本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2017年03月審核知識（改考前）答案及解析單選題（共40題，共40分）1.信息安全管理體系審核范圍的確定需考慮（）。A.業(yè)務(wù)范圍和邊界B.組織和物理范圍邊界C.資產(chǎn)和技術(shù)范圍和邊界D.以上全部答案：D解析：信息安全管理體系審核范圍的確定需考慮業(yè)務(wù)范圍和邊界、組織和物理范圍邊界以及資產(chǎn)和技術(shù)范圍和邊界。因此，選項D“以上全部”是正確的答案。在信息安全管理體系審核中，審核員需要明確審核的范圍，包括被審核的組織、部門、系統(tǒng)、應(yīng)用等，以及審核的時間段和審核的深度和廣度。審核范圍的確定需要綜合考慮各種因素，包括組織的業(yè)務(wù)范圍、物理范圍、資產(chǎn)和技術(shù)范圍等，以確保審核的全面性和有效性。因此，選項D“以上全部”是符合實際情況的。2.按照PDCA思路進行審核，是指（）。A.按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核B.按照認證機構(gòu)的PDCA流程進行審核C.按照認可規(guī)港中規(guī)定的PDCA流程進行審核D.以上都對答案：A解析：按照PDCA思路進行審核，是指按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核。PDCA是Plan（計劃）、Do（執(zhí)行）、Check（檢查）和Act（處理）的縮寫，是一種常用的質(zhì)量管理工具。在信息安全管理體系審核中，審核員通常會按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核，以確保審核的全面性和有效性。因此，選項A“按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核”是正確的。選項B“按照認證機構(gòu)的PDCA流程進行審核”和選項C“按照認可規(guī)港中規(guī)定的PDCA流程進行審核”都不符合題目要求，因為它們沒有明確指出是按照受審核區(qū)域的信息安全管理活動的PDCA過程進行審核。因此，選項D“以上都對”也是錯誤的。3.關(guān)于“審核發(fā)現(xiàn)”，以下說法正確的是（）。A.人審核發(fā)現(xiàn)即審核員觀察到的事實B.人審核發(fā)現(xiàn)可以表明正面的或負面的結(jié)果C.審核發(fā)現(xiàn)即審核組提出的不符合項報告D.審核發(fā)現(xiàn)即審核結(jié)論意見答案：B解析：題目中要求選出關(guān)于“審核發(fā)現(xiàn)”的正確說法。A選項提到“人審核發(fā)現(xiàn)即審核員觀察到的事實”，但“人審核發(fā)現(xiàn)”這一表述本身并不準確，應(yīng)該是“審核發(fā)現(xiàn)”。因此A選項不正確。C選項說“審核發(fā)現(xiàn)即審核組提出的不符合項報告”，這也不準確。審核發(fā)現(xiàn)不僅僅是不符合項報告，還包括其他觀察結(jié)果和事實。D選項提到“審核發(fā)現(xiàn)即審核結(jié)論意見”，這同樣不準確。審核結(jié)論意見是基于審核發(fā)現(xiàn)得出的，而不是審核發(fā)現(xiàn)本身。因此，B選項“人審核發(fā)現(xiàn)可以表明正面的或負面的結(jié)果”是正確的。審核發(fā)現(xiàn)可以揭示出正面的或負面的情況，從而幫助改進過程或系統(tǒng)。4.關(guān)于信息安全管理體系認證，以下說法正確的是（）。A.認證決定人員不宜推翻審核組的正面建議B.認證決定人員不宜推翻審核組的負面建議C.認證決定人員宜與審核組長協(xié)商做出認證決定D.認證決定人員宜與受審核方協(xié)商做出認證決定答案：B解析：在信息安全管理體系認證過程中，審核組通常會對受審核方的管理體系進行評估，并給出建議。審核組的正面建議通常是基于他們對受審核方管理體系的積極評價，因此，認證決定人員通常沒有理由推翻這些建議。然而，如果審核組給出負面建議，認證決定人員應(yīng)當(dāng)進行獨立的判斷，并考慮所有相關(guān)因素，包括審核組的建議，但不應(yīng)僅僅基于審核組的負面建議做出決定。因此，認證決定人員不宜推翻審核組的負面建議，故選項B正確。選項A、C、D的說法均不符合信息安全管理體系認證的一般原則和實踐。5.關(guān)于第三方認證的監(jiān)督審核，以下說法不正確的是（）。A.可以與其他監(jiān)督活動一起策劃B.目的在于認證機構(gòu)對獲證客戶信息安全管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任C.次監(jiān)督審核應(yīng)包括對內(nèi)審、管理評審和持續(xù)的運作控制的審核D.每不一定是對整個體系的審核，不一定是現(xiàn)場審核答案：D解析：A項：監(jiān)督審核可以與其他的監(jiān)督活動一起策劃，這是符合第三方認證監(jiān)督審核的實際操作情況的，所以A項正確。B項：監(jiān)督審核的目的在于認證機構(gòu)對獲證客戶信息安全管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任，這是監(jiān)督審核的基本目的，所以B項正確。C項：次監(jiān)督審核應(yīng)包括對內(nèi)審、管理評審和持續(xù)的運作控制的審核，這是第三方認證監(jiān)督審核的重要組成部分，所以C項正確。D項：監(jiān)督審核是對整個體系的審核，且一般是現(xiàn)場審核，這是監(jiān)督審核的基本特點，所以D項不正確。因此，不正確的說法是D項。6.當(dāng)獲得的審核證據(jù)表明不能達到審核目的時，審核組長可以（）。A.宣布停止受審核方的生產(chǎn)/服務(wù)活動B.向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當(dāng)?shù)拇胧〤.宣布取消末次會議D.以上各項都不可以答案：B解析：根據(jù)題目中的描述，當(dāng)獲得的審核證據(jù)表明不能達到審核目的時，審核組長應(yīng)該向?qū)徍宋蟹胶褪軐徍朔綀蟾胬碛梢源_定適當(dāng)?shù)拇胧?。因此，選項B是正確的。選項A宣布停止受審核方的生產(chǎn)/服務(wù)活動并不是審核組長的職責(zé)，選項C宣布取消末次會議與題干描述不符，選項D以上各項都不可以也不符合題目要求。因此，正確答案是B。7.審核方案是指（）。A.