2021年第一期CCAA國(guó)家注冊(cè)審核員ISMS信息安全管理體系模擬試題一、單項(xiàng)選擇題1、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、網(wǎng)絡(luò)安全應(yīng)采取必要措施防范對(duì)網(wǎng)絡(luò)的攻擊和侵入B、網(wǎng)絡(luò)安全措施包括防范對(duì)網(wǎng)絡(luò)的破壞C、網(wǎng)絡(luò)安全即采取措施保護(hù)信息在網(wǎng)絡(luò)中傳輸期間的安全D、網(wǎng)絡(luò)安全包括對(duì)信息收集、存儲(chǔ)、傳輸、交換、處理系統(tǒng)的保護(hù)2、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析3、風(fēng)險(xiǎn)識(shí)別過程中需要識(shí)別的方面包括：資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、（）。A、識(shí)別可能性和影響B(tài)、識(shí)別脆弱性和識(shí)別后果C、識(shí)別脆弱性和可能性D、識(shí)別脆弱性和影響4、容量管理的對(duì)象包括（）A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部5、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開始，如何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開始，如何評(píng)價(jià)結(jié)果6、進(jìn)入重要機(jī)構(gòu)時(shí)，在門衛(wèi)處登記屬于以下哪種措施？（）A、訪問控制B、身份鑒別C、審計(jì)D、標(biāo)記7、保密性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問的特性B、信息不被未授權(quán)的個(gè)人、突體或過程利用或知悉的特性C、保護(hù)信息的準(zhǔn)確和完整的特性D、以上都不対8、風(fēng)險(xiǎn)評(píng)價(jià)是指（）A、系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和評(píng)估風(fēng)險(xiǎn)B、將估算的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C、指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D、以上都對(duì)9、根據(jù)GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力分為（）等級(jí)。A、5B、6C、3D、410、審核抽樣時(shí)，可以不考慮的因素是(）A、場(chǎng)所差異B、管理評(píng)審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果11、某公司計(jì)劃升級(jí)現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識(shí)別登錄系統(tǒng)，訪問關(guān)鍵數(shù)據(jù)實(shí)施時(shí)需要（）A、所有受信的PC機(jī)用戶履行的登記、注冊(cè)手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險(xiǎn)（即：把非授權(quán)者錯(cuò)誤識(shí)別為授權(quán)者的風(fēng)險(xiǎn)）C、在指紋識(shí)別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)12、風(fēng)險(xiǎn)識(shí)別過程中需要識(shí)別的方面包括:資產(chǎn)識(shí)別、識(shí)別威脅、識(shí)別現(xiàn)有控制措施、(）A、識(shí)別可能性和影響B(tài)、識(shí)別脆弱性和識(shí)別后果C、識(shí)別脆弱性和可能性D、識(shí)別脆弱性和影響13、信息安全事態(tài)、事件和事故的關(guān)系是（）A、事態(tài)一定是事件，事件一定是事故B、事件一定是事故，事故一定是事態(tài)C、事態(tài)一定是事故，事故一定是事件D、事故一定是事件，事件一定是事態(tài)14、在信息安全管理體系審核時(shí)，應(yīng)遵循（）原則。A、保密性和基于準(zhǔn)則的B、保密性和基于風(fēng)險(xiǎn)的C、最小特權(quán)原則最小特權(quán)原則是信息系統(tǒng)安全的最基本原則D、建立阻塞點(diǎn)原則阻塞點(diǎn)就是在網(wǎng)絡(luò)系統(tǒng)對(duì)外連接通道內(nèi)，可以被系統(tǒng)管理人員進(jìn)行監(jiān)控的連接控制點(diǎn)。15、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更16、ISO/IEC27701是（）A、是一份基于27002的指南性標(biāo)準(zhǔn)B、是27001和27002的隱私保護(hù)方面的擴(kuò)展C、是ISMS族以外的標(biāo)準(zhǔn)D、在隱私保護(hù)方面擴(kuò)展了270001的要求17、《信息安全技術(shù)信息安全事件分類分級(jí)指南》中的災(zāi)害性事件是由于（）對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。A、人為因素B、自然災(zāi)難C、不可抗力D、網(wǎng)絡(luò)故障18、關(guān)于信息安全管理中的“脆弱性”，以下正確的是:（）A、脆弱性是威脅的一種，可以導(dǎo)致信息安全風(fēng)險(xiǎn)B、網(wǎng)絡(luò)中“釣魚”軟件的存在，是網(wǎng)絡(luò)的脆弱性C、允許使用“1234”這樣容易記憶的口令，是口令管理的脆弱性D、以上全部19、安全標(biāo)簽是一種訪問控制機(jī)制，它適用于下列哪一種訪問控制策略?（）A、基本角色的策略B、基于身份的策略C、用戶向?qū)У牟呗訢、強(qiáng)制性訪問控制策略20、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)，是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)21、組織通過哪些措施來確保員工和合同方意識(shí)到并履行其信息安全職責(zé)？