CCAA - 2018年09月审核知识（改考前）答案及解析 - 详解版（47题）

本资料由小桨备考整理，仅供学习参考，非官方发布2018年09月审核知识（改考前）答案及解析单选题（共30题，共30分）1.依据GB/Z20986，信息安全事件的分级为（）。A.特别严重事件、严重事件、一般事件B.特别重大事件、重大事件、较大事件、一般事件C.I级、II级、III级、IV级、V级D.严重事件、较严重事件、一般事件答案：B解析：依据GB/Z20986，信息安全事件的分级为特别重大事件、重大事件、较大事件、一般事件。因此，正确答案为B选项。A选项中的“特别严重事件”并不是GB/Z20986中的分级标准；C选项中的I级、II级、III级、IV级、V级也不是该标准中的分级；D选项中的“严重事件”同样不是标准中的分级。因此，只有B选项符合标准。2.以下属于信息安全管理体系审核发现的是（）。A.审核员看到的物理入口控制方式B.审核员看到的信息系统资源阈值C.审核员看到的移动介质的使用与安全策略的符合性D.审核员看到的项目质量保证活动与CMMI规程的符合性答案：C解析：信息安全管理体系审核主要是评估组织的信息安全管理体系是否按照预定的标准和规范运作，以及是否有效地保护组织的信息资产。根据给出的选项：A.审核员看到的物理入口控制方式-这更多与物理安全相关，而不是信息安全管理体系审核的关注点。B.审核员看到的信息系统资源阈值-这可能涉及到资源分配或性能监控，但不一定与信息安全管理体系直接相关。C.审核员看到的移动介质的使用与安全策略的符合性-这与信息安全管理体系中的访问控制、数据保护等方面直接相关，是信息安全管理体系审核可能发现的内容。D.审核员看到的项目质量保证活动与CMMI规程的符合性-这与项目管理和质量保证相关，与信息安全管理体系审核不直接相关。因此，选项C“审核员看到的移动介质的使用与安全策略的符合性”最符合信息安全管理体系审核可能发现的内容。3.ISMS文件的多少和详细程度取决于（）。A.组织的规模和活动的类型B.过程及其相互作用的复杂程度C.人员的能力D.以上都对答案：D解析：ISMS文件的多少和详细程度通常取决于组织的规模和活动的类型、过程及其相互作用的复杂程度。这些因素共同影响组织对信息安全管理体系的需求和期望。因此，组织的规模、活动的类型以及过程的复杂程度都会影响到ISMS文件的数量和详细程度。所以，以上都对。4.以下关于VPN描述正确的是（）。A.VPN指的是用户自己租用线路，和公共网络物理上完全是隔离的、安全的线路B.VPN指的是用户通过公用网络建立的临时的、安全的连接C.VPN不能做到信息认证和身份认证D.VPN只能提供身份认证，不能提供加密数据的功能答案：B解析：A选项提到“VPN指的是用户自己租用线路，和公共网络物理上完全是隔离的、安全的线路”，这是错误的，VPN并不一定是用户自己租用的线路，而是指通过公用网络建立的临时的、安全的连接。B选项“VPN指的是用户通过公用网络建立的临时的、安全的连接”是正确的描述。C选项“VPN不能做到信息认证和身份认证”是错误的，VPN可以提供信息认证和身份认证的功能。D选项“VPN只能提供身份认证，不能提供加密数据的功能”也是错误的，VPN不仅可以提供身份认证，还可以提供加密数据的功能。因此，正确答案是B。5.1999年，我国发布的第一个信息安全等级保护的国家标准GB17859-1999，提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求。A.7B.8C.6D.5答案：D解析：信息安全等级保护的国家标准GB17859-1999提出将信息系统的安全等级划分为5个等级，包括自主保护、指导保护、监督保护、强制保护和专控保护。这些等级基于信息系统的保密性、完整性、可用性等因素划分，并针对不同等级提出了相应的安全功能要求。因此，正确答案是D，即5个等级。6.关于“纠正措施”，以下说法正确的是（）。A.“针对不符合的原因分析必须釆用B.审核组对于不符合项原因分析的准确性影响纠正措施的有效性受审核方对于C.不符合项原因分析的准确性是影响纠正措施有效性的因素之一D.以上都对答案：C解析：本题考察对“纠正措施”相关知识的理解。根据给出的选项，我们可以逐一分析：A选项提到“针对不符合的原因分析必须釆用'因果分析法’”。虽然因果分析法是一种常用的原因分析方法，但题目中并没有明确说这是“必须”的，因此A选项的说法过于绝对。B选项说“审核组对于不符合项原因分析的准确性影响纠正措施的有效性”。这个选项确实指出了审核组在原因分析中的重要作用，但题目中并没有特别强调审核组是唯一或最重要的影响因素。C选项提到“不符合项原因分析的准确性是影响纠正措施有效性的因素之一”。这个选项表述了原因分析对纠正措施的影响，但并没有过分强调某个特定的因素。D选项表示“以上都对”。由于A和B选项都存在问题，因此D选项也不能选。综上所述，最符合题目描述的是C选项，即“不符合项原因分析的准确性是影响纠正措施有效性的因素之一”。7.某银行将其物理区域按敏感性划分了安全等级，其中金库为最高等级，审核员进入金库审核须得到分行长批准。针对该场景，以下说法正确的是（）。A.金库敏感性太高，应排除在认证审核范围之外B.这符合GB/T22080-2016/ISO/IEC27001:2013标准A9.1.1的要求C.