CCAA - 2018年03月审核知识（改考前）答案及解析 - 详解版（47题）

本资料由小桨备考整理，仅供学习参考，非官方发布2018年03月审核知识（改考前）答案及解析单选题（共30题，共30分）1.GB/T22080-2016标准中要求保护“测试数据”，以下符合这以要求的情况是（）。A.确保使用生产环境数据用于测试时真实、准确B.确保对信息系统测试所获得的数据的访问控制C.对用于信息系统测试的数据进行匿名化处理D.以上全部答案：B解析：GB/T22080-2016标准中要求保护“测试数据”，其中对“测试数据”的保护包括确保对信息系统测试所获得的数据的访问控制。因此，符合这一要求的是选项B，即确保对信息系统测试所获得的数据的访问控制。选项A提到的是生产环境数据，与题目要求的测试数据不符；选项C提到的是对用于信息系统测试的数据进行匿名化处理，虽然匿名化处理可以保护数据，但并未直接涉及到访问控制；选项D虽然包含了所有选项，但并非最符合题目要求的答案。因此，正确答案是B。2.包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖。A.系统软件B.游戏软件C.杀毒软件D.任何敏感信息答案：D解析：题目中要求核查包含储存介质的设备的所有项目，确保在处置之前，敏感信息已被删除或安全地写覆盖。系统软件、游戏软件、杀毒软件都属于软件范畴，但它们并不一定都是敏感信息。因此，只有“任何敏感信息”最符合题目要求，确保在处置设备之前，所有敏感信息都被删除或安全地写覆盖。因此，正确答案为D。3.表示客体安全级别并描述客体敏感性的一组信息，是（）。A.敏感性标记，是可信计算机中强制访问控制决策的依据B.关键性标记，是可信计算机中强制访问控制决策的依据C.关键性等级标记，是信息资产分类分级的依据D.敏感性标记，是表明访问者安全权限级别答案：A解析：在描述客体安全级别并描述客体敏感性的信息中，应选择“敏感性标记”。敏感性标记是可信计算机中强制访问控制决策的依据，用于表示客体的安全级别和敏感性。因此，选项A“敏感性标记，是可信计算机中强制访问控制决策的依据”是正确的答案。选项B“关键性标记”和选项C“关键性等级标记”都不符合题意。选项D“敏感性标记，是表明访问者安全权限级别”的表述也不准确，因为敏感性标记是用于表示客体的安全级别，而不是访问者的权限级别。4.不属事于WEB服务器的安全措施的是（）。A.保证注册帐户的时效性B.删除死帐户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码答案：D解析：本题考查的是WEB服务器的安全措施。A选项“保证注册帐户的时效性”是WEB服务器的安全措施之一，它确保了用户帐户不会因长时间未使用而过期，从而减少了安全风险。B选项“删除死帐户”同样是安全措施之一，它清除了不再使用或已被确认存在安全风险的帐户，减少了潜在的安全威胁。C选项“强制用户使用不易被破解的密码”也是安全措施，它要求用户设置强密码，增加了帐户的安全性。然而，D选项“所有用户使用一次性密码”并不是WEB服务器的常见安全措施。一次性密码（OTP）通常用于两步验证过程，但它不是直接应用于所有用户的通用安全措施。一次性密码是临时的、唯一的，并且在验证后立即失效，而不是像常规帐户密码那样持久存在。因此，正确答案是D选项，即“所有用户使用一次性密码”不属于WEB服务器的安全措施。5.对于第三方服务提供方，以下描述正确的是（）。A.为了监视和评审第三方提供的服务，第三方人员提供服务时应有人员全程陪同B.应定期度量和评价第三方遵从商定的安全策略和服务水平的程度C.第三方服务提供方应有符合ITIL的流程D.第三方服务的变更须向组织呈报以备案答案：B解析：对于第三方服务提供方的描述，我们需要根据给出的选项进行分析。A选项提到“第三方人员提供服务时应有人员全程陪同”，这并非是对第三方服务提供方的描述，而是对服务提供过程中的一种要求或方式，因此A选项不正确。B选项提到“应定期度量和评价第三方遵从商定的安全策略和服务水平的程度”，这是对第三方服务提供方的一种合理描述，定期度量和评价第三方服务的质量是确保服务符合商定标准的重要步骤。C选项提到“第三方服务提供方应有符合ITIL的流程”，虽然ITIL（信息技术基础架构库）是一种广泛使用的IT服务管理框架，但题目中并未明确指出第三方服务提供方必须遵循ITIL流程，因此C选项的描述过于绝对，不正确。D选项提到“第三方服务的变更须向组织呈报以备案”，这更像是对组织内部对第三方服务变更的一种管理要求，而不是对第三方服务提供方的描述，因此D选项不正确。综上所述，B选项“应定期度量和评价第三方遵从商定的安全策略和服务水平的程度”是对第三方服务提供方的正确描述。6.关于可信计算基，以下说法正确的是（）。A.指计算机系统中用作保护装置的硬件、固件、软件等的组合体B.指配置有可信赖安全防护硬件、软件产品的计算机环境C.指通过了国家有关安全机构认证的计算机信息系统D.