本資料由小槳備考整理，僅供學習參考，非官方發(fā)布2018年09月審核知識（改考前）答案及解析單選題（共30題，共30分）1.依據(jù)GB/Z20986，信息安全事件的分級為（）。A.特別嚴重事件、嚴重事件、一般事件B.特別重大事件、重大事件、較大事件、一般事件C.I級、II級、III級、IV級、V級D.嚴重事件、較嚴重事件、一般事件答案：B解析：依據(jù)GB/Z20986，信息安全事件的分級為特別重大事件、重大事件、較大事件、一般事件。因此，正確答案為B選項。A選項中的“特別嚴重事件”并不是GB/Z20986中的分級標準；C選項中的I級、II級、III級、IV級、V級也不是該標準中的分級；D選項中的“嚴重事件”同樣不是標準中的分級。因此，只有B選項符合標準。2.以下屬于信息安全管理體系審核發(fā)現(xiàn)的是（）。A.審核員看到的物理入口控制方式B.審核員看到的信息系統(tǒng)資源閾值C.審核員看到的移動介質(zhì)的使用與安全策略的符合性D.審核員看到的項目質(zhì)量保證活動與CMMI規(guī)程的符合性答案：C解析：信息安全管理體系審核主要是評估組織的信息安全管理體系是否按照預定的標準和規(guī)范運作，以及是否有效地保護組織的信息資產(chǎn)。根據(jù)給出的選項：A.審核員看到的物理入口控制方式-這更多與物理安全相關(guān)，而不是信息安全管理體系審核的關(guān)注點。B.審核員看到的信息系統(tǒng)資源閾值-這可能涉及到資源分配或性能監(jiān)控，但不一定與信息安全管理體系直接相關(guān)。C.審核員看到的移動介質(zhì)的使用與安全策略的符合性-這與信息安全管理體系中的訪問控制、數(shù)據(jù)保護等方面直接相關(guān)，是信息安全管理體系審核可能發(fā)現(xiàn)的內(nèi)容。D.審核員看到的項目質(zhì)量保證活動與CMMI規(guī)程的符合性-這與項目管理和質(zhì)量保證相關(guān)，與信息安全管理體系審核不直接相關(guān)。因此，選項C“審核員看到的移動介質(zhì)的使用與安全策略的符合性”最符合信息安全管理體系審核可能發(fā)現(xiàn)的內(nèi)容。3.ISMS文件的多少和詳細程度取決于（）。A.組織的規(guī)模和活動的類型B.過程及其相互作用的復雜程度C.人員的能力D.以上都對答案：D解析：ISMS文件的多少和詳細程度通常取決于組織的規(guī)模和活動的類型、過程及其相互作用的復雜程度。這些因素共同影響組織對信息安全管理體系的需求和期望。因此，組織的規(guī)模、活動的類型以及過程的復雜程度都會影響到ISMS文件的數(shù)量和詳細程度。所以，以上都對。4.以下關(guān)于VPN描述正確的是（）。A.VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全是隔離的、安全的線路B.VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接C.VPN不能做到信息認證和身份認證D.VPN只能提供身份認證，不能提供加密數(shù)據(jù)的功能答案：B解析：A選項提到“VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全是隔離的、安全的線路”，這是錯誤的，VPN并不一定是用戶自己租用的線路，而是指通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接。B選項“VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接”是正確的描述。C選項“VPN不能做到信息認證和身份認證”是錯誤的，VPN可以提供信息認證和身份認證的功能。D選項“VPN只能提供身份認證，不能提供加密數(shù)據(jù)的功能”也是錯誤的，VPN不僅可以提供身份認證，還可以提供加密數(shù)據(jù)的功能。因此，正確答案是B。5.1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求。A.7B.8C.6D.5答案：D解析：信息安全等級保護的國家標準GB17859-1999提出將信息系統(tǒng)的安全等級劃分為5個等級，包括自主保護、指導保護、監(jiān)督保護、強制保護和專控保護。這些等級基于信息系統(tǒng)的保密性、完整性、可用性等因素劃分，并針對不同等級提出了相應(yīng)的安全功能要求。因此，正確答案是D，即5個等級。6.關(guān)于“糾正措施”，以下說法正確的是（）。A.“針對不符合的原因分析必須釆用B.審核組對于不符合項原因分析的準確性影響糾正措施的有效性受審核方對于C.不符合項原因分析的準確性是影響糾正措施有效性的因素之一D.以上都對答案：C解析：本題考察對“糾正措施”相關(guān)知識的理解。根據(jù)給出的選項，我們可以逐一分析：A選項提到“針對不符合的原因分析必須釆用'因果分析法’”。雖然因果分析法是一種常用的原因分析方法，但題目中并沒有明確說這是“必須”的，因此A選項的說法過于絕對。B選項說“審核組對于不符合項原因分析的準確性影響糾正措施的有效性”。這個選項確實指出了審核組在原因分析中的重要作用，但題目中并沒有特別強調(diào)審核組是唯一或最重要的影響因素。C選項提到“不符合項原因分析的準確性是影響糾正措施有效性的因素之一”。這個選項表述了原因分析對糾正措施的影響，但并沒有過分強調(diào)某個特定的因素。D選項表示“以上都對”。由于A和B選項都存在問題，因此D選項也不能選。綜上所述，最符合題目描述的是C選項，即“不符合項原因分析的準確性是影響糾正措施有效性的因素之一”。7.某銀行將其物理區(qū)域按敏感性劃分了安全等級，其中金庫為最高等級，審核員進入金庫審核須得到分行長批準。針對該場景，以下說法正確的是（）。A.金庫敏感性太高，應(yīng)排除在認證審核范圍之外B.這符合GB/T22080-2016/ISO/IEC27001:2013標準A9.1.1的要求C.這符合GB/T22080-2016/ISO/IEC27001:2013標準A11.1.2的要求D.這符合GB/T22080-2016/ISO/IEC27001:2013標準A6.1.2的要求答案：B解析：題目描述了一個銀行將物理區(qū)域按照敏感性劃分為不同的安全等級，其中金庫為最高等級，并且審核員進入金庫審核需要得到分行長的批準。A選項提到“金庫敏感性太高，應(yīng)排除在認證審核范圍之外”，這一說法不符合實際情況，因為金庫作為最高安全等級的區(qū)域，其安全性是需要經(jīng)過審核和認證的。B選項提到“這符合GB/T22080-2016/ISO/IEC27001:2013標準A9.1.1的要求”，這個選項是正確的。