本資料由小槳備考整理，僅供學習參考，非官方發(fā)布2019年05月審核知識（改考前）答案及解析單選題（共30題，共30分）1.ISMS審核常用的審核方法不包括（）。A.糾正預防B.文件審核C.現場審核D.遠程審核答案：A解析：ISMS審核常用的審核方法包括文件審核、現場審核和遠程審核。糾正預防不是審核方法，而是審核過程中可能涉及的一個環(huán)節(jié)，用于對不符合項采取糾正和預防措施。因此，選項A“糾正預防”是不包括在ISMS審核常用審核方法中的。2.下列說法不正確的是（）。A.審核組可以由一名或多名審核員組成B.至少配備一名經認可具有專業(yè)能力的成員C.實習審核員可在技術專家指導下承擔審核任務D.審核組長通常由高級審核員擔任男答案：C解析：本題考察的是審核組的相關知識。A選項提到“審核組可以由一名或多名審核員組成”，這是正確的。審核組是由審核員組成的，審核員的數量可以是一名或多名。B選項指出“至少配備一名經認可具有專業(yè)能力的成員”，這也是正確的。審核組中的成員至少需要有一名具有專業(yè)能力并被認可的成員，這是確保審核質量的重要條件。C選項說“實習審核員可在技術專家指導下承擔審核任務”，這是不正確的。審核工作是一種嚴肅而專業(yè)的工作，需要審核員具備一定的經驗和專業(yè)能力。實習審核員在沒有完全掌握審核技能和專業(yè)能力之前，不能獨立承擔審核任務。他們可以在技術專家的指導下參與審核工作，但不能獨立承擔審核任務。D選項提到“審核組長通常由高級審核員擔任”，這是正確的。審核組長是審核組的負責人，需要具備一定的領導能力和專業(yè)能力。通常由具有豐富經驗和專業(yè)能力的高級審核員擔任審核組長。綜上所述，不正確的說法是C選項“實習審核員可在技術專家指導下承擔審核任務”。3.當獲得的審核證據表明不能達到審核目的時，審核組長可以（）。A.宣布停止受審核方的生產/服務活動B.向審核委托方和受審核方報告理由以確定適當的措施C.宜布取消末次會議D.以上各頂都不可以答案：B解析：根據題目中的描述，當獲得的審核證據表明不能達到審核目的時，審核組長需要向審核委托方和受審核方報告理由以確定適當的措施。因此，選項B“向審核委托方和受審核方報告理由以確定適當的措施”是正確的答案。其他選項A、C、D均不符合題目要求。4.假如某人向一臺遠程主機發(fā)送特定的數據包，卻不想遠程主機響應其的數據包，說明此人能使用的是下列哪一種類型的攻擊手段？（）A.特洛伊木馬B.地址欺騙C.緩沖區(qū)溢出D.拒絕服務答案：B解析：在給出的選項中，特洛伊木馬是一種通過偽裝成有用程序或文件來植入惡意代碼的軟件，它不會直接阻止遠程主機的響應。緩沖區(qū)溢出是一種攻擊手段，通過向程序發(fā)送超出其緩沖區(qū)大小的數據來導致程序崩潰或執(zhí)行惡意代碼，但它通常不會阻止遠程主機的響應。拒絕服務（DDoS）攻擊是一種通過發(fā)送大量無效或低優(yōu)先級的數據包來淹沒目標系統(tǒng)，使其無法處理正常請求的攻擊方式，它會阻止遠程主機的響應。地址欺騙（B）是一種通過偽造源地址來發(fā)送數據包，使遠程主機無法區(qū)分合法和非法請求的攻擊手段，這也會阻止遠程主機的正常響應。因此，如果某人向遠程主機發(fā)送特定數據包，并不想遠程主機響應其數據包，那么最有可能使用的攻擊手段是地址欺騙（B）。5.第三方認證審核時確定審核范圍的程序是（）。A.組織提出、與審核組協商、認證機構確認、認證合同規(guī)定B.組織申請、認證機構評審、認證合同規(guī)定、審核組確認C.組織提出、與咨詢機構協商、認證機構確認D.認證機構提出、與組織協商、審核組確認、認證合同規(guī)定答案：B解析：在第三方認證審核中，確定審核范圍的程序通常涉及多個步驟。首先，組織需要向認證機構提出認證申請，認證機構會對申請進行評審，以確定是否滿足認證條件。評審通過后，認證機構會與組織簽訂認證合同，其中規(guī)定了審核的范圍和其他相關條款。最后，審核組會依據認證合同確認具體的審核范圍，并開始進行審核工作。因此，選項B“組織申請、認證機構評審、認證合同規(guī)定、審核組確認”是確定審核范圍的正確程序。選項A中的“審核組協商”和選項C中的“與咨詢機構協商”在常規(guī)流程中并不涉及，而選項D中的“認證機構提出”也不符合通常的做法，因為審核范圍的確定通常是基于組織的申請和認證機構的評審結果。6.ISMS管理評審的輸出應包括（）。A.可能影響ISMS的任何變更B.以往風險評估沒有充分強調的脆弱點或威脅C.風險評估和風險處理計劃的更新D.改進的建議答案：C解析：ISMS管理評審的輸出應包括風險評估和風險處理計劃的更新。這是因為管理評審的目的是確保ISMS的有效性、充分性和適宜性，而風險評估和風險處理計劃是確保ISMS能夠有效應對信息安全風險的關鍵要素。因此，管理評審的輸出應包括對風險評估和風險處理計劃的更新，以確保ISMS能夠持續(xù)有效地保護組織的信息資產。其他選項如可能影響ISMS的任何變更、以往風險評估沒有充分強調的脆弱點或威脅以及改進的建議，雖然也是管理評審中需要考慮的因素，但并不是管理評審輸出的直接內容。因此，正確答案為C。7.審核員在信息安全控制措施評審過程中釆用的評審方法不包括（）。A.檢查B.訪談C.測試D.暗訪答案：D解析：在信息安全控制措施評審過程中，審核員采用的評審方法通常包括檢查、訪談和測試。