这符合GB/T22080-2016/ISO/IEC27001:2013标准A11.1.2的要求D.这符合GB/T22080-2016/ISO/IEC27001:2013标准A6.1.2的要求答案：B解析：题目描述了一个银行将物理区域按照敏感性划分为不同的安全等级，其中金库为最高等级，并且审核员进入金库审核需要得到分行长的批准。A选项提到“金库敏感性太高，应排除在认证审核范围之外”，这一说法不符合实际情况，因为金库作为最高安全等级的区域，其安全性是需要经过审核和认证的。B选项提到“这符合GB/T22080-2016/ISO/IEC27001:2013标准A9.1.1的要求”，这个选项是正确的。在GB/T22080-2016/ISO/IEC27001:2013标准中，A9.1.1条款要求组织应确保只有经过授权的人员才能访问敏感区域，这符合题目中描述的金库需要分行长批准才能进入的要求。C选项提到“这符合GB/T22080-2016/ISO/IEC27001:2013标准A11.1.2的要求”，但实际上A11.1.2条款与访问控制无关，因此这一选项是错误的。D选项提到“这符合GB/T22080-2016/ISO/IEC27001:2013标准A6.1.2的要求”，但实际上A6.1.2条款与敏感区域和访问控制也没有直接关系，因此这一选项也是错误的。综上所述，正确答案是B选项。8.设立信息安全管理体系认证机构，须得到以下哪个机构的批准，方可在中国境内从事认证活动（）。A.中国合格评定国家认可委员会B.中国国家认证认可监督管理委员会C.认证认可协会D.工商注册管理部门答案：B解析：根据《认证机构管理办法》的规定，设立认证机构，应当经国家认证认可监督管理委员会批准，并在工商行政管理部门办理登记后，方可从事批准范围内的认证活动。因此，在中国境内从事认证活动，必须得到中国国家认证认可监督管理委员会的批准。因此，答案为B选项，即中国国家认证认可监督管理委员会。9.以下不属于认证机构应考虑对组织的信息安全管理体系实施特殊审核的情形的是（）。A.组织获证范围内的业务活动场所、地址变更B.组织的适用性声明中对控制措施的选释相关内容发生变更C.组织获证范围内业务应用系统发生重大变更，如系统架构变更D.组织的信息安全管理体系年度内部审核计划变更答案：D解析：认证机构考虑对组织的信息安全管理体系实施特殊审核的情形通常涉及组织的重要变更或可能影响信息安全管理体系有效性的因素。选项A涉及业务活动场所、地址变更，可能影响到组织的物理安全环境，因此需要考虑特殊审核。选项B涉及适用性声明中控制措施的变更，这可能影响到组织的信息安全控制策略，同样需要特殊审核。选项C涉及业务应用系统的重大变更，如系统架构变更，这可能导致信息安全管理体系的变更或失效，也需要特殊审核。而选项D，组织的信息安全管理体系年度内部审核计划变更，通常只是组织内部审核计划的变化，不一定影响到信息安全管理体系的有效性，因此不属于认证机构应考虑对组织的信息安全管理体系实施特殊审核的情形。因此，正确答案是D。10.（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态。A.信息安全事态B.信息安全事件C.信息安全肃故D.信息安全故障答案：A解析：信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态。这是信息安全事态的基本定义。选项A“信息安全事态”与题目描述相符。选项B“信息安全事件”通常指的是已经发生并对系统或服务造成实际影响的事件，与题目描述不完全吻合。选项C“信息安全肃故”和选项D“信息安全故障”在题目中并未提及，因此可以排除。因此，正确答案是A“信息安全事态”。11.已获得认证的组织，第二年拟在证书范围上新增加一个场所，针对此情况，以下说法正确的是（）。A.新增场所须实施现场审核，在监督审核人天数基础上加一个人天B.新增场所须实施现场审核，新增场所按初审计算人天数C.若组织内审已覆盖新增场所，监督审核时对组织内审报告进行评审，不必去该新场所现场审核D.新增场所须实施现场审核，按监督审核计算人天数答案：B解析：对于已获得认证的组织，在证书范围上新增加一个场所的情况，需要新增场所须实施现场审核，且新增场所按初审计算人天数。因此，正确答案为B选项，即新增场所须实施现场审核，新增场所按初审计算人天数。A选项提到在监督审核人天数基础上加一个人天，但并未明确说明新增场所按初审计算人天数，因此A选项不正确。C选项提到若组织内审已覆盖新增场所，监督审核时对组织内审报告进行评审，不必去该新场所现场审核。然而，即使组织内审已经覆盖新增场所，仍需进行现场审核以确保其符合认证要求，因此C选项也不正确。D选项提到新增场所须实施现场审核，按监督审核计算人天数，但并未明确说明新增场所按初审计算人天数，因此D选项也不完全正确。12.管理体系认证审核的范围即（）。A.组织的全部经营管理范围B.组织的全部信息系统机房所在的范围C.组织承诺建立、实施和保持管理体系相关的组织位置、过程和活动以及时期的范围D.组织机构中所有业务职能涉及的活动范围答案：C解析：管理体系认证审核的范围即组织承诺建立、实施和保持管理体系相关的组织位置、过程和活动以及时期的范围。这是管理体系认证审核的核心内容，审核员需要按照组织承诺的范围进行审核，确保管理体系的有效性和符合性。