指通过了国家有关机构评测的计算机基础设施，含硬件、软件的配置答案：A解析：可信计算基（TCB，TrustedComputingBase）是指计算机系统中用作保护装置的硬件、固件、软件等的组合体。它提供了一种机制，用于确保系统的机密性、完整性和可用性。因此，选项A“指计算机系统中用作保护装置的硬件、固件、软件等的组合体”是正确的。选项B、C和D都与可信计算基的定义不符。7.开发、测试和（）设施应分离，以减少未授权访问或改变运行系统的风险。A.配置B.系统C.终端D.运行答案：D解析：在信息安全领域，开发、测试和运行设施分离是一种重要的安全实践。这种分离有助于减少未授权访问或改变运行系统的风险。选项A“配置”通常指的是对系统或应用的配置过程，而不是设施；选项B“系统”是一个更宽泛的术语，不足以明确指出与开发和测试设施相区别的设施；选项C“终端”通常指的是用户与系统交互的界面，也不足以明确指出与开发和测试设施相区别的设施。因此，选项D“运行”最符合题目描述，指的是运行系统或应用的设施，与开发和测试设施相分离。8.《中华人民共和国网络安全法》的实施时间是（）。A.42522B.42681C.42887D.43046答案：C解析：《中华人民共和国网络安全法》的实施时间是2017年6月1日，即42887。因此，正确答案为C。其他选项A、B、D都不是正确的实施时间。9.末次会议包括（）。A.请受审核方确认不符合报告、并签字B.向受审核方递交审核报告C.双方就审核发现的不同意见进行讨论D.以上都不准确答案：C解析：末次会议是审核过程中的一个重要环节，通常在审核结束后进行。在末次会议中，审核组和受审核方会就审核过程中发现的问题和不符合项进行讨论。因此，选项C“双方就审核发现的不同意见进行讨论”是末次会议的主要内容。选项A“请受审核方确认不符合报告、并签字”和选项B“向受审核方递交审核报告”虽然也是审核过程中的环节，但不是末次会议的主要内容。选项D“以上都不准确”显然是不正确的。因此，正确答案是C。10.认证审核时，审核组应（）。A.在审核前将审核计划提交受审核方，并与受审核方进行沟通得到确认B.在审核中将审核计划提交受审核方，并与受审核方进行沟通得到认定C.在审核后将审核计划提交受审核方，并受审核方进行沟通得到确认D.在审核后将审核计划提交受审核方，并与受审核方进行沟通得到认可答案：A解析：根据题目，认证审核时，审核组应该在审核前将审核计划提交受审核方，并与受审核方进行沟通得到确认。因此，选项A“在审核前将审核计划提交受审核方，并与受审核方进行沟通得到确认”是正确的。其他选项在时间上或者与受审核方的沟通上都不符合题目要求。11.认证审核时，审核组拟抽查的样本应（）。A.由受审核方熟悉的人员事先选取，做好准备B.由审核组明确总体并在受控状态下独立抽样C.由审核组和受审核方人员协商抽样D.由受审核方安排的向导实施抽样答案：B解析：在认证审核时，审核组拟抽查的样本应由审核组明确总体并在受控状态下独立抽样。这是因为审核组作为独立的第三方，应该确保抽样的公正性和客观性，不受受审核方的影响。由审核组独立抽样可以确保样本的代表性，从而更准确地评估受审核方的管理体系或产品质量。因此，选项B“由审核组明确总体并在受控状态下独立抽样”是正确的选择。12.下列说法不正确的是（）。A.审核组可以由一名或多名审核员组成B.配备一名经认可具有专业能力的成员C.实习审核员可在技术专家指导下承担审核任务D.审核组长通常由高级审核员担任答案：C解析：本题考查的是审核组的相关知识。A项正确，根据《审核组工作程序》，审核组由一名或多名审核员组成，审核组可以包括技术专家，必要时可以配备一名经认可具有专业能力的成员。B项正确，审核组可以包括技术专家，必要时可以配备一名经认可具有专业能力的成员。C项错误，审核员包括实习审核员和主任审核员等，审核员应在审核组的组织下开展工作，不能单独进行审核活动，审核组可以对审核员的工作质量进行控制。因此，实习审核员不能单独承担审核任务，更不可能在技术专家指导下承担审核任务。D项正确，审核组长通常由高级审核员担任，审核组长负责审核组的管理和协调，确保审核工作的顺利进行。本题为选非题，故正确答案为C。13.信息安全管理体系审核时，为了获取审核证据，应考虑的信息源为（）。A.受审核方的业务系统相关的活动和数据B.受审核方场所中已确定为信息安全管理体系范围内的相关过程和活动C.受审核方申请信息安全管理体系认证范围内的业务过程和活动D.以上全部答案：D解析：信息安全管理体系审核时，为了获取审核证据，应考虑的信息源应包括受审核方的业务系统相关的活动和数据、受审核方场所中已确定为信息安全管理体系范围内的相关过程和活动以及受审核方申请信息安全管理体系认证范围内的业务过程和活动。因此，正确答案为D，即以上全部。在审核过程中，审核员需要综合考虑各种信息源，以确保审核的全面性和准确性。14.审核的工作文件包括（）。A.检査表B.审核抽样计划C.