這些方法分別用于檢查控制措施的實施情況、與相關人員交流以獲取更多信息，以及測試控制措施的有效性。然而，選項D“暗訪”并不是信息安全控制措施評審過程中常用的評審方法。因此，正確答案是D。8.第三方認證時的監(jiān)督審核不一定是對整個體系的審核，以下說法正確的是（）。A.組織獲得認證范圍內的職能區(qū)域可以抽查，但標準條款不可以抽查B.組織獲得認證范圍內的業(yè)務過程可以抽查，但職能區(qū)域不可以抽查C.組織獲得認證范圍內的業(yè)務過程和職能區(qū)域都不可以抽查，僅標準條款可以抽查D.標準條款可以抽查，但針對內審和管理評審以及持續(xù)改進方面的審核不可缺答案：D解析：在第三方認證時，監(jiān)督審核不一定是對整個體系的審核。對于組織獲得認證范圍內的職能區(qū)域、業(yè)務過程以及標準條款，其抽查情況如下：A選項提到“組織獲得認證范圍內的職能區(qū)域可以抽查，但標準條款不可以抽查”。這與題目中的“監(jiān)督審核不一定是對整個體系的審核”相矛盾，因為標準條款通常是體系審核的核心部分。B選項提到“組織獲得認證范圍內的業(yè)務過程可以抽查，但職能區(qū)域不可以抽查”。這也與第三方認證時的通常做法不符，因為無論是職能區(qū)域還是業(yè)務過程，都可能涉及到認證范圍。C選項提到“組織獲得認證范圍內的業(yè)務過程和職能區(qū)域都不可以抽查，僅標準條款可以抽查”。這與監(jiān)督審核的目的不符，因為監(jiān)督審核的目的通常是確保體系的持續(xù)符合性，這需要對組織的各個方面進行審核。D選項提到“標準條款可以抽查，但針對內審和管理評審以及持續(xù)改進方面的審核不可缺”。這符合第三方認證時的通常做法。雖然監(jiān)督審核可能不是對整個體系的全面審核，但標準條款是體系的核心，因此可以進行抽查。同時，針對內審、管理評審和持續(xù)改進方面的審核是確保體系持續(xù)符合性的關鍵部分，因此不可缺。因此，正確答案是D選項。9.在第三方認證審核時，（）不是審核員的職責。A.實施審核B.確定不合格項C.對發(fā)現的不合格項采取糾正措施D.驗證審核方所采取糾正措施的有效性答案：C解析：在第三方認證審核中，審核員的職責是實施審核和驗證審核方所采取糾正措施的有效性。確定不合格項和對發(fā)現的不合格項采取糾正措施不是審核員的職責，而是審核方或其內部質量體系管理部門的職責。因此，選項C不是審核員的職責。10.確定資產的可用性要求須依據（）。A.授權實體的需求B.信息系統(tǒng)的實際性能永平C.組織可支付的經濟成本D.最高管埋者的決定答案：A解析：在確定資產的可用性要求時，主要依據是授權實體的需求。這是因為資產的存在是為了滿足特定實體（如組織、部門或個體）的需求，而這些需求通常是由授權實體來定義的。其他選項如信息系統(tǒng)的實際性能水平、組織可支付的經濟成本或最高管理者的決定，雖然可能影響可用性要求，但不是其確定的主要依據。因此，正確答案是A。11.組織稱滿足GB/T22080-2016/ISO/1EC27001-2013標準要求時（）。A.以可狀對正文第八章內容進行刪減B.可以對正文第四章到第八章進行刪減，刪減需要有別減理由C.正文不可以刪減，僅能對附錄A的控制進行刪減，刪減需要有刪減理由D.標準全文都不可以刪減答案：C解析：題目中詢問的是組織稱滿足GB/T22080-2016/ISO/1EC27001-2013標準要求時，對標準內容可以進行怎樣的操作。根據標準的規(guī)定，正文不可以刪減，僅能對附錄A的控制進行刪減，并且刪減需要有刪減理由。因此，選項C“正文不可以刪減，僅能對附錄A的控制進行刪減，刪減需要有刪減理由”是正確的答案。其他選項A、B、D均不符合標準的規(guī)定。12.關于認證審核報告，以下說法正確的是（）。A.審核方案管理人員應確保審核報告得到評審和批準B.審核組長應確保審核報告得到評審和批準C.管理者代表應確保審核報告得到評審和批準D.管理者代表應評審和批準審核報告答案：A解析：在認證審核中，審核報告是一份非常重要的文件，它記錄了審核的結果和發(fā)現的問題。為了確保審核報告的質量和準確性，需要對其進行評審和批準。根據認證審核的相關規(guī)定，審核方案管理人員應確保審核報告得到評審和批準。因此，選項A是正確的說法。選項B、C和D中的描述并不符合認證審核的規(guī)定，所以都是錯誤的。13.末次會議包括（）。A.請受審核方確認不符合報告、并簽字B.向受審核方遞交審核報告C.雙方就審核發(fā)現的不同意見進行討論D.以上都不準確答案：C解析：末次會議是審核過程中的一個重要環(huán)節(jié)，通常在審核結束后進行。在末次會議中，審核組和受審核方會就審核過程中發(fā)現的問題和不符合項進行討論。因此，選項C“雙方就審核發(fā)現的不同意見進行討論”是末次會議的主要內容。選項A“請受審核方確認不符合報告、并簽字”和選項B“向受審核方遞交審核報告”雖然也是審核過程中的環(huán)節(jié)，但不是末次會議的主要內容。選項D“以上都不準確”顯然是不正確的。因此，正確答案是C。14.在每天下午5點使用計算機結束時斷開終端的連接屬于（）。A.外部終端的物理安全B.通信線的物理安全C.竊聽數據D.網絡地址欺騙答案：A解析：斷開終端的連接屬于外部終端的物理安全。物理安全包括在物理設備層次對機密信息提供的保護，如通信線路的正確安裝和物理保護，終端的安全等。