ccaa《信息化和工业化融合管理体系要求》试题与答案(第1-3部分)

本篇内容为信息化和工业化融合（两化融合）管理体系评定员的练习题库，旨在为计划申请两化融合AA级评定员的老师们提供考前知识点练习。

内容包含单选题和多选题，与考试题型一致。

附官方权威答案，供大家参考。

两化融合评定员考试考察范围为：数字化转型、两化融合管理体系升级版系列标准的应知应会内容，包括：GB/T 23000-2017、GB/T 23001-2017、GB/T 23002-2017、GB/T 23003-2018、GB/T23006-2022、GB/T23007-2022、GB/T 23011-2022、T/AIITRE 10001-2021、T/AIITRE 20001-2021等，以及《两化融合管理体系贯标咨询和评定行业自律公约（试行）》相关内容。

一、单选题1.结合GB/T 23000给出的战略循环和T/AIITRE 10001给出的发展战略过程联动方法，下列说法不正确的是:（）A.组织的战略应充分融入两化融合的发展理念B.应识别内外部环境的变化C.发展战略过程联动方法包含以数字化转型为核心内容的发展战略制定D.组织确定的可持续竞争合作优势需求是相对固定的，调整频率较低2.以下哪一选项不是两化融合管理体系的支持条件和资源？（）A.资金投入B.人才保障C.设备设施D.信息资源E.管理评审3.以下关于两化融合管理体系文件化信息的说法，不正确的是:（）A.不必要保留资金使用的文件化信息B.在创建和更新时应进行必要的评审和批准，以确保其适宜性和充分性C.在两化融合管理手册中应包括文件化信息的查询途径D.确保文件化信息由必要的标识和说明4.两化融合管理体系按照两化融合的发展理念，引导组织围绕其战略，以获取可持续竞争优势为关注焦点，坚持（）为驱动、（）为突破口、流程化为切入点、服务化为方向，以（）为主线，稳定获取预期成效，持续提升总体效能效益。

A.技术、数字化、打造新型能力B.数据、数字化、产品C.数据、综合集成、打造新型能力D.技术、综合集成、打造新型能力5.两化融合方针是组织推进两化融合以获取可持续竞争优势的宗旨，以下对两化融合方针描述不正确的是：（）A.两化融合方针应适应组织的战略B.包括对持续改进两化融合管理体系有效性的承诺C.在相关管理者内部得到全面沟通和理解，不需要获得员工的普遍认同D.在持续适应性方面得到评审6.组织应按照所形成的规定，对两化融合实施方案进行评审，并得到（）的批准。

两化融合管理体系模拟考试试卷及参考答案两化融合管理体系模拟考试试卷注：考试时间为90分钟姓名部门成绩一、单选题（15题，每题1分，共15分）1 、GB／T23020-2013中，企业两化融合发展水平可分为（）从低到高四个阶段。

A．基础建设、单项应用、综合集成、协同与创新B．起步建设、综合集成、单项应用、创新突破C．基础建设、单项应用、综合集成、全产业链集成D．起步建设、单项覆盖、集成提升、创新突破2、两化融合实施过程中的动态调整是一个（）的过程。

A．全局优化B．局部优化C．技术创新D．管理创新3、( )是评价两化融合管理体系持续适宜性、充分性和有效性，并识别改进机会和变更需求的活动。

A. 管理评审B．管理监督C．运行维护D．体系评价4、两化融合管理体系贯标流程包括：体系建立、体系实施、( )、体系保持和改进。

A. 认定B．准备C．策划D．总结5、（）是组织建立、实施、保持和改进两化融合管理体系的最终目标？A．企业的发展战略B．两化融合目标C．与企业战略匹配的可持续竞争优势对打造信息化环境下新型能力的要求D．获取差异化的可持续竞争优势6、在制定企业信息化管理制度的过程中，需要遵循的原则，不包括的是( )。