信息记录表格D.A+B+C答案：D解析：根据题目给出的选项，审核的工作文件包括“A检査表”、“B审核抽样计划”和“C信息记录表格”。因此，正确答案是“DA+B+C”，即审核的工作文件包括检査表、审核抽样计划和信息记录表格。15.强制访问控制是针对（）等级的信息系统的要求。A.二级（含）以上B.三级（含）以上C.四级（含）以上D.五级答案：B解析：强制访问控制是一种安全策略，它要求信息系统能够实施对信息的强制访问控制。根据信息安全等级保护制度，不同等级的信息系统有不同的安全要求。其中，三级（含）以上的信息系统要求实施强制访问控制，以防止非授权访问和非法操作。因此，正确答案是B选项，即“三级（含）以上”。16.信息安全管理体系审核的抽样过程是（）。A.由受审核方负责策划系统性的抽样方案B.验收性质的抽样，决定是否可以认证通过C.通过对总体的评价来推断样本信息D.调查性质的抽样，有弃真的风险和取伪的风险答案：D解析：信息安全管理体系审核的抽样过程通常是调查性质的抽样，这种抽样方式存在弃真的风险和取伪的风险。弃真的风险是指未能正确识别出实际存在的问题，取伪的风险是指错误地识别出不存在的问题。因此，选项D“调查性质的抽样，有弃真的风险和取伪的风险”是正确的。选项A“由受审核方负责策划系统性的抽样方案”并不是审核抽样的核心过程；选项B“验收性质的抽样，决定是否可以认证通过”与审核抽样的目的不符；选项C“通过对总体的评价来推断样本信息”虽然与抽样有关，但不是信息安全管理体系审核抽样的具体过程。17.现场审核的结束是指（）。A.末次会议结束B.对不符合项纠正措施进行验证后C.分发了经批准的审核报告时D.监督审核结束答案：A解析：现场审核的结束通常指的是末次会议结束。末次会议是审核过程中的一个重要环节，审核组会在此次会议上总结审核发现，与被审核方确认不符合项，并讨论改进措施。因此，末次会议的结束标志着现场审核的结束。选项B、C和D描述的是对不符合项纠正措施进行验证、分发经批准的审核报告和监督审核结束，这些虽然是审核过程中的一部分，但不是现场审核结束的标志性事件。所以，正确答案是A，即末次会议结束。18.依据GB/T22080，以下不是“适用性声明”文件必须包含的内容是（）。A.实施信息安全控制措施的角色、职责和权限B.组织选择的控制目标和控制措施，以及选择的理由C.当前实施的控制目标和控制措施D.对附录A中可控制目标和控制措施的删减，以及删减的合理性说明答案：A解析：在GB/T22080中，“适用性声明”文件的主要目的是声明组织对其信息安全管理体系范围的适用性，以及组织对标准中控制目标和控制措施的适用情况。因此，文件应该包含对附录A中可控制目标和控制措施的删减，以及删减的合理性说明。此外，还应说明组织选择的控制目标和控制措施，以及选择的理由。而实施信息安全控制措施的角色、职责和权限通常是组织信息安全策略或管理文件中定义的内容，并非“适用性声明”文件必须包含的内容。因此，选项A“实施信息安全控制措施的角色、职责和权限”不是“适用性声明”文件必须包含的内容。19.依据GB/Z20986，信息安全事件的分级为（）。A.特别严重事件、严重事件般事件B.特别重大事件、重大事件较大事件、一般事件C.I级、II级、III级级、V级D.严重事件、较严重事件、一般事件答案：B解析：依据GB/Z20986，信息安全事件的分级为特别重大事件、重大事件、较大事件和一般事件。因此，选项B是正确的。其他选项A、C、D中的分级标准与GB/Z20986不符。20.信息安全管理体系认证是（）。A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信感安全管理体系认证不是合格评定活动D.信息系统风险管理的实施活动答案：A解析：信息安全管理体系认证是与信息安全管理体系有关的规定要求得到满足的证实活动。信息安全管理体系认证是对组织的信息安全管理体系是否满足相关标准或规定的要求进行确认的活动，它涉及到对组织的信息安全策略、过程、程序、资源等方面的全面评估，以确保组织的信息安全管理体系能够有效地实施和持续改进。因此，信息安全管理体系认证是与信息安全管理体系有关的规定要求得到满足的证实活动，选项A正确。选项B是对信息系统是否满足有关的规定要求的评价，但这只是信息安全管理体系认证的一部分，不是全部；选项C的说法错误，信息安全管理体系认证是一种合格评定活动；选项D的说法与信息安全管理体系认证无关，信息系统风险管理的实施活动不是信息安全管理体系认证的定义。21.以下不属于“责任分割”原则范畴的做法是（）。A.不同职级人员工作区域隔离B.保持安全审核人员的独立性C.授权者、操作者和监视者三者责任分离D.事件报告人员与事件处理人员职责分离答案：A解析：责任分割原则的核心在于确保不同的角色和职责之间不会相互干扰，从而确保系统的安全性和可靠性。A选项提到“不同职级人员工作区域隔离”，这更多的是关于物理空间上的隔离，而不是职责上的分离。虽然物理隔离可能有助于减少某些风险，但它并不直接涉及到责任分割的原则。