本資料由小槳備考整理，僅供學習參考，非官方發(fā)布2018年03月審核知識（改考前）答案及解析單選題（共30題，共30分）1.GB/T22080-2016標準中要求保護“測試數(shù)據(jù)”，以下符合這以要求的情況是（）。A.確保使用生產(chǎn)環(huán)境數(shù)據(jù)用于測試時真實、準確B.確保對信息系統(tǒng)測試所獲得的數(shù)據(jù)的訪問控制C.對用于信息系統(tǒng)測試的數(shù)據(jù)進行匿名化處理D.以上全部答案：B解析：GB/T22080-2016標準中要求保護“測試數(shù)據(jù)”，其中對“測試數(shù)據(jù)”的保護包括確保對信息系統(tǒng)測試所獲得的數(shù)據(jù)的訪問控制。因此，符合這一要求的是選項B，即確保對信息系統(tǒng)測試所獲得的數(shù)據(jù)的訪問控制。選項A提到的是生產(chǎn)環(huán)境數(shù)據(jù)，與題目要求的測試數(shù)據(jù)不符；選項C提到的是對用于信息系統(tǒng)測試的數(shù)據(jù)進行匿名化處理，雖然匿名化處理可以保護數(shù)據(jù)，但并未直接涉及到訪問控制；選項D雖然包含了所有選項，但并非最符合題目要求的答案。因此，正確答案是B。2.包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行核查，以確保在處置之前，（）和注冊軟件已被刪除或安全地寫覆蓋。A.系統(tǒng)軟件B.游戲軟件C.殺毒軟件D.任何敏感信息答案：D解析：題目中要求核查包含儲存介質(zhì)的設(shè)備的所有項目，確保在處置之前，敏感信息已被刪除或安全地寫覆蓋。系統(tǒng)軟件、游戲軟件、殺毒軟件都屬于軟件范疇，但它們并不一定都是敏感信息。因此，只有“任何敏感信息”最符合題目要求，確保在處置設(shè)備之前，所有敏感信息都被刪除或安全地寫覆蓋。因此，正確答案為D。3.表示客體安全級別并描述客體敏感性的一組信息，是（）。A.敏感性標記，是可信計算機中強制訪問控制決策的依據(jù)B.關(guān)鍵性標記，是可信計算機中強制訪問控制決策的依據(jù)C.關(guān)鍵性等級標記，是信息資產(chǎn)分類分級的依據(jù)D.敏感性標記，是表明訪問者安全權(quán)限級別答案：A解析：在描述客體安全級別并描述客體敏感性的信息中，應(yīng)選擇“敏感性標記”。敏感性標記是可信計算機中強制訪問控制決策的依據(jù)，用于表示客體的安全級別和敏感性。因此，選項A“敏感性標記，是可信計算機中強制訪問控制決策的依據(jù)”是正確的答案。選項B“關(guān)鍵性標記”和選項C“關(guān)鍵性等級標記”都不符合題意。選項D“敏感性標記，是表明訪問者安全權(quán)限級別”的表述也不準確，因為敏感性標記是用于表示客體的安全級別，而不是訪問者的權(quán)限級別。4.不屬事于WEB服務(wù)器的安全措施的是（）。A.保證注冊帳戶的時效性B.刪除死帳戶C.強制用戶使用不易被破解的密碼D.所有用戶使用一次性密碼答案：D解析：本題考查的是WEB服務(wù)器的安全措施。A選項“保證注冊帳戶的時效性”是WEB服務(wù)器的安全措施之一，它確保了用戶帳戶不會因長時間未使用而過期，從而減少了安全風險。B選項“刪除死帳戶”同樣是安全措施之一，它清除了不再使用或已被確認存在安全風險的帳戶，減少了潛在的安全威脅。C選項“強制用戶使用不易被破解的密碼”也是安全措施，它要求用戶設(shè)置強密碼，增加了帳戶的安全性。然而，D選項“所有用戶使用一次性密碼”并不是WEB服務(wù)器的常見安全措施。一次性密碼（OTP）通常用于兩步驗證過程，但它不是直接應(yīng)用于所有用戶的通用安全措施。一次性密碼是臨時的、唯一的，并且在驗證后立即失效，而不是像常規(guī)帳戶密碼那樣持久存在。因此，正確答案是D選項，即“所有用戶使用一次性密碼”不屬于WEB服務(wù)器的安全措施。5.對于第三方服務(wù)提供方，以下描述正確的是（）。A.為了監(jiān)視和評審第三方提供的服務(wù)，第三方人員提供服務(wù)時應(yīng)有人員全程陪同B.應(yīng)定期度量和評價第三方遵從商定的安全策略和服務(wù)水平的程度C.第三方服務(wù)提供方應(yīng)有符合ITIL的流程D.第三方服務(wù)的變更須向組織呈報以備案答案：B解析：對于第三方服務(wù)提供方的描述，我們需要根據(jù)給出的選項進行分析。A選項提到“第三方人員提供服務(wù)時應(yīng)有人員全程陪同”，這并非是對第三方服務(wù)提供方的描述，而是對服務(wù)提供過程中的一種要求或方式，因此A選項不正確。B選項提到“應(yīng)定期度量和評價第三方遵從商定的安全策略和服務(wù)水平的程度”，這是對第三方服務(wù)提供方的一種合理描述，定期度量和評價第三方服務(wù)的質(zhì)量是確保服務(wù)符合商定標準的重要步驟。C選項提到“第三方服務(wù)提供方應(yīng)有符合ITIL的流程”，雖然ITIL（信息技術(shù)基礎(chǔ)架構(gòu)庫）是一種廣泛使用的IT服務(wù)管理框架，但題目中并未明確指出第三方服務(wù)提供方必須遵循ITIL流程，因此C選項的描述過于絕對，不正確。D選項提到“第三方服務(wù)的變更須向組織呈報以備案”，這更像是對組織內(nèi)部對第三方服務(wù)變更的一種管理要求，而不是對第三方服務(wù)提供方的描述，因此D選項不正確。綜上所述，B選項“應(yīng)定期度量和評價第三方遵從商定的安全策略和服務(wù)水平的程度”是對第三方服務(wù)提供方的正確描述。6.關(guān)于可信計算基，以下說法正確的是（）。A.指計算機系統(tǒng)中用作保護裝置的硬件、固件、軟件等的組合體B.指配置有可信賴安全防護硬件、軟件產(chǎn)品的計算機環(huán)境C.指通過了國家有關(guān)安全機構(gòu)認證的計算機信息系統(tǒng)D.