A．完整性原则B．可用性原则C．统一性原则D．效率性原则7、通过PDCA的循环作用和持续改进来提高所有过程有效性，D 代表( )。

A．策划B，评测C．改进D．支持、实施与运行8、九项管理原则是两化融合管理体系的( )。

A．附加条件B．核心思想C．核心内容D．中心要求9、关于两化融合管理体系的应用范围，下列说法是正确的是 ( )。

A. 两化融合管理体系适用各个领域、各个行业、各种规模、各种所有制的组织B. 两化融合管理体系只适用于制造业企业C．两化融合管理体系只适用有一定信息化基础的企业D. 两化融合管理体系的应用范围必须是企业整体，不能依据组织结构、业务板块等划分10、为确保信息安全事件得到有效处理，企业应识别可能存在的( )，进行持续管理。

信息化和工业化融合管理体系要求GBT 23001-2017 1范围本标准规定了信息化和工业化融合（以下简称两化融合）管理体系中可持续竞争优势、领导作用、策划、支持、实施与运行、评测、改进的通用要求。

本标准适用于有下列需求的（各类）组织：a)通过两化融合管理体系的有效应用和持续改进，打造信息化坏境下的新型能力;b)通过内部或外部（包括评定机构）评定其两化融合管理体系，以证实其在信息化环境下具有获取可持续竞争优势的能力。

2规范性引用文件下列文件对于文件的应用是必不可少的。

凡是注日期的版本使用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T23000-2017 信息化和工业化融合管理体系基础和术语GB/T23020-2013 工业企业信息化和工业化融合评估规范3术语和定义GB/T23000-2017 界定的术语和定义适用于本文件。

4可持续竞争优势4.1总则组织应深刻认识影响其可持续发展的内外部坏境变化，按照本标准的要求，建立、实施、保持和改进两化融合管理体系，以打造信息化坏境下的新型能力，获取与组织战略相匹配的可持续竞争优势。

4.2识别组织的内外部坏境组织应识别与其战略、可持续竞争优势有关的各种外部和内部因素。

组织应对这些外部和内部因素的相关信息进行分析和确定。

注1：这些因素可能包括优势、劣势、机遇和挑战，以及数字化、网路化、智能化所带来的影响。

注2：外部坏境相关的因素可能包括国内外文化、法律法规、政策、客户需求、合作伙伴、市场态势、竞争对手、行业标杆、技术发展趋势等。

注3：内部环境相关的因素可能包括组织的愿景、使命、价值观、现状等。

4.3以获取与组织战略相匹配的可持续竞争优势为关注焦点组织应将两化融合作为贯穿战略始终的重要内容。

组织应围绕其战略，考虑内外部环境的变化，按照所形成的规定对可持续竞争优势的需求进行识别、调整、评审和确定，并保留文件化信息。

组织确定的可持续竞争优势的需求，应与其战略相匹配。

两化融合管理体系贯标培训习题参考答案（200题）一、单选题(100题)1、GB/T23020-2022中，企业两化融合发展水平可分为（D）从低到高四个阶段。

A．基础建设、单项应用、综合集成、协同与创新B．起步建设、综合集成、单项应用、创新突破C．基础建设、单项应用、综合集成、全产业链集成D．起步建设、单项覆盖、集成提升、创新突破2、当前，我国大中型企业的两化融合发展水平处于（D）。

A.单项覆盖阶段B.集成提升阶段C.从集成提升向创新突破过渡的阶段D.从单项覆盖向集成提升过渡的阶段3、以下那像是两化融合管理体系的输入（C）。

A．企业发展战略B．企业对于战略匹配的可持续竞争优势的需求C．与企业战略匹配的可持续竞争优势对打造信息化环境下新型能力的要求D．两化融合目标4、（A）是两化融合的需求的提出者和工作贯彻落实者。