因此，选项C是正确的。其他选项A、B、D都与管理体系认证审核的范围不符，因此是错误的。13.针对获证组织扩大范围的审核，以下说法正确的是（）。A.必须和监督审核一起进行B.是监督审核的形式之一C.一种特殊审核D.以上都对答案：C解析：获证组织扩大范围的审核是一种特殊审核，它并不是和监督审核一起进行，也不是监督审核的形式之一。因此，选项A和B都是错误的。选项D说“以上都对”也是错误的，因为并不是所有选项都是正确的。所以，正确答案是选项C，即获证组织扩大范围的审核是一种特殊审核。14.下列哪个不是审核计划必须的内容？（）A.受审核方的联系人B.审核目的C.审核范围D.预计的现场审核持续时间答案：A解析：审核计划是审核活动的重要文件，它明确了审核的目的、范围、持续时间等关键信息。选项A“受审核方的联系人”虽然可能在审核过程中涉及，但不是审核计划必须包含的内容。审核计划的核心是明确审核的目的和范围，以及预计的现场审核持续时间，因此选项B、C和D都是审核计划必须包含的内容。因此，正确答案是A。15.系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。A.恢复全部程序B.恢复所有数据C.恢复网络设置D.恢复整个系统答案：D解析：系统备份与普通数据备份的主要区别在于，系统备份不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息。这些信息对于恢复整个系统至关重要，因为恢复整个系统意味着需要恢复所有的应用程序、数据库、用户设置和系统参数，以便使系统能够正常运行。因此，正确答案是“恢复整个系统”。选项A“恢复全部程序”只涉及应用程序，不够全面；选项B“恢复所有数据”没有明确包括应用程序、用户设置和系统参数；选项C“恢复网络设置”只涉及网络配置，不涉及系统和应用程序的恢复。16.信息安全管理中，“远程访问”指（）。A.访问者的物理位置与被访问客体不在一个城市B.访问者的物理位置与被访问客体的距离大于30米C.访问者的物理位置与被访问客体的距离大于15米D.访问者从并不永久连接到所访问网络的终端访问资源答案：D解析：在信息安全管理中，“远程访问”通常指的是访问者从并不永久连接到所访问网络的终端访问资源。这意味着访问者可能位于任何物理位置，只要他们不是直接、永久地连接到所访问的网络或系统，而是通过某种远程方式（如VPN、远程桌面等）进行访问。因此，选项D“访问者从并不永久连接到所访问网络的终端访问资源”是正确答案。选项A、B、C中的描述都与“远程访问”的常规含义不符。17.将计算机信息系统中的自主和强制访问控制扩展到所有主体和客体，这是（）。A.二级及以上的要求B.三级及以上的要求C.四级及以上的要求D.五级的要求答案：C解析：根据题目，我们需要将计算机信息系统中的自主和强制访问控制扩展到所有主体和客体。根据计算机安全等级保护制度，自主和强制访问控制是信息安全等级保护四级（即信息系统等级保护四级）的要求。因此，将自主和强制访问控制扩展到所有主体和客体是四级及以上的要求。所以正确答案为C。18.某认证机构A获得批准实施QMS认证，但未获得批准实施ISMS认证；认证机构B获得批准实施ISMS认证，但未获得谁实施QMS认证：某审核员同时具备QMS审核员资格以及ISMS审核员资格，对此以下说法正确的是（）。A.该审核员可在机构A专职从事QMS认证审核，同时加入机构B作为兼职审核员从事ISMS认证审核B.项审核员可在机构B专职从事ISMS认证审核，同时加入机构A从事QMS认证审核C.该审核员若在机构A从事QMS认证审核，同时在机构B从事ISMS认证审核则在两个机构都只能担当兼职审核员，不得担当专职审核员D.该审核员只可在机构A从事QMS认证审核，或在机构B从事ISMS认证审核，无论担当专职还是兼职审核员答案：D解析：根据题目描述，认证机构A获得批准实施QMS认证，但未获得批准实施ISMS认证；认证机构B获得批准实施ISMS认证，但未获得谁实施QMS认证。这说明机构A可以实施QMS认证，但不可以实施ISMS认证，而机构B可以实施ISMS认证，但不可以实施QMS认证。题目还提到某审核员同时具备QMS审核员资格以及ISMS审核员资格，那么他只能在具备相应资格的认证机构进行审核工作，也就是说，他可以在机构A从事QMS认证审核，或者在机构B从事ISMS认证审核，但不能在两个机构同时兼职进行审核工作。因此，正确答案是D。19.认证审核期间，当审核证据表明审核目的不能实现时，审核组应（）。A.一起讨论，决定后续措施B.审核组长权衡，决定后续措施C.由受审核方决定后续措施D.报告审核委托方并说明理由，确定后续措施答案：D解析：在认证审核期间，当审核证据表明审核目的不能实现时，审核组应当报告审核委托方并说明理由，以确定后续措施。这是因为审核委托方是委托审核的一方，他们有责任了解审核的情况和结果，同时他们也是委托审核的目的和期望的提供者，因此审核组应当向审核委托方报告审核情况并说明理由，以便委托方能够了解审核的实际情况，并根据实际情况确定后续措施。其他选项如一起讨论、审核组长权衡、由受审核方决定后续措施等，都不符合审核的规范和程序，因此不是正确答案。20.关于第三方认证的监督审核，以下说法不正确的是（）。A.可以与其他监督活动一起策划B.