2023年第二期CCAA國(guó)家信息安全管理體系質(zhì)量審核員復(fù)習(xí)題含解析

2023年第二期CCAA國(guó)家信息安全管理體系質(zhì)量審核員復(fù)習(xí)題一、單項(xiàng)選擇題1、末次會(huì)議包括（）A、請(qǐng)受審核方確認(rèn)不符合報(bào)告、并簽字B、向?qū)徍朔竭f交審核報(bào)告C、雙方就審核發(fā)現(xiàn)的不同意見(jiàn)進(jìn)行討論D、以上都不準(zhǔn)確2、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱(chēng)計(jì)算機(jī)信息系統(tǒng)，是指A、對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)B、計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C、計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D、一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)3、確定資產(chǎn)的可用性要求須依據(jù)（）。A、授權(quán)實(shí)體的需求B、信息系統(tǒng)的實(shí)際性能水平C、組織可支付的經(jīng)濟(jì)成本D、最高管理者的決定4、經(jīng)過(guò)風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)是（）A、重大風(fēng)險(xiǎn)B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)5、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)6、下列哪項(xiàng)不是監(jiān)督審核的目的？（）A、驗(yàn)證認(rèn)證通過(guò)的ISMS是否得以持續(xù)實(shí)現(xiàn)B、驗(yàn)證是否考慮了由于組織運(yùn)轉(zhuǎn)過(guò)程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、作出是否換發(fā)證書(shū)的決定7、關(guān)于信息系統(tǒng)登錄的管理，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全等級(jí)保護(hù)中，三級(jí)以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶(hù)使用優(yōu)質(zhì)口令8、當(dāng)操作系統(tǒng)發(fā)生變更時(shí),應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行()以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響A、隔離和遷移B、評(píng)審和測(cè)試C、評(píng)審和隔離D、驗(yàn)證和確認(rèn)9、可用性是指（）A、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性B、信息不能被未授權(quán)的個(gè)人，實(shí)體或者過(guò)程利用或知悉的特性C、保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性D、反映事物真實(shí)情況的程度10、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年11、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開(kāi)始，如何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開(kāi)始，如何評(píng)價(jià)結(jié)果12、以下關(guān)于認(rèn)證機(jī)構(gòu)的監(jiān)督要求表述錯(cuò)誤的是（）A、認(rèn)證機(jī)構(gòu)宜能夠針對(duì)客戶(hù)組織的與信息安全有關(guān)的資產(chǎn)威脅、脆弱性和影響制定監(jiān)督方案，并判斷方案的合理性B、認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)和客戶(hù)共同來(lái)制定C、監(jiān)督審核可以與其他管理體系的審核相結(jié)合D、認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的使用進(jìn)行監(jiān)督13、關(guān)于信息安全策略，下列說(shuō)法正確的是（）A、信息安全策略可以分為上層策略和下層策略B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審14、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說(shuō)法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時(shí)須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用15、依據(jù)GB/T22080-2016標(biāo)準(zhǔn)，符合性要求包括（）A、知識(shí)產(chǎn)權(quán)保護(hù)B、公司信息保護(hù)C、個(gè)人隱私的保護(hù)D、以上都對(duì)16、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》規(guī)定,認(rèn)證人員自被撤銷(xiāo)職業(yè)資格之日起（）內(nèi)，認(rèn)可機(jī)構(gòu)不再接受其注冊(cè)申請(qǐng)A、2年B、3年C、4年D、5年17、在現(xiàn)場(chǎng)審核結(jié)束之前，下列哪項(xiàng)活動(dòng)不是必須的？