對一次審核活動和安排的描述B.針對特定時間段所策劃，并具有特定目的的一組(一次或多次)審核C.對“查什么”和“怎么查”的策劃D.以上都不對答案：B解析：審核方案是指針對特定時間段所策劃，并具有特定目的的一組（一次或多次）審核。這是審核方案的基本定義，它明確了審核方案是針對特定時間段和特定目的進行策劃的，可能包括一次或多次審核。因此，選項B是正確的。選項A描述的是一次審核活動和安排，而審核方案可能包括多次審核，因此A不正確。選項C描述的是“查什么”和“怎么查”的策劃，這更像是審核計劃或?qū)徍藱z查表的內(nèi)容，而不是審核方案的定義，因此C也不正確。選項D表示以上都不對，由于我們已經(jīng)確定了B是正確的，所以D也不正確。8.審核報告是（）。A.受審核方的資產(chǎn)B.審核委托和受審核方的共同資產(chǎn)C.審核委托方的資產(chǎn)D.審核組和審核委托方的資產(chǎn)答案：C解析：審核報告是審核委托方的資產(chǎn)。審核報告是審核委托方委托審核組對受審核方進行審核后，由審核組編寫的報告，它包含了審核的結(jié)果、意見和建議等信息，這些信息是審核委托方需要關(guān)注和使用的，因此審核報告是審核委托方的資產(chǎn)。選項A、B、D均不符合審核報告的定義和屬性。9.審核的工作文件包括（）。A.檢查表B.審核抽樣計劃C.信息記錄表格D.A+B+C答案：D解析：本題考查審核的工作文件。審核的工作文件通常包括多種形式的記錄和信息，這些文件為審核過程的實施和記錄提供依據(jù)。選項A“檢查表”是審核中常用的一種工具，用于幫助審核員系統(tǒng)地收集信息，確保不遺漏任何關(guān)鍵點。選項B“審核抽樣計劃”是審核中用于確定抽樣方法和樣本大小的文件，以確保審核的效率和準確性。選項C“信息記錄表格”用于記錄審核過程中發(fā)現(xiàn)的信息，包括觀察結(jié)果、不符合項等。因此，選項D“A+B+C”涵蓋了審核工作文件的主要組成部分，是最全面的答案。10.審核人日數(shù)的計算方式是（）。A.審核組中審核員+實習(xí)審核員技術(shù)專家+觀察員的審核人天數(shù)之和B.審核組中審核員+實可審核員的審核人天數(shù)之和C.審核組中審核員的審穢人天數(shù)之和D.審核組中審核貢實勻?qū)徍藛T+技術(shù)專家的審核人天數(shù)之和答案：C解析：根據(jù)題目中的描述，審核人日數(shù)的計算方式應(yīng)該是審核組中審核員的審核人天數(shù)之和。因此，正確選項是C。其他選項A、B、D均不符合題目要求。在審核過程中，審核人日數(shù)是指審核員在審核現(xiàn)場工作的時間，通常以天為單位計算。因此，審核人日數(shù)的計算方式應(yīng)該是審核組中審核員的審核人天數(shù)之和。11.審核員的檢查表應(yīng)（）。A.事先提交受審核方評審確認B.基于審核準則事先編制C.軒對不同的受審核組織應(yīng)統(tǒng)一格式和內(nèi)容D.由審核組長負貴編制審核組使用的檢查表答案：B解析：審核員的檢查表應(yīng)基于審核準則事先編制。這是因為在審核過程中，審核員需要依據(jù)一定的準則來評估受審核方的表現(xiàn)和合規(guī)性。檢查表作為審核員的工作工具，應(yīng)當(dāng)基于這些準則進行編制，以確保審核的準確性和一致性。因此，選項B“基于審核準則事先編制”是正確的選擇。其他選項如事先提交受審核方評審確認、對不同的受審核組織應(yīng)統(tǒng)一格式和內(nèi)容、由審核組長負責(zé)編制審核組使用的檢查表，與檢查表的編制原則不符。12.審核組長在末次會議上宣布的審核結(jié)論是依據(jù)（）得出的。A.審核目的B.不符合項的嚴重程度C.所有的審核發(fā)現(xiàn)D.A+B+C答案：D解析：審核組長在末次會議上宣布的審核結(jié)論是基于所有的審核發(fā)現(xiàn)得出的，審核發(fā)現(xiàn)包括了所有與審核目的相關(guān)的證據(jù)和信息。審核結(jié)論是基于對審核證據(jù)的全面分析和評估得出的，它不僅考慮到了不符合項的嚴重程度，還考慮了審核目的，以及所有的審核發(fā)現(xiàn)。因此，正確答案是D，即審核結(jié)論是基于A（審核目的）、B（不符合項的嚴重程度）和C（所有的審核發(fā)現(xiàn)）得出的。13.現(xiàn)場審核的結(jié)束是指（）。A.末次會議結(jié)束B.對不符合項糾正措施進行驗證后C.分發(fā)了經(jīng)批準的審核報告時D.監(jiān)督審核結(jié)束答案：A解析：現(xiàn)場審核的結(jié)束通常指的是末次會議結(jié)束。末次會議是審核過程中的一個重要環(huán)節(jié)，審核組會在此次會議上總結(jié)審核發(fā)現(xiàn)，與被審核方確認不符合項，并討論改進措施。因此，末次會議的結(jié)束標志著現(xiàn)場審核的結(jié)束。選項B、C和D描述的是對不符合項糾正措施進行驗證、分發(fā)經(jīng)批準的審核報告和監(jiān)督審核結(jié)束，這些雖然是審核過程中的一部分，但不是現(xiàn)場審核結(jié)束的標志性事件。所以，正確答案是A，即末次會議結(jié)束。14.信息安全管理體系初次認證審核時，第一階段審核應(yīng)（）。A.對受審核方信息安全管理體系的策劃進行審核和評價B.對受審核方信息安全管理體系的內(nèi)部審核及管理評審的有效性進行審核和評價C.對受審核方信息安全管理體系文件的符合性、適宜性和有效性進行審核和評價D.對受審核方信息安全管理體系文件進行審核和符合性評價答案：D解析：根據(jù)信息安全管理體系（ISMS）初次認證審核的規(guī)定，第一階段審核主要對受審核方信息安全管理體系文件進行審核和符合性評價。這是為了確保受審核方已經(jīng)建立了符合標準要求的信息安全管理體系文件，并且這些文件與審核標準的要求相一致。因此，選項D“對受審核方信息安全管理體系文件進行審核和符合性評價”是正確答案。選項A、B、C涉及的內(nèi)容是審核過程中的其他階段或更深入的評價，不屬于初次認證審核的第一階段審核內(nèi)容。15.下列不屬于在組織控制下工作的人員應(yīng)了解的是（）。A.信息安全方針B.業(yè)務(wù)影響分析結(jié)果C.作人員對信息安全管理體系有效性的貢獻D.工不符合信息安全管理體系要求帶來的影響答案：B解析：在組織控制下工作的人員應(yīng)了解的信息安全方針、對信息安全管理體系有效性的貢獻以及不符合信息安全管理體系要求帶來的影響。業(yè)務(wù)影響分析結(jié)果主要是用于評估業(yè)務(wù)活動中斷或系統(tǒng)失效可能造成的潛在后果，通常不是直接由在組織控制下工作的人員了解的內(nèi)容。