在GB/T22080-2016/ISO/IEC27001:2013標準中，A9.1.1條款要求組織應(yīng)確保只有經(jīng)過授權(quán)的人員才能訪問敏感區(qū)域，這符合題目中描述的金庫需要分行長批準才能進入的要求。C選項提到“這符合GB/T22080-2016/ISO/IEC27001:2013標準A11.1.2的要求”，但實際上A11.1.2條款與訪問控制無關(guān)，因此這一選項是錯誤的。D選項提到“這符合GB/T22080-2016/ISO/IEC27001:2013標準A6.1.2的要求”，但實際上A6.1.2條款與敏感區(qū)域和訪問控制也沒有直接關(guān)系，因此這一選項也是錯誤的。綜上所述，正確答案是B選項。8.設(shè)立信息安全管理體系認證機構(gòu)，須得到以下哪個機構(gòu)的批準，方可在中國境內(nèi)從事認證活動（）。A.中國合格評定國家認可委員會B.中國國家認證認可監(jiān)督管理委員會C.認證認可協(xié)會D.工商注冊管理部門答案：B解析：根據(jù)《認證機構(gòu)管理辦法》的規(guī)定，設(shè)立認證機構(gòu)，應(yīng)當經(jīng)國家認證認可監(jiān)督管理委員會批準，并在工商行政管理部門辦理登記后，方可從事批準范圍內(nèi)的認證活動。因此，在中國境內(nèi)從事認證活動，必須得到中國國家認證認可監(jiān)督管理委員會的批準。因此，答案為B選項，即中國國家認證認可監(jiān)督管理委員會。9.以下不屬于認證機構(gòu)應(yīng)考慮對組織的信息安全管理體系實施特殊審核的情形的是（）。A.組織獲證范圍內(nèi)的業(yè)務(wù)活動場所、地址變更B.組織的適用性聲明中對控制措施的選釋相關(guān)內(nèi)容發(fā)生變更C.組織獲證范圍內(nèi)業(yè)務(wù)應(yīng)用系統(tǒng)發(fā)生重大變更，如系統(tǒng)架構(gòu)變更D.組織的信息安全管理體系年度內(nèi)部審核計劃變更答案：D解析：認證機構(gòu)考慮對組織的信息安全管理體系實施特殊審核的情形通常涉及組織的重要變更或可能影響信息安全管理體系有效性的因素。選項A涉及業(yè)務(wù)活動場所、地址變更，可能影響到組織的物理安全環(huán)境，因此需要考慮特殊審核。選項B涉及適用性聲明中控制措施的變更，這可能影響到組織的信息安全控制策略，同樣需要特殊審核。選項C涉及業(yè)務(wù)應(yīng)用系統(tǒng)的重大變更，如系統(tǒng)架構(gòu)變更，這可能導致信息安全管理體系的變更或失效，也需要特殊審核。而選項D，組織的信息安全管理體系年度內(nèi)部審核計劃變更，通常只是組織內(nèi)部審核計劃的變化，不一定影響到信息安全管理體系的有效性，因此不屬于認證機構(gòu)應(yīng)考慮對組織的信息安全管理體系實施特殊審核的情形。因此，正確答案是D。10.（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)。A.信息安全事態(tài)B.信息安全事件C.信息安全肅故D.信息安全故障答案：A解析：信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全方針的違反或控制措施的失效，或是和安全相關(guān)的一個先前未知的狀態(tài)。這是信息安全事態(tài)的基本定義。選項A“信息安全事態(tài)”與題目描述相符。選項B“信息安全事件”通常指的是已經(jīng)發(fā)生并對系統(tǒng)或服務(wù)造成實際影響的事件，與題目描述不完全吻合。選項C“信息安全肅故”和選項D“信息安全故障”在題目中并未提及，因此可以排除。因此，正確答案是A“信息安全事態(tài)”。11.已獲得認證的組織，第二年擬在證書范圍上新增加一個場所，針對此情況，以下說法正確的是（）。A.新增場所須實施現(xiàn)場審核，在監(jiān)督審核人天數(shù)基礎(chǔ)上加一個人天B.新增場所須實施現(xiàn)場審核，新增場所按初審計算人天數(shù)C.若組織內(nèi)審已覆蓋新增場所，監(jiān)督審核時對組織內(nèi)審報告進行評審，不必去該新場所現(xiàn)場審核D.新增場所須實施現(xiàn)場審核，按監(jiān)督審核計算人天數(shù)答案：B解析：對于已獲得認證的組織，在證書范圍上新增加一個場所的情況，需要新增場所須實施現(xiàn)場審核，且新增場所按初審計算人天數(shù)。因此，正確答案為B選項，即新增場所須實施現(xiàn)場審核，新增場所按初審計算人天數(shù)。A選項提到在監(jiān)督審核人天數(shù)基礎(chǔ)上加一個人天，但并未明確說明新增場所按初審計算人天數(shù)，因此A選項不正確。C選項提到若組織內(nèi)審已覆蓋新增場所，監(jiān)督審核時對組織內(nèi)審報告進行評審，不必去該新場所現(xiàn)場審核。然而，即使組織內(nèi)審已經(jīng)覆蓋新增場所，仍需進行現(xiàn)場審核以確保其符合認證要求，因此C選項也不正確。D選項提到新增場所須實施現(xiàn)場審核，按監(jiān)督審核計算人天數(shù)，但并未明確說明新增場所按初審計算人天數(shù)，因此D選項也不完全正確。12.管理體系認證審核的范圍即（）。A.組織的全部經(jīng)營管理范圍B.組織的全部信息系統(tǒng)機房所在的范圍C.組織承諾建立、實施和保持管理體系相關(guān)的組織位置、過程和活動以及時期的范圍D.組織機構(gòu)中所有業(yè)務(wù)職能涉及的活動范圍答案：C解析：管理體系認證審核的范圍即組織承諾建立、實施和保持管理體系相關(guān)的組織位置、過程和活動以及時期的范圍。這是管理體系認證審核的核心內(nèi)容，審核員需要按照組織承諾的范圍進行審核，確保管理體系的有效性和符合性。因此，選項C是正確的。其他選項A、B、D都與管理體系認證審核的范圍不符，因此是錯誤的。13.針對獲證組織擴大范圍的審核，以下說法正確的是（）。A.必須和監(jiān)督審核一起進行B.是監(jiān)督審核的形式之一C.一種特殊審核D.以上都對答案：C解析：獲證組織擴大范圍的審核是一種特殊審核，它并不是和監(jiān)督審核一起進行，也不是監(jiān)督審核的形式之一。因此，選項A和B都是錯誤的。選項D說“以上都對”也是錯誤的，因為并不是所有選項都是正確的。所以，正確答案是選項C，即獲證組織擴大范圍的審核是一種特殊審核。14.下列哪個不是審核計劃必須的內(nèi)容？（）A.受審核方的聯(lián)系人B.審核目的C.審核范圍D.預計的現(xiàn)場審核持續(xù)時間答案：A解析：審核計劃是審核活動的重要文件，它明確了審核的目的、范圍、持續(xù)時間等關(guān)鍵信息。