目的在于认证机构对获证客户信息安全管理体系在认证周期内持续满足要求保持信任C.每次监督审核应包括对内审、管理评审和持续的运作控制的审核D.不一定是对整个体系的审核，不一定是现场审核答案：D解析：第三方认证的监督审核是认证机构对获证客户信息安全管理体系在认证周期内持续满足要求保持信任的一种活动。它通常与其他监督活动一起策划，并且每次监督审核不一定是对整个体系的审核，也不一定是现场审核。但每次监督审核应包括对内审、管理评审和持续的运作控制的审核，这是确保体系持续满足要求的关键。因此，选项D“不一定是对整个体系的审核，不一定是现场审核”的说法是不正确的。21.审核过程中发现的不符合项的描述和分级由下列哪个角色负责？（）A.发现该不符合项的审核员B.审核组长C.受审核方负责人D.该不符合涉及的受审核方责任人答案：A解析：审核过程中发现的不符合项的描述和分级应该由发现该不符合项的审核员负责。审核员在审核过程中发现不符合项后，应该对不符合项进行描述和分级，并记录下来，以供审核组长和受审核方负责人参考和处理。因此，选项A“发现该不符合项的审核员”是正确答案。选项B“审核组长”、选项C“受审核方负责人”和选项D“该不符合涉及的受审核方责任人”均不是负责不符合项描述和分级的角色。22.不属于计算机病毒防治的策略是（）。A.确认您手头常备一张真正“干净”的引导盘B.及时、可靠升级反病毒产品C.新购置的计算机软件也要进行病毒检测D.整理磁盘答案：D解析：计算机病毒防治的策略主要包括：确认手头常备一张真正“干净”的引导盘，以便在必要时进行系统启动；及时、可靠地升级反病毒产品，以应对新出现的病毒威胁；新购置的计算机软件也要进行病毒检测，以防止病毒带入系统。而整理磁盘并不属于计算机病毒防治的策略，因此选项D是不属于计算机病毒防治的策略。23.审核组中的技术专家是（）。A.为审核组提供文化、法律、技术等方面知识咨询的人员B.特别负责对受审核方的专业技术过程进行审核的人员C.审核期间为受审核方提供技术咨询的人员D.从专业的角度对审核员的审核进行观察评价的人员答案：A解析：根据题目描述，审核组中的技术专家应该是为审核组提供文化、法律、技术等方面知识咨询的人员。这个选项对应的是A，特别负责对受审核方的专业技术过程进行审核的人员是审核员或审核组长的职责，为受审核方提供技术咨询的人员是审核咨询专家，从专业的角度对审核员的审核进行观察评价的人员是观察员或审核跟踪员的职责。因此，正确答案是A。24.当访问单位服务器时，响应速度明显减慢时，最有可能受到了哪一种攻击？（）A.特洛伊木马B.地址欺骗C.缓冲区溢出D.公拒绝服务答案：D解析：题目描述当访问单位服务器时，响应速度明显减慢。这种情况最有可能是受到了拒绝服务（DDoS）攻击。拒绝服务攻击的目的是耗尽目标系统的资源，使其无法正常处理合法的用户请求，导致服务器响应速度减慢或完全无法响应。其他选项中，特洛伊木马（A）是一种恶意软件，用于窃取信息或破坏系统，但不一定导致服务器响应速度减慢；地址欺骗（B）通常用于网络欺骗，可能导致数据包的错误路由，但不一定直接导致服务器响应速度减慢；缓冲区溢出（C）可能导致系统崩溃或执行恶意代码，但通常不会直接导致服务器响应速度减慢。因此，最有可能的攻击方式是拒绝服务（DDoS）攻击。25.残余风险是（）。A.低卡可接受风险水平的风险B.高于可接受风险水平的风险C.经过风险处置后剩余的风险D.未经处置的风险答案：C解析：残余风险是指经过风险处置后剩余的风险。在风险管理中，残余风险是指即使采取了风险控制措施，仍然存在的风险。它是经过评估和控制措施实施后，未能完全消除的风险部分。因此，选项C“经过风险处置后剩余的风险”是正确的答案。其他选项A、B、D都与残余风险的定义不符。26.与审核准则有关的并且能够证实的记录、事实陈述或其他信息称为（）。A.信息安全信息B.审核证据C.检验记录D.信息源答案：B解析：审核证据是与审核准则有关的并且能够证实的记录、事实陈述或其他信息。它是审核过程中的重要依据，用于支持审核发现和结论。因此，正确答案为“审核证据”。其他选项如“信息安全信息”、“检验记录”和“信息源”与审核证据的定义不符。27.在以下人为的恶意攻击行为中，属于主动攻击的是（）。A.数据篡改及破坏B.数据窃听C.数据流分析D.非法访问答案：A解析：主动攻击是指攻击者试图通过网络或其他手段对系统进行实际的破坏，包括篡改、伪造或破坏数据，如数据篡改及破坏。被动攻击则是对信息的传输进行监听和分析，但不改变其内容，如数据窃听和数据流分析。非法访问则通常被认为是主动攻击的一种形式，因为它涉及到未经授权地访问系统或数据。因此，选项A“数据篡改及破坏”属于主动攻击。28.对于针对信息系统的软件包，以下说法正确的是（）。A.组织应具有有能力的人员，以便随时对软件包进行适用性修改B.应尽量劝阻对软件包实施变更，以规避变更的风险C.软件包不必作为配置项进行管理D.软件包的安装必须由其开发商实施安装答案：B解析：针对信息系统的软件包，我们需要考虑其管理、维护以及变更控制。A选项提到“组织应具有有能力的人员，以便随时对软件包进行适用性修改”。虽然这听起来像是合理的建议，但它并没有直接关联到题目中的“应尽量劝阻对软件包实施变更，以规避变更的风险”。B选项“应尽量劝阻对软件包实施变更，以规避变更的风险”与题目中的描述相符。