指通過了國家有關(guān)機構(gòu)評測的計算機基礎(chǔ)設(shè)施，含硬件、軟件的配置答案：A解析：可信計算基（TCB，TrustedComputingBase）是指計算機系統(tǒng)中用作保護裝置的硬件、固件、軟件等的組合體。它提供了一種機制，用于確保系統(tǒng)的機密性、完整性和可用性。因此，選項A“指計算機系統(tǒng)中用作保護裝置的硬件、固件、軟件等的組合體”是正確的。選項B、C和D都與可信計算基的定義不符。7.開發(fā)、測試和（）設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。A.配置B.系統(tǒng)C.終端D.運行答案：D解析：在信息安全領(lǐng)域，開發(fā)、測試和運行設(shè)施分離是一種重要的安全實踐。這種分離有助于減少未授權(quán)訪問或改變運行系統(tǒng)的風險。選項A“配置”通常指的是對系統(tǒng)或應(yīng)用的配置過程，而不是設(shè)施；選項B“系統(tǒng)”是一個更寬泛的術(shù)語，不足以明確指出與開發(fā)和測試設(shè)施相區(qū)別的設(shè)施；選項C“終端”通常指的是用戶與系統(tǒng)交互的界面，也不足以明確指出與開發(fā)和測試設(shè)施相區(qū)別的設(shè)施。因此，選項D“運行”最符合題目描述，指的是運行系統(tǒng)或應(yīng)用的設(shè)施，與開發(fā)和測試設(shè)施相分離。8.《中華人民共和國網(wǎng)絡(luò)安全法》的實施時間是（）。A.42522B.42681C.42887D.43046答案：C解析：《中華人民共和國網(wǎng)絡(luò)安全法》的實施時間是2017年6月1日，即42887。因此，正確答案為C。其他選項A、B、D都不是正確的實施時間。9.末次會議包括（）。A.請受審核方確認不符合報告、并簽字B.向受審核方遞交審核報告C.雙方就審核發(fā)現(xiàn)的不同意見進行討論D.以上都不準確答案：C解析：末次會議是審核過程中的一個重要環(huán)節(jié)，通常在審核結(jié)束后進行。在末次會議中，審核組和受審核方會就審核過程中發(fā)現(xiàn)的問題和不符合項進行討論。因此，選項C“雙方就審核發(fā)現(xiàn)的不同意見進行討論”是末次會議的主要內(nèi)容。選項A“請受審核方確認不符合報告、并簽字”和選項B“向受審核方遞交審核報告”雖然也是審核過程中的環(huán)節(jié)，但不是末次會議的主要內(nèi)容。選項D“以上都不準確”顯然是不正確的。因此，正確答案是C。10.認證審核時，審核組應(yīng)（）。A.在審核前將審核計劃提交受審核方，并與受審核方進行溝通得到確認B.在審核中將審核計劃提交受審核方，并與受審核方進行溝通得到認定C.在審核后將審核計劃提交受審核方，并受審核方進行溝通得到確認D.在審核后將審核計劃提交受審核方，并與受審核方進行溝通得到認可答案：A解析：根據(jù)題目，認證審核時，審核組應(yīng)該在審核前將審核計劃提交受審核方，并與受審核方進行溝通得到確認。因此，選項A“在審核前將審核計劃提交受審核方，并與受審核方進行溝通得到確認”是正確的。其他選項在時間上或者與受審核方的溝通上都不符合題目要求。11.認證審核時，審核組擬抽查的樣本應(yīng)（）。A.由受審核方熟悉的人員事先選取，做好準備B.由審核組明確總體并在受控狀態(tài)下獨立抽樣C.由審核組和受審核方人員協(xié)商抽樣D.由受審核方安排的向?qū)嵤┏闃哟鸢福築解析：在認證審核時，審核組擬抽查的樣本應(yīng)由審核組明確總體并在受控狀態(tài)下獨立抽樣。這是因為審核組作為獨立的第三方，應(yīng)該確保抽樣的公正性和客觀性，不受受審核方的影響。由審核組獨立抽樣可以確保樣本的代表性，從而更準確地評估受審核方的管理體系或產(chǎn)品質(zhì)量。因此，選項B“由審核組明確總體并在受控狀態(tài)下獨立抽樣”是正確的選擇。12.下列說法不正確的是（）。A.審核組可以由一名或多名審核員組成B.配備一名經(jīng)認可具有專業(yè)能力的成員C.實習審核員可在技術(shù)專家指導下承擔審核任務(wù)D.審核組長通常由高級審核員擔任答案：C解析：本題考查的是審核組的相關(guān)知識。A項正確，根據(jù)《審核組工作程序》，審核組由一名或多名審核員組成，審核組可以包括技術(shù)專家，必要時可以配備一名經(jīng)認可具有專業(yè)能力的成員。B項正確，審核組可以包括技術(shù)專家，必要時可以配備一名經(jīng)認可具有專業(yè)能力的成員。C項錯誤，審核員包括實習審核員和主任審核員等，審核員應(yīng)在審核組的組織下開展工作，不能單獨進行審核活動，審核組可以對審核員的工作質(zhì)量進行控制。因此，實習審核員不能單獨承擔審核任務(wù)，更不可能在技術(shù)專家指導下承擔審核任務(wù)。D項正確，審核組長通常由高級審核員擔任，審核組長負責審核組的管理和協(xié)調(diào)，確保審核工作的順利進行。本題為選非題，故正確答案為C。13.信息安全管理體系審核時，為了獲取審核證據(jù)，應(yīng)考慮的信息源為（）。A.受審核方的業(yè)務(wù)系統(tǒng)相關(guān)的活動和數(shù)據(jù)B.受審核方場所中已確定為信息安全管理體系范圍內(nèi)的相關(guān)過程和活動C.受審核方申請信息安全管理體系認證范圍內(nèi)的業(yè)務(wù)過程和活動D.以上全部答案：D解析：信息安全管理體系審核時，為了獲取審核證據(jù)，應(yīng)考慮的信息源應(yīng)包括受審核方的業(yè)務(wù)系統(tǒng)相關(guān)的活動和數(shù)據(jù)、受審核方場所中已確定為信息安全管理體系范圍內(nèi)的相關(guān)過程和活動以及受審核方申請信息安全管理體系認證范圍內(nèi)的業(yè)務(wù)過程和活動。因此，正確答案為D，即以上全部。在審核過程中，審核員需要綜合考慮各種信息源，以確保審核的全面性和準確性。14.審核的工作文件包括（）。A.檢査表B.審核抽樣計劃C.