每天下午5點使用計算機結束時斷開終端的連接，屬于對外部終端的物理保護，因此答案為A。15.風險評估的基本過程是怎樣的？（）A.識別并評估重要的信息資產，識別各種可能的威脅和嚴重弱點，最終確定風險B.通過以往發(fā)生的信息安全事件，找到風險所在C.風險評估就是對照安全檢查單，查看相關的管理和技術措施是否到位D.風險評估并沒有規(guī)律可循，完全取決于評估者的經驗所在答案：A解析：風險評估的基本過程包括識別并評估重要的信息資產，識別各種可能的威脅和嚴重弱點，最終確定風險。這是風險評估的核心步驟，確保了對信息資產、威脅和弱點的全面評估，從而能夠準確地確定風險。其他選項并不符合風險評估的基本過程。選項B只提到了通過以往的信息安全事件找到風險所在，但并未涵蓋評估信息資產和威脅的步驟；選項C將風險評估簡化為對照安全檢查單，忽略了評估過程的全面性；選項D則錯誤地認為風險評估沒有規(guī)律可循，完全取決于評估者的經驗，這與風險評估的科學性和系統(tǒng)性相悖。因此，正確答案是A。16.對保密文件復印件張數核對是確保保密文件的（）。A.保密性B.完整性C.可用性D.以上全部答案：B解析：對保密文件復印件張數核對是確保保密文件的完整性。保密文件的完整性指的是文件的完整性未受到破壞或泄露，而復印件張數的核對正是為了防止復印件的丟失或錯誤傳遞，從而確保文件的完整性。保密性主要關注的是文件內容不被未經授權的人員獲取，可用性關注的是文件在需要時能夠正常使用，雖然這些方面也很重要，但在此題目中，更直接相關的是確保文件的完整性。因此，答案為B，即“完整性”。17.強制訪問控制是針對（）等級的信息系統(tǒng)。A.二級（含）以上B.三級（含）以上C.四級（含）以上D.五級答案：B解析：強制訪問控制是一種安全機制，用于限制對信息系統(tǒng)中信息的訪問。根據題目中的選項，我們需要確定強制訪問控制是針對哪一級別的信息系統(tǒng)。根據常識和一般的安全標準，強制訪問控制通常用于較高安全級別的信息系統(tǒng)，以確保信息的機密性、完整性和可用性。在常見的安全等級劃分中，三級（含）以上的信息系統(tǒng)通常被認為是較高安全級別的，因此強制訪問控制是針對三級（含）以上的信息系統(tǒng)。因此，正確答案為B，即“三級（含）以上”。18.以下有關訪問控制的描述不正確的是（）。A.口令是最常見的驗證身份的措施，也是重要的信息資產，需要保護和管理B.系統(tǒng)管理員在給用戶分配訪問權限時，應該遵循“最小特權原則”，部分配給員工的訪問權限只需滿足其工作需要的權限，工作之外的權限一律不予分配。C.單點登錄系統(tǒng)以一次登錄/驗證，即可訪問多個系統(tǒng)）最大的優(yōu)勢是突出了便利性。但是又面臨著“把所有雞蛋放一個籃子”的風險D.雙因認證（又稱強認證）就是一個系統(tǒng)需要兩道密碼才能進入答案：D解析：本題要求選擇描述不正確的選項。A選項描述正確，口令是驗證身份的一種常見方式，并且因為涉及到用戶的隱私和安全，確實需要得到保護和管理。B選項描述正確，系統(tǒng)管理員在分配訪問權限時，應當遵循“最小特權原則”，即只給予用戶完成其工作所需的最低權限，這有助于提升系統(tǒng)的安全性。C選項描述正確，單點登錄系統(tǒng)（SSO）允許用戶一次登錄驗證，就可以訪問多個系統(tǒng)，確實提供了便利，但也增加了將所有認證信息都放在一處的風險，即“把所有雞蛋放一個籃子”的風險。D選項描述不正確，雙因認證（也稱為強認證）通常不僅僅需要兩道密碼，它可能包括其他驗證因素，如智能卡、生物識別等。僅僅說“一個系統(tǒng)需要兩道密碼才能進入”并不準確描述雙因認證的概念。因此，不正確的描述是D選項。19.認證審核初審時，可以不進行第一階段審核的條件之一是（）。A.審核組考慮時間效率可用一個階段審核完成所有的審核準則要求B.審核組長已充分了解受審核方的信息安全管理過程C.受審核方認為一個階段的審核能完成全部的審核要求D.不允許第一階段不進行現場審核的情況答案：B解析：在認證審核的初審階段，當審核組考慮時間效率并可用一個階段審核完成所有的審核準則要求時，通常不需要進行第一階段審核。但這一條件并不是唯一可以省略第一階段審核的情況。選項B提到“審核組長已充分了解受審核方的信息安全管理過程”，這表示審核組長已經對受審核方的信息安全管理過程有了全面的了解，因此可能不需要通過第一階段審核來進一步收集信息。而選項A雖然提到審核組可用一個階段完成所有審核要求，但這并不是不進行第一階段審核的充分條件。選項C中受審核方的意見并不能決定審核階段的選擇。選項D明確指出不允許第一階段不進行現場審核的情況，因此不符合題意。綜上所述，正確答案是B。20.關于備份，以下說法正確的是（）。A.備份介質應定期進行恢復測試B.如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C.退化的備份介質一定會影響備份信息的恢復D.備份信息不是管理體系運行記錄，不須規(guī)定保存期答案：A解析：A選項提到“備份介質應定期進行恢復測試”，這是正確的。定期恢復測試可以確保備份介質在需要時能夠成功恢復數據，這是備份策略中非常重要的一部分。B選項說“如果組織刪減了‘信息安全連續(xù)性’要求，同機備份或備份本地存放是可接受的”。這個說法是不準確的。