（）A、審查、任用條款和條件B、管理責(zé)任、信息安全意識(shí)教育和培訓(xùn)C、任用終止或變更的責(zé)任D、以上都不對(duì)22、經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)是（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)23、組織的風(fēng)險(xiǎn)責(zé)任人不可以是（）A、組織的某個(gè)部門B、某個(gè)系統(tǒng)管理員C、風(fēng)險(xiǎn)轉(zhuǎn)移到組織D、組織的某個(gè)虛擬小組負(fù)責(zé)人24、創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模ǎ〢、對(duì)適宜性和有效性的評(píng)審和批準(zhǔn)B、對(duì)充分性和有效性的測(cè)量和批準(zhǔn)C、對(duì)適宜性和充分性的測(cè)量和批準(zhǔn)D、對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)25、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定26、漏洞檢測(cè)的方法分為（）A、靜態(tài)檢測(cè)B、動(dòng)態(tài)測(cè)試C、混合檢測(cè)D、以上都是27、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、作出是否換發(fā)證書的決定28、我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)共分幾個(gè)級(jí)別？（）A、7B、4C、5D、629、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A30、下列哪個(gè)措施不是用來防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測(cè)試和運(yùn)行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作31、組織應(yīng)（）A、采取過程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)32、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定，認(rèn)證人員自被撤銷職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)。A、2年B、3年C、4年D、5年33、以下描述不正確的是（）A、防范惡意和移動(dòng)代碼的目標(biāo)是保護(hù)軟件和信息的完整性B、糾正措施的目的是為了消除不符合的原因，防止不符合的再發(fā)生C、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理的整個(gè)過程稱為風(fēng)險(xiǎn)管理D、控制措施可以降低安全事件發(fā)生的可能性，但不能降低安全事件的潛在影響34、國(guó)家秘密的保密期限應(yīng)為:（）A、絕密不超過三十年，機(jī)密不超過二十年，秘密不超過十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過二十五年，機(jī)密不超過十五年，秘密不超過五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年35、關(guān)于《中華人民共和國(guó)保密法》，以下說法正確的是:（）A、該法的目的是為了保守國(guó)家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對(duì)其敏感信息的保護(hù)D、國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，由組織自主定級(jí)、自主保護(hù)36、()可用來保護(hù)信息的真實(shí)性、完整性A、數(shù)字簽名B、惡意代碼C、風(fēng)險(xiǎn)評(píng)估D、容災(zāi)和數(shù)據(jù)備份37、關(guān)于信息安全策略，下列說法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審38、在以下認(rèn)為的惡意攻擊行為中，屬于主動(dòng)攻擊的是()A、數(shù)據(jù)竊聽B、誤操作C、數(shù)據(jù)流分析D、數(shù)據(jù)篡改39、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯(cuò)誤的是（）A、該標(biāo)準(zhǔn)是指南類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標(biāo)準(zhǔn)給出了ISMS的實(shí)施指南D、該標(biāo)準(zhǔn)的名稱是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》40、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計(jì)算機(jī)信息系統(tǒng)，是指A、對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)二、多項(xiàng)選擇題41、按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可以分為（）A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)42、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理43、網(wǎng)絡(luò)常見的拓?fù)湫问接校ǎ〢、星型B、環(huán)型C、總線D、樹型44、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的宗旨是（）A、維護(hù)網(wǎng)絡(luò)空間主權(quán)B、維護(hù)國(guó)家安全C、維護(hù)社會(huì)公共利益D、保護(hù)公民、法人和其他組織的合法權(quán)益45、在未得到授權(quán)的前提下，以下屬于信息安全“攻擊”的是:（）A、盜取、暴露、交更資產(chǎn)的行為B、破壞或使資產(chǎn)失去預(yù)期功能的行為C、訪問,使用資產(chǎn)行為D、監(jiān)視和獲取資產(chǎn)使用狀態(tài)信息的行為46、關(guān)于審核委托方，以下說法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核47、關(guān)于審核委托方，以下說法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級(jí)作為委托方時(shí)是第二方審核D、組織對(duì)其外包服務(wù)提供方的審核是第二方審核48、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后49、信息安全方針應(yīng)（）A、形成文件化信息并可