選項A“受審核方的聯(lián)系人”雖然可能在審核過程中涉及，但不是審核計劃必須包含的內(nèi)容。審核計劃的核心是明確審核的目的和范圍，以及預計的現(xiàn)場審核持續(xù)時間，因此選項B、C和D都是審核計劃必須包含的內(nèi)容。因此，正確答案是A。15.系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A.恢復全部程序B.恢復所有數(shù)據(jù)C.恢復網(wǎng)絡(luò)設(shè)置D.恢復整個系統(tǒng)答案：D解析：系統(tǒng)備份與普通數(shù)據(jù)備份的主要區(qū)別在于，系統(tǒng)備份不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息。這些信息對于恢復整個系統(tǒng)至關(guān)重要，因為恢復整個系統(tǒng)意味著需要恢復所有的應(yīng)用程序、數(shù)據(jù)庫、用戶設(shè)置和系統(tǒng)參數(shù)，以便使系統(tǒng)能夠正常運行。因此，正確答案是“恢復整個系統(tǒng)”。選項A“恢復全部程序”只涉及應(yīng)用程序，不夠全面；選項B“恢復所有數(shù)據(jù)”沒有明確包括應(yīng)用程序、用戶設(shè)置和系統(tǒng)參數(shù)；選項C“恢復網(wǎng)絡(luò)設(shè)置”只涉及網(wǎng)絡(luò)配置，不涉及系統(tǒng)和應(yīng)用程序的恢復。16.信息安全管理中，“遠程訪問”指（）。A.訪問者的物理位置與被訪問客體不在一個城市B.訪問者的物理位置與被訪問客體的距離大于30米C.訪問者的物理位置與被訪問客體的距離大于15米D.訪問者從并不永久連接到所訪問網(wǎng)絡(luò)的終端訪問資源答案：D解析：在信息安全管理中，“遠程訪問”通常指的是訪問者從并不永久連接到所訪問網(wǎng)絡(luò)的終端訪問資源。這意味著訪問者可能位于任何物理位置，只要他們不是直接、永久地連接到所訪問的網(wǎng)絡(luò)或系統(tǒng)，而是通過某種遠程方式（如VPN、遠程桌面等）進行訪問。因此，選項D“訪問者從并不永久連接到所訪問網(wǎng)絡(luò)的終端訪問資源”是正確答案。選項A、B、C中的描述都與“遠程訪問”的常規(guī)含義不符。17.將計算機信息系統(tǒng)中的自主和強制訪問控制擴展到所有主體和客體，這是（）。A.二級及以上的要求B.三級及以上的要求C.四級及以上的要求D.五級的要求答案：C解析：根據(jù)題目，我們需要將計算機信息系統(tǒng)中的自主和強制訪問控制擴展到所有主體和客體。根據(jù)計算機安全等級保護制度，自主和強制訪問控制是信息安全等級保護四級（即信息系統(tǒng)等級保護四級）的要求。因此，將自主和強制訪問控制擴展到所有主體和客體是四級及以上的要求。所以正確答案為C。18.某認證機構(gòu)A獲得批準實施QMS認證，但未獲得批準實施ISMS認證；認證機構(gòu)B獲得批準實施ISMS認證，但未獲得誰實施QMS認證：某審核員同時具備QMS審核員資格以及ISMS審核員資格，對此以下說法正確的是（）。A.該審核員可在機構(gòu)A專職從事QMS認證審核，同時加入機構(gòu)B作為兼職審核員從事ISMS認證審核B.項審核員可在機構(gòu)B專職從事ISMS認證審核，同時加入機構(gòu)A從事QMS認證審核C.該審核員若在機構(gòu)A從事QMS認證審核，同時在機構(gòu)B從事ISMS認證審核則在兩個機構(gòu)都只能擔當兼職審核員，不得擔當專職審核員D.該審核員只可在機構(gòu)A從事QMS認證審核，或在機構(gòu)B從事ISMS認證審核，無論擔當專職還是兼職審核員答案：D解析：根據(jù)題目描述，認證機構(gòu)A獲得批準實施QMS認證，但未獲得批準實施ISMS認證；認證機構(gòu)B獲得批準實施ISMS認證，但未獲得誰實施QMS認證。這說明機構(gòu)A可以實施QMS認證，但不可以實施ISMS認證，而機構(gòu)B可以實施ISMS認證，但不可以實施QMS認證。題目還提到某審核員同時具備QMS審核員資格以及ISMS審核員資格，那么他只能在具備相應(yīng)資格的認證機構(gòu)進行審核工作，也就是說，他可以在機構(gòu)A從事QMS認證審核，或者在機構(gòu)B從事ISMS認證審核，但不能在兩個機構(gòu)同時兼職進行審核工作。因此，正確答案是D。19.認證審核期間，當審核證據(jù)表明審核目的不能實現(xiàn)時，審核組應(yīng)（）。A.一起討論，決定后續(xù)措施B.審核組長權(quán)衡，決定后續(xù)措施C.由受審核方?jīng)Q定后續(xù)措施D.報告審核委托方并說明理由，確定后續(xù)措施答案：D解析：在認證審核期間，當審核證據(jù)表明審核目的不能實現(xiàn)時，審核組應(yīng)當報告審核委托方并說明理由，以確定后續(xù)措施。這是因為審核委托方是委托審核的一方，他們有責任了解審核的情況和結(jié)果，同時他們也是委托審核的目的和期望的提供者，因此審核組應(yīng)當向?qū)徍宋蟹綀蟾鎸徍饲闆r并說明理由，以便委托方能夠了解審核的實際情況，并根據(jù)實際情況確定后續(xù)措施。其他選項如一起討論、審核組長權(quán)衡、由受審核方?jīng)Q定后續(xù)措施等，都不符合審核的規(guī)范和程序，因此不是正確答案。20.關(guān)于第三方認證的監(jiān)督審核，以下說法不正確的是（）。A.可以與其他監(jiān)督活動一起策劃B.目的在于認證機構(gòu)對獲證客戶信息安全管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任C.每次監(jiān)督審核應(yīng)包括對內(nèi)審、管理評審和持續(xù)的運作控制的審核D.不一定是對整個體系的審核，不一定是現(xiàn)場審核答案：D解析：第三方認證的監(jiān)督審核是認證機構(gòu)對獲證客戶信息安全管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任的一種活動。它通常與其他監(jiān)督活動一起策劃，并且每次監(jiān)督審核不一定是對整個體系的審核，也不一定是現(xiàn)場審核。但每次監(jiān)督審核應(yīng)包括對內(nèi)審、管理評審和持續(xù)的運作控制的審核，這是確保體系持續(xù)滿足要求的關(guān)鍵。因此，選項D“不一定是對整個體系的審核，不一定是現(xiàn)場審核”的說法是不正確的。21.審核過程中發(fā)現(xiàn)的不符合項的描述和分級由下列哪個角色負責？