（）A、關(guān)于客戶(hù)組織ISMS與認(rèn)證要求之間的符合性說(shuō)明B、審核現(xiàn)場(chǎng)發(fā)現(xiàn)的不符合C、提供審核報(bào)告D、聽(tīng)取客戶(hù)對(duì)審核發(fā)現(xiàn)提出的問(wèn)題18、對(duì)于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更19、以下可表明知識(shí)產(chǎn)權(quán)方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安裝未列入白名單的軟件B、禁止使用通過(guò)互聯(lián)網(wǎng)下載的免費(fèi)軟件C、禁止安裝未經(jīng)驗(yàn)證的軟件包D、禁止軟件安裝超出許可權(quán)規(guī)定的最大用戶(hù)數(shù)20、組織應(yīng)（）。A、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)B、對(duì)信息按照制度要求、價(jià)值、有效性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)C、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)D、對(duì)信息按照制度要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)21、關(guān)于系統(tǒng)運(yùn)行日志，以下說(shuō)法正確的是：（)A、系統(tǒng)管理員負(fù)責(zé)對(duì)日志信息進(jìn)行編輯、保存B、日志信息文件的保存應(yīng)納入容量管理C、日志管理即系統(tǒng)審計(jì)日志管理D、組織的安全策略應(yīng)決定系統(tǒng)管理員的活動(dòng)是否有記入曰志22、組織應(yīng)（）A、定義和使用安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識(shí)別和使用安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識(shí)別和控制安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域23、ISMS不一定必須保留的文件化信息有()A、適用性聲明B、信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程記錄C、管理評(píng)審結(jié)果D、重要業(yè)務(wù)系統(tǒng)操作指南24、GB/T29246標(biāo)準(zhǔn)為組織和個(gè)人提供（）A、建立信息安全管理體系的基礎(chǔ)信息B、信息安全管理體系的介紹C、ISMS標(biāo)準(zhǔn)族已發(fā)布標(biāo)準(zhǔn)的介紹D、1SMS標(biāo)準(zhǔn)族中使用的所有術(shù)語(yǔ)和定義25、管理員通過(guò)桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶(hù)修改了IP地址，對(duì)其的處理方式不包括(）A、自動(dòng)恢復(fù)其IP至原綁定狀態(tài)B、斷開(kāi)網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對(duì)其發(fā)出警告D、鎖定鍵盤(pán)鼠標(biāo)26、信息安全管理中，關(guān)于脆弱性，以下說(shuō)法正確的是()。A、組織使用的開(kāi)源軟件不須考慮其技術(shù)脆弱性B、軟件開(kāi)發(fā)人員為方便維護(hù)留的后門(mén)是脆弱性的一種C、識(shí)別資產(chǎn)脆弱性時(shí)應(yīng)考慮資產(chǎn)的固有特性，不包括當(dāng)前安全控制措施D、使信息系統(tǒng)與網(wǎng)絡(luò)物理隔離可杜絕其脆弱性被威脅利用的機(jī)會(huì)27、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫(kù)系統(tǒng)、用戶(hù)設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)28、關(guān)于顧客滿意，以下說(shuō)法正確的是：()A、顧客沒(méi)有抱怨，表示顧客滿意B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意29、信息分級(jí)的目的是（）A、確保信息按照其對(duì)組織的重要程度受到適當(dāng)級(jí)別的保護(hù)B、確保信息按照其級(jí)別得到適當(dāng)?shù)谋Ｗo(hù)C、確保信息得到保護(hù)D、確保信息按照其級(jí)別得到處理30、—家投資顧問(wèn)商定期向客戶(hù)發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件，如何保證客戶(hù)收到資料沒(méi)有被修改（）A、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問(wèn)商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰加密郵件31、關(guān)于顧客滿意，以下說(shuō)法正確的是：（）A、顧客沒(méi)有抱怨，表示顧客滿意B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足,即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意32、對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)的機(jī)構(gòu)是(）A、中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)B、國(guó)家密碼管理部門(mén)C、中央國(guó)家機(jī)關(guān)D、全國(guó)人大委員會(huì)33、在認(rèn)證審核時(shí)，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過(guò)程B、是必須進(jìn)行的C、不是必須的過(guò)程D、以上都不準(zhǔn)確34、依據(jù)GB/T22080-2016/IS0/IEC27001:2013，以下關(guān)于資產(chǎn)清單正確的是（）。