B选项“保持安全审核人员的独立性”确保了审核人员不会受到其他因素的影响，从而能够客观地执行其职责，这符合责任分割的原则。C选项“授权者、操作者和监视者三者责任分离”明确指出了三种不同的角色，并确保了它们之间的职责不会相互干扰，这也是责任分割原则的体现。D选项“事件报告人员与事件处理人员职责分离”确保了报告和处理职责的分离，防止了潜在的利益冲突，同样符合责任分割的原则。因此，不属于“责任分割”原则范畴的做法是A选项“不同职级人员工作区域隔离”。22.组织针对信息系统的升级版，在向生产系统安装前构建受控环境予以测试，这符合（）。A.GB/T22080-2016标准A11.1.3条款的要求B.GB/T22080-2016标准A14.2.4条款的要求C.GB/T22080-2016标准A12.5.1条款的要求D.GB/T22080-2016标准A14.2.9条款的要求答案：D解析：题目中提到的“组织针对信息系统的升级版，在向生产系统安装前构建受控环境予以测试”符合GB/T22080-2016标准中A14.2.9条款的要求。GB/T22080-2016是信息安全管理体系标准，A14.2.9条款涉及“测试、评审和修改”的要求，即在实施更改（如升级信息系统）之前，组织应确保在受控环境中进行充分的测试，以确保更改不会对信息安全产生不利影响。因此，选项D“GB/T22080-2016标准A14.2.9条款的要求”是正确的。23.以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的安全事件称之为（）。A.有害程序事件B.僵尸网络事件C.拒绝服务攻击D.信息破坏事件答案：C解析：拒绝服务攻击（DenialofService，DoS）是一种通过大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的安全事件。有害程序事件、僵尸网络事件和信息破坏事件虽然也可能对信息系统造成影响，但它们与拒绝服务攻击在目的和机制上有所不同。因此，正确答案为C，即拒绝服务攻击。24.以下不是信息安全管理体系认证审核目标应规定的内容的是（）。A.确定所审核的管理体系或其一部分与审核准则的符合程度B.为制定组织信息安全管理体系改进计划提供输入C.评价管理体系的能力，以确保满足法律法规和其他相关要求D.评价管理体系在实现组织信息安全目标方面的有效性答案：B解析：信息安全管理体系认证审核目标应规定的内容包括确定所审核的管理体系或其一部分与审核准则的符合程度、评价管理体系的能力，以确保满足法律法规和其他相关要求以及评价管理体系在实现组织信息安全目标方面的有效性。选项B“为制定组织信息安全管理体系改进计划提供输入”不是信息安全管理体系认证审核目标应规定的内容。因此，答案为B。25.以下强健口令的是（）。A.a8mom9y5fub33B.1234C.CNASD.Password答案：A解析：在评估四个选项的口令强度时，我们需要考虑口令的复杂性和难以猜测性。A选项"a8mom9y5fub33"包含大小写字母、数字和特殊字符，长度也相对较长，这样的口令很难被猜测，因此具有较高的安全性。B选项"1234"是一个非常简单的口令，仅包含数字且顺序排列，非常容易被猜测，因此安全性很低。C选项"CNAS"是一个常见的英文缩写，虽然包含字母，但可能容易被猜测或通过字典攻击破解，因此安全性也较低。D选项"Password"是一个常见的弱口令，因为它是一个常见的英文单词，非常容易被猜测，安全性很低。综上所述，A选项"a8mom9y5fub33"是最安全的口令，因为它包含多种字符类型，长度适中，且难以猜测。因此，正确答案是A。26.在审核中发现了正在使用的某个文件，这是（）。A.审核准则B.审核发现C.审核证据D.审核结论答案：C解析：在审核中，审核员会收集各种信息，这些信息被称为审核证据。审核准则是一组用于评估被审核对象是否满足特定要求的准则或标准。审核发现是在审核过程中，审核员根据审核证据和审核准则，对被审核对象进行评估后得出的具体结果或观察。审核结论则是基于审核发现，审核员对被审核对象是否满足审核准则的要求所做出的最终判断。题目中提到的“正在使用的某个文件”是审核员在审核过程中收集到的信息，即审核证据。因此，正确答案是C，即“审核证据”。27.在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A.内容监控B.安全教育和培训C.责任追查和惩处D.访问控制答案：B解析：在信息安全管理中，解决人员安全意识薄弱问题的有效方法是进行安全教育和培训。通过教育和培训，可以提高员工对信息安全的认识和意识，使其了解并遵守相关的安全规定和流程，从而降低安全风险。因此，选项B“安全教育和培训”是正确答案。其他选项如内容监控、责任追查和惩处、访问控制虽然都是信息安全管理的重要方面，但与解决人员安全意识薄弱问题不直接相关。28.