A．企业各个职能和层次的全员B．最高管理者C．管理者代表D．企业各个职能和层次的主管领导5、基础资源的（D）是技术获取的重要环节。

A．电子化B．规范化C．信息化D．数字化和标准化6、（D）正逐渐成为信息化和互联网时代支撑企业获取可持续竞争优势的战略性基础资源。

A.人力资源B．技术资源C．土地资源D．信息资源7、业务流程与组织结构优化方案的制定应以（A）为向导。

A．业务优化和管理变革B.技术先进性C.相关职能和层次的利益诉求D.企业决策层的管理思想8、企业两化融合涉及到的职能和层次为（C）。

A．管理部门、决策层B．业务部门、基层员工C．企业所有的职能和层次D．信息化部门、管理层9、企业制定两化融合目标的直接依据是（D）。

A．两化融合方针B．企业发展战略C．企业对可持续竞争优势的需求D．企业对于信息化环境下新型能力的需求10、（D）是确保两化融合管理体系符合性和有效性的一种直接且有效的手段。

A．评价B．诊断C．维护D．考核11、企业应确立涵盖企业、业务流程、部门、岗位的两化融合考核指标和考核制度。

两化融合管理体系模拟考试试卷及参考答案1、GB/T -2013标准中，企业两化融合发展水平可分为四个阶段，从基础建设、单项应用、综合集成到协同与创新。

2、动态调整是两化融合实施过程中的一个全局优化的过程。

3、体系评价是评价两化融合管理体系持续适宜性、充分性和有效性，并识别改进机会和变更需求的活动。

4、两化融合管理体系贯标流程包括：体系建立、体系实施、策划、体系保持和改进。

5、组织建立、实施、保持和改进两化融合管理体系的最终目标是与企业战略匹配的可持续竞争优势对打造信息化环境下新型能力的要求。

6、在制定企业信息化管理制度的过程中，需要遵循的原则不包括效率性原则。

7、通过PDCA的循环作用和持续改进来提高所有过程有效性，D代表支持、实施与运行。

8、九项管理原则是两化融合管理体系的核心思想。

9、两化融合管理体系适用各个领域、各个行业、各种规模、各种所有制的组织。

10、为确保信息安全事件得到有效处理，企业应识别可能存在的技术风险和信息安全风险，进行持续管理。

11、第二阶段评估审核计划的内容不包括评估审核报告的分发范围和预期的发布时间。

6、SWOT分析方法是一种对企业内部的优势、劣势和外部的机会、威胁进行分析的方法。

该方法可以为处于竞争环境中的企业提供与其他企业在资源和资本方面优、劣势的有用信息。

在分析过程中，首先要根据企业的目标来分析对企业的发展有重大影响的内、外部环境因素。

7、两化融合管理体系中的技术所指的范畴主要包括工业技术和信息技术。

沟通技术和管理技术也可以作为辅助技术来支持两化融合的实施。

8、两化融合管理体系的管理评审应该由管理者代表主持，并按规定的周期进行。

评审的内容主要包括对两化融合管理体系的持续适宜性、充分性和有效性进行评价。

同时，也可以进行各部门的绩效考核。

9、按照《工业企业信息化和工业化融合评估规范》，单项应用、综合集成、协同创新的主要评估内容分别从产品、企业管理和价值链三个维度展开。

信息化和工业化融合管理体系要求GBT 23001-2017 1范围本标准规定了信息化和工业化融合（以下简称两化融合）管理体系中可持续竞争优势、领导作用、策划、支持、实施与运行、评测、改进的通用要求。

本标准适用于有下列需求的（各类）组织：a)通过两化融合管理体系的有效应用和持续改进，打造信息化坏境下的新型能力;b)通过内部或外部（包括评定机构）评定其两化融合管理体系，以证实其在信息化环境下具有获取可持续竞争优势的能力。

2规范性引用文件下列文件对于文件的应用是必不可少的。

凡是注日期的版本使用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T23000-2017 信息化和工业化融合管理体系基础和术语GB/T23020-2013 工业企业信息化和工业化融合评估规范3术语和定义GB/T23000-2017 界定的术语和定义适用于本文件。