即使組織削減了信息安全連續(xù)性的要求，備份策略仍然應該確保數據的完整性和可用性，同機備份或備份本地存放可能無法滿足這一要求。C選項提到“退化的備份介質一定會影響備份信息的恢復”，這個說法過于絕對。退化的備份介質可能會影響備份信息的恢復，但并非所有退化的備份介質都會影響。D選項說“備份信息不是管理體系運行記錄，不須規(guī)定保存期”，這也是不正確的。備份信息通常也是管理體系運行記錄的一部分，因此應該規(guī)定適當的保存期，以確保在需要時能夠恢復數據。因此，正確答案是A選項：“備份介質應定期進行恢復測試”。21.以下哪一方面不屬于在編制信息安全方針時宜考慮的要求（）。A.業(yè)務戰(zhàn)略B.法律、法規(guī)和合同C.當前和預期的信息安全威脅環(huán)境D.年度財務預算要求答案：D解析：在編制信息安全方針時，需要考慮與信息安全相關的各種要求。選項A“業(yè)務戰(zhàn)略”涉及到企業(yè)的整體戰(zhàn)略方向，信息安全方針需要與業(yè)務戰(zhàn)略保持一致；選項B“法律、法規(guī)和合同”涉及到企業(yè)需要遵守的法律法規(guī)和合同要求，信息安全方針需要符合這些要求；選項C“當前和預期的信息安全威脅環(huán)境”涉及到企業(yè)面臨的安全威脅，信息安全方針需要針對這些威脅制定相應的措施。而選項D“年度財務預算要求”與信息安全方針沒有直接關系，信息安全方針的制定不需要考慮年度財務預算的要求。因此，正確答案是D。22.下列哪項不屬于技術符合性的評審（）。A.滲透測試B.脆弱性評估C.運行系統(tǒng)的檢查D.日常設備巡檢答案：D解析：在技術符合性的評審中，我們需要考慮的是與特定標準或規(guī)定相符的技術層面。從給出的選項中，滲透測試、脆弱性評估和運行系統(tǒng)的檢查都是與確保系統(tǒng)或網絡的安全性、穩(wěn)定性、合規(guī)性等方面相關的評審。然而，日常設備巡檢主要是關于設備正常運行和維護的常規(guī)檢查，并不直接與技術符合性相關。因此，不屬于技術符合性評審的是日常設備巡檢，即選項D。23.ISMS文件評審需考慮（）。A.請受審核方確認ISMS文件審核報告，并簽字B.收集信息，以準備審核活動和適當的工作文件C.雙方就ISMS文件框架交換不同意見D.以上全部答案：B解析：在題目中，要求從給出的選項中選擇ISMS文件評審需考慮的內容。從給出的選項來看，A項是請受審核方確認報告并簽字，B項是收集信息以準備審核活動和適當的工作文件，C項是雙方就ISMS文件框架交換不同意見。D項包含了A、B、C三項，所以不是最佳答案。根據題目，ISMS文件評審的主要目的是確保文件的準確性和完整性，以便進行后續(xù)的審核活動。因此，收集信息以準備審核活動和適當的工作文件是評審過程中需要考慮的重要步驟。而請受審核方確認報告并簽字，以及雙方就ISMS文件框架交換不同意見，雖然也是審核過程中的一部分，但并不是評審階段的主要考慮內容。因此，正確答案是B，即“請受審核方確認ISMS文件審核報告，并簽字”不是ISMS文件評審需考慮的內容。實際上，這一步驟應該在審核活動完成后進行，而不是在評審階段。評審階段的主要任務是確保文件的準確性和完整性，為審核活動做好準備。24.下列哪項不屬于最高管理層用來證實對信息安全管理體系的領導和承諾活動？（）A.確保建立了信息安全策略和信息安全目標，并與組織戰(zhàn)略方針一致B.確保將信息安全管理體系要求整合到組織過程中C.促進持續(xù)改進D.確保信息安全職責分離答案：D解析：在信息安全管理體系中，最高管理層對體系的領導和承諾是非常重要的。為了確保信息安全管理體系的有效運行，最高管理層需要參與一系列活動來體現其領導和承諾。A選項提到“確保建立了信息安全策略和信息安全目標，并與組織戰(zhàn)略方針一致”，這是最高管理層在信息安全管理體系中的核心職責之一，確保信息安全策略和目標與組織戰(zhàn)略相一致，以確保信息安全與組織目標一致。B選項“確保將信息安全管理體系要求整合到組織過程中”也是最高管理層需要參與的活動，這涉及到將信息安全管理體系的要求融入組織的日常運營中，確保信息安全管理體系的有效實施。C選項“促進持續(xù)改進”也是最高管理層在信息安全管理體系中需要參與的活動，通過促進持續(xù)改進，最高管理層可以推動組織在信息安全方面不斷提升，以適應不斷變化的信息安全威脅和挑戰(zhàn)。而D選項“確保信息安全職責分離”雖然是信息安全管理體系中的重要要求，但它更多地是信息安全管理體系的具體實施層面，而不是最高管理層用來證實對信息安全管理體系的領導和承諾的活動。職責分離是為了確保信息安全管理體系的有效性和完整性，但它不是最高管理層直接領導和承諾的活動。因此，D選項“確保信息安全職責分離”不屬于最高管理層用來證實對信息安全管理體系的領導和承諾的活動。25.依據GB/Z20986，信息安全事件的分級為（）。A.特別嚴重事件、嚴事件、一般事件B.特別重大事件、重大事件、較大事件、一般事件C.I級、II級級、IV級、V級D.嚴重事件、嚴重事件、一般事件答案：B解析：根據GB/Z20986標準，信息安全事件的分級通常分為四個等級，分別是特別重大事件、重大事件、較大事件和一般事件。因此，選項B“特別重大事件、重大事件、較大事件、一般事件”是正確的。其他選項A、C、D中的分級方式與該標準不符。26.信息安全災備管理中，“恢復點目標”指（）。