A、做好資產(chǎn)分類(lèi)是其基礎(chǔ)B、采用組織固定資產(chǎn)臺(tái)賬即可C、無(wú)需關(guān)注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B35、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以36、當(dāng)操作系統(tǒng)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行（）以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響A、隔離和迀移B、評(píng)審和測(cè)試C、評(píng)審和隔離D、驗(yàn)證和確認(rèn)37、TCP/IP協(xié)議層次結(jié)構(gòu)由（）A、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層組成B、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層組成C、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成D、其他選項(xiàng)均不正確38、認(rèn)證機(jī)構(gòu)應(yīng)確定，ITSMS是否能在缺少()的情況下得到充分審核并予以記錄,同時(shí)還應(yīng)詳細(xì)說(shuō)明理由。A、保密性信息B、遠(yuǎn)程支持C、方案策劃D、服務(wù)目錄39、關(guān)于信息安全策略，下列說(shuō)法正確的是（）A、信息安全策略可以分為上層策略和下層策B、信息安全方針是信息安全策略的上層部分C、信息安全策略必須在體系建設(shè)之初確定并發(fā)布D、信息安全策略需要定期或在重大變化時(shí)進(jìn)行評(píng)審40、加密技術(shù)可以保護(hù)信息的(）A、機(jī)密性B、完整性C、可用性D、A+B二、多項(xiàng)選擇題41、常規(guī)控制圖主要用于區(qū)分（）A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過(guò)程能力的大小C、過(guò)程加工的不合格品率D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)42、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問(wèn)，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理43、以下屬于信息安全事態(tài)或事件的是:（）A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時(shí)通知44、以下屬于訪問(wèn)控制的是（）。A、開(kāi)發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問(wèn)D、病毒產(chǎn)品查殺病毒45、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車(chē)監(jiān)控系統(tǒng)B、行車(chē)路線信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支46、風(fēng)險(xiǎn)處置的可選措施包括（）。A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)分析C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)減緩47、某金融服務(wù)公司為其個(gè)人注冊(cè)會(huì)員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請(qǐng)借貸的會(huì)員背景姿料、借貸額度等進(jìn)行討論評(píng)審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會(huì)員背景及具體借貸項(xiàng)目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會(huì)討論的信息48、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品C、銷(xiāo)售前D、投入運(yùn)行后49、審核計(jì)劃中應(yīng)包括（）A、本次及其后續(xù)審核的時(shí)間安排B、審核準(zhǔn)則C、審核組成員及分工D、審核的日程安排50、信息安全管理中，支持性基礎(chǔ)設(shè)施指：()A、供電、通信設(shè)施B、消防、防雷設(shè)施C、空調(diào)及新風(fēng)系統(tǒng)、水氣暖供應(yīng)系統(tǒng)D、網(wǎng)絡(luò)設(shè)備51、常規(guī)控制圖主要用于區(qū)分（）A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過(guò)程能力的大小C、過(guò)程加工的不合格品率D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)52、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問(wèn)，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理53、GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)可用于（）A、指導(dǎo)組織建立信息安全管理體系B、為組織建立信息安全管理體系提供控制措施的實(shí)施指南C、審核員實(shí)施審核的依據(jù)D、以上都不對(duì)54、下列屬于“開(kāi)發(fā)安全”活動(dòng)的是（）。