信息記錄表格D.A+B+C答案：D解析：根據(jù)題目給出的選項，審核的工作文件包括“A檢査表”、“B審核抽樣計劃”和“C信息記錄表格”。因此，正確答案是“DA+B+C”，即審核的工作文件包括檢査表、審核抽樣計劃和信息記錄表格。15.強制訪問控制是針對（）等級的信息系統(tǒng)的要求。A.二級（含）以上B.三級（含）以上C.四級（含）以上D.五級答案：B解析：強制訪問控制是一種安全策略，它要求信息系統(tǒng)能夠?qū)嵤π畔⒌膹娭圃L問控制。根據(jù)信息安全等級保護制度，不同等級的信息系統(tǒng)有不同的安全要求。其中，三級（含）以上的信息系統(tǒng)要求實施強制訪問控制，以防止非授權(quán)訪問和非法操作。因此，正確答案是B選項，即“三級（含）以上”。16.信息安全管理體系審核的抽樣過程是（）。A.由受審核方負責策劃系統(tǒng)性的抽樣方案B.驗收性質(zhì)的抽樣，決定是否可以認證通過C.通過對總體的評價來推斷樣本信息D.調(diào)查性質(zhì)的抽樣，有棄真的風險和取偽的風險答案：D解析：信息安全管理體系審核的抽樣過程通常是調(diào)查性質(zhì)的抽樣，這種抽樣方式存在棄真的風險和取偽的風險。棄真的風險是指未能正確識別出實際存在的問題，取偽的風險是指錯誤地識別出不存在的問題。因此，選項D“調(diào)查性質(zhì)的抽樣，有棄真的風險和取偽的風險”是正確的。選項A“由受審核方負責策劃系統(tǒng)性的抽樣方案”并不是審核抽樣的核心過程；選項B“驗收性質(zhì)的抽樣，決定是否可以認證通過”與審核抽樣的目的不符；選項C“通過對總體的評價來推斷樣本信息”雖然與抽樣有關(guān)，但不是信息安全管理體系審核抽樣的具體過程。17.現(xiàn)場審核的結(jié)束是指（）。A.末次會議結(jié)束B.對不符合項糾正措施進行驗證后C.分發(fā)了經(jīng)批準的審核報告時D.監(jiān)督審核結(jié)束答案：A解析：現(xiàn)場審核的結(jié)束通常指的是末次會議結(jié)束。末次會議是審核過程中的一個重要環(huán)節(jié)，審核組會在此次會議上總結(jié)審核發(fā)現(xiàn)，與被審核方確認不符合項，并討論改進措施。因此，末次會議的結(jié)束標志著現(xiàn)場審核的結(jié)束。選項B、C和D描述的是對不符合項糾正措施進行驗證、分發(fā)經(jīng)批準的審核報告和監(jiān)督審核結(jié)束，這些雖然是審核過程中的一部分，但不是現(xiàn)場審核結(jié)束的標志性事件。所以，正確答案是A，即末次會議結(jié)束。18.依據(jù)GB/T22080，以下不是“適用性聲明”文件必須包含的內(nèi)容是（）。A.實施信息安全控制措施的角色、職責和權(quán)限B.組織選擇的控制目標和控制措施，以及選擇的理由C.當前實施的控制目標和控制措施D.對附錄A中可控制目標和控制措施的刪減，以及刪減的合理性說明答案：A解析：在GB/T22080中，“適用性聲明”文件的主要目的是聲明組織對其信息安全管理體系范圍的適用性，以及組織對標準中控制目標和控制措施的適用情況。因此，文件應(yīng)該包含對附錄A中可控制目標和控制措施的刪減，以及刪減的合理性說明。此外，還應(yīng)說明組織選擇的控制目標和控制措施，以及選擇的理由。而實施信息安全控制措施的角色、職責和權(quán)限通常是組織信息安全策略或管理文件中定義的內(nèi)容，并非“適用性聲明”文件必須包含的內(nèi)容。因此，選項A“實施信息安全控制措施的角色、職責和權(quán)限”不是“適用性聲明”文件必須包含的內(nèi)容。19.依據(jù)GB/Z20986，信息安全事件的分級為（）。A.特別嚴重事件、嚴重事件般事件B.特別重大事件、重大事件較大事件、一般事件C.I級、II級、III級級、V級D.嚴重事件、較嚴重事件、一般事件答案：B解析：依據(jù)GB/Z20986，信息安全事件的分級為特別重大事件、重大事件、較大事件和一般事件。因此，選項B是正確的。其他選項A、C、D中的分級標準與GB/Z20986不符。20.信息安全管理體系認證是（）。A.與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實活動B.對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價C.信感安全管理體系認證不是合格評定活動D.信息系統(tǒng)風險管理的實施活動答案：A解析：信息安全管理體系認證是與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實活動。信息安全管理體系認證是對組織的信息安全管理體系是否滿足相關(guān)標準或規(guī)定的要求進行確認的活動，它涉及到對組織的信息安全策略、過程、程序、資源等方面的全面評估，以確保組織的信息安全管理體系能夠有效地實施和持續(xù)改進。因此，信息安全管理體系認證是與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實活動，選項A正確。選項B是對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價，但這只是信息安全管理體系認證的一部分，不是全部；選項C的說法錯誤，信息安全管理體系認證是一種合格評定活動；選項D的說法與信息安全管理體系認證無關(guān)，信息系統(tǒng)風險管理的實施活動不是信息安全管理體系認證的定義。21.以下不屬于“責任分割”原則范疇的做法是（）。A.不同職級人員工作區(qū)域隔離B.保持安全審核人員的獨立性C.授權(quán)者、操作者和監(jiān)視者三者責任分離D.事件報告人員與事件處理人員職責分離答案：A解析：責任分割原則的核心在于確保不同的角色和職責之間不會相互干擾，從而確保系統(tǒng)的安全性和可靠性。A選項提到“不同職級人員工作區(qū)域隔離”，這更多的是關(guān)于物理空間上的隔離，而不是職責上的分離。雖然物理隔離可能有助于減少某些風險，但它并不直接涉及到責任分割的原則。