4可持续竞争优势4.1总则组织应深刻认识影响其可持续发展的内外部坏境变化，按照本标准的要求，建立、实施、保持和改进两化融合管理体系，以打造信息化坏境下的新型能力，获取与组织战略相匹配的可持续竞争优势。

4.2识别组织的内外部坏境组织应识别与其战略、可持续竞争优势有关的各种外部和内部因素。

组织应对这些外部和内部因素的相关信息进行分析和确定。

注1：这些因素可能包括优势、劣势、机遇和挑战，以及数字化、网路化、智能化所带来的影响。

注2：外部坏境相关的因素可能包括国内外文化、法律法规、政策、客户需求、合作伙伴、市场态势、竞争对手、行业标杆、技术发展趋势等。

注3：内部环境相关的因素可能包括组织的愿景、使命、价值观、现状等。

4.3以获取与组织战略相匹配的可持续竞争优势为关注焦点组织应将两化融合作为贯穿战略始终的重要内容。

组织应围绕其战略，考虑内外部环境的变化，按照所形成的规定对可持续竞争优势的需求进行识别、调整、评审和确定，并保留文件化信息。

组织确定的可持续竞争优势的需求，应与其战略相匹配。

信息化和工业化融合管理体系要求GBT 23001-20171范围本标准规定了信息化和工业化融合（以下简称两化融合）管理体系中可持续竞争优势、领导作用、策划、支持、实施与运行、评测、改进的通用要求。

本标准适用于有下列需求的（各类）组织：a)通过两化融合管理体系的有效应用和持续改进，打造信息化坏境下的新型能力;b)通过内部或外部（包括评定机构）评定其两化融合管理体系，以证实其在信息化环境下具有获取可持续竞争优势的能力。

2规范性引用文件下列文件对于文件的应用是必不可少的。

凡是注日期的版本使用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T23000-2017 信息化和工业化融合管理体系基础和术语GB/T23020-2013 工业企业信息化和工业化融合评估规范3术语和定义GB/T23000-2017 界定的术语和定义适用于本文件。

4可持续竞争优势4.1总则组织应深刻认识影响其可持续发展的内外部坏境变化，按照本标准的要求，建立、实施、保持和改进两化融合管理体系，以打造信息化坏境下的新型能力，获取与组织战略相匹配的可持续竞争优势。

4.2识别组织的内外部坏境组织应识别与其战略、可持续竞争优势有关的各种外部和内部因素。

组织应对这些外部和内部因素的相关信息进行分析和确定。

注1：这些因素可能包括优势、劣势、机遇和挑战，以及数字化、网路化、智能化所带来的影响。

注2：外部坏境相关的因素可能包括国内外文化、法律法规、政策、客户需求、合作伙伴、市场态势、竞争对手、行业标杆、技术发展趋势等。

注3：内部环境相关的因素可能包括组织的愿景、使命、价值观、现状等。

4.3以获取与组织战略相匹配的可持续竞争优势为关注焦点4.3.1识别和确定可持续竞争优势的需要组织应将两化融合作为贯穿战略始终的重要内容。

组织应围绕其战略，考虑内外部环境的变化，按照所形成的规定对可持续竞争优势的需求进行识别、调整、评审和确定，并保留文件化信息。

2022年7月CCAA统一考试质量管理体系基础部分真题（含答案及解析）1.为使不合格产品或服务满足预期用途而对其采取的措施称为()。

A.返工B.纠正C.纠正措施D.返修答案：D解析：19000标准3.12.9返修：为使不合格产品或服务满足预期用途而对其采取的措施。

2.依据GB/T19001标准策划和实施质量管理体系评审时，输入内容可以不包括（）。

A.人身伤亡事故B.顾客满意C.改进的机会D.过程绩效答案：A解析：19001标准9.3.2，“人身伤亡事故”为职业健康安全管理体系内容。

3.纠正措施应（）相适应。

A.与产品的特点B.与人员的能力高低C.与过程的复杂性D.与不合格所产生的影响答案：D解析：19001标准10.2.1：纠正措施应与不合格所产生的影响相适应。

4.组织在实现其预期目标的能力方面，并非质量管理体系的全部过程表现出相同的风险等级，组织有责任应用基于风险的思维，并采取应对风险的措施，包括是否()，以作为其确定风险的证据。