因此，選項B業(yè)務(wù)影響分析結(jié)果不屬于在組織控制下工作的人員應(yīng)了解的內(nèi)容。16.關(guān)于認證審核報告，以下說法正確的是（）。A.審核方案管理人員應(yīng)確保審核報告得到評審和批準B.審核組長應(yīng)確保審核報告得到評審和批準C.管理者代表應(yīng)確保審核報告得到評審和批準D.管理者代表應(yīng)評審和批準審核報告答案：A解析：在認證審核中，審核報告是一份非常重要的文件，它記錄了審核的結(jié)果和發(fā)現(xiàn)的問題。為了確保審核報告的質(zhì)量和準確性，需要對其進行評審和批準。根據(jù)認證審核的相關(guān)規(guī)定，審核方案管理人員應(yīng)確保審核報告得到評審和批準。因此，選項A是正確的說法。選項B、C和D中的描述并不符合認證審核的規(guī)定，所以都是錯誤的。17.與審核準則有關(guān)的并且能夠證實的記錄、事實陳述或息稱為（）。A.信息安全信息B.審核證據(jù)C.檢驗記錄D.信息源答案：B解析：在審核過程中，與審核準則有關(guān)的并且能夠證實的記錄、事實陳述或息稱為審核證據(jù)。審核證據(jù)是審核過程中的重要依據(jù)，用于支持審核結(jié)論。因此，正確答案為“審核證據(jù)”。其他選項如“信息安全信息”、“檢驗記錄”和“信息源”與審核證據(jù)的定義不符。18.GB/T22080-2016/ISO/IEC27001:2013《信思歸安全技術(shù)信息安全要求》附錄A包括（）。A.11個方面39個控制目標114條控制措施B.14個方面35個控制目標114條控制措施C.11個方面39個控制目標133條控制措施D.14個方面35個控制目標133條控制措施答案：B解析：根據(jù)題目給出的信息，我們需要確定《信思歸安全技術(shù)信息安全要求》附錄A包括的方面、控制目標和控制措施的數(shù)量。根據(jù)給出的選項，我們可以逐一分析：A選項提到11個方面、39個控制目標、114條控制措施。B選項提到14個方面、35個控制目標、114條控制措施。C選項提到11個方面、39個控制目標、133條控制措施。D選項提到14個方面、35個控制目標、133條控制措施。然而，題目中給出的標準號是“GB/T22080-2016/ISO/IEC27001:2013《信思歸安全技術(shù)信息安全要求》”，這個標準號似乎存在錯誤，因為“信思歸”并不是標準的名稱?？赡苁穷}目中的錯誤或者是一個輸入錯誤。不過，我們可以假設(shè)這是“GB/T22080-2016/ISO/IEC27001:2013《信息安全技術(shù)信息安全管理體系要求》”。根據(jù)這個標準，附錄A確實提供了14個方面的信息安全控制，每個方面下又有多個控制目標和控制措施。但是，具體的控制目標和控制措施的數(shù)量可能因版本和具體實現(xiàn)而有所不同。題目中給出的“14個方面、35個控制目標、114條控制措施”與標準附錄A的結(jié)構(gòu)相符，因此B選項是正確的。至于C和D選項，題目中并沒有提到這樣的數(shù)量，所以它們是不正確的。綜上所述，正確答案是B選項：“14個方面、35個控制目標、114條控制措施”。19.關(guān)于審核組的現(xiàn)場審核，劣下說法錯誤的是（）。A.審核組在審核期間現(xiàn)場可根據(jù)受審核方實際情況及時變更審核范圍B.審核組在審核期間現(xiàn)場可調(diào)整審核路線和審核資源分配C.審核組遇到重木風(fēng)險應(yīng)報告委托方以決定后續(xù)措施D.審核組遇到重大風(fēng)險應(yīng)報告受審核方以決定后續(xù)措施答案：A解析：本題為單選題，主要考查關(guān)于審核組的現(xiàn)場審核的相關(guān)內(nèi)容。A選項表示“審核組在審核期間現(xiàn)場可根據(jù)受審核方實際情況及時變更審核范圍”，這與審核的一般原則相悖。在審核過程中，審核范圍應(yīng)當(dāng)明確并固定，不得隨意變更，否則可能導(dǎo)致審核結(jié)果的失真和不準確。因此，A選項是錯誤的。B選項表示“審核組在審核期間現(xiàn)場可調(diào)整審核路線和審核資源分配”，這是符合審核組在審核期間根據(jù)實際情況靈活調(diào)整審核策略的做法，因此B選項是正確的。C選項表示“審核組遇到重大風(fēng)險應(yīng)報告委托方以決定后續(xù)措施”，這也是符合審核組在遇到重大風(fēng)險時應(yīng)當(dāng)及時向委托方報告并尋求解決方案的原則，因此C選項是正確的。D選項表示“審核組遇到重大風(fēng)險應(yīng)報告受審核方以決定后續(xù)措施”，這在實際操作中可能引發(fā)爭議，因為審核組與受審核方可能存在利益沖突，報告受審核方可能會影響審核的公正性和客觀性，因此D選項是錯誤的。綜上所述，正確答案為A。20.針對獲證組織擴大范圍的審核，以下說法正確的是（）。A.必須和監(jiān)督審核一起進行B.是監(jiān)督審核的形式之一C.一種特殊審核D.以上都對答案：C解析：獲證組織擴大范圍的審核是一種特殊審核，它并不是和監(jiān)督審核一起進行，也不是監(jiān)督審核的形式之一。因此，選項A和B都是錯誤的。選項D說“以上都對”也是錯誤的，因為并不是所有選項都是正確的。所以，正確答案是選項C，即獲證組織擴大范圍的審核是一種特殊審核。21.關(guān)于時鐘同步的控制要求，描述正確的是（）。A.—個組織或安全區(qū)域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘，應(yīng)與多個基準物相同B.一個組織或安全區(qū)域內(nèi)的核心相關(guān)信息處理設(shè)施的時鐘，應(yīng)與多個基準物相同C.一個組織或安全區(qū)域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘，應(yīng)與單一一時鐘源同步D.一個組織或安全區(qū)域內(nèi)的核心相關(guān)信息處理設(shè)施的時鐘，應(yīng)與單一一時鐘源同步答案：C解析：根據(jù)給出的題目描述，關(guān)于時鐘同步的控制要求，描述正確的是“一個組織或安全區(qū)域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘，應(yīng)與單一一時鐘源同步”。這是因為時鐘同步對于確保網(wǎng)絡(luò)和信息系統(tǒng)的安全、穩(wěn)定、可靠運行至關(guān)重要。