B選項“保持安全審核人員的獨立性”確保了審核人員不會受到其他因素的影響，從而能夠客觀地執(zhí)行其職責，這符合責任分割的原則。C選項“授權(quán)者、操作者和監(jiān)視者三者責任分離”明確指出了三種不同的角色，并確保了它們之間的職責不會相互干擾，這也是責任分割原則的體現(xiàn)。D選項“事件報告人員與事件處理人員職責分離”確保了報告和處理職責的分離，防止了潛在的利益沖突，同樣符合責任分割的原則。因此，不屬于“責任分割”原則范疇的做法是A選項“不同職級人員工作區(qū)域隔離”。22.組織針對信息系統(tǒng)的升級版，在向生產(chǎn)系統(tǒng)安裝前構(gòu)建受控環(huán)境予以測試，這符合（）。A.GB/T22080-2016標準A11.1.3條款的要求B.GB/T22080-2016標準A14.2.4條款的要求C.GB/T22080-2016標準A12.5.1條款的要求D.GB/T22080-2016標準A14.2.9條款的要求答案：D解析：題目中提到的“組織針對信息系統(tǒng)的升級版，在向生產(chǎn)系統(tǒng)安裝前構(gòu)建受控環(huán)境予以測試”符合GB/T22080-2016標準中A14.2.9條款的要求。GB/T22080-2016是信息安全管理體系標準，A14.2.9條款涉及“測試、評審和修改”的要求，即在實施更改（如升級信息系統(tǒng)）之前，組織應(yīng)確保在受控環(huán)境中進行充分的測試，以確保更改不會對信息安全產(chǎn)生不利影響。因此，選項D“GB/T22080-2016標準A14.2.9條款的要求”是正確的。23.以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運行為目的安全事件稱之為（）。A.有害程序事件B.僵尸網(wǎng)絡(luò)事件C.拒絕服務(wù)攻擊D.信息破壞事件答案：C解析：拒絕服務(wù)攻擊（DenialofService，DoS）是一種通過大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的安全事件。有害程序事件、僵尸網(wǎng)絡(luò)事件和信息破壞事件雖然也可能對信息系統(tǒng)造成影響，但它們與拒絕服務(wù)攻擊在目的和機制上有所不同。因此，正確答案為C，即拒絕服務(wù)攻擊。24.以下不是信息安全管理體系認證審核目標應(yīng)規(guī)定的內(nèi)容的是（）。A.確定所審核的管理體系或其一部分與審核準則的符合程度B.為制定組織信息安全管理體系改進計劃提供輸入C.評價管理體系的能力，以確保滿足法律法規(guī)和其他相關(guān)要求D.評價管理體系在實現(xiàn)組織信息安全目標方面的有效性答案：B解析：信息安全管理體系認證審核目標應(yīng)規(guī)定的內(nèi)容包括確定所審核的管理體系或其一部分與審核準則的符合程度、評價管理體系的能力，以確保滿足法律法規(guī)和其他相關(guān)要求以及評價管理體系在實現(xiàn)組織信息安全目標方面的有效性。選項B“為制定組織信息安全管理體系改進計劃提供輸入”不是信息安全管理體系認證審核目標應(yīng)規(guī)定的內(nèi)容。因此，答案為B。25.以下強健口令的是（）。A.a8mom9y5fub33B.1234C.CNASD.Password答案：A解析：在評估四個選項的口令強度時，我們需要考慮口令的復雜性和難以猜測性。A選項"a8mom9y5fub33"包含大小寫字母、數(shù)字和特殊字符，長度也相對較長，這樣的口令很難被猜測，因此具有較高的安全性。B選項"1234"是一個非常簡單的口令，僅包含數(shù)字且順序排列，非常容易被猜測，因此安全性很低。C選項"CNAS"是一個常見的英文縮寫，雖然包含字母，但可能容易被猜測或通過字典攻擊破解，因此安全性也較低。D選項"Password"是一個常見的弱口令，因為它是一個常見的英文單詞，非常容易被猜測，安全性很低。綜上所述，A選項"a8mom9y5fub33"是最安全的口令，因為它包含多種字符類型，長度適中，且難以猜測。因此，正確答案是A。26.在審核中發(fā)現(xiàn)了正在使用的某個文件，這是（）。A.審核準則B.審核發(fā)現(xiàn)C.審核證據(jù)D.審核結(jié)論答案：C解析：在審核中，審核員會收集各種信息，這些信息被稱為審核證據(jù)。審核準則是一組用于評估被審核對象是否滿足特定要求的準則或標準。審核發(fā)現(xiàn)是在審核過程中，審核員根據(jù)審核證據(jù)和審核準則，對被審核對象進行評估后得出的具體結(jié)果或觀察。審核結(jié)論則是基于審核發(fā)現(xiàn)，審核員對被審核對象是否滿足審核準則的要求所做出的最終判斷。題目中提到的“正在使用的某個文件”是審核員在審核過程中收集到的信息，即審核證據(jù)。因此，正確答案是C，即“審核證據(jù)”。27.在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A.內(nèi)容監(jiān)控B.安全教育和培訓C.責任追查和懲處D.訪問控制答案：B解析：在信息安全管理中，解決人員安全意識薄弱問題的有效方法是進行安全教育和培訓。通過教育和培訓，可以提高員工對信息安全的認識和意識，使其了解并遵守相關(guān)的安全規(guī)定和流程，從而降低安全風險。因此，選項B“安全教育和培訓”是正確答案。其他選項如內(nèi)容監(jiān)控、責任追查和懲處、訪問控制雖然都是信息安全管理的重要方面，但與解決人員安全意識薄弱問題不直接相關(guān)。28.針對獲證組織擴大范圍的審核，以下說法正確的是（）。A.一種特殊審核，可以和監(jiān)督審核一起進行B.是監(jiān)督審核的形式之一C.審核時抽樣的樣式范圍和監(jiān)督審核相同D.以上都對答案：A解析：針對獲證組織擴大范圍的審核，不是一種特殊審核，也不是監(jiān)督審核的形式之一，審核時抽樣的樣式范圍和監(jiān)督審核也不相同。