变更通常伴随着风险，特别是当软件包已经过严格测试并部署在生产环境中时。随意变更可能导致未预期的问题，甚至影响系统的稳定性和安全性。C选项“软件包不必作为配置项进行管理”与实际情况不符。软件包作为信息系统的重要组成部分，其配置、版本和变更历史都应该被详细记录和管理，以确保系统的可维护性和可追溯性。D选项“软件包的安装必须由其开发商实施安装”也不是一个普遍适用的建议。虽然开发商通常对软件包有深入的了解，但在很多情况下，组织可能希望或需要自行安装和管理软件包。因此，考虑到题目的描述和选项的内容，B选项“应尽量劝阻对软件包实施变更，以规避变更的风险”是最符合题目要求的。29.为了确保布缆安全，以下正确的做法是（）。A.使用同一电缆管道铺设电源电缆和通信电缆B.网络电缆采用明线架设C.配线盘应尽量放置在公共可访问区域，以便于应急管理D.使用配线标记和设备标记，编制配线列表答案：D解析：为了确保布缆安全，应该遵循一定的规范和原则。选项A中，将电源电缆和通信电缆铺设在同一电缆管道中是不安全的，因为电源电缆可能会产生电磁干扰，影响通信电缆的正常工作。选项B中，网络电缆采用明线架设也是不安全的，因为明线容易受损，且不符合电缆铺设的规范。选项C中，配线盘应尽量放置在公共可访问区域，以便于应急管理，虽然考虑到了应急管理的需要，但并未直接涉及到布缆安全。而选项D中，使用配线标记和设备标记，编制配线列表，是确保布缆安全的有效措施，因为这样可以方便管理和维护，避免电缆混乱和误接。因此，为了确保布缆安全，正确的做法是选项D。30.下列哪项不属于《认证机构管理办法》中规定的设立认证机构应具备的条件（）。A.具有固定的办公场所和必备设施B.注册资本不得少于人民币600万元C.具有10名以上相应领域的专职认证人员D.具有符合认证认可要求的管理制度答案：B解析：根据《认证机构管理办法》中规定的设立认证机构应具备的条件，我们可以逐一查看各个选项。A选项“具有固定的办公场所和必备设施”是设立认证机构的基本要求，认证机构需要有一个固定的办公地点和必要的设施来开展认证活动。C选项“具有10名以上相应领域的专职认证人员”也是必要的条件，认证机构需要有足够数量的专业认证人员来执行认证工作。D选项“具有符合认证认可要求的管理制度”同样是设立认证机构的重要条件，认证机构需要建立一套完善的管理制度来确保认证活动的公正性和有效性。然而，B选项“注册资本不得少于人民币600万元”并不是《认证机构管理办法》中规定的设立认证机构应具备的条件。事实上，关于注册资本的要求，不同的认证机构可能会有不同的要求，但这不是一个普遍适用的条件。因此，正确答案是B选项。多选题（共10题，共10分）31.能够表明审核方案得到执行的证据包括（）。A.审核计划B.审核报告C.审核员能力评价记录D.认证证书答案：ABC解析：审核方案是审核活动的总体安排，包括审核目标、范围、依据、审核方式、审核时间、审核频次、审核实施计划等。审核方案得到执行需要相应的证据来支持。A选项“审核计划”是审核方案的一部分，它详细描述了审核的具体安排，包括审核的时间、地点、人员、范围等，是审核方案得到执行的直接证据。B选项“审核报告”是审核活动结束后，审核组编写的报告，其中包含了审核发现、审核结论以及审核建议等内容。审核报告能够表明审核方案得到了执行，并且审核活动已经按照计划进行。C选项“审核员能力评价记录”是对审核员进行审核能力评价的记录，包括审核员的资格、经验、技能、知识等方面的评价。这些记录能够表明审核员具备执行审核方案的能力，从而间接证明了审核方案得到了执行。D选项“认证证书”是审核活动结束后，由认证机构颁发的证书，证明被审核组织通过了审核，并符合相关标准或规范的要求。虽然认证证书能够证明被审核组织通过了审核，但它并不能直接证明审核方案得到了执行，因为审核方案可能包括多个审核活动，而认证证书只代表其中一个审核活动的结果。因此，能够表明审核方案得到执行的证据包括A审核计划、B审核报告和C审核员能力评价记录。32.信息安全管理体系认证是（）。A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信息安全管理体系认证是合格评定活动的一种D.是信息系统风险管理的实施活动答案：AC解析：信息安全管理体系认证是指由权威的第三方机构依据相关的标准对组织的信息安全管理体系进行审核和评估，确认其是否满足信息安全管理体系的相关要求，并颁发相应的认证证书的活动。这一活动是对信息安全管理体系的规定要求得到满足的证实活动，同时也是合格评定活动的一种。因此，选项A和C是正确的。选项B描述的是对信息系统是否满足有关的规定要求的评价，这并不等同于信息安全管理体系认证的定义；选项D描述的是信息系统风险管理的实施活动，与信息安全管理体系认证无直接关联。因此，选项B和D是错误的。33.一种关于（）、应急响应和灾后恢复的计划不能被称为应急预案。A.备份B.灭火C.培训D.评审答案：BCD解析：应急预案通常指的是为了应对突发事件而预先制定的计划，它应该包括事件的预防、预警、应急响应和灾后恢复等环节。从这个定义来看，A选项“备份”可能涉及数据或系统备份，这可以作为应急响应的一部分，但不足以构成一个完整的应急预案。B选项“灭火”虽然是应急响应的一部分，但它仅仅是针对火灾这一特定情况的应急响应，不能涵盖所有可能的突发事件，因此不能单独作为一个应急预案。