通過將所有相關(guān)信息處理設(shè)施的時鐘與單一一時鐘源同步，可以確保系統(tǒng)內(nèi)部時間的一致性，避免由于時鐘偏差導(dǎo)致的問題，如數(shù)據(jù)包亂序、會話超時等。因此，選項C是正確的描述。22.表示客體安全級別并描述客體敏感性的一組信息，是（）。A.敏感性標記，是可信計算基中強制訪問控制決策的依據(jù)B.關(guān)鍵性標記，是可信計算基中強制訪問控制決策的依據(jù)C.關(guān)鍵性等級標記，是信息資產(chǎn)分類分級的依據(jù)D.敏感性標記，是表明訪問者安全權(quán)限級別的信息答案：A解析：在信息安全領(lǐng)域，敏感性標記是用于表示客體（如數(shù)據(jù)、文件、系統(tǒng)等）的安全級別和敏感性的信息。它是可信計算基（TCB）中強制訪問控制決策的依據(jù)，用于確定哪些主體（如用戶、進程等）可以訪問哪些客體，以及訪問的級別和權(quán)限。因此，選項A“敏感性標記，是可信計算基中強制訪問控制決策的依據(jù)”是正確的描述。選項B“關(guān)鍵性標記”通常指的是客體在系統(tǒng)中的重要性或價值，而不是其安全級別或敏感性。選項C“關(guān)鍵性等級標記”的描述不夠準確，關(guān)鍵性等級標記可能指的是客體的關(guān)鍵性級別，但題目中要求的是描述客體敏感性的信息，所以C選項不符合題意。選項D“敏感性標記，是表明訪問者安全權(quán)限級別的信息”與A選項有部分相似，但表述不夠準確，通?？腕w的敏感性級別是由敏感性標記表示的，而不是訪問者的權(quán)限級別。因此，選項D的描述與題意不符。23.認證審核時，審核組應(yīng)（）。A.在審核前將審核計劃提交受審核方，并與受審核方進行溝通得到確認B.在審核中將審核計劃提交受審核方，并與受審核方進行溝通得到認定C.在審核后將審核計劃提交受審核方，并與受審核方進行溝通得到確認D.在審核后將審核計劃提交受審核方，并與受審核方進行溝通得到認可答案：A解析：在認證審核時，審核組應(yīng)在審核前將審核計劃提交受審核方，并與受審核方進行溝通得到確認。這是審核流程中的常規(guī)操作，確保審核計劃得到受審核方的明確理解和認可，從而確保審核的順利進行。因此，選項A“在審核前將審核計劃提交受審核方，并與受審核方進行溝通得到確認”是正確的。24.設(shè)立信息安全管理體系認證機構(gòu)，須得到以下哪個機構(gòu)的批準，方可在中國境內(nèi)從事認證活動（）。A.中國合格評定國家認可委員會B.中國國家認證認可監(jiān)督管理委員會C.認證認可協(xié)會D.工商注冊管理部門答案：B解析：根據(jù)《認證機構(gòu)管理辦法》的規(guī)定，設(shè)立認證機構(gòu)，應(yīng)當(dāng)經(jīng)國家認證認可監(jiān)督管理委員會批準，并在工商行政管理部門辦理登記后，方可從事批準范圍內(nèi)的認證活動。因此，在中國境內(nèi)從事認證活動，必須得到中國國家認證認可監(jiān)督管理委員會的批準。因此，答案為B選項，即中國國家認證認可監(jiān)督管理委員會。25.下列哪項不是監(jiān)督審核的目的？（）A.驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)B.驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C.確認是否持續(xù)符合認證要求D.作出是否換發(fā)證書的決定答案：D解析：監(jiān)督審核的目的是驗證認證通過的ISMS是否得以持續(xù)實現(xiàn)，驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化，以及確認是否持續(xù)符合認證要求。而作出是否換發(fā)證書的決定是監(jiān)督審核的一個結(jié)果，而不是其目的。因此，選項D不是監(jiān)督審核的目的。26.計算機安全保護等級的第三級是（）人保護等級。A.用戶自主B.安全標記C.系統(tǒng)審計D.結(jié)構(gòu)化答案：B解析：在計算機安全保護等級中，第三級是安全標記保護等級。自主保護等級是第二級，系統(tǒng)審計保護等級是第四級，結(jié)構(gòu)化保護等級是第五級。因此，正確答案為B，即安全標記。27.經(jīng)過風(fēng)險處理后遺留的風(fēng)險是（）。A.殘余風(fēng)險，殘余風(fēng)險應(yīng)得到批準B.殘余風(fēng)險，殘余風(fēng)險應(yīng)全部消除C.殘余風(fēng)險，殘余風(fēng)險應(yīng)全部保留D.殘余風(fēng)險，殘余風(fēng)險應(yīng)繼續(xù)處置答案：A解析：在風(fēng)險管理中，經(jīng)過風(fēng)險處理后遺留的風(fēng)險稱為“殘余風(fēng)險”。殘余風(fēng)險是風(fēng)險處理過程中無法完全消除的風(fēng)險，但可以通過風(fēng)險評估和管理來降低其影響。因此，殘余風(fēng)險應(yīng)得到批準，以便進行持續(xù)的風(fēng)險監(jiān)測和管理。選項B、C、D均不符合風(fēng)險管理的原則，故正確答案為A。28.為確保信息資產(chǎn)的安全，設(shè)備、信息或軟件在（）之前不應(yīng)帶出組織場所。A.使用B.授權(quán)C.檢查合格D.識別出薄弱環(huán)節(jié)答案：B解析：為確保信息資產(chǎn)的安全，設(shè)備、信息或軟件在帶出組織場所之前，需要經(jīng)過授權(quán)。授權(quán)意味著經(jīng)過組織內(nèi)部的審核和批準，確保這些資產(chǎn)不會受到未經(jīng)授權(quán)的使用或訪問。使用、檢查合格或識別出薄弱環(huán)節(jié)雖然都是保護信息資產(chǎn)安全的環(huán)節(jié)，但在帶出組織場所之前，最重要的是確保已經(jīng)獲得了授權(quán)。因此，正確答案是“授權(quán)”。29.信息安全管理體系認證是（）。A.與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實活動B.對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價C.信息安全管理體系認證不是合格評定活動D.是信息系統(tǒng)風(fēng)險管理的實施活動答案：A解析：信息安全管理體系認證是與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實活動。信息安全管理體系認證是一種合格評定活動，旨在驗證組織的信息安全管理體系是否滿足相關(guān)標準或規(guī)定的要求，以確保組織的信息安全得到保障。