因此，選項A“一種特殊審核，可以和監(jiān)督審核一起進行”是錯誤的說法。選項B“是監(jiān)督審核的形式之一”和選項C“審核時抽樣的樣式范圍和監(jiān)督審核相同”也都是錯誤的說法。所以，正確答案是選項A。29.組織應(yīng)給予信息頭適當級別的保護，是指（）。A.應(yīng)實施盡可能先進的保護措施以確保其保密性B.應(yīng)按偏息對于組織業(yè)務(wù)的關(guān)鍵性給予充分和必要的保護C.應(yīng)確保信息對于組織內(nèi)的所有員工可用D.以上都對答案：B解析：題目中詢問的是“組織應(yīng)給予信息頭適當級別的保護，是指什么”。選項A提到“應(yīng)實施盡可能先進的保護措施以確保其保密性”，這確實是保護信息的一種方式，但題目中并未明確提到“盡可能先進”的保護措施，因此A選項不完全符合題意。選項C提到“應(yīng)確保信息對于組織內(nèi)的所有員工可用”，這與“適當級別的保護”無關(guān)，因為保護信息的目的并不是讓所有人都能訪問，而是要確保信息的安全。選項D提到“以上都對”，這顯然不符合題目的要求，因為只有一個選項是正確的。因此，只有選項B“應(yīng)按偏息對于組織業(yè)務(wù)的關(guān)鍵性給予充分和必要的保護”符合題意，因為保護信息的級別應(yīng)該根據(jù)信息對于組織業(yè)務(wù)的關(guān)鍵性來確定。所以，正確答案是B。30.ISMS管理評審的輸出應(yīng)包括（）。A.可能影響ISMS的任何變更B.以往風險評估沒有充分強調(diào)的脆弱點或威脅C.風險評估和風險處理計劃的更新D.改進的建議答案：C解析：ISMS管理評審的輸出應(yīng)包括風險評估和風險處理計劃的更新。這是因為管理評審的目的是確保ISMS的有效性、充分性和適宜性，而風險評估和風險處理計劃是確保ISMS能夠有效應(yīng)對信息安全風險的關(guān)鍵要素。因此，管理評審的輸出應(yīng)包括對風險評估和風險處理計劃的更新，以確保ISMS能夠持續(xù)有效地保護組織的信息資產(chǎn)。其他選項如可能影響ISMS的任何變更、以往風險評估沒有充分強調(diào)的脆弱點或威脅以及改進的建議，雖然也是管理評審中需要考慮的因素，但并不是管理評審輸出的直接內(nèi)容。因此，正確答案為C。多選題（共10題，共10分）31.（）是ISMS關(guān)鍵成功因素A.用于評價信息安全管理執(zhí)行情況和改進反饋建議的測量系統(tǒng)B.信息安全方針、目標和與目標保持一致的活動C.有效的業(yè)務(wù)連續(xù)性管理方法D.有效的信息安全事件管理過程答案：ABCD解析：題目詢問的是ISMS（信息安全管理體系）的關(guān)鍵成功因素，因此需要對各個選項進行分析。A選項“用于評價信息安全管理執(zhí)行情況和改進反饋建議的測量系統(tǒng)”是ISMS中非常關(guān)鍵的因素，因為它能夠衡量系統(tǒng)的性能并給出改進建議，有助于系統(tǒng)持續(xù)改進。B選項“信息安全方針、目標和與目標保持一致的活動”是ISMS的核心，它定義了組織對信息安全的期望和承諾，并確保所有活動都與此保持一致。C選項“有效的業(yè)務(wù)連續(xù)性管理方法”對于確保在信息安全事件發(fā)生時，組織能夠迅速恢復業(yè)務(wù)運作至關(guān)重要，因此也是ISMS的關(guān)鍵成功因素。D選項“有效的信息安全事件管理過程”是確保組織能夠迅速、有效地響應(yīng)信息安全事件的關(guān)鍵，有助于減少潛在損失并維護組織的聲譽。綜上所述，ABCD都是ISMS的關(guān)鍵成功因素，因此選項ABCD都是正確的。32.依據(jù)GB/Z20986，確定為重大社會影響的情況包括（）。A.涉及到一個或多個地市的大部分地區(qū)B.威脅到國家安全C.擾亂社會秩序D.對經(jīng)濟建設(shè)有重大負面影響答案：ABD解析：重大社會影響的情況依據(jù)GB/Z20986標準，包括涉及到一個或多個地市的大部分地區(qū)、威脅到國家安全以及對經(jīng)濟建設(shè)有重大負面影響。這些情況都可能對社會產(chǎn)生廣泛而深遠的影響，因此被確定為重大社會影響的情況。選項C“擾亂社會秩序”并未在GB/Z20986標準中明確列為重大社會影響的情況，因此不應(yīng)選。33.關(guān)于多現(xiàn)場抽樣審核，以下說法正確的是（）。A.認證機構(gòu)的審核方案要在三年內(nèi)覆蓋ISMS認證范圍內(nèi)的代表性樣本B.認證機構(gòu)的審核方案要在三年內(nèi)覆蓋ISMS認證范圍內(nèi)的所有場所C.總部或單個場所發(fā)現(xiàn)不符合其糾正措施的實施適用于總部和所有場所D.單個場所發(fā)現(xiàn)不符合其糾正措施的實施適用于總部和該單個場所答案：AC解析：多現(xiàn)場抽樣審核的相關(guān)內(nèi)容，我們可以根據(jù)給出的選項進行逐一分析：A選項提到“認證機構(gòu)的審核方案要在三年內(nèi)覆蓋ISMS認證范圍內(nèi)的代表性樣本”。這一說法是合理的，因為抽樣審核的目的就是為了在有限的審核資源和時間內(nèi)，對體系覆蓋的關(guān)鍵或代表性的樣本進行審核，確保體系的符合性和有效性。B選項表示“認證機構(gòu)的審核方案要在三年內(nèi)覆蓋ISMS認證范圍內(nèi)的所有場所”。這與抽樣審核的原則相悖，因為抽樣審核并不是要審核所有的場所，而是選取代表性的樣本進行審核。C選項提到“總部或單個場所發(fā)現(xiàn)不符合其糾正措施的實施適用于總部和所有場所”。這是正確的，因為無論問題出現(xiàn)在總部還是單個場所，其糾正措施的實施都應(yīng)該適用于整個體系，包括總部和所有場所。D選項表示“單個場所發(fā)現(xiàn)不符合其糾正措施的實施適用于總部和該單個場所”。這一說法并不準確，因為當問題出現(xiàn)在單個場所時，其糾正措施的實施應(yīng)該適用于該場所本身，而不是總部。綜上所述，正確的選項是A和C。34.