A.符合通行做法B.保留成文信息C.应用正式风险管理方法D.应用其他标准或者指南答案：B解析：19001标准附录A.4：在组织实现其预期目标的能力方面，并非质量管理体系的全部过程表现出相同的风险等级，并且不确定性的影响对于各组织不尽相同。

根据6.1的要求，组织有责任应用基于风险的思维，并采取应对风险的措施，包括是否保留成文信息，以作为其确定风险的证据。

5.工序能力指数Cp广泛应用于计量数据的能力指数，即整个质量标准（公差范围）整除以()的比值。

A.5σB.6σC.3σD.4σ答案：B解析：《质量管理方法与工具》P296：Cp=T/6σ6.采取合同保全措施应在()。

A.合同生效后至合同履行完毕前进行B.合同被解除后进行C.合同被宣告无效后进行D.合同被撤销后进行答案：A解析：合同的保全措施主要发生在合同有效成立期间，合同没有成立生效，或已被解除或被宣告无效、被撤销，不能采取保全措施。

2024年第一期CCAA注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式2、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果3、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度4、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机5、关于信息安全管理体系认证，以下说法正确的是（）A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期6、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対7、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时8、信息安全目标应()A、可测量B、与信息安全方针一致C、适当时，对相关方可用D、定期更新9、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。

对秘密级、机密级信息系统每（）至少进行次保密检查或者系统测评。

《信息化和工业化融合管理体系一-要求》（GBT-23001-2022）-Word版信息化和工业化融合管理体系要求GBT23001-20221范围本标准规定了信息化和工业化融合（以下简称两化融合）管理体系中可持续竞争优势、领导作用、策划、支持、实施与运行、评测、改进的通用要求。

本标准适用于有下列需求的（各类）组织：a）型能力;b）通过内部或外部（包括评定机构）评定其两化融合管理体系，以证实其通过两化融合管理体系的有效应用和持续改进，打造信息化坏境下的新在信息化环境下具有获取可持续竞争优势的能力。

2规范性引用文件下列文件对于文件的应用是必不可少的。

凡是注日期的版本使用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T23000-2022信息化和工业化融合管理体系基础和术语GB/T23020-2022工业企业信息化和工业化融合评估规范3术语和定义GB/T23000-2022界定的术语和定义适用于本文件。

4可持续竞争优势4.1总则组织应深刻认识影响其可持续发展的内外部坏境变化，按照本标准的要求，建立、实施、保持和改进两化融合管理体系，以打造信息化坏境下的新型能力，获取与组织战略相匹配的可持续竞争优势。

4.2识别组织的内外部坏境组织应识别与其战略、可持续竞争优势有关的各种外部和内部因素。

组织应对这些外部和内部因素的相关信息进行分析和确定。

注1：这些因素可能包括优势、劣势、机遇和挑战，以及数字化、网路化、智能化所带来的影响。

注2：外部坏境相关的因素可能包括国内外文化、法律法规、政策、客户需求、合作伙伴、市场态势、竞争对手、行业标杆、技术发展趋势等注3：内部环境相关的因素可能包括组织的愿景、使命、价值观、现状等。

4.3以获取与组织战略相匹配的可持续竞争优势为关注焦点4.3.1识别和确定可持续竞争优势的需要组织应将两化融合作为贯穿战略始终的重要内容。

组织应围绕其战略，考虑内外部环境的变化，按照所形成的规定对可持续竞争优势的需求进行识别、调整、评审和确定，并保留文件化信息。

2024年3月CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。

A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障2、（）属于管理脆弱性的识别对象。

A、物理环境B、网络结构C、应用系统D、技术管理3、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）A、所需审核组能力的要求B、客户组织的准备程度C、所需能力的审核组成员D、客户组织的场所分布4、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性5、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见6、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部7、下列措施中，（）是风险管理的内容。