针对获证组织扩大范围的审核，以下说法正确的是（）。A.一种特殊审核，可以和监督审核一起进行B.是监督审核的形式之一C.审核时抽样的样式范围和监督审核相同D.以上都对答案：A解析：针对获证组织扩大范围的审核，不是一种特殊审核，也不是监督审核的形式之一，审核时抽样的样式范围和监督审核也不相同。因此，选项A“一种特殊审核，可以和监督审核一起进行”是错误的说法。选项B“是监督审核的形式之一”和选项C“审核时抽样的样式范围和监督审核相同”也都是错误的说法。所以，正确答案是选项A。29.组织应给予信息头适当级别的保护，是指（）。A.应实施尽可能先进的保护措施以确保其保密性B.应按偏息对于组织业务的关键性给予充分和必要的保护C.应确保信息对于组织内的所有员工可用D.以上都对答案：B解析：题目中询问的是“组织应给予信息头适当级别的保护，是指什么”。选项A提到“应实施尽可能先进的保护措施以确保其保密性”，这确实是保护信息的一种方式，但题目中并未明确提到“尽可能先进”的保护措施，因此A选项不完全符合题意。选项C提到“应确保信息对于组织内的所有员工可用”，这与“适当级别的保护”无关，因为保护信息的目的并不是让所有人都能访问，而是要确保信息的安全。选项D提到“以上都对”，这显然不符合题目的要求，因为只有一个选项是正确的。因此，只有选项B“应按偏息对于组织业务的关键性给予充分和必要的保护”符合题意，因为保护信息的级别应该根据信息对于组织业务的关键性来确定。所以，正确答案是B。30.ISMS管理评审的输出应包括（）。A.可能影响ISMS的任何变更B.以往风险评估没有充分强调的脆弱点或威胁C.风险评估和风险处理计划的更新D.改进的建议答案：C解析：ISMS管理评审的输出应包括风险评估和风险处理计划的更新。这是因为管理评审的目的是确保ISMS的有效性、充分性和适宜性，而风险评估和风险处理计划是确保ISMS能够有效应对信息安全风险的关键要素。因此，管理评审的输出应包括对风险评估和风险处理计划的更新，以确保ISMS能够持续有效地保护组织的信息资产。其他选项如可能影响ISMS的任何变更、以往风险评估没有充分强调的脆弱点或威胁以及改进的建议，虽然也是管理评审中需要考虑的因素，但并不是管理评审输出的直接内容。因此，正确答案为C。多选题（共10题，共10分）31.（）是ISMS关键成功因素A.用于评价信息安全管理执行情况和改进反馈建议的测量系统B.信息安全方针、目标和与目标保持一致的活动C.有效的业务连续性管理方法D.有效的信息安全事件管理过程答案：ABCD解析：题目询问的是ISMS（信息安全管理体系）的关键成功因素，因此需要对各个选项进行分析。A选项“用于评价信息安全管理执行情况和改进反馈建议的测量系统”是ISMS中非常关键的因素，因为它能够衡量系统的性能并给出改进建议，有助于系统持续改进。B选项“信息安全方针、目标和与目标保持一致的活动”是ISMS的核心，它定义了组织对信息安全的期望和承诺，并确保所有活动都与此保持一致。C选项“有效的业务连续性管理方法”对于确保在信息安全事件发生时，组织能够迅速恢复业务运作至关重要，因此也是ISMS的关键成功因素。D选项“有效的信息安全事件管理过程”是确保组织能够迅速、有效地响应信息安全事件的关键，有助于减少潜在损失并维护组织的声誉。综上所述，ABCD都是ISMS的关键成功因素，因此选项ABCD都是正确的。32.依据GB/Z20986，确定为重大社会影响的情况包括（）。A.涉及到一个或多个地市的大部分地区B.威胁到国家安全C.扰乱社会秩序D.对经济建设有重大负面影响答案：ABD解析：重大社会影响的情况依据GB/Z20986标准，包括涉及到一个或多个地市的大部分地区、威胁到国家安全以及对经济建设有重大负面影响。这些情况都可能对社会产生广泛而深远的影响，因此被确定为重大社会影响的情况。选项C“扰乱社会秩序”并未在GB/Z20986标准中明确列为重大社会影响的情况，因此不应选。33.关于多现场抽样审核，以下说法正确的是（）。A.认证机构的审核方案要在三年内覆盖ISMS认证范围内的代表性样本B.认证机构的审核方案要在三年内覆盖ISMS认证范围内的所有场所C.总部或单个场所发现不符合其纠正措施的实施适用于总部和所有场所D.单个场所发现不符合其纠正措施的实施适用于总部和该单个场所答案：AC解析：多现场抽样审核的相关内容，我们可以根据给出的选项进行逐一分析：A选项提到“认证机构的审核方案要在三年内覆盖ISMS认证范围内的代表性样本”。这一说法是合理的，因为抽样审核的目的就是为了在有限的审核资源和时间内，对体系覆盖的关键或代表性的样本进行审核，确保体系的符合性和有效性。B选项表示“认证机构的审核方案要在三年内覆盖ISMS认证范围内的所有场所”。这与抽样审核的原则相悖，因为抽样审核并不是要审核所有的场所，而是选取代表性的样本进行审核。C选项提到“总部或单个场所发现不符合其纠正措施的实施适用于总部和所有场所”。