關(guān)于個人信息安全的基本原則，以下正確的是（）。A.目的明確原則B.最少夠用原則C.同意和選擇原則D.公開透明原則答案：ABCD解析：個人信息安全的基本原則包括目的明確原則、最少夠用原則、同意和選擇原則以及公開透明原則。這些原則共同構(gòu)成了保護個人信息安全的基礎(chǔ)，確保個人信息的合法、正當、必要使用，并保障個人的知情權(quán)和選擇權(quán)。因此，選項A、B、C和D都是正確的。35.以下不符合“客體重用”準則的是（）。A.當項目組A成員離開項目組A進入項目組B時，其在項目組A時持有并使用的PC直接帶入項目組B使用B.資產(chǎn)編號為101#的磁盤分配給財務(wù)部用于具所存賬務(wù)報表等的數(shù)據(jù)備份，由于財務(wù)部數(shù)據(jù)量較小，該101#磁盤剩余空間很大，因此將該磁盤同時指派給客戶接待中心共用C.IT部對所有的新員工、調(diào)崗員工分配計算機之前，將計算機中原存有的所有信息另做備份后進行徹底刪除D.業(yè)務(wù)應(yīng)用系統(tǒng)運維部為了節(jié)約資源，多個不同職能角色的員工共用一部計算機，每個人分別建立文件夾用來存放自己的文體答案：ABD解析：“客體重用”準則是指客戶機或設(shè)備在從一個項目組或部門轉(zhuǎn)移至另一個項目組或部門時，應(yīng)該避免信息泄露或資產(chǎn)誤用的情況。A選項中，當項目組A成員離開項目組A進入項目組B時，其在項目組A時持有并使用的PC直接帶入項目組B使用，這樣做可能會導致前項目A的數(shù)據(jù)、配置文件等留在原PC上，而項目B的人員可能會不小心訪問或誤用這些數(shù)據(jù)，從而違反了“客體重用”準則。B選項中，資產(chǎn)編號為101#的磁盤分配給財務(wù)部用于存儲賬務(wù)報表等的數(shù)據(jù)備份，由于財務(wù)部數(shù)據(jù)量較小，該101#磁盤剩余空間很大，因此將該磁盤同時指派給客戶接待中心共用。這樣做可能導致客戶接待中心的人員誤用或訪問財務(wù)部的數(shù)據(jù)，同樣違反了“客體重用”準則。C選項中，IT部對所有的新員工、調(diào)崗員工分配計算機之前，將計算機中原存有的所有信息另做備份后進行徹底刪除，這樣做符合“客體重用”準則，因為所有的信息都被徹底刪除，不會造成信息泄露或資產(chǎn)誤用。D選項中，業(yè)務(wù)應(yīng)用系統(tǒng)運維部為了節(jié)約資源，多個不同職能角色的員工共用一部計算機，每個人分別建立文件夾用來存放自己的文件。這樣做可能導致不同職能角色的員工之間的信息泄露或誤用，因為他們共享同一臺計算機，違反了“客體重用”準則。綜上所述，選項A、B和D都不符合“客體重用”準則。36.訪問信息系統(tǒng)的用戶注冊的管理是（）。A.對用戶訪問信息系統(tǒng)和服務(wù)的授權(quán)的管理B.對用戶予以注冊時須同時考慮與訪問控制策略的一致性C.當ID資源充實時可允許用戶使用多個IDD.用戶在組織內(nèi)變換工作崗位時不必重新評審其所用ID的訪問權(quán)答案：AB解析：這道題目考查的是對訪問信息系統(tǒng)的用戶注冊管理的理解。A選項“對用戶訪問信息系統(tǒng)和服務(wù)的授權(quán)的管理”是正確的。在訪問信息系統(tǒng)中，用戶注冊管理通常涉及對用戶訪問權(quán)限的授權(quán)，即確定用戶可以訪問哪些信息系統(tǒng)和服務(wù)，以及他們擁有何種訪問權(quán)限。B選項“對用戶予以注冊時須同時考慮與訪問控制策略的一致性”也是正確的。在注冊用戶時，需要確保用戶的訪問權(quán)限與組織的訪問控制策略保持一致，以確保信息系統(tǒng)的安全性和完整性。C選項“當ID資源充實時可允許用戶使用多個ID”與題目要求不符。題目并沒有提到ID資源是否充足，也沒有提到允許用戶使用多個ID。D選項“用戶在組織內(nèi)變換工作崗位時不必重新評審其所用ID的訪問權(quán)”也是不正確的。當用戶在組織內(nèi)變換工作崗位時，通常需要重新評審其訪問權(quán)限，以確保其訪問的信息系統(tǒng)和服務(wù)與其新的工作職責相符。綜上所述，正確答案是A和B。37.依據(jù)GB/Z20986，確定為嚴重的系統(tǒng)損失的情況包括（）。A.系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力B.系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞C.恢復系統(tǒng)正常運行和消除安全事件負面影響所需代價較大D.恢復系統(tǒng)正常運行和消除安全事件所需付出的代價對于事發(fā)組織是可承受的答案：BD解析：依據(jù)GB/Z20986，確定為嚴重的系統(tǒng)損失的情況包括：A系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力：此選項描述的是系統(tǒng)的大面積癱瘓，喪失業(yè)務(wù)處理能力，但題目中并沒有明確說明這是嚴重的系統(tǒng)損失的情況，所以不應(yīng)選。B系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞：此選項明確指出了系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，這是嚴重的系統(tǒng)損失的情況之一，所以應(yīng)選。C恢復系統(tǒng)正常運行和消除安全事件負面影響所需代價較大：此選項描述的是恢復系統(tǒng)正常運行和消除安全事件負面影響所需代價較大，但題目中并沒有明確說明這是嚴重的系統(tǒng)損失的情況，所以不應(yīng)選。D恢復系統(tǒng)正常運行和消除安全事件所需付出的代價對于事發(fā)組織是可承受的：此選項描述的是恢復系統(tǒng)正常運行和消除安全事件所需付出的代價對于事發(fā)組織是可承受的，這與題目中描述嚴重的系統(tǒng)損失的情況不符，所以不應(yīng)選。