A、识别风险B、风险优先级评价C、风险处置D、以上都是8、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是9、信息安全目标应()A、可测量B、与信息安全方针一致C、适当时，对相关方可用D、定期更新10、下列那些事情是审核员不必要做的？（）A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式11、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次12、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求13、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对14、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性15、下面哪一种属于网络上的被动攻击（）A、消息篡改B、伪装C、拒绝服务D、流量分析16、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性17、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。

2024年第一期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、Saas是指(）A、软件即服务B、服务平台即月勝C、服务应用即服务D、服务瞇即服务2、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录3、制定信息安全管理体系方针，应予以考虑的输入是（）A、业务战略B、法律法规要求C、合同要求D、以上全部4、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏5、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保6、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果8、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月9、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划10、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度11、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程12、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B13、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏14、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定15、关于信息安全管理体系认证，以下说法正确的是（）A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期16、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼17、信息分级的目的是（）A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理18、当发现不符合项时，组织应对不符合做出反应，适用时（）。

信息化和工业化融合管理体系要求GBT23001-2017 1 范围本标准规定了信息化和工业化融合（以下简称两化融合）管理体系中可持续竞争优势、领导作用、策划、支持、实施与运行、评测、改进的通用要求。

本标准适用于有下列需求的（各类）组织：a）通过两化融合管理体系的有效应用和持续改进，打造信息化坏境下的新型能力;b）通过内部或外部（包括评定机构）评定其两化融合管理体系，以证实其在信息化环境下具有获取可持续竞争优势的能力。

2规范性引用文件下列文件对于文件的应用是必不可少的。

凡是注日期的版本使用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T23000-2017信息化和工业化融合管理体系基础和术语GB/T23020-2013工业企业信息化和工业化融合评估规范3术语和定义GB/T23000-2017界定的术语和定义适用于本文件。

4可持续竞争优势总则组织应深刻认识影响其可持续发展的内外部坏境变化，按照本标准的要求，建立、实施、保持和改进两化融合管理体系，以打造信息化坏境下的新型能力，获取与组织战略相匹配的可持续竞争优势。

识别组织的内外部坏境组织应识别与其战略、可持续竞争优势有关的各种外部和内部因素。

组织应对这些外部和内部因素的相关信息进行分析和确定。

注 1 ：这些因素可能包括优势、劣势、机遇和挑战，以及数字化、网路化、智能化所带来的影响。

注 2 ：外部坏境相关的因素可能包括国内外文化、法律法规、政策、客户需求、合作伙伴、市场态势、竞争对手、行业标杆、技术发展趋势等。

注 3 ：内部环境相关的因素可能包括组织的愿景、使命、价值观、现状等。

以获取与组织战略相匹配的可持续竞争优势为关注焦点组织应将两化融合作为贯穿战略始终的重要内容。

组织应围绕其战略，考虑内外部环境的变化，按照所形成的规定对可持续竞争优势的需求进行识别、调整、评审和确定，并保留文件化信息。

组织确定的可持续竞争优势的需求，应与其战略相匹配。

2023年10月CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认2、关于GB/T28450,以下说法正确的是(）。

A、增加了ISMS的审核指导B、与ISO19011一致C、与ISO/IEC27000一致D、等同采用了ISO190113、被黑客控制的计算机常被称为(）A、蠕虫B、肉鸡C、灰鸽子D、木马4、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对5、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时6、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确7、关于信息安全连续性，以下说法正确的是（）A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定8、最高管理层应（），以确保信息安全管理体系符合本标准要求。

A、分配职责与权限B、分配岗位与权限C、分配责任和权限D、分配角色和权限9、信息安全管理中，关于脆弱性，以下说法正确的是()。

A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会10、关于信息安全连续性，以下说法正确的是：A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定11、在现场审核结束之前，下列哪项活动不是必须的？（）A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题12、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程13、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。

2024年第二期CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年2、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C3、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B4、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低5、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知6、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确7、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审8、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC409、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审10、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。