A.災雅發(fā)生后，信息系統(tǒng)或業(yè)務功能從停頓到必須恢復的時間B.災難發(fā)生后，信息系統(tǒng)或業(yè)務功能項恢復的范圍C.災難發(fā)生后，系統(tǒng)和數據必須恢復到的時間點要求D.災難發(fā)生后，關鍵數據能被復原的范圍答案：C解析：“恢復點目標”是指災難發(fā)生后，系統(tǒng)和數據必須恢復到的時間點要求。在信息安全災備管理中，恢復點目標是一個重要的指標，它定義了系統(tǒng)和數據在災難發(fā)生后必須恢復到的時間點，以確保業(yè)務功能的連續(xù)性和數據的完整性。因此，選項C是正確的。選項A描述的是恢復時間目標，選項B描述的是恢復范圍，選項D描述的是數據恢復范圍，都與恢復點目標的概念不符。27.《中華人民共和國網絡安全法》中要求：網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，釆取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于（）。A.1個月B.3個月C.6個月D.12個月答案：C解析：《中華人民共和國網絡安全法》要求網絡運營者應當按照網絡安全等級保護制度的要求，采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于6個月。因此，正確答案為C。28.以下可認定為審核范圍變更的事項是（）。A.受審核組織增加一個制造場所B.受審核組織職能單元和人員規(guī)模增加C.受審核組織業(yè)務過程增加D.以上全部答案：D解析：審核范圍變更通常涉及受審核組織的結構、職能、過程等方面的變化。對于給出的選項，A表示受審核組織增加一個制造場所，這直接涉及了組織的物理結構變化；B表示受審核組織職能單元和人員規(guī)模增加，這涉及了組織的人員和職能方面的變化；C表示受審核組織業(yè)務過程增加，這涉及了組織業(yè)務過程的擴展。因此，所有這些變化都可以被認定為審核范圍變更的事項。所以，答案為D，即以上全部。29.在信息安全管理中進行（）。A.內容監(jiān)控B.安全教育和培訓C.責任追查和懲處D.訪問控制答案：B解析：信息安全管理的核心在于確保信息資產的安全性和完整性，而安全教育和培訓是實現這一目標的重要手段。通過安全教育和培訓，可以提高員工的安全意識，使其了解并遵守安全政策和程序，從而有效預防和減少安全事件的發(fā)生。因此，選項B“安全教育和培訓”是正確答案。其他選項如內容監(jiān)控、責任追查和懲處、訪問控制雖然也是信息安全管理中需要考慮的因素，但不是核心和首要任務。30.《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在（）向當地縣級以上人民政府公安機關報告。A.8小時內B.24小時內C.12小時內D.48小時內答案：B解析：《計算機信息系統(tǒng)安全保護條例》規(guī)定，對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在24小時內向當地縣級以上人民政府公安機關報告。因此，正確選項是“24小時內”，即選項B。多選題（共10題，共10分）31.ISMS審核報告的編制應包括（）。A.所引用的適用性聲明的版本B.對受審核方信息安全風險分析進行的認證審核的說明C.適用性聲明中控制措施的合理性和有效性D.法律法規(guī)答案：ABC解析：ISMS審核報告是信息安全管理體系（ISMS）審核的重要輸出，用于記錄審核的過程、發(fā)現、結論和建議。在編制ISMS審核報告時，需要包含以下幾個關鍵信息：A.所引用的適用性聲明的版本：審核報告中應明確說明所依據的適用性聲明的版本，這是確保審核過程與標準或規(guī)范保持一致的基礎。B.對受審核方信息安全風險分析進行的認證審核的說明：審核報告應包含對受審核方信息安全風險分析過程的審核說明，包括審核的范圍、方法、結果等。C.適用性聲明中控制措施的合理性和有效性：審核報告應對適用性聲明中控制措施的合理性和有效性進行評估，這是確保ISMS能夠有效實施的關鍵。D.法律法規(guī)：雖然法律法規(guī)是信息安全管理體系建設的重要參考，但在審核報告的編制中，通常不直接包含法律法規(guī)的具體內容。審核報告更多的是關注受審核方對法律法規(guī)的遵守情況，以及ISMS與法律法規(guī)的符合性。因此，根據題目要求，正確的選項是A、B、C。32.關于個人信息安全的基本原則，以下正確的是（）。A.目的明確原則B.最少夠用原則C.同意和選擇原則D.公開透明原則答案：ABCD解析：個人信息安全的基本原則包括目的明確原則、最少夠用原則、同意和選擇原則以及公開透明原則。這些原則共同構成了保護個人信息安全的基礎，確保個人信息的合法、正當、必要使用，并保障個人的知情權和選擇權。因此，選項A、B、C和D都是正確的。33.信息安全管理體系審核的范圍即（）。A.組織的全部經尊管理B.組織的都信息安全管理范圍C.組織根據其業(yè)務、組織、位置、資產和技術等方面的特性確定的信息安全管理體系范圍D.組織承諾按照GB/T20880標準要求建立、實施和保持信息安全管理體系的范圍答案：CD解析：根據題目中的描述，信息安全管理體系審核的范圍需要依據組織的實際情況來確定。這包括組織的業(yè)務、組織、位置、資產和技術等方面的特性。