因此，依據(jù)GB/Z20986，確定為嚴重的系統(tǒng)損失的情況包括B系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞。所以，正確答案為B。題目中的選項C和D描述的是恢復系統(tǒng)正常運行和消除安全事件所需付出的代價，而不是系統(tǒng)損失的情況，因此不應(yīng)選。38.認證審核時，可以考慮采用多場所抽樣審核的條件是（）。A.所有的場所活動相同，僅有規(guī)模上的差異B.所有場所在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審C.所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中D.所有場所包括在客戶組織的信息安全管理體系管理評審方案中答案：ABCD解析：在認證審核中，多場所抽樣審核是一種常用的方法，用于評估組織在不同地點的信息安全管理體系（ISMS）的有效性。這種審核方式適用于那些在不同地點運營但活動相同、規(guī)模有差異的組織。A選項提到“所有的場所活動相同，僅有規(guī)模上的差異”，這是多場所抽樣審核的一個基本前提，因為只有當不同場所的活動相同，才能確保抽樣審核的準確性和代表性。B選項提到“所有場所在同一ISMS下運行，并接受統(tǒng)一的管理、內(nèi)部審核和管理評審”，這確保了所有場所都在同一套信息安全管理體系下運行，有利于審核員對整體信息安全狀況進行評估。C選項提到“所有場所包括在客戶組織的內(nèi)部信息安全管理體系審核方案中”，這意味著客戶組織已經(jīng)制定了針對所有場所的審核方案，審核員可以根據(jù)這個方案進行抽樣審核。D選項提到“所有場所包括在客戶組織的信息安全管理體系管理評審方案中”，管理評審是組織對其信息安全管理體系的定期評估，如果所有場所都包括在管理評審方案中，那么審核員可以基于這個方案進行抽樣審核。綜上所述，A、B、C和D選項都是認證審核時可以考慮采用多場所抽樣審核的條件。39.信息安全管理體系審核組的能力包括（）。A.信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識B.有關(guān)有形和無形資產(chǎn)及其影響分析的知識C.風險管理過程和方法的知識D.信息安全管理體系的控制措施及其實施的知識答案：ABCD解析：信息安全管理體系審核組在審核信息安全管理體系時，需要具備全面的知識和能力。信息安全事件處理方法和業(yè)務(wù)連續(xù)性的知識，能夠幫助審核組了解組織在面對信息安全事件時，如何迅速、有效地處理，以及如何確保業(yè)務(wù)的連續(xù)性；有關(guān)有形和無形資產(chǎn)及其影響分析的知識，使審核組能夠評估這些資產(chǎn)在信息安全管理體系中的價值和可能受到的影響；風險管理過程和方法的知識，使審核組能夠評估組織的風險管理能力和效果；信息安全管理體系的控制措施及其實施的知識，使審核組能夠評估組織在信息安全管理體系中的控制措施是否得到有效實施。因此，選項A、B、C和D都是信息安全管理體系審核組應(yīng)具備的能力。40.以下屬于信息安全事件的是（）。A.軟件自身故障B.硬件或外圍保障設(shè)施自身故障C.人為破壞設(shè)備設(shè)施事故D.計劃的系統(tǒng)維護期間的業(yè)務(wù)停止答案：ABC解析：信息安全事件是指由于自然或者人為以及軟硬件本身故障而導致的信息系統(tǒng)或者其服務(wù)功能異常，造成系統(tǒng)不可用，信息資產(chǎn)出現(xiàn)泄露、修改、破壞或業(yè)務(wù)連續(xù)性受到破壞，以及由于人為破壞導致針對國家、法人、其他組織或個人的信息資產(chǎn)或信息網(wǎng)絡(luò)進行的危害或潛在危害的活動。選項A軟件自身故障、選項B硬件或外圍保障設(shè)施自身故障、選項C人為破壞設(shè)備設(shè)施事故，均可能導致信息安全問題，因此屬于信息安全事件。選項D計劃的系統(tǒng)維護期間的業(yè)務(wù)停止，通常是為了維護系統(tǒng)而進行的正常操作，不屬于信息安全事件。主觀題（共7題，共7分）41.闡述實施審核時針對標準取證應(yīng)包含哪些基本內(nèi)容舉例說明。參考答案應(yīng)按照標準條款所要求的內(nèi)容逐一進行抽樣核查，調(diào)取審核證據(jù)包括現(xiàn)場詢問到、聽到、看到及與要求相關(guān)的文件化信息。例如：查組織5.2方針的過程：1）組織的方針是否書面化形成文件，查書面證據(jù)：2）依據(jù)組織的管理方針與最高管理層交談，了解企業(yè)的運營宗旨、框架方向，是否與企業(yè)的方針相一致；3）查看方針中的內(nèi)容是否包含組織適用的信息安全內(nèi)容的承諾；4）查看方針中是否包含行對持續(xù)改進信息安全管理體系的相關(guān)承諾：5）公司各部門交談，了解公司工作人員是否都是否清楚公司的方針；6）詢問最高管理層解相關(guān)方獲取公司組織。解析：本題要求闡述實施審核時針對標準取證應(yīng)包含的基本內(nèi)容，并舉例說明。首先，實施審核時，應(yīng)按照標準條款逐一進行抽樣核查，確保審核的全面性和準確性。這是審核的核心原則，通過對標準條款的抽樣核查，可以確保審核的公正性和客觀性。其次，調(diào)取審核證據(jù)是審核的重要步驟。審核證據(jù)包括現(xiàn)場詢問、觀察、記錄以及與要求相關(guān)的文件化信息。這些信息是判斷組織是否符合標準要求的重要依據(jù)。舉例說明部分，以組織5.2方針的過程為例，詳細闡述了審核時應(yīng)該關(guān)注的內(nèi)容。這包括查閱組織的方針文件、與管理層交談、查看方針內(nèi)容、詢問員工以及詢問最高管理層等。通過這些步驟，可以全面了解組織的方針是否得到實施，以及實施的效果如何。這樣的回答既符合題目的要求，也提供了具體的實施步驟和示例，有助于讀者更好地理解和應(yīng)用審核的相關(guān)知識。