A、應(yīng)規(guī)范用戶(hù)修改軟件包，必須的修改應(yīng)嚴(yán)格管制B、應(yīng)用系統(tǒng)若有變更，應(yīng)進(jìn)行適當(dāng)審核與測(cè)試C、軟件應(yīng)盡量采用自行開(kāi)發(fā)避免外包或采購(gòu)D、軟件的采購(gòu)應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序55、組織在風(fēng)險(xiǎn)處置過(guò)程中所選的控制措施需（）A、將所有風(fēng)險(xiǎn)都必須被降低到可接受的級(jí)別B、可以將風(fēng)險(xiǎn)轉(zhuǎn)移C、在滿足公司策略和方針條件下有意識(shí)、客觀地接受風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)三、判斷題56、最高管理層應(yīng)確保方針得到建立（）正確錯(cuò)誤57、訪問(wèn)控制列表指由主體以及主體對(duì)客體的訪問(wèn)權(quán)限所組成列表。正確錯(cuò)誤58、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每?jī)赡曛辽龠M(jìn)行一次檢測(cè)評(píng)估。（）正確錯(cuò)誤59、審核組長(zhǎng)在末次會(huì)議中應(yīng)該對(duì)受審核方是否通過(guò)認(rèn)證給出結(jié)論。（）正確錯(cuò)誤60、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）正確錯(cuò)誤61、信息系統(tǒng)中的“單點(diǎn)故障”指僅有一個(gè)故障點(diǎn)，因此屬于較低風(fēng)險(xiǎn)等級(jí)的事件。（）正確錯(cuò)誤62、考慮了組織所實(shí)施的活動(dòng),即可確定組織信息安全管理體系范圍。（）正確錯(cuò)誤63、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日起實(shí)施的。（）正確錯(cuò)誤64、組織使用云盤(pán)設(shè)施服務(wù)時(shí)，GB/T22080-2016/IS0/IEC27001:2013中A12,3,1條款可以刪減。（）正確錯(cuò)誤65、破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊行為之一。正確錯(cuò)誤

參考答案一、單項(xiàng)選擇題1、C2、A3、A解析:資產(chǎn)在可用性上的不同要求，依據(jù)授權(quán)實(shí)體的需求而定，故選A4、D5、C6、D解析:監(jiān)督審核是現(xiàn)場(chǎng)審核，但不一定是對(duì)整個(gè)體系的審核，并應(yīng)與其他監(jiān)督活動(dòng)一起策劃，以使認(rèn)證機(jī)構(gòu)能對(duì)獲證客戶(hù)管理體系在認(rèn)證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標(biāo)準(zhǔn)的每次監(jiān)督審核應(yīng)包括對(duì)以下方面的審查：（1）內(nèi)部審核和管理評(píng)審；(2)對(duì)上次審核中確定的不符合采取的措施；（3）投訴的處理；（4）管理體系在實(shí)現(xiàn)獲證客戶(hù)目標(biāo)和各管理體系的預(yù)期結(jié)果方面的有效性；（5）為持續(xù)改進(jìn)而策劃的活動(dòng)的進(jìn)展；（6）持續(xù)的運(yùn)作控制；（7）任何變更；（8）標(biāo)志的使用和（或）任何其他對(duì)認(rèn)證資格的引用。綜上A,B,C項(xiàng)均是監(jiān)督審核的目的，故選D。另外，再認(rèn)證的策劃和及時(shí)實(shí)施，才能確保認(rèn)證能在到期前及時(shí)更新，監(jiān)督審核不能決定是否換發(fā)證書(shū)7、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C8、B9、A10、D11、C12、B13、D14、A15、D16、D17、C18、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時(shí)，對(duì)相關(guān)方可用。故選A19、D20、C解析:參考ISO/IEC27001：2013附錄A8,2信息分級(jí)，信息應(yīng)按照法律要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)21、B22、A23、D24、D25、D26、B27、D28、C29、A30、C31、C32、A33、B34、A35、B36、B解析:2700214,2,3運(yùn)行平臺(tái)變更后對(duì)應(yīng)用的技術(shù)評(píng)審，當(dāng)運(yùn)行平臺(tái)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。故選B37、C38、A39、D40、D二、多項(xiàng)選擇題41、A,B,C,D42、A,B,C,D解析:270017,5,3文件化信息的控制，信息安全管理體系及本標(biāo)準(zhǔn)要求的文件化信息應(yīng)得到控制，以確保：在需要的時(shí)間和地點(diǎn)，是可用的和適宜使用的；得到充分的保護(hù)（如避免保密性損失，不恰當(dāng)使用，完整性受損失等）。為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)下列活動(dòng)：1,分發(fā)、訪問(wèn)、檢索和使用；2,存儲(chǔ)和保護(hù)，包括保持可讀性；3,控制變更（如版本控制）；4,保留和處置。綜上，本題選ABCD43、A,B,C44、A,C解析:對(duì)于網(wǎng)絡(luò)技術(shù)防火墻，一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來(lái)做出通過(guò)與否的判斷，另外應(yīng)用級(jí)防火墻則能夠檢查進(jìn)出的數(shù)據(jù)包，通過(guò)防火墻復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶(hù)機(jī)與不受信任的主機(jī)間直接建立聯(lián)系，B選項(xiàng)錯(cuò)誤。D選項(xiàng)不屬于訪問(wèn)控制。因此本題選擇AC45、A,B,C,D46、C,D47、A,B48、A,B,C49、B,C,D解析:參考gb/t19011-2013,6,3,2,2審核計(jì)劃包括：a