这是正确的，因为无论问题出现在总部还是单个场所，其纠正措施的实施都应该适用于整个体系，包括总部和所有场所。D选项表示“单个场所发现不符合其纠正措施的实施适用于总部和该单个场所”。这一说法并不准确，因为当问题出现在单个场所时，其纠正措施的实施应该适用于该场所本身，而不是总部。综上所述，正确的选项是A和C。34.关于个人信息安全的基本原则，以下正确的是（）。A.目的明确原则B.最少够用原则C.同意和选择原则D.公开透明原则答案：ABCD解析：个人信息安全的基本原则包括目的明确原则、最少够用原则、同意和选择原则以及公开透明原则。这些原则共同构成了保护个人信息安全的基础，确保个人信息的合法、正当、必要使用，并保障个人的知情权和选择权。因此，选项A、B、C和D都是正确的。35.以下不符合“客体重用”准则的是（）。A.当项目组A成员离开项目组A进入项目组B时，其在项目组A时持有并使用的PC直接带入项目组B使用B.资产编号为101#的磁盘分配给财务部用于具所存账务报表等的数据备份，由于财务部数据量较小，该101#磁盘剩余空间很大，因此将该磁盘同时指派给客户接待中心共用C.IT部对所有的新员工、调岗员工分配计算机之前，将计算机中原存有的所有信息另做备份后进行彻底删除D.业务应用系统运维部为了节约资源，多个不同职能角色的员工共用一部计算机，每个人分别建立文件夹用来存放自己的文体答案：ABD解析：“客体重用”准则是指客户机或设备在从一个项目组或部门转移至另一个项目组或部门时，应该避免信息泄露或资产误用的情况。A选项中，当项目组A成员离开项目组A进入项目组B时，其在项目组A时持有并使用的PC直接带入项目组B使用，这样做可能会导致前项目A的数据、配置文件等留在原PC上，而项目B的人员可能会不小心访问或误用这些数据，从而违反了“客体重用”准则。B选项中，资产编号为101#的磁盘分配给财务部用于存储账务报表等的数据备份，由于财务部数据量较小，该101#磁盘剩余空间很大，因此将该磁盘同时指派给客户接待中心共用。这样做可能导致客户接待中心的人员误用或访问财务部的数据，同样违反了“客体重用”准则。C选项中，IT部对所有的新员工、调岗员工分配计算机之前，将计算机中原存有的所有信息另做备份后进行彻底删除，这样做符合“客体重用”准则，因为所有的信息都被彻底删除，不会造成信息泄露或资产误用。D选项中，业务应用系统运维部为了节约资源，多个不同职能角色的员工共用一部计算机，每个人分别建立文件夹用来存放自己的文件。这样做可能导致不同职能角色的员工之间的信息泄露或误用，因为他们共享同一台计算机，违反了“客体重用”准则。综上所述，选项A、B和D都不符合“客体重用”准则。36.访问信息系统的用户注册的管理是（）。A.对用户访问信息系统和服务的授权的管理B.对用户予以注册时须同时考虑与访问控制策略的一致性C.当ID资源充实时可允许用户使用多个IDD.用户在组织内变换工作岗位时不必重新评审其所用ID的访问权答案：AB解析：这道题目考查的是对访问信息系统的用户注册管理的理解。A选项“对用户访问信息系统和服务的授权的管理”是正确的。在访问信息系统中，用户注册管理通常涉及对用户访问权限的授权，即确定用户可以访问哪些信息系统和服务，以及他们拥有何种访问权限。B选项“对用户予以注册时须同时考虑与访问控制策略的一致性”也是正确的。在注册用户时，需要确保用户的访问权限与组织的访问控制策略保持一致，以确保信息系统的安全性和完整性。C选项“当ID资源充实时可允许用户使用多个ID”与题目要求不符。题目并没有提到ID资源是否充足，也没有提到允许用户使用多个ID。D选项“用户在组织内变换工作岗位时不必重新评审其所用ID的访问权”也是不正确的。当用户在组织内变换工作岗位时，通常需要重新评审其访问权限，以确保其访问的信息系统和服务与其新的工作职责相符。综上所述，正确答案是A和B。37.依据GB/Z20986，确定为严重的系统损失的情况包括（）。A.系统大面积瘫痪，丧失业务处理能力B.系统关键数据的保密性、完整性、可用性遭到破坏C.恢复系统正常运行和消除安全事件负面影响所需代价较大D.恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的答案：BD解析：依据GB/Z20986，确定为严重的系统损失的情况包括：A系统大面积瘫痪，丧失业务处理能力：此选项描述的是系统的大面积瘫痪，丧失业务处理能力，但题目中并没有明确说明这是严重的系统损失的情况，所以不应选。B系统关键数据的保密性、完整性、可用性遭到破坏：此选项明确指出了系统关键数据的保密性、完整性、可用性遭到破坏，这是严重的系统损失的情况之一，所以应选。C恢复系统正常运行和消除安全事件负面影响所需代价较大：此选项描述的是恢复系统正常运行和消除安全事件负面影响所需代价较大，但题目中并没有明确说明这是严重的系统损失的情况，所以不应选。D恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的：此选项描述的是恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的，这与题目中描述严重的系统损失的情况不符，所以不应选。因此，依据GB/Z20986，确定为严重的系统损失的情况包括B系统关键数据的保密性、完整性、可用性遭到破坏。所以，正确答案为B。题目中的选项C和D描述的是恢复系统正常运行和消除安全事件所需付出的代价，而不是系统损失的情况，因此不应选。38.认证审核时，可以考虑采用多场所抽样审核的条件是（）。A.所有的场所活动相同，仅有规模上的差异B.所有场所在同一ISMS下运行，并接受统一的管理、内部审核和管理评审C.所有场所包括在客户组织的内部信息安全管理体系审核方案中D.所有场所包括在客户组织的信息安全管理体系管理评审方案中答案：ABCD解析：在认证审核中，多场所抽样审核是一种常用的方法，用于评估组织在不同地点的信息安全管理体系（ISMS）的有效性。这种审核方式适用于那些在不同地点运营但活动相同、规模有差异的组织。A选项提到“所有的场所活动相同，仅有规模上的差异”，这是多场所抽样审核的一个基本前提，因为只有当不同场所的活动相同，才能确保抽样审核的准确性和代表性。B选项提到“所有场所在同一ISMS下运行，并接受统一的管理、内部审核和管理评审”，这确保了所有场所都在同一套信息安全管理体系下运行，有利于审核员对整体信息安全状况进行评估。C选项提到“所有场所包括在客户组织的内部信息安全管理体系审核方案中”，这意味着客户组织已经制定了针对所有场所的审核方案，审核员可以根据这个方案进行抽样审核。D选项提到“所有场所包括在客户组织的信息安全管理体系管理评审方案中”，管理评审是组织对其信息安全管理体系的定期评估，如果所有场所都包括在管理评审方案中，那么审核员可以基于这个方案进行抽样审核。综上所述，A、B、C和D选项都是认证审核时可以考虑采用多场所抽样审核的条件。39.信息安全管理体系审核组的能力包括（）。A.信息安全事件处理方法和业务连续性的知识B.有关有形和无形资产及其影响分析的知识C.风险管理过程和方法的知识D.信息安全管理体系的控制措施及其实施的知识答案：ABCD解析：信息安全管理体系审核组在审核信息安全管理体系时，需要具备全面的知识和能力。信息安全事件处理方法和业务连续性的知识，能够帮助审核组了解组织在面对信息安全事件时，如何迅速、有效地处理，以及如何确保业务的连续性；有关有形和无形资产及其影响分析的知识，使审核组能够评估这些资产在信息安全管理体系中的价值和可能受到的影响；风险管理过程和方法的知识，使审核组能够评估组织的风险管理能力和效果；信息安全管理体系的控制措施及其实施的知识，使审核组能够评估组织在信息安全管理体系中的控制措施是否得到有效实施。因此，选项A、B、C和D都是信息安全管理体系审核组应具备的能力。40.以下属于信息安全事件的是（）。A.软件自身故障B.硬件或外围保障设施自身故障C.人为破坏设备设施事故D.计划的系统维护期间的业务停止答案：ABC解析：信息安全事件是指由于自然或者人为以及软硬件本身故障而导致的信息系统或者其服务功能异常，造成系统不可用，信息资产出现泄露、修改、破坏或业务连续性受到破坏，以及由于人为破坏导致针对国家、法人、其他组织或个人的信息资产或信息网络进行的危害或潜在危害的活动。选项A软件自身故障、选项B硬件或外围保障设施自身故障、选项C人为破坏设备设施事故，均可能导致信息安全问题，因此属于信息安全事件。选项D计划的系统维护期间的业务停止，通常是为了维护系统而进行的正常操作，不属于信息安全事件。主观题（共7题，共7分）41.阐述实施审核时针对标准取证应包含哪些基本内容举例说明。参考答案应按照标准条款所要求的内容逐一进行抽样核查，调取审核证据包括现场询问到、听到、看到及与要求相关的文件化信息。例如：查组织5.2方针的过程：1）组织的方针是否书面化形成文件，查书面证据：2）依据组织的管理方针与最高管理层交谈，了解企业的运营宗旨、框架方向，是否与企业的方针相一致；3）查看方针中的内容是否包含组织适用的信息安全内容的承诺；4）查看方针中是否包含行对持续改进信息安全管理体系的相关承诺：5）公司各部门交谈，了解公司工作人员是否都是否清楚公司的方针；6）询问最高管理层解相关方获取公司组织。解析：本题要求阐述实施审核时针对标准取证应包含的基本内容，并举例说明。首先，实施审核时，应按照标准条款逐一进行抽样核查，确保审核的全面性和准确性。这是审核的核心原则，通过对标准条款的抽样核查，可以确保审核的公正性和客观性。其次，调取审核证据是审核的重要步骤。审核证据包括现场询问、观察、记录以及与要求相关的文件化信息。这些信息是判断组织是否符合标准要求的重要依据。举例说明部分，以组织5.2方针的过程为例，详细阐述了审核时应该关注的内容。这包括查阅组织的方针文件、与管理层交谈、查看方针内容、询问员工以及询问最高管理层等。通过这些步骤，可以全面了解组织的方针是否得到实施，以及实施的效果如何。