件包,以下说法正确的是:( )
(A)组织应具有有能力的人员,以便随吋对软件包进行适出性修改。 (B)应尽量劝阻对软件包实施变更,以规避变更的风险。 (C)软件包不必作为配置项进行管理。 (D)软件包的安装必须由其开发商实施安装。 46、以下不属于信息安全事态或事件的是:(
)
(A)服务、设备或设施的丢失 (B)系统故障或超负载 (C)物理安全要求的违规 (D)安全策略变更的临时通知 47、以下可认定为审核范围变更的事项是:(
)
(A)受审核组织增加一个制造场所。 (B)受审核组织职能单元和人员规模增加。 (C)受审核组织业务过程增加。 (D) 以上全部。
48、在认证审核时,审核组在现场有权限自行决定变更的事项包括:()
(A)帘核准则 (B)审核人日数
(C)审核路线 (D)应受审核的业务过程 49、审核员的检查表应:(
)
(A)事先提交受审核方评审确认。 (B)基于审核准则事先编制。
(C)针对不同的受审核组织应统一格式和内容。 (D)由审核组长负责编制审核组使用的检查表。 50、以下属于信息安全管理体系审核发现的是(
(A)审核员看到的物理入口控制方式 (B)审核
9
)
员看到的信息
系统资源阈值
(C)审核员看到的移动介质的使用与安全策略的符合性 (D)审核员看到的项目质量保证活动与CMMI规程的符合性 51、审核组中的技术专家是:(
)
(A)为审核组提供文化、法律、技术等方面知识咨询的人员。 (B)特別负责对受审核方的专业技术过程进行审核的人员。 (C)审核期间为受审核方提供技术咨询的人员。
(D)从专业的角度对审核员的审核进行观察评价的人员。 52、审核人日数的计算方式是审核天数乘以:( )
(A)审核组中审核员+实习审核员+技术专家+观察员的总人数 (B)审核组中审核员+实习审核员的总人数 (C)审核组中审核员的总人数
(D)审核组屮审核员+实审核员+技术专家的总人数 53、信息安全管理体系初次认证审核时,第一阶段审核应:(
)
(A)对受审核方信息安企管理体系的策划进行审核和评价,对应GB/T22080-2008的 4.2.1条要求。
(B)对受审核方信息安全管理体系的内部审核及管理评审的有效性进行审核和评价。 (C)对受审核方信息安全管理体系文件的符合性、适宜性和有效性进行审核和评价。 (D)对受审核方信息安全管理体系文件进行审核和符合性评价。 54、按照“PDCA”思路进行审核,是指:( )
(A)按照受审核区域的信息安全管理活动的\过程进行审核。 (B)按照认
10
证机构的
“PDCA”流程进行审核。
(C)按照认可规范中规定的“PDCA”流程进行审核。 (D)以上都对。
55、关于审核结论,以下说法正确的是:( )
(A)审核组综合了所有审核证据进行合理推断的结果。 (B)审核组综合了所有审核证据与受审核方充分协商的结果。
(C)审核组权衡了不符合的审核发现的数量及严重程度后得出的结果。 (D)审核组考虑了审核目的和所有审核发现后得出的审核结果。 56、第三方认证审核时确定审核范围的程序是:( )
(A)组织提出、与审核组协商、认证机构确认、认证合同规定 (B)组织申请、认证机构评审、认证合同规定、审核组确认 (C)组织提出、与咨询机构协商、认证机构确认
(D)认证机构提出、与组织协商、审核组确认、认证合同规定 57、审核报告是:( )
(A)受审核方的资产。 (B)审核委托方和受审核方的共同资产。 (C)审核委托方的资产。 (D)审核组和审核委托方的资产。
58、认证审核前,审核组长须与受审核方确认审核的可行性,特别应考虑:(
(A)核实组织申请认证范围内需接受审核的组织结构、场所分布等基本信息。 (B)注总审核的程序性安排事先应对受审核组织保密。
(C)注意审核拟访问的文件、记录、场所等事先应对受审核组织保密。 (D)要求受审核组织做好准备向审核组开放所有信息的访问权。 59、信息安全
11
)
管理体系认证
审核时,为了获取审核证据,应考虑的信息源为:( )
(A)受审核方的办公自动化系统管理与维护相关的过程和活动。 (B)受审核方场所内已确定为涉及国家秘密的相关过程和活动。 (C)受审核方的核心财务系统的管理与维护相关的过程和活动。 (D)受审核方中请认证范_内的业务过程和活动。 60、认证审核时,审核组拟抽査的样本应:(
)
(A)山受审核方熟悉的人员事先选取,做好准备。 (B)由审核组明确总体并在受控状态下独立抽样。 (C)由审核组和受审核方人员协商抽样。 (D)由受审核方安排的向导实施抽样。
61、认证审核期间,当审核证据表明审核目的不能实现时,审核组应( )
(A)—起讨论,决定后续措施。 (B)审核组长权衡,决定后续措施。
(C)由受审核方决定后续措施。 (D)报告审核委托方并说明理由,确定后续措施。 62、认证审核时,对于审核组提出的不符合审核准则的审核发现,以下说法正确的是()
(A)受审核方负责采取纠正措施,纠正措施的实施是审核活动的一部分。 (B)审核组须验证纠正措施的有效性,纠正措施的实施不是审核活动的一部分。 (C)审核组须就不符合项的原因分析提出建议,确定纠正措施是否正确。 (D)采取纠正措施是受审核方的职责,审核组什么都不做。 63、信息安全管理体系认证过程包含了:( )
(A)现场审核首次会议开始到末次会议结束的所有活动。 (B)从审核准备到审核报告提交期间的所有活动。 (C)一次初
12
审以及至少2
次监督审核的所有活动。
(D)从受理认证到证书到期期间所有的审核以及认证服务和管理活动。 64、第三方认证时的监督审核不一定是对整个体系的审核,以下说法正确的是:(
(A)组织获得认证范围内的职能区域可以抽查,但标准条款不可以抽查。 (B)组织获得认证范围内的业务过程可以抽沓,但职能区域不可以抽杳。
(C)组织获得认证范围内的业务过程和职能区域都不可以抽查,仅标准条款可以抽杳。 (D)标准条款可以抽查,但针对内审和管理评审以及持续改进方面的审核不可缺少。 65、设立信息安全管理体系认证机构,须得到以下哪个机构的批准,方可在中国境内从事认证活动:( )
(A)中国合格评定国家认可委员会 (B)屮国国家认证认可监督管理委员会 (C)中国认证认可协会 (D)工商注册管理部门
66、国家信息安全等级保护采取( )
(A)自主定级、自主保护的原则。 (B)国家保密部门定级、自主保护的原则。 (C)公安部门定级、自主保护的原则。
(D)国家保密部门定级、公安部门监督保护的原则。 67、信息安全管埋体系是指:()
(A)信息系统设施 (B)防火墙
(C)组织建立信息安全方针和目标并实现这些目标的体系 (D)网络
13
)
维护人员的工