同時，組織還需要承諾按照GB/T20880標準要求建立、實施和保持信息安全管理體系。因此，選項C和D都是正確的答案。選項A“組織的全部經尊管理”與題目無關，選項B“組織的都信息安全管理范圍”表述不明確，均不符合題意。34.關于多現場抽樣審核，以下說法正確的是（）。A.認證機構的審核方案要在三年內覆蓋ISMS認證范圍內的代表性樣本B.認證機構的審核方案要在三年內覆蓋ISMS認證范圍內的所有場所C.總部或單個場所發(fā)現不符合其糾正措施的實施適用于總部和所有場所D.單個場所發(fā)現不符合其糾正措施的實施適用于總部和該單個場所答案：AC解析：多現場抽樣審核的相關內容，我們可以根據給出的選項進行逐一分析：A選項提到“認證機構的審核方案要在三年內覆蓋ISMS認證范圍內的代表性樣本”。這一說法是合理的，因為抽樣審核的目的就是為了在有限的審核資源和時間內，對體系覆蓋的關鍵或代表性的樣本進行審核，確保體系的符合性和有效性。B選項表示“認證機構的審核方案要在三年內覆蓋ISMS認證范圍內的所有場所”。這與抽樣審核的原則相悖，因為抽樣審核并不是要審核所有的場所，而是選取代表性的樣本進行審核。C選項提到“總部或單個場所發(fā)現不符合其糾正措施的實施適用于總部和所有場所”。這是正確的，因為無論問題出現在總部還是單個場所，其糾正措施的實施都應該適用于整個體系，包括總部和所有場所。D選項表示“單個場所發(fā)現不符合其糾正措施的實施適用于總部和該單個場所”。這一說法并不準確，因為當問題出現在單個場所時，其糾正措施的實施應該適用于該場所本身，而不是總部。綜上所述，正確的選項是A和C。35.組織在進行布纜安全時，宜保證傳輸數據或支持信息服務的電源布纜免受竊聽、干擾或損壞，宜考慮（）。A.進入信息處理設施的電源和通信線路宜在地下，若可能，或提供足夠的可替換的保護B.為了防止干擾，電源電纜宜與通信電纜分開C.對于敏感的或關鍵的系統(tǒng)，宜考慮更進一步的控制D.所有電纜線進行用途標識答案：ABC解析：對于組織在進行布纜安全時，需要保證傳輸數據或支持信息服務的電源布纜免受竊聽、干擾或損壞。選項A提到進入信息處理設施的電源和通信線路宜在地下，若可能，或提供足夠的可替換的保護。這是為了確保電源和通信線路的安全，避免被非法訪問或破壞。選項B為了防止干擾，電源電纜宜與通信電纜分開。這是為了避免電磁干擾，保證電源和通信信號的穩(wěn)定性。選項C對于敏感的或關鍵的系統(tǒng)，宜考慮更進一步的控制。這是對于特別重要的系統(tǒng)，需要采取更嚴格的保護措施，確保系統(tǒng)的安全穩(wěn)定運行。選項D所有電纜線進行用途標識雖然是一個好的做法，但與題目中提到的確保電源布纜免受竊聽、干擾或損壞的要求不直接相關，因此不是最佳答案。36.以下對網絡安全管理的描述中，正確的是（）。A.安全管理需要對重要網絡資源的訪問進行監(jiān)視B.安全管理需要驗證用戶的訪問權限和優(yōu)先級C.安全管理的操作依賴于設備的類型D.安全管理的目標是保證重要的信息不被未授權的用戶訪問答案：ABD解析：A選項提到“安全管理需要對重要網絡資源的訪問進行監(jiān)視”，這是網絡安全管理的一個重要方面。通過監(jiān)視訪問，可以及時發(fā)現并應對潛在的安全威脅。B選項說“安全管理需要驗證用戶的訪問權限和優(yōu)先級”，這也是網絡安全管理的基本任務之一。確保只有經過授權的用戶才能訪問特定的網絡資源，同時根據用戶的角色和權限進行訪問控制。C選項提到“安全管理的操作依賴于設備的類型”，這個描述過于寬泛且不準確。網絡安全管理的操作通常不直接依賴于設備的類型，而是依賴于網絡的安全策略、配置和部署。D選項表示“安全管理的目標是保證重要的信息不被未授權的用戶訪問”，這是網絡安全管理的核心目標之一。確保敏感信息的安全性和保密性，防止未經授權的用戶訪問或泄露信息。綜上所述，A、B和D選項都是對網絡安全管理正確的描述。37.為了實現在網絡上自動標識設備，以下做法正確的是（）。A.啟用DHCP動態(tài)分配IP地址功能B.為網絡設備分配固定IP地址C.將每一臺計算機MAC與一個IP地址綁定D.釆取有效措施禁止修改MAC答案：BCD解析：為了實現在網絡上自動標識設備，我們需要確保每臺設備都有一個唯一的標識，并且這個標識不容易被篡改。A選項“啟用DHCP動態(tài)分配IP地址功能”雖然可以自動為設備分配IP地址，但這種方式分配的IP地址不是固定的，每次設備重啟或重新連接網絡時，都可能會獲得一個新的IP地址，這不利于設備的長期標識。B選項“為網絡設備分配固定IP地址”是確保設備具有唯一標識的一種有效方式，因為固定IP地址一旦分配，除非人為干預，否則不會改變。C選項“將每一臺計算機MAC與一個IP地址綁定”也是一種有效方式，MAC地址是每臺網絡設備的唯一物理地址，將其與IP地址綁定可以確保即使IP地址發(fā)生變動，也能通過MAC地址找到對應的設備。D選項“釆取有效措施禁止修改MAC”是為了防止設備被篡改標識，因為一旦MAC地址被修改，設備在網絡上的標識就會發(fā)生變化，可能導致網絡混亂或安全問題。因此，正確的做法包括為網絡設備分配固定IP地址、將每一臺計算機MAC與一個IP地址綁定以及釆取有效措施禁止修改MAC。38.以下屬于信息安全事件的是（）。A.軟件自身故障B.硬件或外圍保障設施自身故障C.人為破壞設備設施事故D.