（）A.發(fā)現(xiàn)該不符合項的審核員B.審核組長C.受審核方負責人D.該不符合涉及的受審核方責任人答案：A解析：審核過程中發(fā)現(xiàn)的不符合項的描述和分級應(yīng)該由發(fā)現(xiàn)該不符合項的審核員負責。審核員在審核過程中發(fā)現(xiàn)不符合項后，應(yīng)該對不符合項進行描述和分級，并記錄下來，以供審核組長和受審核方負責人參考和處理。因此，選項A“發(fā)現(xiàn)該不符合項的審核員”是正確答案。選項B“審核組長”、選項C“受審核方負責人”和選項D“該不符合涉及的受審核方責任人”均不是負責不符合項描述和分級的角色。22.不屬于計算機病毒防治的策略是（）。A.確認您手頭常備一張真正“干凈”的引導盤B.及時、可靠升級反病毒產(chǎn)品C.新購置的計算機軟件也要進行病毒檢測D.整理磁盤答案：D解析：計算機病毒防治的策略主要包括：確認手頭常備一張真正“干凈”的引導盤，以便在必要時進行系統(tǒng)啟動；及時、可靠地升級反病毒產(chǎn)品，以應(yīng)對新出現(xiàn)的病毒威脅；新購置的計算機軟件也要進行病毒檢測，以防止病毒帶入系統(tǒng)。而整理磁盤并不屬于計算機病毒防治的策略，因此選項D是不屬于計算機病毒防治的策略。23.審核組中的技術(shù)專家是（）。A.為審核組提供文化、法律、技術(shù)等方面知識咨詢的人員B.特別負責對受審核方的專業(yè)技術(shù)過程進行審核的人員C.審核期間為受審核方提供技術(shù)咨詢的人員D.從專業(yè)的角度對審核員的審核進行觀察評價的人員答案：A解析：根據(jù)題目描述，審核組中的技術(shù)專家應(yīng)該是為審核組提供文化、法律、技術(shù)等方面知識咨詢的人員。這個選項對應(yīng)的是A，特別負責對受審核方的專業(yè)技術(shù)過程進行審核的人員是審核員或?qū)徍私M長的職責，為受審核方提供技術(shù)咨詢的人員是審核咨詢專家，從專業(yè)的角度對審核員的審核進行觀察評價的人員是觀察員或?qū)徍烁檰T的職責。因此，正確答案是A。24.當訪問單位服務(wù)器時，響應(yīng)速度明顯減慢時，最有可能受到了哪一種攻擊？（）A.特洛伊木馬B.地址欺騙C.緩沖區(qū)溢出D.公拒絕服務(wù)答案：D解析：題目描述當訪問單位服務(wù)器時，響應(yīng)速度明顯減慢。這種情況最有可能是受到了拒絕服務(wù)（DDoS）攻擊。拒絕服務(wù)攻擊的目的是耗盡目標系統(tǒng)的資源，使其無法正常處理合法的用戶請求，導致服務(wù)器響應(yīng)速度減慢或完全無法響應(yīng)。其他選項中，特洛伊木馬（A）是一種惡意軟件，用于竊取信息或破壞系統(tǒng)，但不一定導致服務(wù)器響應(yīng)速度減慢；地址欺騙（B）通常用于網(wǎng)絡(luò)欺騙，可能導致數(shù)據(jù)包的錯誤路由，但不一定直接導致服務(wù)器響應(yīng)速度減慢；緩沖區(qū)溢出（C）可能導致系統(tǒng)崩潰或執(zhí)行惡意代碼，但通常不會直接導致服務(wù)器響應(yīng)速度減慢。因此，最有可能的攻擊方式是拒絕服務(wù)（DDoS）攻擊。25.殘余風險是（）。A.低卡可接受風險水平的風險B.高于可接受風險水平的風險C.經(jīng)過風險處置后剩余的風險D.未經(jīng)處置的風險答案：C解析：殘余風險是指經(jīng)過風險處置后剩余的風險。在風險管理中，殘余風險是指即使采取了風險控制措施，仍然存在的風險。它是經(jīng)過評估和控制措施實施后，未能完全消除的風險部分。因此，選項C“經(jīng)過風險處置后剩余的風險”是正確的答案。其他選項A、B、D都與殘余風險的定義不符。26.與審核準則有關(guān)的并且能夠證實的記錄、事實陳述或其他信息稱為（）。A.信息安全信息B.審核證據(jù)C.檢驗記錄D.信息源答案：B解析：審核證據(jù)是與審核準則有關(guān)的并且能夠證實的記錄、事實陳述或其他信息。它是審核過程中的重要依據(jù)，用于支持審核發(fā)現(xiàn)和結(jié)論。因此，正確答案為“審核證據(jù)”。其他選項如“信息安全信息”、“檢驗記錄”和“信息源”與審核證據(jù)的定義不符。27.在以下人為的惡意攻擊行為中，屬于主動攻擊的是（）。A.數(shù)據(jù)篡改及破壞B.數(shù)據(jù)竊聽C.數(shù)據(jù)流分析D.非法訪問答案：A解析：主動攻擊是指攻擊者試圖通過網(wǎng)絡(luò)或其他手段對系統(tǒng)進行實際的破壞，包括篡改、偽造或破壞數(shù)據(jù)，如數(shù)據(jù)篡改及破壞。被動攻擊則是對信息的傳輸進行監(jiān)聽和分析，但不改變其內(nèi)容，如數(shù)據(jù)竊聽和數(shù)據(jù)流分析。非法訪問則通常被認為是主動攻擊的一種形式，因為它涉及到未經(jīng)授權(quán)地訪問系統(tǒng)或數(shù)據(jù)。因此，選項A“數(shù)據(jù)篡改及破壞”屬于主動攻擊。28.對于針對信息系統(tǒng)的軟件包，以下說法正確的是（）。A.組織應(yīng)具有有能力的人員，以便隨時對軟件包進行適用性修改B.應(yīng)盡量勸阻對軟件包實施變更，以規(guī)避變更的風險C.軟件包不必作為配置項進行管理D.軟件包的安裝必須由其開發(fā)商實施安裝答案：B解析：針對信息系統(tǒng)的軟件包，我們需要考慮其管理、維護以及變更控制。A選項提到“組織應(yīng)具有有能力的人員，以便隨時對軟件包進行適用性修改”。雖然這聽起來像是合理的建議，但它并沒有直接關(guān)聯(lián)到題目中的“應(yīng)盡量勸阻對軟件包實施變更，以規(guī)避變更的風險”。B選項“應(yīng)盡量勸阻對軟件包實施變更，以規(guī)避變更的風險”與題目中的描述相符。變更通常伴隨著風險，特別是當軟件包已經(jīng)過嚴格測試并部署在生產(chǎn)環(huán)境中時。隨意變更可能導致未預期的問題，甚至影響系統(tǒng)的穩(wěn)定性和安全性。C選項“軟件包不必作為配置項進行管理”與實際情況不符。軟件包作為信息系統(tǒng)的重要組成部分，其配置、版本和變更歷史都應(yīng)該被詳細記錄和管理，以確保系統(tǒng)的可維護性和可追溯性。D選項“軟件包的安裝必須由其開發(fā)商實施安裝”也不是一個普遍適用的建議。雖然開發(fā)商通常對軟件包有深入的了解，但在很多情況下，組織可能希望或需要自行安裝和管理軟件包。因此，考慮到題目的描述和選項的內(nèi)容，B選項“應(yīng)盡量勸阻對軟件包實施變更，以規(guī)避變更的風險”是最符合題目要求的。29.為了確保布纜安全，以下正確的做法是（）。A.使用同一電纜管道鋪設(shè)電源電纜和通信電纜B.