2014 年 CCAA 信息安全风险管理考题和答案

管理体系认证基础题库1、（）提出了“理想的行政组织体系”理论，被后人称为”组织理论之父”A泰勒B甘特C法约尔D韦伯2、麦格雷戈认为：（））的前景非常美好，有助于人类实现“美好社会”。

A需要层次理论B成就需要理论C x理论D Y理论3、由于他的杰出贡献，（）被后人尊为“科学管理之父”。

A泰勒B甘特C法约尔D韦伯4、（）是管理的根本目的？A特定的时空B实现目标C协调资源D控制活动5、（）的中心思想是核心技术或能力是决定企业经营成败的根本，企业应该围绕核心技术或能力的获得应用和发展去设计发展战略，而不是只等着短期目标A核心竞争力理论B战略管理理论C学习型组织理论D企文化理论6、（多选题）管理的基本原则是一定的工作完全负责。

要做到完全负责取决于下列因素：（）。

A权限B利益C意识D能力解析：—定的人对所管的—定的工作能否做到完全负责，基本上取决于三个因素：权限——明确了职责，就要授予相应的权力；利益——完全负责就意昧着责任者要承担全部风险而任何管理者在承担风险时都必然地要对风险和收益进行权衡，然后才决定是否值得去承担这种风险；能力——管理者既要有生产、技术、经济、社会、管理、心理等各方面的科学知识，又需要具备处理人际关系的组织才能，还要有—定的实践经验。

7、（多选题）人本原理的主要观点（）A尊重人B依靠人C发展人D为了人8、（多选题）管理信息系统的主要特点是：（）A系统的观点B数学的方法C计算机的应用D信息的处理9、（多选题）管理信息具有三个基本特征：（）A价值的不确定性B信息的可预测性C内容的可干扰性形式和内容的更替性10、（多选题）管理的四项基本职能是（）A策划B组织C领导D控制管理职能是管理系统中所涉及的管理功能。

不同的管理学家对管理职能有不同的划分，但基本上都包括策划、组织、领导、控制四项基本职能。

11、（多选题）系统的特征包括：（）A集合性B符合性C相关性D层次性12、（判断题）管理科学学派认为，管理的本质是一种实践不在于知而在于行，唯一权威的就是成果。

第1章_风险管理概述1: 下列标准中不属于风险管理标准的是（）：AS/NZS 4260ISO 31000:2009ISO 31010:2009ISO Guide 73:20092: 我国的GB/T24353-2009与ISO的哪一个标准相接近（）？ISO 31000:2009ISO DIS 31000ISO 31010:2009ISO FDIS 310003: 我国的GB/T23694-2009与ISO的哪一个标准相接近（）？ISO Guide 73:2009ISO 31000:2009ISO Guide 73:2004ISO 31010:20094: 组织实施风险管理可以有很多益处，但下列提法中不妥的是（）提高组织实现目标的可能性达成组织设定的经营目标提高利益相关者的信心和信任为决策和规划提供依据5: 下列描述不正确的是（）作为管理方法论，ISO31000:2009的原则和指南可以应用到认证的各个领域。

OHSAS18000:2008标准包含了风险管理在职业健康安全领域的应用。

ISO22000:2008标准包含了风险管理在食品安全领域的应用。

ISO31010:2009标准特别强调了风险管理的原则，并将其列为标准的正式内容。

6: 下列描述不正确的是（）ISO31010:2009是风险评估技术标准GB/T24353-2009是中国的风险管理标准ISO31000:2009适用于人类社会的各种风险的管理ISO31000不可用于第三方认证7: 风险管理形成独立的理论体系起源于（）20世纪30年代20世纪50年代20世纪70年代20世纪90年代8: 下列（）的成果对ISO31000:2009的形成有重大帮助COSO委员会美国国会巴塞尔委员会欧洲风险管理委员会9: ISO Guide 73:2009一共列示了（）个术语2945505510: ISO 31000:2009在引言中说：实施并保持与本国际标准相一致的风险管理可以使组织能够获得（）项帮助。

2014年CCAA信息安全风险管理考题和答案（继续教育考试试题）1、下列关于“风险管理过程”描述最准确的是（C ）。

A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成；B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成；C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成；D.风险管理过程是一个完整的过程，独立与组织的其他过程。

2以下关于信息安全目的描述错误的是（D ）。

A.保护信息B.以争取不出事C.让信息拥有者没有出事的感觉D.消除导致出事的所不确定性3、对风险术语的理解不准确的是（ C ）。

A.风险是遭受损害或损失的可能性B.风险是对目标产生影响的某种事件发生的机会C.风险可以用后果和可能性来衡量D.风险是由偏离期望的结果或事件的可能性引起的4、以下关于风险管理说法错误的是（ A ）。

A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程B.风险管理包括了风险的量度、评估和应变策略C.理想的风险管理，正是希望能够花最少的资源去尽可能化解最大的危机D.理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。

5、下列哪项不在风险评估之列（ D ）A.风险识别B.风险分析C.风险评价D.风险处置6、对风险管理与组织其它活动的关系，以下陈述正确的是（B ）。

A.风险管理与组织的其它活动可以分离B.风险管理构成组织所有过程整体所必需的一部分D.相对于组织的其它活动，风险管理是附加的一项活动7、对于“利益相关方”的概念，以下陈述错误的是（D ）。