这样的回答既符合题目的要求，也提供了具体的实施步骤和示例，有助于读者更好地理解和应用审核的相关知识。42.AOXI公司面向签约客户提供“数据中心机房基础设施运营服务”，对于客户方设备运维工程师进入机房的授权流程为：客户方提供书面签章文件列明为申请授权指定的联系人、联络邮箱地址→AOXI公司建立邮件人及地址白名单→白名单中的联络人使用指定邮箱为每次需进入机房的工程师申请进入授权→OXI公司按邮代核实工程师本人信息，予以授权。客户方的邮件联络人和邮箱地址一旦进入AOXI公司白名单即永久有效请针对该情景依据GB/T22080-2016标准阐述你的审核思路。参考答案从两方面审核该公司的控制情况。第一方面：访问控制A9.1.1。1、组织是否制定了物理机房的访问控制策略；2、策略包含的内容是否齐全？应包括：业务应用的安全要求、相关法律和合同的要求、访问权的管理、控制角色的分离是否正确、访问权的定期评审、访问权的取消、用户身份的秘密鉴别是否到位等内容。3、题目中描述的确认流程是否经过评审；4、机房访问用户许可变更和由管理员启动的用户评可变更的程序是否可行；第二方面：物理入口控制A11.1.2。1、查公司是否验证所授权访问程度是否与策略相适宜，是否考虑了职责分离之类的其他要求相一致。综上描述，在查公司访问控制授权白名单是发现，授权名单未考虑访问权的管理要求，不应永久有效，访问权未进行定期评审、未考虑访问权的取消、对白名单上的用户未实施鉴别。解析：此题要求根据GB/T22080-2016标准，对AOXI公司面向签约客户提供“数据中心机房基础设施运营服务”的授权流程进行审核。审核思路可以从两个方面展开：第一方面：访问控制A9.1.11.访问控制策略：GB/T22080-2016标准中A9.1.1要求组织应制定物理机房的访问控制策略。因此，我们需要审核AOXI公司是否制定了这样的策略，并检查其内容是否齐全，包括业务应用的安全要求、相关法律和合同的要求、访问权的管理、控制角色的分离、访问权的定期评审、访问权的取消、用户身份的秘密鉴别等。2.确认流程：题目描述的确认流程是否经过评审，以确保流程符合访问控制策略的要求。3.用户许可变更程序：A9.1.1还涉及机房访问用户许可变更和由管理员启动的用户评可变更的程序。我们需要审核这个程序是否可行，是否符合访问控制策略。第二方面：物理入口控制A11.1.21.职责分离：GB/T22080-2016标准中A11.1.2要求组织应验证所授权访问程度是否与策略相适宜，并考虑职责分离之类的其他要求。因此，我们需要审核AOXI公司是否做到这一点，即验证所授权访问程度是否与策略相适宜，并考虑职责分离之类的其他要求。综上，审核过程中发现，AOXI公司的授权白名单未考虑访问权的管理要求，不应永久有效，访问权未进行定期评审、未考虑访问权的取消、对白名单上的用户未实施鉴别。这些问题都需要AOXI公司根据GB/T22080-2016标准进行相应的改进和调整。43.审核检查机房时对门禁权限进行随机抽查发现，陈某已离职，但系统中的门禁权限未发同变更。参考答案不符合条款：GB/T22080-2016标准中A9.2.6：所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时，应予以移除，或在变更时予以调整。不符合事实：查机房门禁权限，陈某已离职，但系统中的门禁权限未发同变更。解析：本题考察的是对GB/T22080-2016标准中A9.2.6条款的理解和应用。题目中明确指出，在审核检查机房时，发现已离职的陈某的门禁权限在系统中未进行变更，这违反了标准中规定的“所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时，应予以移除，或在变更时予以调整”的条款。因此，这一事实是不符合标准的。44.审核员在公司的资产登记中发现，公司于年初将一批之前购置的电脑特价处理给了员工，这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理，该系统管理员说：“由于当时新进了许多新的电脑设备，需要安装调试，没空处理老的电脑，再说这些都是卖会自已员工的，他们本身就接触到这些信息。”参考答案不符合条款：GB/T22080-2016中A11.2.7：在弃用和再利用之含有存储介质的设备的所有项目应予以验证以确保任何敏感数据和有许可权的软件已被移除或安全改写。不符合事实：公司于2003年购置了一批电脑用于核心业务系统，在出售前未做格式化处理直接售给了员工。解析：根据提供的题目信息，审核员在公司的资产登记中发现，公司于年初将一批之前购置的电脑特价处理给了员工，这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理，该系统管理员说：“由于当时新进了许多新的电脑设备，需要安装调试，没空处理老的电脑，再说这些都是卖会自已员工的，他们本身就接触到这些信息。”从这些信息中，我们可以得出以下