網(wǎng)絡(luò)電纜采用明線架設(shè)C.配線盤應(yīng)盡量放置在公共可訪問區(qū)域，以便于應(yīng)急管理D.使用配線標記和設(shè)備標記，編制配線列表答案：D解析：為了確保布纜安全，應(yīng)該遵循一定的規(guī)范和原則。選項A中，將電源電纜和通信電纜鋪設(shè)在同一電纜管道中是不安全的，因為電源電纜可能會產(chǎn)生電磁干擾，影響通信電纜的正常工作。選項B中，網(wǎng)絡(luò)電纜采用明線架設(shè)也是不安全的，因為明線容易受損，且不符合電纜鋪設(shè)的規(guī)范。選項C中，配線盤應(yīng)盡量放置在公共可訪問區(qū)域，以便于應(yīng)急管理，雖然考慮到了應(yīng)急管理的需要，但并未直接涉及到布纜安全。而選項D中，使用配線標記和設(shè)備標記，編制配線列表，是確保布纜安全的有效措施，因為這樣可以方便管理和維護，避免電纜混亂和誤接。因此，為了確保布纜安全，正確的做法是選項D。30.下列哪項不屬于《認證機構(gòu)管理辦法》中規(guī)定的設(shè)立認證機構(gòu)應(yīng)具備的條件（）。A.具有固定的辦公場所和必備設(shè)施B.注冊資本不得少于人民幣600萬元C.具有10名以上相應(yīng)領(lǐng)域的專職認證人員D.具有符合認證認可要求的管理制度答案：B解析：根據(jù)《認證機構(gòu)管理辦法》中規(guī)定的設(shè)立認證機構(gòu)應(yīng)具備的條件，我們可以逐一查看各個選項。A選項“具有固定的辦公場所和必備設(shè)施”是設(shè)立認證機構(gòu)的基本要求，認證機構(gòu)需要有一個固定的辦公地點和必要的設(shè)施來開展認證活動。C選項“具有10名以上相應(yīng)領(lǐng)域的專職認證人員”也是必要的條件，認證機構(gòu)需要有足夠數(shù)量的專業(yè)認證人員來執(zhí)行認證工作。D選項“具有符合認證認可要求的管理制度”同樣是設(shè)立認證機構(gòu)的重要條件，認證機構(gòu)需要建立一套完善的管理制度來確保認證活動的公正性和有效性。然而，B選項“注冊資本不得少于人民幣600萬元”并不是《認證機構(gòu)管理辦法》中規(guī)定的設(shè)立認證機構(gòu)應(yīng)具備的條件。事實上，關(guān)于注冊資本的要求，不同的認證機構(gòu)可能會有不同的要求，但這不是一個普遍適用的條件。因此，正確答案是B選項。多選題（共10題，共10分）31.能夠表明審核方案得到執(zhí)行的證據(jù)包括（）。A.審核計劃B.審核報告C.審核員能力評價記錄D.認證證書答案：ABC解析：審核方案是審核活動的總體安排，包括審核目標、范圍、依據(jù)、審核方式、審核時間、審核頻次、審核實施計劃等。審核方案得到執(zhí)行需要相應(yīng)的證據(jù)來支持。A選項“審核計劃”是審核方案的一部分，它詳細描述了審核的具體安排，包括審核的時間、地點、人員、范圍等，是審核方案得到執(zhí)行的直接證據(jù)。B選項“審核報告”是審核活動結(jié)束后，審核組編寫的報告，其中包含了審核發(fā)現(xiàn)、審核結(jié)論以及審核建議等內(nèi)容。審核報告能夠表明審核方案得到了執(zhí)行，并且審核活動已經(jīng)按照計劃進行。C選項“審核員能力評價記錄”是對審核員進行審核能力評價的記錄，包括審核員的資格、經(jīng)驗、技能、知識等方面的評價。這些記錄能夠表明審核員具備執(zhí)行審核方案的能力，從而間接證明了審核方案得到了執(zhí)行。D選項“認證證書”是審核活動結(jié)束后，由認證機構(gòu)頒發(fā)的證書，證明被審核組織通過了審核，并符合相關(guān)標準或規(guī)范的要求。雖然認證證書能夠證明被審核組織通過了審核，但它并不能直接證明審核方案得到了執(zhí)行，因為審核方案可能包括多個審核活動，而認證證書只代表其中一個審核活動的結(jié)果。因此，能夠表明審核方案得到執(zhí)行的證據(jù)包括A審核計劃、B審核報告和C審核員能力評價記錄。32.信息安全管理體系認證是（）。A.與信息安全管理體系有關(guān)的規(guī)定要求得到滿足的證實活動B.對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價C.信息安全管理體系認證是合格評定活動的一種D.是信息系統(tǒng)風險管理的實施活動答案：AC解析：信息安全管理體系認證是指由權(quán)威的第三方機構(gòu)依據(jù)相關(guān)的標準對組織的信息安全管理體系進行審核和評估，確認其是否滿足信息安全管理體系的相關(guān)要求，并頒發(fā)相應(yīng)的認證證書的活動。這一活動是對信息安全管理體系的規(guī)定要求得到滿足的證實活動，同時也是合格評定活動的一種。因此，選項A和C是正確的。選項B描述的是對信息系統(tǒng)是否滿足有關(guān)的規(guī)定要求的評價，這并不等同于信息安全管理體系認證的定義；選項D描述的是信息系統(tǒng)風險管理的實施活動，與信息安全管理體系認證無直接關(guān)聯(lián)。因此，選項B和D是錯誤的。33.一種關(guān)于（）、應(yīng)急響應(yīng)和災后恢復的計劃不能被稱為應(yīng)急預案。A.備份B.滅火C.培訓D.評審答案：BCD解析：應(yīng)急預案通常指的是為了應(yīng)對突發(fā)事件而預先制定的計劃，它應(yīng)該包括事件的預防、預警、應(yīng)急響應(yīng)和災后恢復等環(huán)節(jié)。從這個定義來看，A選項“備份”可能涉及數(shù)據(jù)或系統(tǒng)備份，這可以作為應(yīng)急響應(yīng)的一部分，但不足以構(gòu)成一個完整的應(yīng)急預案。B選項“滅火”雖然是應(yīng)急響應(yīng)的一部分，但它僅僅是針對火災這一特定情況的應(yīng)急響應(yīng)，不能涵蓋所有可能的突發(fā)事件，因此不能單獨作為一個應(yīng)急預案。C選項“培訓”雖然對于提高應(yīng)急響應(yīng)能力很重要，但它本身并不是一個應(yīng)急預案。應(yīng)急預案需要具體描述在突發(fā)事件發(fā)生時應(yīng)該采取的措施和行動步驟。D選項“評審”通常是對應(yīng)急預案執(zhí)行后的效果進行評估和反饋，雖然重要，但它并不是應(yīng)急預案的核心內(nèi)容。綜上所述，不能被稱為應(yīng)急預案的是B、滅火，C、培訓，D、評審。34.組織應(yīng)有正式的傳輸（），以保護通過使用各類型通信設(shè)施進行的信息傳輸。A.策略B.計劃C.規(guī)程D.