C选项“培训”虽然对于提高应急响应能力很重要，但它本身并不是一个应急预案。应急预案需要具体描述在突发事件发生时应该采取的措施和行动步骤。D选项“评审”通常是对应急预案执行后的效果进行评估和反馈，虽然重要，但它并不是应急预案的核心内容。综上所述，不能被称为应急预案的是B、灭火，C、培训，D、评审。34.组织应有正式的传输（），以保护通过使用各类型通信设施进行的信息传输。A.策略B.计划C.规程D.控制答案：ACD解析：组织应有正式的传输策略、规程和控制，以保护通过使用各类型通信设施进行的信息传输。根据常识和逻辑推理，一个组织为了确保信息安全和有效通信，必须制定和实施相应的策略、规程和控制措施。这些措施应确保信息的保密性、完整性和可用性，从而防止信息泄露、丢失或被篡改。因此，选项A“策略”、选项C“规程”和选项D“控制”都是必要的，而选项B“计划”虽然与策略、规程和控制有一定的关联，但在这里并不特指保护信息传输的措施，因此不是最佳答案。35.在设计和应用安全区域工作规程时，宜考虑（）。A.基于“须知”原则，员工宜仅知晓安全区的存在或其中的活动B.为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作C.使用的安全区域宜上锁并定期予以评审D.未经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机答案：ABD解析：A选项提到“基于‘须知’原则，员工宜仅知晓安全区的存在或其中的活动”。这是正确的，因为安全区域的存在和活动应该仅被授权的员工知晓，以确保安全。B选项表示“为了安全原因和减少恶意活动的机会，宜避免在安全区域内进行不受监督的工作”。这也是正确的，因为不受监督的工作可能会增加安全风险，并可能吸引恶意活动。C选项“使用的安全区域宜上锁并定期予以评审”虽然是一个好的实践，但题目中并未明确提到，所以不应选。D选项提到“未经授权，不宜允许携带摄影、视频或其他记录设备，例如移动设备中的相机”。这也是正确的，因为未经授权的记录设备可能会泄露敏感信息或破坏安全。综上所述，正确答案为A、B和D。36.以下属于“责任分割”原则范畴的做法是（）。A.不同职级人员工作区域隔离B.保持安全审核人员的独立性C.授权者、操作者和监视者三者责任分离D.事件报告人员与事件处理人员职责分离答案：BCD解析：责任分割原则的核心思想是将不同的职责分配给不同的个体或团队，以避免权力滥用、误操作或疏忽。A选项“不同职级人员工作区域隔离”主要是关于物理空间上的隔离，与责任分割原则不直接相关。B选项“保持安全审核人员的独立性”确保审核人员不会受到操作人员的干扰，能够独立地进行安全审核，这符合责任分割原则。C选项“授权者、操作者和监视者三者责任分离”明确了三种不同的角色，并确保他们之间的职责不重叠，这符合责任分割原则。D选项“事件报告人员与事件处理人员职责分离”确保事件报告人员不会同时处理事件，这样可以避免报告的不准确或隐瞒，这同样符合责任分割原则。因此，正确答案是B、C和D。37.在规划如何达到信息安全目标时，组织应确定（）。A.要做什么，需要什么资源B.由谁负责，什么时候完成C.完成的目标是什么版权所有D.如何评价结果答案：ABD解析：在规划如何达到信息安全目标时，组织需要明确以下几个方面：A.要做什么，需要什么资源：明确为了实现信息安全目标，组织需要执行的具体任务或行动，以及完成这些任务所需的资源，如人力、物力和财力。B.由谁负责，什么时候完成：确定每个任务或行动的责任人，并明确完成的时间节点，确保信息安全工作的顺利进行。C.完成的目标是什么：这一选项虽然提到了“完成的目标是什么”，但它实际上是在询问信息安全目标本身，而不是在规划如何实现这些目标时应确定的内容。所以，此选项与题目要求不符。D.如何评价结果：明确如何评估信息安全工作的效果，包括使用何种指标、方法和工具，以及如何根据评估结果进行调整和改进。因此，正确答案为A、B和D。38.识别和评价风险处置的可选措施，可能的措施不是（）。A.采用适当的控制措施在明显满足组织方针策略和接受风险的推则的条件下，不接受风险B.淡化风险，将相关业务风险转移到其他地方，如保险，供应商等C.采用适当的控制措施淡化风险D.采用适当的控制措施将相关业务风险转移到其他地方，如保险，供应商等答案：AC解析：风险处置的可选措施包括接受风险、控制风险、转移风险等。选项A表示在明显满足组织方针策略和接受风险的推则的条件下，不接受风险，这是风险处置的一种策略，即接受风险。选项B“淡化风险，将相关业务风险转移到其他地方，如保险，供应商等”和选项D“采用适当的控制措施将相关业务风险转移到其他地方，如保险，供应商等”都表示将风险转移，这也是风险处置的一种策略。然而，选项C“采用适当的控制措施淡化风险”存在表述问题。通常，控制风险是通过采取适当的控制措施来降低风险的可能性或影响，而不是“淡化风险”。因此，选项C的表述不准确，不应被选作风险处置的可选措施。综上所述，选项A和C是不正确的风险处置可选措施，所以正确答案为A和C。39.为了实现在网络上自动标识设备，以下做法正确的是（）。A.启用DHCP动态分配IP地址功能B.为网络设备分配固定P地址C.将每一台计算机MAC与不个IP地址绑定D.