因此，選項A“與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實活動”是正確的。選項B“對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價”雖然描述了信息安全管理體系認證的一部分內(nèi)容，但并不全面。選項C“信息安全管理體系認證不是合格評定活動”與事實不符。選項D“是信息系統(tǒng)風(fēng)險管理的實施活動”雖然信息安全管理體系認證與風(fēng)險管理有關(guān)，但并非其主要目的。30.以下說法正確的是（）。A.審核組的每一次審核，均應(yīng)向委托方提交審核報告B.認證審核的一階段審核，可視情況決定是否需要提交審核報告C.監(jiān)督審核不要求提交審核報告D.特殊審核可視情況決定是否需要提交審核報告答案：A解析：本題考察審核報告的相關(guān)知識。A選項指出“審核組的每一次審核，均應(yīng)向委托方提交審核報告”，這是正確的。審核組在進行審核時，無論是對組織的管理體系進行初次審核、復(fù)評審核，還是對管理體系運行進行的監(jiān)督審核，都應(yīng)將審核的結(jié)果向委托方提交審核報告。B選項說“認證審核的一階段審核，可視情況決定是否需要提交審核報告”，這是錯誤的。無論是一階段審核還是二階段審核，審核組都應(yīng)將審核結(jié)果向委托方提交審核報告。C選項說“監(jiān)督審核不要求提交審核報告”，這也是錯誤的。監(jiān)督審核是對組織管理體系運行情況的定期審核，審核組應(yīng)將審核結(jié)果向委托方提交審核報告。D選項說“特殊審核可視情況決定是否需要提交審核報告”，這同樣是錯誤的。特殊審核，如擴項審核、減少審核范圍審核等，審核組也應(yīng)將審核結(jié)果向委托方提交審核報告。因此，正確答案是A選項。31.以下強健口令的是（）。A.a8mom9y5fub33B.1234C.CNASD.Password答案：A解析：在評估四個選項的口令強度時，我們需要考慮口令的復(fù)雜性和難以猜測性。A選項"a8mom9y5fub33"包含大小寫字母、數(shù)字和特殊字符，長度也相對較長，這樣的口令很難被猜測，因此具有較高的安全性。B選項"1234"是一個非常簡單的口令，僅包含數(shù)字且順序排列，非常容易被猜測，因此安全性很低。C選項"CNAS"是一個常見的英文縮寫，雖然包含字母，但可能容易被猜測或通過字典攻擊破解，因此安全性也較低。D選項"Password"是一個常見的弱口令，因為它是一個常見的英文單詞，非常容易被猜測，安全性很低。綜上所述，A選項"a8mom9y5fub33"是最安全的口令，因為它包含多種字符類型，長度適中，且難以猜測。因此，正確答案是A。32.下列哪項不屬于信息安全風(fēng)險評估過程（）。A.識別信息安全風(fēng)險B.處置信息安全風(fēng)險C.分析信息安全風(fēng)險D.評價信息安全風(fēng)險答案：B解析：信息安全風(fēng)險評估過程主要包括識別信息安全風(fēng)險、分析信息安全風(fēng)險和評價信息安全風(fēng)險三個步驟。其中，識別信息安全風(fēng)險是確定可能存在的風(fēng)險，分析信息安全風(fēng)險是對風(fēng)險進行分析，評價信息安全風(fēng)險是對風(fēng)險進行評估。而處置信息安全風(fēng)險并不是信息安全風(fēng)險評估過程的直接組成部分，它是在風(fēng)險評估后，根據(jù)評估結(jié)果采取相應(yīng)的措施來處置或減輕風(fēng)險的過程。因此，選項B處置信息安全風(fēng)險不屬于信息安全風(fēng)險評估過程。33.信息安全管理體系審核時，為了獲取審核證據(jù)，應(yīng)考慮的信息源為（）。A.受審核方的業(yè)務(wù)系統(tǒng)相關(guān)的活動和數(shù)據(jù)B.受審核方場所中已確定為信息安全管理體系范圍內(nèi)的相關(guān)C.受審核方申請信息安全管理體系認證范圍內(nèi)的業(yè)務(wù)過程D.以上全部答案：D解析：在信息安全管理體系審核時，為了獲取審核證據(jù)，需要考慮的信息源應(yīng)該包括受審核方的所有相關(guān)活動、數(shù)據(jù)以及業(yè)務(wù)過程。這些活動、數(shù)據(jù)和業(yè)務(wù)過程可能涉及受審核方的業(yè)務(wù)系統(tǒng)、場所以及申請信息安全管理體系認證的范圍。因此，選項D“以上全部”是正確的答案。34.開發(fā)、測試和（）設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風(fēng)險。A.配置B.系統(tǒng)C.終端D.運行誕答案：D解析：題目中提到“開發(fā)、測試和（）設(shè)施應(yīng)分離”，這是信息安全領(lǐng)域中常見的措施，旨在減少未授權(quán)訪問或改變運行系統(tǒng)的風(fēng)險。通常，開發(fā)、測試和生產(chǎn)環(huán)境應(yīng)該相互隔離，以確保代碼和數(shù)據(jù)的安全性。在給出的選項中，只有“運行”與這種環(huán)境隔離的概念最為相關(guān)。因此，正確答案是“運行”。35.以下哪一方面不屬于在編制信息安全方針時宜考慮的要求。（）A.業(yè)務(wù)戰(zhàn)略B.法律、法規(guī)和合同C.當(dāng)前和預(yù)期的信息安全威脅環(huán)境D.年度財務(wù)預(yù)算要求答案：D解析：在編制信息安全方針時，宜考慮的要求通常與信息安全策略、目標、原則以及實現(xiàn)這些目標所需的措施有關(guān)。選項A“業(yè)務(wù)戰(zhàn)略”涉及組織整體業(yè)務(wù)目標，信息安全方針應(yīng)與業(yè)務(wù)戰(zhàn)略保持一致；選項B“法律、法規(guī)和合同”涉及遵守法律法規(guī)和合同要求，確保信息安全；選項C“當(dāng)前和預(yù)期的信息安全威脅環(huán)境”涉及評估當(dāng)前和未來的安全威脅，制定相應(yīng)策略。而選項D“年度財務(wù)預(yù)算要求”與信息安全方針的直接關(guān)系不明顯，它更多地與信息安全項目的預(yù)算和資源配置有關(guān)，而不是信息安全方針本身應(yīng)考慮的要素。因此，D選項“年度財務(wù)預(yù)算要求”不屬于在編制信息安全方針時宜考慮的要求。36.在ISO組織框架中負貴ISO/IEC27000系列標準編制工作的技術(shù)委員會是（）。