控制答案：ACD解析：組織應(yīng)有正式的傳輸策略、規(guī)程和控制，以保護通過使用各類型通信設(shè)施進行的信息傳輸。根據(jù)常識和邏輯推理，一個組織為了確保信息安全和有效通信，必須制定和實施相應(yīng)的策略、規(guī)程和控制措施。這些措施應(yīng)確保信息的保密性、完整性和可用性，從而防止信息泄露、丟失或被篡改。因此，選項A“策略”、選項C“規(guī)程”和選項D“控制”都是必要的，而選項B“計劃”雖然與策略、規(guī)程和控制有一定的關(guān)聯(lián)，但在這里并不特指保護信息傳輸?shù)拇胧?，因此不是最佳答案?5.在設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程時，宜考慮（）。A.基于“須知”原則，員工宜僅知曉安全區(qū)的存在或其中的活動B.為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作C.使用的安全區(qū)域宜上鎖并定期予以評審D.未經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動設(shè)備中的相機答案：ABD解析：A選項提到“基于‘須知’原則，員工宜僅知曉安全區(qū)的存在或其中的活動”。這是正確的，因為安全區(qū)域的存在和活動應(yīng)該僅被授權(quán)的員工知曉，以確保安全。B選項表示“為了安全原因和減少惡意活動的機會，宜避免在安全區(qū)域內(nèi)進行不受監(jiān)督的工作”。這也是正確的，因為不受監(jiān)督的工作可能會增加安全風險，并可能吸引惡意活動。C選項“使用的安全區(qū)域宜上鎖并定期予以評審”雖然是一個好的實踐，但題目中并未明確提到，所以不應(yīng)選。D選項提到“未經(jīng)授權(quán)，不宜允許攜帶攝影、視頻或其他記錄設(shè)備，例如移動設(shè)備中的相機”。這也是正確的，因為未經(jīng)授權(quán)的記錄設(shè)備可能會泄露敏感信息或破壞安全。綜上所述，正確答案為A、B和D。36.以下屬于“責任分割”原則范疇的做法是（）。A.不同職級人員工作區(qū)域隔離B.保持安全審核人員的獨立性C.授權(quán)者、操作者和監(jiān)視者三者責任分離D.事件報告人員與事件處理人員職責分離答案：BCD解析：責任分割原則的核心思想是將不同的職責分配給不同的個體或團隊，以避免權(quán)力濫用、誤操作或疏忽。A選項“不同職級人員工作區(qū)域隔離”主要是關(guān)于物理空間上的隔離，與責任分割原則不直接相關(guān)。B選項“保持安全審核人員的獨立性”確保審核人員不會受到操作人員的干擾，能夠獨立地進行安全審核，這符合責任分割原則。C選項“授權(quán)者、操作者和監(jiān)視者三者責任分離”明確了三種不同的角色，并確保他們之間的職責不重疊，這符合責任分割原則。D選項“事件報告人員與事件處理人員職責分離”確保事件報告人員不會同時處理事件，這樣可以避免報告的不準確或隱瞞，這同樣符合責任分割原則。因此，正確答案是B、C和D。37.在規(guī)劃如何達到信息安全目標時，組織應(yīng)確定（）。A.要做什么，需要什么資源B.由誰負責，什么時候完成C.完成的目標是什么版權(quán)所有D.如何評價結(jié)果答案：ABD解析：在規(guī)劃如何達到信息安全目標時，組織需要明確以下幾個方面：A.要做什么，需要什么資源：明確為了實現(xiàn)信息安全目標，組織需要執(zhí)行的具體任務(wù)或行動，以及完成這些任務(wù)所需的資源，如人力、物力和財力。B.由誰負責，什么時候完成：確定每個任務(wù)或行動的責任人，并明確完成的時間節(jié)點，確保信息安全工作的順利進行。C.完成的目標是什么：這一選項雖然提到了“完成的目標是什么”，但它實際上是在詢問信息安全目標本身，而不是在規(guī)劃如何實現(xiàn)這些目標時應(yīng)確定的內(nèi)容。所以，此選項與題目要求不符。D.如何評價結(jié)果：明確如何評估信息安全工作的效果，包括使用何種指標、方法和工具，以及如何根據(jù)評估結(jié)果進行調(diào)整和改進。因此，正確答案為A、B和D。38.識別和評價風險處置的可選措施，可能的措施不是（）。A.采用適當?shù)目刂拼胧┰诿黠@滿足組織方針策略和接受風險的推則的條件下，不接受風險B.淡化風險，將相關(guān)業(yè)務(wù)風險轉(zhuǎn)移到其他地方，如保險，供應(yīng)商等C.采用適當?shù)目刂拼胧┑L險D.采用適當?shù)目刂拼胧⑾嚓P(guān)業(yè)務(wù)風險轉(zhuǎn)移到其他地方，如保險，供應(yīng)商等答案：AC解析：風險處置的可選措施包括接受風險、控制風險、轉(zhuǎn)移風險等。選項A表示在明顯滿足組織方針策略和接受風險的推則的條件下，不接受風險，這是風險處置的一種策略，即接受風險。選項B“淡化風險，將相關(guān)業(yè)務(wù)風險轉(zhuǎn)移到其他地方，如保險，供應(yīng)商等”和選項D“采用適當?shù)目刂拼胧⑾嚓P(guān)業(yè)務(wù)風險轉(zhuǎn)移到其他地方，如保險，供應(yīng)商等”都表示將風險轉(zhuǎn)移，這也是風險處置的一種策略。然而，選項C“采用適當?shù)目刂拼胧┑L險”存在表述問題。通常，控制風險是通過采取適當?shù)目刂拼胧﹣斫档惋L險的可能性或影響，而不是“淡化風險”。因此，選項C的表述不準確，不應(yīng)被選作風險處置的可選措施。綜上所述，選項A和C是不正確的風險處置可選措施，所以正確答案為A和C。39.為了實現(xiàn)在網(wǎng)絡(luò)上自動標識設(shè)備，以下做法正確的是（）。A.啟用DHCP動態(tài)分配IP地址功能B.為網(wǎng)絡(luò)設(shè)備分配固定P地址C.將每一臺計算機MAC與不個IP地址綁定D.采取有效措施禁止修改MAC答案：BCD解析：在網(wǎng)絡(luò)中，為了自動標識設(shè)備，有多種方法可以實現(xiàn)。A選項：啟用DHCP動態(tài)分配IP地址功能。DHCP（動態(tài)主機配置協(xié)議）是一種網(wǎng)絡(luò)協(xié)議，它允許服務(wù)器動態(tài)地為網(wǎng)絡(luò)中的設(shè)備分配IP地址。當設(shè)備連接到網(wǎng)絡(luò)時，它可以請求一個IP地址，而DHCP服務(wù)器會為其分配一個可用的IP地址。這種方法可以自動標識設(shè)備，因為它為每臺設(shè)備分配了一個唯一的IP地址。B選項：為網(wǎng)絡(luò)設(shè)備分配固定IP地址。固定IP地址是指為每臺設(shè)備預先分配一個固定的IP地址。