明确原则B.最少够用原则C.同意和选择原则D.公开透明原则答案：ABCD解析：个人信息安全的基本原则包括目的明确原则、最少够用原则、同意和选择原则以及公开透明原则。这些原则共同构成了保护个人信息安全的基础，确保个人信息的合法、正当、必要使用，并保障个人的知情权和选择权。因此，选项A、B、C和D都是正确的。主观题（共7题，共7分）46.审核员对某IT服务公司进行审核时，与该公司系统集成项目负责人讨论信息安全管理，该项“我们做的是弱电系统集成，即购买计算机设备及外设、安装、联通调试、网络接入，设备可正常运行，网络连接正常，项目即结束。不涉及此后的顾客使用系统设备的过程，不接触顾客的任何业务运行是数据，所以没有信息安全风险。”该审核员表示赞同，就结束了审核。请问该审核员的做法是否正确，为什么，你会如何审核？参考答案不正确，因为审核员仅听受审核单位系统集成项目负责人介绍该单位“不涉及此后的顾客使用系统设备过程，不接触顾客的任何业务运行数据，所以没有信息安全风险”，并没有展开深入调查取证工作，就结束了审核，所以不正确。应通过沟通访谈、观察判断受审核单位是否按照标准相关条款要求，对ISMS进行审核，查看组织提供的《适用性声明》等，开展审核工作。具体如下：（1）文件体系是否建立健全，是否有安全策略。尤其是作为服务提供商，是否与服务对象建立正式合同或签署服务协之类的文件，是否明确服务要求、范围、等级等内容，并对信息安全要求达成一致。（2）查看部门以及人员职责，并访问相关人员，看其是否写组织规定相吻合。（3）是否按照组织的体系规定开展具体工作，如何控制变更管理，事件管理等。（4）看人员能力是否满足组织信息安全绩效的要求，并通过适当的教育培训，使其能够继续胜任。（5）是否进行风险管理，制定风险评估准则、开展识别风险，风险评估等活动。作为弱电系统集成商，是否在与服务对象及相关方接口的兼容性，支持性设施、布缆安全等方面进行了风险管理。（6）是否进行绩效评价，按计划的时间间隔进行内审，是否对被服务方的满意度的反馈进行评价。（7）是否将审核结果作为输入，采取措施纠正不符合，并持续改进本单位信息安全管理体系的适宜性、充分性和有效性。解析：信息安全是IT服务中的重要一环，不仅仅局限于设备的运行和网络的连接。该IT服务公司的系统集成项目负责人声称他们的服务不涉及顾客的业务运行数据，没有信息安全风险，但这并不意味着他们没有信息安全管理的责任。作为审核员，仅仅听信项目负责人的说法是不够的，应该进行深入调查，确保公司确实按照信息安全管理的标准进行操作。审核员应该通过沟通访谈、观察判断受审核单位是否按照标准相关条款要求，对ISMS进行审核。具体审核内容包括：1.文件体系是否建立健全，是否有安全策略。尤其是作为服务提供商，是否与服务对象建立正式合同或签署服务协议之类的文件，是否明确服务要求、范围、等级等内容，并对信息安全要求达成一致。2.查看部门以及人员职责，并访问相关人员，看其是否写组织规定相吻合。3.是否按照组织的体系规定开展具体工作，如何控制变更管理，事件管理等。4.看人员能力是否满足组织信息安全绩效的要求，并通过适当的教育培训，使其能够继续胜任。5.是否进行风险管理，制定风险评估准则、开展识别风险，风险评估等活动。作为弱电系统集成商，是否在与服务对象及相关方接口的兼容性，支持性设施、布缆安全等方面进行了风险管理。6.是否进行绩效评价，按计划的时间间隔进行内审，是否对被服务方的满意度的反馈进行评价。7.是否将审核结果作为输入，采取措施纠正不符合，并持续改进本单位信息安全管理体系的适宜性、充分性和有效性。只有通过这样的审核，才能确保IT服务公司的信息安全管理体系符合相关标准，为顾客提供安全、稳定的服务。47.什么是信息安全事态并举例说明。参考答案信息安全事态——系统、服务或网络的已识别的状态的发生，该状态表明一项可能的违反信息安全策略或控制措施失效，或一种先前未知的可能与安全相关的状况。信息安全事件——单个或一系列不期望的或意外的信息安全事态，它们具有危害业务运行和威胁信息安全的极大的可能性。解析：信息安全事态是指信息安全系统、服务或网络所发生的一种特定状态，这种状态可能意味着信息安全策略被违反，或者控制措施失效，或者出现了一种先前未知的可能与安全相关的状况。信息安全事态可能是预期内的，也可能是意外发生的，但它们都可能对信息安全产生影响。信息安全事件则是指一系列信息安全事态的发生，这些事态可能是单个的，也可能是连续的，它们都具有对业务运行产生危害和威胁信息安全的可能性。例如，企业内部的员工在未经授权的情况下访问敏感信息，这可能是一种信息安全事态，如果该员工频繁地访问敏感信息，那么就可能形成一种信息安全事件，因为这种行为可能会对企业的业务运行和信息安全产生严重的威胁。48.审核员在公司的资产登记表中发现，公司于年初将一批2003年购置的电脑特价处理给员工，这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理，该系统管理员说：“由于当时新进了许多新的电脑设备，需要安装调试，没空处理老的电脑，再说这些都是卖给自己员工的，他们本身就接触到这些信息。”参考答案不符合条款：GB/T22080-2016中A11.2.7：在弃用和再利用之前，含有存储介质的设备的所有项目应予以验证以确保任何敏感数据和有许可权的软件巳被移除或安全改写。不符合事实：公司于2003年购置了一批电脑用于核心业务系统，在出售前未做格式化处理直接售给了员工。解析：题目中描述了公司出售给员工的电脑是2003年购置的，用于核心业务系统。系统管理员表示在出售前没有进行格式化处理。根据GB/T22080-2016标准中的A11.2.7条款，含有存储介质的设备在弃用和再利用之前，应予以验证以确保任何敏感数据和有许可权的软件巳被移除或安全改写。由于这批电脑之前用于核心业务系统，可能包含敏感数据，因此在出售前应进行格式化处理以确保数据安全。因此，公司的做法不符合GB/T22080-2016标准的A11.2.7条款，同时也存在安全隐患。49.审核员在A公司计算机房审核时，遇到机房技术人员以及管理人员在忙于解决供电线路故障造成的业务系统服务器运行中断的问题，审核员观察到，当技术人员准备将供电切换到UPS电池组供电时，发现该电池组不能正常启动、输出，而另一组备份电池组也不知道什么时候坏了，于是管理人员决定到邻近公司与其协商看能否连接他们的备用电机，先解决应急问题。审核员问到上一次检查电池组是什么时候，技术人员回答说，从购买到现在很多年了，从来没有管过，这些电池组都是从最好的厂家买的，想不到会是坏的。参考答案不符合条款A17.2.1信息处理设施的可用性不符合标准内容：信息处理设施应具有足够的冗余以满足可用性要求。不符合事实：该公司因供电线路故障造成机房业务系统服务器运行中断，其UPS电池组和另一组备份电池组也不能正常启动供电。解析：在审核过程中，审核员观察到该公司在处理供电线路故障时，其UPS电池组和另一组备份电池组均不能正常启动、输出，导致机房业务系统服务器运行中断。这表明该公司的信息处理设施在冗余性方面存在不足，无法满足可用性要求。根据标准A17.2.1，信息处理设施应具有足够的冗余以满足可用性要求，因此，该公司在这一方面的