計劃的系統(tǒng)維護期間的業(yè)務停止答案：ABC解析：信息安全事件是指由于自然或者人為以及軟硬件本身故障而導致的信息系統(tǒng)或者其服務功能異常，造成系統(tǒng)不可用，信息資產出現泄露、修改、破壞或業(yè)務連續(xù)性受到破壞，以及由于人為破壞導致針對國家、法人、其他組織或個人的信息資產或信息網絡進行的危害或潛在危害的活動。選項A軟件自身故障、選項B硬件或外圍保障設施自身故障、選項C人為破壞設備設施事故，均可能導致信息安全問題，因此屬于信息安全事件。選項D計劃的系統(tǒng)維護期間的業(yè)務停止，通常是為了維護系統(tǒng)而進行的正常操作，不屬于信息安全事件。39.認證審核時，對于審核組提出的不符合審核準則的審核發(fā)現，以下說法不正確的是（）。A.受審核方負責采取糾正措施，糾正措施的實施是審核活動的一部分B.審核組須驗證糾正措施的有效性，糾正措施的實施不是審核活動的一部分C.審核組須就不符合項的原因分析提出建議，確定糾正措施是否正確D.采取糾正措施是受審核方的職責，審核組什么都不做答案：ACD解析：審核時，審核組發(fā)現不符合審核準則的審核發(fā)現，應告知受審核方。受審核方應分析不符合的原因，采取糾正措施。審核組有責任驗證糾正措施的有效性。因此，選項A“受審核方負責采取糾正措施，糾正措施的實施是審核活動的一部分”是正確的。選項C“審核組須就不符合項的原因分析提出建議，確定糾正措施是否正確”也是正確的，因為審核組有責任對不符合項的原因進行分析，并確定糾正措施是否正確。選項D“采取糾正措施是受審核方的職責，審核組什么都不做”是不正確的，因為審核組有責任驗證糾正措施的有效性。選項B“審核組須驗證糾正措施的有效性，糾正措施的實施不是審核活動的一部分”是正確的，因為審核組有責任驗證糾正措施的有效性，但這一驗證過程本身也是審核活動的一部分。因此，不正確的選項是ACD。40.A公司定期將新聘用員工的應聘資料郵寄總部，資料經密封處理后交予物流公司，并與物流公司簽定了保密協議，以下不涉及的條款包括（）。A.A8.2.1B.A8.2.2C.A8.3.3D.A15.1.2答案：AB解析：此題主要考察保密協議相關條款。由于公司與物流公司簽訂了保密協議，該協議應該包括一些必要的條款，以確保應聘資料不被泄露。A8.2.1可能是與物流公司如何處理和運送資料相關的條款，A8.2.2則可能涉及到物流公司的保密責任，確保資料在傳遞過程中不被泄露。A8.3.3也可能涉及物流公司的保密義務，但與資料的傳遞過程相比，A8.2.2可能更具體和明確。至于A15.1.2，由于題目沒有提供具體的內容，我們不能確定其是否與保密協議有關，但從題目給出的選項來看，它不太可能與保密協議直接相關，因此是一個不涉及的條款。因此，正確答案應是不包括A15.1.2，而涉及保密協議的是A8.2.1、A8.2.2和A8.3.3，但題目要求選出不包括的條款，所以答案是A8.2.2和A15.1.2。主觀題（共7題，共7分）41.一個組織的網絡管理人員，接到人事部門通知被解職，組織應按照一般的安全策略執(zhí)行哪些安全措施？參考答案應主要考慮以下幾方面的安全策略：1）按A7.3.1要求應確定任用或變更后仍有效的信息安全責任及其職責，傳達給所有員工或合同方并執(zhí)行。并且在員工、合同方雇傭結束后持續(xù)一段時間仍然有效的任用條款和條件2）按A8.1.4要求所有員工和外部用戶在任用、合同或協議終止時，應歸還其占用的所有組織資產。3）按A9.2.2要求應對所有系統(tǒng)和服務的所有類型用戶，實現一個正式的用戶訪問供給過程以分配或撤銷訪問權。4）按A9.2.6所有員工和外部用戶對信息和信息處理設施的訪問權在任用、合同或協議終止時，應予以移除，或在變更時予以調整。5）按A13.2.4要求應識別、定期評審和文件化反映組織信息保護需要的保密性或不泄露協議的要求。解析：本題主要考察組織在員工被解職后，應如何按照一般的安全策略執(zhí)行安全措施。根據題目要求，我們可以從以下幾個方面進行解析：1）確定任用或變更后仍有效的信息安全責任及其職責，并傳達給所有員工或合同方執(zhí)行。這是為了確保在員工解職后，信息安全責任能夠繼續(xù)得到保障，不會因為員工的離職而受到影響。2）所有員工和外部用戶在任用、合同或協議終止時，應歸還其占用的所有組織資產。這是為了防止員工在離職后，繼續(xù)占用組織的資產，造成資源的浪費和安全隱患。3）對所有系統(tǒng)和服務的所有類型用戶，實現一個正式的用戶訪問供給過程以分配或撤銷訪問權。這是為了確保在員工離職后，能夠及時撤銷其訪問權，防止未經授權的人員訪問系統(tǒng)和服務。4）所有員工和外部用戶對信息和信息處理設施的訪問權在任用、合同或協議終止時，應予以移除，或在變更時予以調整。這是為了確保在員工離職后，能夠及時更新其訪問權限，防止其繼續(xù)訪問敏感信息。5）識別、定期評審和文件化反映組織信息保護需要的保密性或不泄露協議的要求。這是為了確保組織的信息保護需求能夠得到有效的識別和滿足，防止信息泄露和濫用。綜上所述，組織在員工被解職后，應按照一般的安全策略執(zhí)行以上安全措施，以確保信息安全和資產安全。42.審核員在現場審核時，發(fā)現公司存有一份軟件清單，當詢問清單上所列的軟件是否都是通過正規(guī)途徑用買的軟件，管理員回答有的是到正規(guī)商店，有的是通過網絡購買的。