這種方法需要手動為每臺設(shè)備配置IP地址，但一旦配置完成，設(shè)備就可以通過其固定的IP地址在網(wǎng)絡(luò)上被唯一標識。C選項：將每一臺計算機MAC與不同IP地址綁定。MAC地址是每臺網(wǎng)絡(luò)設(shè)備的唯一標識符。通過將MAC地址與IP地址綁定，可以確保每臺設(shè)備都有一個唯一的IP地址。這種方法也可以自動標識設(shè)備。D選項：采取有效措施禁止修改MAC。在某些情況下，為了防止設(shè)備被篡改或偽裝，可以采取措施禁止修改MAC地址。然而，這并不能直接用于自動標識設(shè)備，因為它更多地是為了網(wǎng)絡(luò)安全而考慮的。綜上所述，為了實現(xiàn)在網(wǎng)絡(luò)上自動標識設(shè)備，正確的做法包括：啟用DHCP動態(tài)分配IP地址功能、為網(wǎng)絡(luò)設(shè)備分配固定IP地址、將每一臺計算機MAC與不同IP地址綁定。因此，正確選項為A、B和C。選項D雖然與網(wǎng)絡(luò)安全有關(guān)，但并不直接涉及自動標識設(shè)備。40.A公司對其核心業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)采用每天磁盤備份、每月光盤備份，并在兩個城市部署了數(shù)據(jù)中心，這兩個數(shù)據(jù)中心可以做到實時數(shù)據(jù)備份。這符合標準GB/T22080-2016/ISO/IEC27001:2013標準哪些條款的要求？（）A.A8.3.1B.A12.3.1C.A14.3.1D.A17.2.1答案：BD解析：題目描述了A公司對其核心業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)采取的備份措施：每天磁盤備份、每月光盤備份，并在兩個城市部署了數(shù)據(jù)中心以實現(xiàn)實時數(shù)據(jù)備份。針對這個描述，我們需要對照標準GB/T22080-2016/ISO/IEC27001:2013來找出符合的條款。A8.3.1是關(guān)于備份和恢復計劃的建立，但它主要強調(diào)的是“應(yīng)建立、實施和維護適當?shù)膫浞莺突謴统绦?，確保在信息系統(tǒng)發(fā)生故障時，信息系統(tǒng)能迅速恢復”，這個條款并未涉及到具體的備份頻率或多數(shù)據(jù)中心部署，所以A選項不符合。A12.3.1是關(guān)于信息備份的，它明確提到“應(yīng)定期備份信息，包括相關(guān)系統(tǒng)配置參數(shù)、系統(tǒng)軟件和業(yè)務(wù)數(shù)據(jù)，并確保備份信息的完整性、可用性和保密性”，這符合題目中每天磁盤備份的描述。A14.3.1是關(guān)于備份和恢復設(shè)施的，但它主要關(guān)注的是“應(yīng)建立備份和恢復所需的基礎(chǔ)設(shè)施，并確保其可用性”，并沒有明確涉及多數(shù)據(jù)中心部署或?qū)崟r備份，所以C選項不符合。A17.2.1是關(guān)于數(shù)據(jù)中心的物理安全的，它提到“數(shù)據(jù)中心應(yīng)部署在物理安全的環(huán)境中，并應(yīng)采取適當?shù)陌踩胧?，確保數(shù)據(jù)中心的物理安全”，這符合題目中兩個城市部署數(shù)據(jù)中心并實現(xiàn)實時數(shù)據(jù)備份的描述。綜上所述，符合題目描述的條款是A12.3.1和A17.2.1，所以正確答案是B和D。主觀題（共7題，共7分）41.公司的安全策略規(guī)定，通向A公司辦公樓層的電梯須憑授權(quán)門禁卡刷卡乘梯。辦公樓電梯門禁卡的發(fā)放由物業(yè)公司B負責。A公司完成申請批準流程的人員憑本人身份證及審批單到B公司辦理領(lǐng)取相應(yīng)樓層電佛門禁卡。A公司將物理區(qū)域的日常安保管理外包給C公司。中秋節(jié)時，A公司舉辦為期1天的大型活動，邀請200人參加，為參加者便利，委托C公司統(tǒng)一收集受邀者身份證、統(tǒng)一辦理申請批準、統(tǒng)一到B公司辦理領(lǐng)取200張電梯門禁卡，然后分發(fā)給活動受邀者使用，并于活動結(jié)束當天由C公司收回這些電梯門禁卡。11月審核員到A公司審核時發(fā)現(xiàn)，C公司并未將該200張卡退還B公司進行銷權(quán)，而是自行保存，有其他申請者需要時發(fā)放使用，省去了每次跑B公司辦理的麻煩。審核員抽查了幾張卡，申請者與持有并使用者非同一人，并調(diào)閱B公司發(fā)卡登記的身份證信息既非現(xiàn)持有并使用者，亦非申請者，發(fā)卡登記的身份證信息擁有者目前既不是A、B、C公司員工，亦不是任何項目合作者。請依據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，闡述你對上述場景的審核思路。參考答案1、查A公司是否對提供安保服務(wù)的C公司有安全要求及相關(guān)規(guī)定，查相關(guān)的服務(wù)協(xié)議或服務(wù)合同。2、查A公司是否對C公司的安保服務(wù)定期進行了評審，抽3-5份評審記錄。3、A公司在本次審核前是否發(fā)現(xiàn)本信息安全事件，是否采取了相應(yīng)的措施予以追蹤，是否對C公司進行了審核。4、查本事件發(fā)生之前是否發(fā)生過由于C公司提供服務(wù)的原因，導致的信息安全事件，處理過程如何？5、A公司是否督促C公司馬上停止濫發(fā)門禁卡的行為，并馬上采取糾正及提出糾正措施實施方案。6、A公司對本次信息安全事件管理過程后是否再次進行風險評估。7、本事件發(fā)生后A公司是否收集了事件的相關(guān)證據(jù)并進行了事件分析，抽查分析記錄。8、A公司內(nèi)部是否劃定了安全區(qū)、交接區(qū)。既不是ABC公司員工，也不是項目合作者，進到A公司后，A公司在安全區(qū)域及交接區(qū)是如何識別控制的，抽查來訪人員登記記錄。解析：此題要求根據(jù)GB/T22080-2016/ISO/IEC27001:2013標準，闡述對特定場景的審核思路。該標準是關(guān)于信息安全管理體系的國際標準，旨在幫助組織建立、實施、監(jiān)控、評審和改進信息安全管理體系。首先，審核員需要了解A公司是否對提供安保服務(wù)的C公司有明確的安全要求和服務(wù)規(guī)定，并查閱相關(guān)的服務(wù)協(xié)議或服務(wù)合同。這是確保C公司按照A公司的安全策略和要求提供服務(wù)的基礎(chǔ)。其次，審核員需要查閱A公司是否定期對C公司的安保服務(wù)進行評審，并抽查評審記錄。