A.ISO/IECJTCISC27B.ISO/IECJTCISC40C.ISO/IEC27D.ISO/IECTC40答案：A解析：ISO/IEC27000系列標準屬于信息安全管理體系標準，這些標準在ISO組織框架中由特定的技術(shù)委員會負責(zé)編制。在給出的選項中，只有ISO/IECJTC1SC27負責(zé)信息安全管理體系相關(guān)標準的工作，包括ISO/IEC27000系列。因此，答案是A選項。其他選項如ISO/IECJTC1SC40、ISO/IEC27和ISO/IECTC40與ISO/IEC27000系列標準的編制工作無關(guān)。37.在A公司審核時，發(fā)現(xiàn)公司某機房管理員雖然離職，但門禁權(quán)限分配記錄中仍保留該人員的權(quán)限，詢問發(fā)現(xiàn)該門禁止已發(fā)放新的機房管理員，但權(quán)限未進行更改，請問該情況不符合GB/T22080-2G16/ISO/IEC27001:2013標準哪個條款（）。A.A9.2.6撤銷訪問權(quán)B.A11.2.1用戶注冊C.A11.2.4用戶訪問權(quán)的復(fù)查D.A11.5.2用戶標示和鑒別答案：A解析：根據(jù)題目描述，公司某機房管理員雖然離職，但門禁權(quán)限分配記錄中仍保留該人員的權(quán)限，詢問發(fā)現(xiàn)該門禁止已發(fā)放新的機房管理員，但權(quán)限未進行更改。這種情況違反了GB/T22080-2G16/ISO/IEC27001:2013標準中A9.2.6條款，即“撤銷訪問權(quán)”。該條款要求組織應(yīng)確保在員工離職或不再需要訪問權(quán)限時，能夠撤銷其訪問權(quán)限，以防止未經(jīng)授權(quán)的人員訪問組織的信息資產(chǎn)。因此，該情況不符合GB/T22080-2G16/ISO/IEC27001:2013標準A9.2.6條款“撤銷訪問權(quán)”。38.在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A.內(nèi)容監(jiān)控B.安全教育和培訓(xùn)C.責(zé)任追查和懲處D.訪問控制答案：B解析：在信息安全管理中，解決人員安全意識薄弱問題的有效方法是進行安全教育和培訓(xùn)。通過教育和培訓(xùn)，可以提高員工對信息安全的認識和意識，使其了解并遵守相關(guān)的安全規(guī)定和流程，從而降低安全風(fēng)險。因此，選項B“安全教育和培訓(xùn)”是正確答案。其他選項如內(nèi)容監(jiān)控、責(zé)任追查和懲處、訪問控制雖然都是信息安全管理的重要方面，但與解決人員安全意識薄弱問題不直接相關(guān)。39.以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的安全事件稱之為（）。A.有害程序事件B.僵尸網(wǎng)絡(luò)事件C.拒絕服務(wù)攻擊D.信息破壞事件答案：C解析：有害程序事件、僵尸網(wǎng)絡(luò)事件、拒絕服務(wù)攻擊和信息破壞事件都是與信息安全相關(guān)的事件類型。然而，拒絕服務(wù)攻擊（DoS攻擊）是一種通過大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運行的攻擊方式。有害程序事件通常指的是惡意軟件或病毒，而僵尸網(wǎng)絡(luò)事件則涉及到被控制的計算機組成的網(wǎng)絡(luò)。信息破壞事件則更側(cè)重于對信息的完整性和可用性的破壞。因此，選項C“拒絕服務(wù)攻擊”最符合題目描述的安全事件類型。40.下列對信息安全風(fēng)險評估建立準則描述正確的是（）。A.組織應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時執(zhí)行信息安全風(fēng)險評估B.組織應(yīng)按計劃的時間間隔且當(dāng)重大變更提出或發(fā)生時執(zhí)行信息安全風(fēng)險評估C.組織只需在重大變更發(fā)生時執(zhí)行信息安全風(fēng)險評估D.組織只需按計劃的時間間隔執(zhí)行信息安全風(fēng)險評估答案：A解析：信息安全風(fēng)險評估是組織為確保信息安全而進行的一項重要活動，其目的是識別潛在的安全風(fēng)險并評估其對組織的影響。為了確保評估的有效性和及時性，組織應(yīng)按照一定的準則執(zhí)行評估。根據(jù)給出的選項，A選項“組織應(yīng)按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時執(zhí)行信息安全風(fēng)險評估”是符合信息安全風(fēng)險評估的準則的。這是因為信息安全環(huán)境是動態(tài)變化的，重大變更的發(fā)生可能導(dǎo)致新的安全風(fēng)險出現(xiàn)，而按計劃的時間間隔進行評估可以確保組織對信息安全狀況的持續(xù)監(jiān)控。因此，A選項是正確的描述。多選題（共5題，共5分）41.以下不符合“客體重用”準則的是（）。A.當(dāng)項目組A成員離開項目組A進入項目組B時，其在項目組A時持有并使用的PC直接帶入項目組B使用B.資產(chǎn)編號為101#的磁盤分配給財務(wù)部用于具所存賬務(wù)報表等的數(shù)據(jù)備份，由于財務(wù)部數(shù)據(jù)量較小，該101#磁盤剩余空間很大，因此將該磁盤同時指派給客戶接待中心共用C.IT部對所有的新員工、調(diào)崗員工分配計算機之前，將計算機中原存有的所有信息另做備份后進行徹底刪除D.業(yè)務(wù)應(yīng)用系統(tǒng)運維部為了節(jié)約資源，多個不同職能角色的員工共用一部計算機，每個人分別建立文件夾用來存放自己的文件答案：ABD解析：“客體重用”準則是指資源在分配時，應(yīng)該盡量避免資源的重用導(dǎo)致的信息泄露、沖突等問題。A選項描述了一個成員從項目組A離開，帶入自己的PC到項目組B使用。這種情況下，原項目組A的成員可能在其PC上存儲了敏感信息，如果直接帶入項目組B使用，可能導(dǎo)致信息泄露。因此，A選項不符合“客體重用”準則。B選項描述了編號為101#的磁盤分配給財務(wù)部，后又同時指派給客戶接待中心共用。這樣做可能導(dǎo)致數(shù)據(jù)混淆，特別是在磁盤上有敏感或保密信息的情況下，這種“客體重用”可能會引發(fā)安全隱患。因此，B選項也不符合“客體重用”準則。C選項描述了IT部在分配計算機之前，對原有信息進行備份后徹底刪除。這種做法遵循了“客體重用”準則，因為它確保了在資源被重用之前，原始信息得到了適當(dāng)?shù)奶幚?