采取有效措施禁止修改MAC答案：BCD解析：在网络中，为了自动标识设备，有多种方法可以实现。A选项：启用DHCP动态分配IP地址功能。DHCP（动态主机配置协议）是一种网络协议，它允许服务器动态地为网络中的设备分配IP地址。当设备连接到网络时，它可以请求一个IP地址，而DHCP服务器会为其分配一个可用的IP地址。这种方法可以自动标识设备，因为它为每台设备分配了一个唯一的IP地址。B选项：为网络设备分配固定IP地址。固定IP地址是指为每台设备预先分配一个固定的IP地址。这种方法需要手动为每台设备配置IP地址，但一旦配置完成，设备就可以通过其固定的IP地址在网络上被唯一标识。C选项：将每一台计算机MAC与不同IP地址绑定。MAC地址是每台网络设备的唯一标识符。通过将MAC地址与IP地址绑定，可以确保每台设备都有一个唯一的IP地址。这种方法也可以自动标识设备。D选项：采取有效措施禁止修改MAC。在某些情况下，为了防止设备被篡改或伪装，可以采取措施禁止修改MAC地址。然而，这并不能直接用于自动标识设备，因为它更多地是为了网络安全而考虑的。综上所述，为了实现在网络上自动标识设备，正确的做法包括：启用DHCP动态分配IP地址功能、为网络设备分配固定IP地址、将每一台计算机MAC与不同IP地址绑定。因此，正确选项为A、B和C。选项D虽然与网络安全有关，但并不直接涉及自动标识设备。40.A公司对其核心业务系统中的数据采用每天磁盘备份、每月光盘备份，并在两个城市部署了数据中心，这两个数据中心可以做到实时数据备份。这符合标准GB/T22080-2016/ISO/IEC27001:2013标准哪些条款的要求？（）A.A8.3.1B.A12.3.1C.A14.3.1D.A17.2.1答案：BD解析：题目描述了A公司对其核心业务系统中的数据采取的备份措施：每天磁盘备份、每月光盘备份，并在两个城市部署了数据中心以实现实时数据备份。针对这个描述，我们需要对照标准GB/T22080-2016/ISO/IEC27001:2013来找出符合的条款。A8.3.1是关于备份和恢复计划的建立，但它主要强调的是“应建立、实施和维护适当的备份和恢复程序，确保在信息系统发生故障时，信息系统能迅速恢复”，这个条款并未涉及到具体的备份频率或多数据中心部署，所以A选项不符合。A12.3.1是关于信息备份的，它明确提到“应定期备份信息，包括相关系统配置参数、系统软件和业务数据，并确保备份信息的完整性、可用性和保密性”，这符合题目中每天磁盘备份的描述。A14.3.1是关于备份和恢复设施的，但它主要关注的是“应建立备份和恢复所需的基础设施，并确保其可用性”，并没有明确涉及多数据中心部署或实时备份，所以C选项不符合。A17.2.1是关于数据中心的物理安全的，它提到“数据中心应部署在物理安全的环境中，并应采取适当的安全措施，确保数据中心的物理安全”，这符合题目中两个城市部署数据中心并实现实时数据备份的描述。综上所述，符合题目描述的条款是A12.3.1和A17.2.1，所以正确答案是B和D。主观题（共7题，共7分）41.公司的安全策略规定，通向A公司办公楼层的电梯须凭授权门禁卡刷卡乘梯。办公楼电梯门禁卡的发放由物业公司B负责。A公司完成申请批准流程的人员凭本人身份证及审批单到B公司办理领取相应楼层电佛门禁卡。A公司将物理区域的日常安保管理外包给C公司。中秋节时，A公司举办为期1天的大型活动，邀请200人参加，为参加者便利，委托C公司统一收集受邀者身份证、统一办理申请批准、统一到B公司办理领取200张电梯门禁卡，然后分发给活动受邀者使用，并于活动结束当天由C公司收回这些电梯门禁卡。11月审核员到A公司审核时发现，C公司并未将该200张卡退还B公司进行销权，而是自行保存，有其他申请者需要时发放使用，省去了每次跑B公司办理的麻烦。审核员抽查了几张卡，申请者与持有并使用者非同一人，并调阅B公司发卡登记的身份证信息既非现持有并使用者，亦非申请者，发卡登记的身份证信息拥有者目前既不是A、B、C公司员工，亦不是任何项目合作者。请依据GB/T22080-2016/ISO/IEC27001:2013标准，阐述你对上述场景的审核思路。参考答案1、查A公司是否对提供安保服务的C公司有安全要求及相关规定，查相关的服务协议或服务合同。2、查A公司是否对C公司的安保服务定期进行了评审，抽3-5份评审记录。3、A公司在本次审核前是否发现本信息安全事件，是否采取了相应的措施予以追踪，是否对C公司进行了审核。4、查本事件发生之前是否发生过由于C公司提供服务的原因，导致的信息安全事件，处理过程如何？5、A公司是否督促C公司马上停止滥发门禁卡的行为，并马上采取纠正及提出纠正措施实施方案。6、A公司对本次信息安全事件管理过程后是否再次进行风险评估。7、本事件发生后A公司是否收集了事件的相关证据并进行了事件分析，抽查分析记录。8、A公司内部是否划定了安全区、交接区。既不是ABC公司员工，也不是项目合作者，进到A公司后，A公司在安全区域及交接区是如何识别控制的，抽查来访人员登记记录。解析：此题要求根据GB/T22080-2016/ISO/IEC27001:2013标准，阐述对特定场景的审核思路。该标准是关于信息安全管理体系的国际标准，旨在帮助组织建立、实施、监控、评审和改进信息安全管理体系。首先，审核员需要了解A公司是否对提供安保服务的C公司有明确的安全要求和服务规定，并查阅相关的服务协议或服务合同。