這有助于確保C公司的服務(wù)質(zhì)量符合A公司的期望，并及時發(fā)現(xiàn)和糾正潛在的安全問題。然后，審核員需要詢問A公司是否在本次審核前發(fā)現(xiàn)過類似的信息安全事件，并了解是否采取了相應(yīng)的追蹤和審核措施。這有助于評估A公司對于信息安全事件的響應(yīng)和處理能力。接下來，審核員需要查閱是否有過由于C公司服務(wù)原因?qū)е碌男畔踩录?，并了解處理過程。這有助于分析C公司服務(wù)過程中可能存在的安全漏洞和問題。審核員還需要督促A公司立即停止C公司濫發(fā)門禁卡的行為，并要求其提出糾正措施和實施方案。這是確保A公司的安全策略得到有效執(zhí)行，防止未經(jīng)授權(quán)的人員進入敏感區(qū)域。此外，審核員需要審核A公司是否對本次信息安全事件進行了風險評估。這有助于了解事件對A公司的影響程度，并為采取適當?shù)募m正措施提供依據(jù)。最后，審核員需要查閱A公司是否收集了相關(guān)證據(jù)并進行了事件分析，抽查分析記錄。這有助于了解事件的原因、影響和改進措施，并確保A公司從事件中吸取教訓，加強信息安全管理。同時，審核員還需要查閱A公司內(nèi)部是否劃定了安全區(qū)和交接區(qū)，并了解如何識別和控制非ABC公司員工和項目合作者進入這些區(qū)域，抽查來訪人員登記記錄。這有助于確保A公司的物理安全得到有效保障，防止未經(jīng)授權(quán)的人員進入敏感區(qū)域。42.在A公司人事部，審核員向人力資源部負責人了解培訓情況時得知，公司負責網(wǎng)絡(luò)安全的管理人員的培訓是請專門的網(wǎng)絡(luò)安全培訓機構(gòu)進行的。審核員想看看這些人員的培訓成績級證書，該負責人說，證書他們自己保存，我們替他們保存反而不方便。培訓成績在培訓機構(gòu)，你們要看的話，我打電話聯(lián)系，讓他們發(fā)過來。審核員同意，并查閱了發(fā)過來的成績，由于成績合格，審核員表滿意，并結(jié)束了培訓的審核。這樣的審核是否符合要求？為什么？如果請你去審核，你會怎么做？參考答案1、查公司是否制定了年度培訓方案，是否包含了本次培訓的丙容。是否按培訓方案的要求執(zhí)行了本次培訓。2、查公司制定的培訓方案中是否覆蓋全面，不僅包括基本的信息安全規(guī)程，還應(yīng)包括管理層對信息安全的承諾、員工應(yīng)遵從的信息安全規(guī)則和義務(wù)要求、個人作為和不作為的問責要求、法律法規(guī)等培訓內(nèi)容。3、查培訓方案中是否有對培訓記錄要形成文件化信息的要求。4、查本次網(wǎng)絡(luò)安全培訓的其他相關(guān)記錄，是否形成文件化信息。5、查外培的授課內(nèi)容是否與本公司的信息安全策略相違背。6、查是否有對本次培訓效果的評估記錄，即培訓有效性的評價。解析：根據(jù)題目描述，審核員在審核公司網(wǎng)絡(luò)安全管理人員的培訓情況時，主要關(guān)注了培訓成績和證書，而沒有全面考慮培訓方案的制定、培訓內(nèi)容的覆蓋、培訓記錄的形成、培訓相關(guān)記錄的查閱、外培內(nèi)容的合規(guī)性以及培訓效果的評估等方面。因此，這樣的審核并不符合要求。如果我去審核，我會按照上述列出的六點要求逐一進行檢查和核實，確保培訓活動的全面性和有效性。這樣可以更全面地了解培訓情況，發(fā)現(xiàn)問題并及時改進，提升公司的網(wǎng)絡(luò)安全培訓質(zhì)量。43.A公司使用SANPOR系統(tǒng)管理公司網(wǎng)絡(luò)，審核員發(fā)現(xiàn)該系統(tǒng)只有2個用戶：“ADMIN”和“SANFOR”，其中ADMIN同時擁有制定網(wǎng)策略、配置實施上網(wǎng)策略、日志中心審計等權(quán)限，SANFOR只有查看策略的權(quán)限。系統(tǒng)管理員（即ADMIN用戶）解釋說：“公司人手少，就只設(shè)置了我一個人做網(wǎng)管，SANFOR是我的領(lǐng)導，平時不過問我工作?！眳⒖即鸢覆环珿B/T22080-2016中條款A6.1.2應(yīng)分離沖突的職責及其責任范圍，以減少未授權(quán)或無意的修改或煮不當使用組織資產(chǎn)的機會。不符合事實：公司SANFOR系統(tǒng)中ADMIN用戶同時擁有制定上網(wǎng)策略、配置實施上網(wǎng)策略、日志中心審計等權(quán)限，解釋說：“公司人手少，就只設(shè)置了我一個人做網(wǎng)管?！苯馕觯涸谶@個問題中，關(guān)鍵的信息是系統(tǒng)管理員（ADMIN用戶）擁有過多的權(quán)限，而另一用戶SANFOR的權(quán)限相對有限。根據(jù)GB/T22080-2016中的A6.1.2條款，組織應(yīng)該分離職責以減少未授權(quán)或無意的修改或不當使用組織資產(chǎn)的機會。因此，如果系統(tǒng)管理員（ADMIN用戶）擁有過多的權(quán)限，可能會導致資產(chǎn)被未授權(quán)地修改或不當使用。在這個案例中，系統(tǒng)管理員（ADMIN用戶）解釋說公司人手少，就只設(shè)置了他一個人做網(wǎng)管，但這種情況并不能作為同時擁有制定網(wǎng)策略、配置實施上網(wǎng)策略、日志中心審計等權(quán)限的合理理由。因此，這種權(quán)限配置不符合GB/T22080-2016中的要求。44.公司信息化系統(tǒng)平臺較多，專門成立了信息化部負責公司的網(wǎng)絡(luò)服務(wù)。詢問信息化主管領(lǐng)導公司是否與IT部門之間簽訂了網(wǎng)絡(luò)服務(wù)協(xié)議。主管領(lǐng)導認為都是公司內(nèi)部的事情。不涉及其他外部承包方。所以公司沒有必要與信息化部之間簽訂網(wǎng)絡(luò)服務(wù)協(xié)議。參考答案不符合GB/T22080-2016中條款A13.1.2網(wǎng)絡(luò)服務(wù)的安全：所有網(wǎng)絡(luò)服務(wù)的安全機制、服務(wù)級別和管理要求應(yīng)予以確定并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是由內(nèi)部提供的還是外包的。不符合事實：公司成立了信息化部未與IT部門簽訂網(wǎng)絡(luò)服務(wù)協(xié)議。解析：根據(jù)GB/T22080-2016中的條款A13.1.2，無論網(wǎng)絡(luò)服務(wù)是由公司內(nèi)部提供還是外包，其安全機制、服務(wù)級別和管理要求都應(yīng)當被確定并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中。在這個案例中，公司雖然成立了信息化部，但