用B、與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C、確保符合組織的戰(zhàn)略方針D、適當(dāng)時(shí)，對(duì)相關(guān)方可用50、依據(jù)GB/Z20986，確定為重大社會(huì)影響的情況包括（）A、涉及到一個(gè)或多個(gè)城市的大部分地區(qū)B、威脅到國(guó)家安全C、擾亂社會(huì)秩序D、對(duì)經(jīng)濟(jì)建設(shè)設(shè)有重大負(fù)面影響51、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排52、管理評(píng)審是為了確保信息安全管理體系持續(xù)的（）A、適宜性B、充分性C、有效性D、可靠性53、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對(duì)()類的互聯(lián)網(wǎng)信息服務(wù)實(shí)行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識(shí)類D、教育類54、針對(duì)敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤B、登錄之后，不活動(dòng)超過規(guī)定時(shí)間強(qiáng)制使其退出登錄C、對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D、對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)人員開放不限時(shí)權(quán)限55、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后三、判斷題56、檢測(cè)性控制是為了防止未經(jīng)授權(quán)的入侵者從內(nèi)部或外部訪問系統(tǒng)，并降低進(jìn)入該系統(tǒng)的無(wú)意錯(cuò)誤操作導(dǎo)致的影響（）57、訪問控制列表指由主體以及主體對(duì)客體的訪問權(quán)限所組成列表。58、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）59、對(duì)不同類型的風(fēng)險(xiǎn)可以采用不同的風(fēng)險(xiǎn)接受準(zhǔn)則，例如，導(dǎo)致對(duì)法律法規(guī)不符合的風(fēng)險(xiǎn)可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險(xiǎn)。（）60、糾正是指為消除已發(fā)現(xiàn)的不符合或其他不的原因所采取的措施。（）61、最高管理層應(yīng)通過“確保持續(xù)改進(jìn)”活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。（）62、不同組織有關(guān)信息安全管理體系文件化信息的詳略程度應(yīng)基本相同。（）63、某互聯(lián)網(wǎng)服務(wù)公司允許員工使用手機(jī)APP完成對(duì)公司客戶的服務(wù)請(qǐng)求處理，但手機(jī)須安裝公司規(guī)定的安全控制程序，無(wú)論手機(jī)是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標(biāo)準(zhǔn)A6,2,1的要求。（)64、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）65、完全備份就是對(duì)全部數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行備份。（）

參考答案一、單項(xiàng)選擇題1、C解析:網(wǎng)絡(luò)安全法第七十六條，網(wǎng)絡(luò)，是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集，存儲(chǔ)，傳輸，交換，處理的系統(tǒng)。網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊，侵入，干擾，破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性，保密性，可用性的能力。故選C2、C解析:信息分級(jí)的目的確保信息按照其對(duì)組織的重要程度受到適當(dāng)水平的保護(hù)。對(duì)比四個(gè)選項(xiàng)，c項(xiàng)更能突出對(duì)組織的重要程度，故選C3、B解析:27005信息安全風(fēng)險(xiǎn)管理8,2,,1風(fēng)險(xiǎn)識(shí)別，包括資產(chǎn)識(shí)別，威脅識(shí)別，現(xiàn)有控制措施識(shí)別，脆弱性識(shí)別，后果識(shí)別。故選B4、D5、C6、B7、B8、B9、A10、C11、A12、B13、D14、B15、B16、B17、C18、C19、D20、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實(shí)現(xiàn)信息安全管理體系過程中選擇控制時(shí)的參考，或作為組織在實(shí)現(xiàn)通用信息安全控制時(shí)的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù)，故選B21、B22、D23、C24、D解析:27001,7,5,2創(chuàng)建和更新，創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)臉?biāo)識(shí)和描述；格式和介質(zhì)；對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)25、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A26、D解析:漏洞檢測(cè)分為被動(dòng)檢測(cè)（靜態(tài)），主動(dòng)檢測(cè)（動(dòng)態(tài)），綜合檢測(cè)（混合檢測(cè)）。故選D27、D解析:監(jiān)督審核是現(xiàn)場(chǎng)審核，但不一定是對(duì)整個(gè)體系的審核，并應(yīng)與其他監(jiān)督活動(dòng)一起策劃，以使認(rèn)證機(jī)構(gòu)能對(duì)獲證客戶管理體系在認(rèn)證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標(biāo)準(zhǔn)的每次監(jiān)督審核應(yīng)包括對(duì)以下方面的審查：（1）內(nèi)部審核和管理評(píng)審；(2)對(duì)上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實(shí)現(xiàn)獲證客