，從而減少了信息泄露的風(fēng)險。D選項描述了多個不同職能的員工共用一部計算機。這種情況下，每個人都在自己的文件夾中存放文件，但仍然存在信息被誤刪除或誤修改的風(fēng)險，這也不符合“客體重用”準則。因此，選項A、B和D都不符合“客體重用”準則。42.依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）。A.涉及到一個或多個地市的大部分地區(qū)B.威脅到國家安全C.擾亂社會秩序D.對經(jīng)濟建設(shè)有重大負面影響答案：ABD解析：重大社會影響的情況依據(jù)GB/Z20986標準，包括涉及到一個或多個地市的大部分地區(qū)、威脅到國家安全以及對經(jīng)濟建設(shè)有重大負面影響。這些情況都可能對社會產(chǎn)生廣泛而深遠的影響，因此被確定為重大社會影響的情況。選項C“擾亂社會秩序”并未在GB/Z20986標準中明確列為重大社會影響的情況，因此不應(yīng)選。43.在設(shè)計和平應(yīng)用安全區(qū)域工作規(guī)程時，宜考慮（）。A.基于“須知”原則，員工宜僅規(guī)定安全區(qū)的存在或其中的活動B.為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作C.使用的安全區(qū)域宜上鎖并定期予以評審D.經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動設(shè)備中的相機答案：AB解析：在設(shè)計和平應(yīng)用安全區(qū)域工作規(guī)程時，需要考慮的因素包括員工對安全區(qū)的認知以及安全區(qū)內(nèi)的活動監(jiān)督。選項A提到基于“須知”原則，員工宜僅規(guī)定安全區(qū)的存在或其中的活動。這意味著在設(shè)計規(guī)程時，應(yīng)確保員工明確知道安全區(qū)的存在，并了解他們在安全區(qū)內(nèi)的活動范圍。選項B提到為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作。這強調(diào)了在工作規(guī)程中，需要對安全區(qū)內(nèi)的活動進行適當(dāng)?shù)谋O(jiān)督，以減少潛在的安全風(fēng)險或惡意行為。因此，這兩個選項都是設(shè)計安全區(qū)域工作規(guī)程時應(yīng)考慮的重要因素。44.（）是ISMS關(guān)鍵成功因素。A.用于評價信息安全管理執(zhí)行情況和改進反饋建議的測量系統(tǒng)B.信息安全方針、目標和與目標保持一致的活動C.有效的業(yè)務(wù)連續(xù)性管理方法D.有效的信息安全事件管理答案：ABCD解析：在ISMS（信息安全管理體系）中，多個關(guān)鍵成功因素共同影響著其運行效果。首先，A選項提到的“用于評價信息安全管理執(zhí)行情況和改進反饋建議的測量系統(tǒng)”是確保ISMS持續(xù)改進和優(yōu)化的重要手段。其次，B選項的“信息安全方針、目標和與目標保持一致的活動”是確保ISMS方向明確、目標一致的關(guān)鍵。再次，C選項的“有效的業(yè)務(wù)連續(xù)性管理方法”對于確保在信息安全事件發(fā)生時，業(yè)務(wù)能夠迅速恢復(fù)至關(guān)重要。最后，D選項的“有效的信息安全事件管理”能夠及時應(yīng)對各種信息安全威脅和挑戰(zhàn)，保障信息資產(chǎn)的安全。因此，ABCD都是ISMS的關(guān)鍵成功因素。45.關(guān)于個人信息安全的基本原則，以下正確的是（）。A.目的明確原則B.最少夠用原則C.同意和選擇原則D.公開透明原則答案：ABCD解析：個人信息安全的基本原則包括目的明確原則、最少夠用原則、同意和選擇原則以及公開透明原則。這些原則共同構(gòu)成了保護個人信息安全的基礎(chǔ)，確保個人信息的合法、正當(dāng)、必要使用，并保障個人的知情權(quán)和選擇權(quán)。因此，選項A、B、C和D都是正確的。主觀題（共7題，共7分）46.審核員對某IT服務(wù)公司進行審核時，與該公司系統(tǒng)集成項目負責(zé)人討論信息安全管理，該項“我們做的是弱電系統(tǒng)集成，即購買計算機設(shè)備及外設(shè)、安裝、聯(lián)通調(diào)試、網(wǎng)絡(luò)接入，設(shè)備可正常運行，網(wǎng)絡(luò)連接正常，項目即結(jié)束。不涉及此后的顧客使用系統(tǒng)設(shè)備的過程，不接觸顧客的任何業(yè)務(wù)運行是數(shù)據(jù)，所以沒有信息安全風(fēng)險?！痹搶徍藛T表示贊同，就結(jié)束了審核。請問該審核員的做法是否正確，為什么，你會如何審核？參考答案不正確，因為審核員僅聽受審核單位系統(tǒng)集成項目負責(zé)人介紹該單位“不涉及此后的顧客使用系統(tǒng)設(shè)備過程，不接觸顧客的任何業(yè)務(wù)運行數(shù)據(jù)，所以沒有信息安全風(fēng)險”，并沒有展開深入調(diào)查取證工作，就結(jié)束了審核，所以不正確。應(yīng)通過溝通訪談、觀察判斷受審核單位是否按照標準相關(guān)條款要求，對ISMS進行審核，查看組織提供的《適用性聲明》等，開展審核工作。具體如下：（1）文件體系是否建立健全，是否有安全策略。尤其是作為服務(wù)提供商，是否與服務(wù)對象建立正式合同或簽署服務(wù)協(xié)之類的文件，是否明確服務(wù)要求、范圍、等級等內(nèi)容，并對信息安全要求達成一致。（2）查看部門以及人員職責(zé)，并訪問相關(guān)人員，看其是否寫組織規(guī)定相吻合。（3）是否按照組織的體系規(guī)定開展具體工作，如何控制變更管理，事件管理等。（4）看人員能力是否滿足組織信息安全績效的要求，并通過適當(dāng)?shù)慕逃嘤?xùn)，使其能夠繼續(xù)勝任。（5）是否進行風(fēng)險管理，制定風(fēng)險評估準則、開展識別風(fēng)險，風(fēng)險評估等活動。作為弱電系統(tǒng)集成商，是否在與服務(wù)對象及相關(guān)方接口的兼容性，支持性設(shè)施、布纜安全等方面進行了風(fēng)險管理。（6）是否進行績效評價，按計劃的時間間隔進行內(nèi)審，是否對被服務(wù)方的滿意度的反饋進行評價。（7）是否將審核結(jié)果作為輸入，采取措施糾正不符合，并持續(xù)改進本單位信息安全管理體系的適宜性、充分性和有效性。解析：信息安全是IT服務(wù)中的重要一環(huán)，不僅僅局限于設(shè)備的運行和網(wǎng)絡(luò)的連接。