如果您是審核員，您會如何審核？參考答案1.查公司有沒有相關軟件購買的采購程序和軟件采購方案，要求是否滿足法律法規(guī)的規(guī)定。2.查是否對軟件供方進行過合格供方評價，評價供方是否滿足要求。3.查是否有清單上購買軟件的采購記錄、軟件服務合同（協議）等信息，收集購買授權數量、版本、安裝記錄、使用人員等信息，按安裝設備數量進行抽樣檢查。4.檢查是否有經過授權安裝軟件的情況，公司對安裝軟件是否有相關規(guī)定？如果有是否按規(guī)定執(zhí)行？是否有相關軟件批準安裝的文件信息？5.隨機間問軟件使用人員是否知道公司軟件安裝使用規(guī)定？是否有進行過軟件使用培訓？解析：本題要求審核員在發(fā)現公司存有一份軟件清單，并詢問清單上所列的軟件是否都是通過正規(guī)途徑購買的情況時，如何進行審核。審核員需要從多個方面進行審查，以確保公司購買的軟件符合法律法規(guī)的要求，并且公司對于軟件的安裝和使用有明確的規(guī)定和程序。首先，審核員需要檢查公司是否有關于軟件購買的采購程序和軟件采購方案，這些規(guī)定應該符合法律法規(guī)的要求。如果公司沒有這樣的規(guī)定或者規(guī)定不符合要求，那么公司可能存在違法購買軟件的風險。其次，審核員需要檢查公司是否對軟件供應商進行了合格供方評價，并確認供應商是否滿足公司的要求。這是為了確保公司購買的軟件來自可靠的供應商，并且軟件的質量和安全性得到保障。然后，審核員需要審查軟件采購記錄、軟件服務合同（協議）等信息，收集購買授權數量、版本、安裝記錄、使用人員等信息，并按照安裝設備數量進行抽樣檢查。這是為了確保公司購買的軟件數量、版本和安裝情況與采購記錄一致，并且軟件的使用符合公司的規(guī)定。接著，審核員需要檢查公司是否有經過授權安裝軟件的情況，并確認公司是否有相關規(guī)定，以及是否按照這些規(guī)定執(zhí)行。同時，審核員需要檢查是否有相關軟件批準安裝的文件信息。這是為了確保公司對于軟件的安裝和使用有明確的規(guī)定和程序，并且這些規(guī)定得到了執(zhí)行。最后，審核員可以隨機詢問軟件使用人員是否了解公司軟件安裝使用規(guī)定，并確認是否進行過軟件使用培訓。這是為了確保公司對于軟件的安裝和使用有明確的培訓和宣傳，并且員工能夠遵守這些規(guī)定。綜上所述，審核員需要從多個方面進行審查，以確保公司購買的軟件符合法律法規(guī)的要求，并且公司對于軟件的安裝和使用有明確的規(guī)定和程序。43.A公司其產品生產加工車間為無人車間，生產系統(tǒng)的運維由廠商MD公司工程師進行包括系統(tǒng)參數調整、軟件升級等。生產部按公司規(guī)定在MD公司工程師進行生產區(qū)域操作時執(zhí)行了“物理區(qū)域進入授權”、“操作期間全程陪同”等措施，審核員詢問MD公司工程師調整系統(tǒng)參數、軟件升級是秀需要公司授權？生產部經理回答：不需要，因為這套系統(tǒng)就是MD公司的產品，他們比我們更懂。參考答案不符合GB/T22080-2016中條款A15.2.2應管理供應商所提供服務的變更，包括維護和改進現有的信息安全策略、規(guī)程和控制，管理應考慮變更涉及到的業(yè)務信息、系統(tǒng)和過程聯鍵程度及風險的再評估。不符合事實：A公司生產系統(tǒng)的運維由廠商MD公司工程師進行，包括系統(tǒng)參數調整、軟件升級等。系統(tǒng)參數、軟件升級不需要公司授權，因為這套系統(tǒng)就是MD公司的產品，他們更懂。解析：在GB/T22080-2016信息安全管理體系中，條款A15.2.2明確指出應管理供應商所提供服務的變更，這包括維護和改進現有的信息安全策略、規(guī)程和控制。變更管理應該考慮到這些變更可能涉及到的業(yè)務信息、系統(tǒng)和過程的關聯程度以及可能的風險。在這個場景中，A公司生產系統(tǒng)的運維由廠商MD公司工程師進行，包括系統(tǒng)參數調整、軟件升級等。然而，MD公司工程師調整系統(tǒng)參數、軟件升級時，A公司并沒有進行公司授權，這違反了上述條款的要求。因為這套系統(tǒng)雖然是MD公司的產品，但A公司仍然需要對供應商提供的服務變更進行管理，確保信息安全策略、規(guī)程和控制的維護和改進，以及變更可能帶來的風險得到再評估。因此，A公司的做法不符合GB/T22080-2016信息安全管理體系的要求。44.A公司主營業(yè)務為工業(yè)設備代理銷售。審核員在審核銷售部時發(fā)現，公司的全部銷售業(yè)務以及與顧客的關系管理數據的維護均依賴網絡及信息系統(tǒng)完成，當問及這些系統(tǒng)的維護和管理時，公司管理者代表解釋說，公司維護IT系統(tǒng)的工作全由沈某一人擔任，稱沈某人非常正直可靠，所有的IT系統(tǒng)維護和監(jiān)控項目均由其1人完成，從未出過信息安全事故。審核員請來沈某詢問，沈某確認其工作職責包括對各業(yè)務線小組人員的權限設置、系統(tǒng)運行監(jiān)視、系統(tǒng)維護和升級、以及系統(tǒng)安全策略符合性審核等所有的內容。參考答案不符合條款：GB/T22080-2016中A6.1.2：應分離沖突的職責及其責任范圍，以減少未授權或無意的修改或者不當使用組織資產的機會。不符合事實：查銷售部銷售信急系統(tǒng)維護，全由沈某一人