这是确保C公司按照A公司的安全策略和要求提供服务的基础。其次，审核员需要查阅A公司是否定期对C公司的安保服务进行评审，并抽查评审记录。这有助于确保C公司的服务质量符合A公司的期望，并及时发现和纠正潜在的安全问题。然后，审核员需要询问A公司是否在本次审核前发现过类似的信息安全事件，并了解是否采取了相应的追踪和审核措施。这有助于评估A公司对于信息安全事件的响应和处理能力。接下来，审核员需要查阅是否有过由于C公司服务原因导致的信息安全事件，并了解处理过程。这有助于分析C公司服务过程中可能存在的安全漏洞和问题。审核员还需要督促A公司立即停止C公司滥发门禁卡的行为，并要求其提出纠正措施和实施方案。这是确保A公司的安全策略得到有效执行，防止未经授权的人员进入敏感区域。此外，审核员需要审核A公司是否对本次信息安全事件进行了风险评估。这有助于了解事件对A公司的影响程度，并为采取适当的纠正措施提供依据。最后，审核员需要查阅A公司是否收集了相关证据并进行了事件分析，抽查分析记录。这有助于了解事件的原因、影响和改进措施，并确保A公司从事件中吸取教训，加强信息安全管理。同时，审核员还需要查阅A公司内部是否划定了安全区和交接区，并了解如何识别和控制非ABC公司员工和项目合作者进入这些区域，抽查来访人员登记记录。这有助于确保A公司的物理安全得到有效保障，防止未经授权的人员进入敏感区域。42.在A公司人事部，审核员向人力资源部负责人了解培训情况时得知，公司负责网络安全的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成绩级证书，该负责人说，证书他们自己保存，我们替他们保存反而不方便。培训成绩在培训机构，你们要看的话，我打电话联系，让他们发过来。审核员同意，并查阅了发过来的成绩，由于成绩合格，审核员表满意，并结束了培训的审核。这样的审核是否符合要求？为什么？如果请你去审核，你会怎么做？参考答案1、查公司是否制定了年度培训方案，是否包含了本次培训的丙容。是否按培训方案的要求执行了本次培训。2、查公司制定的培训方案中是否覆盖全面，不仅包括基本的信息安全规程，还应包括管理层对信息安全的承诺、员工应遵从的信息安全规则和义务要求、个人作为和不作为的问责要求、法律法规等培训内容。3、查培训方案中是否有对培训记录要形成文件化信息的要求。4、查本次网络安全培训的其他相关记录，是否形成文件化信息。5、查外培的授课内容是否与本公司的信息安全策略相违背。6、查是否有对本次培训效果的评估记录，即培训有效性的评价。解析：根据题目描述，审核员在审核公司网络安全管理人员的培训情况时，主要关注了培训成绩和证书，而没有全面考虑培训方案的制定、培训内容的覆盖、培训记录的形成、培训相关记录的查阅、外培内容的合规性以及培训效果的评估等方面。因此，这样的审核并不符合要求。如果我去审核，我会按照上述列出的六点要求逐一进行检查和核实，确保培训活动的全面性和有效性。这样可以更全面地了解培训情况，发现问题并及时改进，提升公司的网络安全培训质量。43.A公司使用SANPOR系统管理公司网络，审核员发现该系统只有2个用户：“ADMIN”和“SANFOR”，其中ADMIN同时拥有制定网策略、配置实施上网策略、日志中心审计等权限，SANFOR只有查看策略的权限。系统管理员（即ADMIN用户）解释说：“公司人手少，就只设置了我一个人做网管，SANFOR是我的领导，平时不过问我工作。”参考答案不符含GB/T22080-2016中条款A6.1.2应分离冲突的职责及其责任范围，以减少未授权或无意的修改或煮不当使用组织资产的机会。不符合事实：公司SANFOR系统中ADMIN用户同时拥有制定上网策略、配置实施上网策略、日志中心审计等权限，解释说：“公司人手少，就只设置了我一个人做网管。”解析：在这个问题中，关键的信息是系统管理员（ADMIN用户）拥有过多的权限，而另一用户SANFOR的权限相对有限。根据GB/T22080-2016中的A6.1.2条款，组织应该分离职责以减少未授权或无意的修改或不当使用组织资产的机会。因此，如果系统管理员（ADMIN用户）拥有过多的权限，可能会导致资产被未授权地修改或不当使用。在这个案例中，系统管理员（ADMIN用户）解释说公司人手少，就只设置了他一个人做网管，但这种情况并不能作为同时拥有制定网策略、配置实施上网策略、日志中心审计等权限的合理理由。因此，这种权限配置不符合GB/T22080-2016中的要求。44.公司信息化系统平台较多，专门成立了信息化部负责公司的网络服务。询问信息化主管领导公司是否与IT部门之间签订了网络服务协议。主管领导认为都是公司内部的事情。不涉及其他外部承包方。所以公司没有必要与信息化部之间签订网络服务协议。参考答案不符合GB/T22080-2016中条款A13.1.2网络服务的安全：所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中，无论这些服务是由内部提供的还是外包的。不符合事实：公司成立了信息化部未与IT部门签订网络服务协议。解析：根据GB/T22080-2016中的条款A13.1.2，无论网络服务是由公司内部提供还是外包，其安全机制、服务级别和管理要求都应当被确定并包括在网络服务协议中。在这个案例中，公司虽然成立了信息化部，但