該IT服務(wù)公司的系統(tǒng)集成項目負責(zé)人聲稱他們的服務(wù)不涉及顧客的業(yè)務(wù)運行數(shù)據(jù)，沒有信息安全風(fēng)險，但這并不意味著他們沒有信息安全管理的責(zé)任。作為審核員，僅僅聽信項目負責(zé)人的說法是不夠的，應(yīng)該進行深入調(diào)查，確保公司確實按照信息安全管理的標準進行操作。審核員應(yīng)該通過溝通訪談、觀察判斷受審核單位是否按照標準相關(guān)條款要求，對ISMS進行審核。具體審核內(nèi)容包括：1.文件體系是否建立健全，是否有安全策略。尤其是作為服務(wù)提供商，是否與服務(wù)對象建立正式合同或簽署服務(wù)協(xié)議之類的文件，是否明確服務(wù)要求、范圍、等級等內(nèi)容，并對信息安全要求達成一致。2.查看部門以及人員職責(zé)，并訪問相關(guān)人員，看其是否寫組織規(guī)定相吻合。3.是否按照組織的體系規(guī)定開展具體工作，如何控制變更管理，事件管理等。4.看人員能力是否滿足組織信息安全績效的要求，并通過適當(dāng)?shù)慕逃嘤?xùn)，使其能夠繼續(xù)勝任。5.是否進行風(fēng)險管理，制定風(fēng)險評估準則、開展識別風(fēng)險，風(fēng)險評估等活動。作為弱電系統(tǒng)集成商，是否在與服務(wù)對象及相關(guān)方接口的兼容性，支持性設(shè)施、布纜安全等方面進行了風(fēng)險管理。6.是否進行績效評價，按計劃的時間間隔進行內(nèi)審，是否對被服務(wù)方的滿意度的反饋進行評價。7.是否將審核結(jié)果作為輸入，采取措施糾正不符合，并持續(xù)改進本單位信息安全管理體系的適宜性、充分性和有效性。只有通過這樣的審核，才能確保IT服務(wù)公司的信息安全管理體系符合相關(guān)標準，為顧客提供安全、穩(wěn)定的服務(wù)。47.什么是信息安全事態(tài)并舉例說明。參考答案信息安全事態(tài)——系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的已識別的狀態(tài)的發(fā)生，該狀態(tài)表明一項可能的違反信息安全策略或控制措施失效，或一種先前未知的可能與安全相關(guān)的狀況。信息安全事件——單個或一系列不期望的或意外的信息安全事態(tài)，它們具有危害業(yè)務(wù)運行和威脅信息安全的極大的可能性。解析：信息安全事態(tài)是指信息安全系統(tǒng)、服務(wù)或網(wǎng)絡(luò)所發(fā)生的一種特定狀態(tài)，這種狀態(tài)可能意味著信息安全策略被違反，或者控制措施失效，或者出現(xiàn)了一種先前未知的可能與安全相關(guān)的狀況。信息安全事態(tài)可能是預(yù)期內(nèi)的，也可能是意外發(fā)生的，但它們都可能對信息安全產(chǎn)生影響。信息安全事件則是指一系列信息安全事態(tài)的發(fā)生，這些事態(tài)可能是單個的，也可能是連續(xù)的，它們都具有對業(yè)務(wù)運行產(chǎn)生危害和威脅信息安全的可能性。例如，企業(yè)內(nèi)部的員工在未經(jīng)授權(quán)的情況下訪問敏感信息，這可能是一種信息安全事態(tài)，如果該員工頻繁地訪問敏感信息，那么就可能形成一種信息安全事件，因為這種行為可能會對企業(yè)的業(yè)務(wù)運行和信息安全產(chǎn)生嚴重的威脅。48.審核員在公司的資產(chǎn)登記表中發(fā)現(xiàn)，公司于年初將一批2003年購置的電腦特價處理給員工，這些電腦原用于核心業(yè)務(wù)系統(tǒng)。當(dāng)詢問系統(tǒng)管理員是否在出售前進行了格式化處理，該系統(tǒng)管理員說：“由于當(dāng)時新進了許多新的電腦設(shè)備，需要安裝調(diào)試，沒空處理老的電腦，再說這些都是賣給自己員工的，他們本身就接觸到這些信息。”參考答案不符合條款：GB/T22080-2016中A11.2.7：在棄用和再利用之前，含有存儲介質(zhì)的設(shè)備的所有項目應(yīng)予以驗證以確保任何敏感數(shù)據(jù)和有許可權(quán)的軟件巳被移除或安全改寫。不符合事實：公司于2003年購置了一批電腦用于核心業(yè)務(wù)系統(tǒng)，在出售前未做格式化處理直接售給了員工。解析：題目中描述了公司出售給員工的電腦是2003年購置的，用于核心業(yè)務(wù)系統(tǒng)。系統(tǒng)管理員表示在出售前沒有進行格式化處理。根據(jù)GB/T22080-2016標準中的A11.2.7條款，含有存儲介質(zhì)的設(shè)備在棄用和再利用之前，應(yīng)予以驗證以確保任何敏感數(shù)據(jù)和有許可權(quán)的軟件巳被移除或安全改寫。由于這批電腦之前用于核心業(yè)務(wù)系統(tǒng)，可能包含敏感數(shù)據(jù)，因此在出售前應(yīng)進行格式化處理以確保數(shù)據(jù)安全。因此，公司的做法不符合GB/T22080-2016標準的A11.2.7條款，同時也存在安全隱患。49.審核員在A公司計算機房審核時，遇到機房技術(shù)人員以及管理人員在忙于解決供電線路故障造成的業(yè)務(wù)系統(tǒng)服務(wù)器運行中斷的問題，審核員觀察到，當(dāng)技術(shù)人員準備將供電切換到UPS電池組供電時，發(fā)現(xiàn)該電池組不能正常啟動、輸出，而另一組備份電池組也不知道什么時候壞了，于是管理人員決定到鄰近公司與其協(xié)商看能否連接他們的備用電機，先解決應(yīng)急問題。審核員問到上一次檢查電池組是什么時候，技術(shù)人員回答說，從購買到現(xiàn)在很多年了，從來沒有管過，這些電池組都是從最好的廠家買的，想不到會是壞的。參考答案不符合條款A(yù)17.2.1信息處理設(shè)施的可用性不符合標準內(nèi)容：信息處理設(shè)施應(yīng)具有足夠的冗余以滿足可用性要求。不符合事實：該公司因供電線路故障造成機房業(yè)務(wù)系統(tǒng)服務(wù)器運行中斷，其UPS電池組和另一組備份電池組也不能正常啟動供電。解析：在審核過程中，審核員觀察到該公司在處理供電線路故障時，其UPS電池組和另一組備份電池組均不能正常啟動、輸出，導(dǎo)致機房業(yè)務(wù)系統(tǒng)服務(wù)器運行中斷。這表明該公司的信息處理設(shè)施在冗余性方面存在不足，無法滿足可用性要求。根據(jù)標準A17.2.1，信息處理設(shè)施應(yīng)具有足夠的冗余以滿足可用性要求，因此，該公司在這一方面的