42.AOXI公司面向簽約客戶提供“數(shù)據(jù)中心機房基礎(chǔ)設(shè)施運營服務(wù)”，對于客戶方設(shè)備運維工程師進入機房的授權(quán)流程為：客戶方提供書面簽章文件列明為申請授權(quán)指定的聯(lián)系人、聯(lián)絡(luò)郵箱地址→AOXI公司建立郵件人及地址白名單→白名單中的聯(lián)絡(luò)人使用指定郵箱為每次需進入機房的工程師申請進入授權(quán)→OXI公司按郵代核實工程師本人信息，予以授權(quán)?？蛻舴降泥]件聯(lián)絡(luò)人和郵箱地址一旦進入AOXI公司白名單即永久有效請針對該情景依據(jù)GB/T22080-2016標準闡述你的審核思路。參考答案從兩方面審核該公司的控制情況。第一方面：訪問控制A9.1.1。1、組織是否制定了物理機房的訪問控制策略；2、策略包含的內(nèi)容是否齊全？應(yīng)包括：業(yè)務(wù)應(yīng)用的安全要求、相關(guān)法律和合同的要求、訪問權(quán)的管理、控制角色的分離是否正確、訪問權(quán)的定期評審、訪問權(quán)的取消、用戶身份的秘密鑒別是否到位等內(nèi)容。3、題目中描述的確認流程是否經(jīng)過評審；4、機房訪問用戶許可變更和由管理員啟動的用戶評可變更的程序是否可行；第二方面：物理入口控制A11.1.2。1、查公司是否驗證所授權(quán)訪問程度是否與策略相適宜，是否考慮了職責分離之類的其他要求相一致。綜上描述，在查公司訪問控制授權(quán)白名單是發(fā)現(xiàn)，授權(quán)名單未考慮訪問權(quán)的管理要求，不應(yīng)永久有效，訪問權(quán)未進行定期評審、未考慮訪問權(quán)的取消、對白名單上的用戶未實施鑒別。解析：此題要求根據(jù)GB/T22080-2016標準，對AOXI公司面向簽約客戶提供“數(shù)據(jù)中心機房基礎(chǔ)設(shè)施運營服務(wù)”的授權(quán)流程進行審核。審核思路可以從兩個方面展開：第一方面：訪問控制A9.1.11.訪問控制策略：GB/T22080-2016標準中A9.1.1要求組織應(yīng)制定物理機房的訪問控制策略。因此，我們需要審核AOXI公司是否制定了這樣的策略，并檢查其內(nèi)容是否齊全，包括業(yè)務(wù)應(yīng)用的安全要求、相關(guān)法律和合同的要求、訪問權(quán)的管理、控制角色的分離、訪問權(quán)的定期評審、訪問權(quán)的取消、用戶身份的秘密鑒別等。2.確認流程：題目描述的確認流程是否經(jīng)過評審，以確保流程符合訪問控制策略的要求。3.用戶許可變更程序：A9.1.1還涉及機房訪問用戶許可變更和由管理員啟動的用戶評可變更的程序。我們需要審核這個程序是否可行，是否符合訪問控制策略。第二方面：物理入口控制A11.1.21.職責分離：GB/T22080-2016標準中A11.1.2要求組織應(yīng)驗證所授權(quán)訪問程度是否與策略相適宜，并考慮職責分離之類的其他要求。因此，我們需要審核AOXI公司是否做到這一點，即驗證所授權(quán)訪問程度是否與策略相適宜，并考慮職責分離之類的其他要求。綜上，審核過程中發(fā)現(xiàn)，AOXI公司的授權(quán)白名單未考慮訪問權(quán)的管理要求，不應(yīng)永久有效，訪問權(quán)未進行定期評審、未考慮訪問權(quán)的取消、對白名單上的用戶未實施鑒別。這些問題都需要AOXI公司根據(jù)GB/T22080-2016標準進行相應(yīng)的改進和調(diào)整。43.審核檢查機房時對門禁權(quán)限進行隨機抽查發(fā)現(xiàn)，陳某已離職，但系統(tǒng)中的門禁權(quán)限未發(fā)同變更。參考答案不符合條款：GB/T22080-2016標準中A9.2.6：所有員工和外部用戶對信息和信息處理設(shè)施的訪問權(quán)在任用、合同或協(xié)議終止時，應(yīng)予以移除，或在變更時予以調(diào)整。不符合事實：查機房門禁權(quán)限，陳某已離職，但系統(tǒng)中的門禁權(quán)限未發(fā)同變更。解析：本題考察的是對GB/T22080-2016標準中A9.2.6條款的理解和應(yīng)用。題目中明確指出，在審核檢查機房時，發(fā)現(xiàn)已離職的陳某的門禁權(quán)限在系統(tǒng)中未進行變更，這違反了標準中規(guī)定的“所有員工和外部用戶對信息和信息處理設(shè)施的訪問權(quán)在任用、合同或協(xié)議終止時，應(yīng)予以移除，或在變更時予以調(diào)整”的條款。因此，這一事實是不符合標準的。44.審核員在公司的資產(chǎn)登記中發(fā)現(xiàn)，公司于年初將一批之前購置的電腦特價處理給了員工，這些電腦原用于核心業(yè)務(wù)系統(tǒng)。當詢問系統(tǒng)管理員是否在出售前進行了格式化處理，該系統(tǒng)管理員說：“由于當時新進了許多新的電腦設(shè)備，需要安裝調(diào)試，沒空處理老的電腦，再說這些都是賣會自已員工的，他們本身就接觸到這些信息。”參考答案不符合條款：GB/T22080-2016中A11.2.7：在棄用和再利用之含有存儲介質(zhì)的設(shè)備的所有項目應(yīng)予以驗證以確保任何敏感數(shù)據(jù)和有許可權(quán)的軟件已被移除或安全改寫。不符合事實：公司于2003年購置了一批電腦用于核心業(yè)務(wù)系統(tǒng)，在出售前未做格式化處理直接售給了員工。解析：根據(jù)提供的題目信息，審核員在公司的資產(chǎn)登記中發(fā)現(xiàn)，公司于年初將一批之前購置的電腦特價處理給了員工，這些電腦原用于核心業(yè)務(wù)系統(tǒng)。當詢問系統(tǒng)管理員是否在出售前進行了格式化處理，該系統(tǒng)管理員說：“由于當時新進了許多新的電腦設(shè)備，需要安裝調(diào)試，沒空處理老的電腦，再說這些都是賣會自已員工的，他們本身就接觸到這些信息?！睆倪@些信息中，我們可以得出以下