A.对于一项决策活动，可以影响它的个人或组织B. 对于一项决策活动，可以被它影响的个人或组织C. 对于一项决策活动，可以感知被它影响的个人或组织D.决策者自己不属于利益相关方8、一个风险的大小，可以由（ A ）的结合来表示。

2024年第一期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系知识一、单项选择题1、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意2、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。

A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力3、信息安全基本属性是（）。

A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性4、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力5、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定6、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。

A、认证B、认可C、审核D、评审7、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏8、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性9、在现场审核结束之前，下列哪项活动不是必须的？（）A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题10、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对11、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述，正确的是（）A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时，必须满足该标准的所有要求12、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。

2014年度CCAA国家注册质量体系审核员试卷及答案[审核知识]第一篇：2014年度 CCAA国家注册质量体系审核员试卷及答案[审核知识]2014年度 CCAA国家注册质量体系审核员试卷及答案[审核知识]一、单项选择题（从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位臵。

每题1 分，共40 分，不在指定位臵答题不得分）1、请受审核方确认不符合项是为了（）。

（A）找出不符合的原因（B）确认审核证据的准确性（C）对审核发现的正确性达成共识（D）以上全部都对2、当获得的审核证据表明不能达到审核目的时，审核组长可以（）。

（A）向审核委托方和受审核方报告理由以确定适当的措施（B）宣布增加审核人日数（C）宣布取消末次会议（D）宣布停止受审核方的生产/服务活动3、审核供应部门和检测部门之间接口活动的主要内容是（）。

（A）原料检验方法是否符合规定要求（B）对供方评价是否满足评价准则要求（C）检测部门对原料的检测结果的反馈（D）供应部门对原料库存结果的反馈4、一次审核开始的标志是：（）。

（A）指定审核组长（B）召开首次会议（C）文件评审（D）发出审核计划5、以下明显属于第二方审核的是（）。

（A）某集团公司内其中一个分公司对另一个分公司的审核（B）认证机构代表某集团公司对其供方的审核（C）某集团公司组成审核组对下属的一个分公司的审核（D）认证机构代表政府主管部门对其行业内组织的评优审查6、认证机构是指（）。

（A）对产品进行强制认证的机构（B）对产品、服务、管理体系按照技术法规和标准进行合格评定活动的经营机构（C）对产品、服务、管理体系进行认证的政府机构（D）对管理体系按照技术法规和标准进行合格评定活动的认可机构7、现场审核时，审核员发现陶瓷卫生洁具的包装工序没有作业指导书，针对这种情况，可以认为）。

（A）出具不符合报告（B）不存在不符合（C）出具观察项报告（D）不能确定，继续跟踪审核★8、下列说法不正确的是（）（A）审核组可以由一名或多名审核员组成（B）审核组应至少配备一名具有专业能力的审核员（C）实习审核员不能在技术专家指导下独立承担审核任务（D）审核组长并非必须由高级审核员担任9、某企业在部门设臵中有企管办，其职责一般包括了（）。

2024年3月CCAA国家注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响A、隔离和迁移B、评审和测试C、评审和隔离D、验证和确认2、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对3、在现场审核时，审核组有权自行决定变更的事项是（）。

A、市核人日B、审核的业务范围C、审核日期D、审核组任务调整4、下列说法不正确的是（）A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次5、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对6、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程7、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认8、《信息技术安全技术信息安全治理》对应的国际标准号为（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270149、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型11、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A、三级B、二级C、四级D、五级12、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审13、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务14、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统A、报告B、传递C、评价D、测量15、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、616、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改17、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度18、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部19、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制20、ISMS文件的多少和详细程度取于A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C21、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是（）。

2024年3月CCAA国家注册审核员模拟试题—ISMS信息安全管理体系知识一、单项选择题1、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改2、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划3、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次4、信息安全残余风险是（）。

A、没有处置完成的风险B、没有评估的风险C、处置之后仍存在的风险D、处置之后没有报告的风险5、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。

A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密6、按照PDCA思路进行审核，是指（）A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对7、以下哪些可由操作人员执行？（)A、审批变更B、更改配置文件C、安装系统软件D、添加/删除用户8、某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登录系统，访问关键数据实施时需要（）A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）C、在指纹识别的基础上增加口令保护D、保护非授权用户不可能访问到关键数据9、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露、出售或非法向他人提供。

2024年第二期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系一、单项选择题1、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年2、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复3、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程4、GB/T22080-2016中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部5、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞6、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以7、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密8、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏9、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录10、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行11、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度12、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对13、以下描述不正确的是（）A、防范恶意和移动代码的目标是保护软件和信息的完整性B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C、风险分析、风险评价、风险处理的整个过程称为风险管理D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响14、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型15、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性16、（）属于管理脆弱性的识别对象。

CCAA信息安全管理体系审核员考试（审核知识与技能）姓名：身份证号：单位名称：考试日期：年月日一、单项选择题(从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题1分，共40分。

)难度按5级划分，1级很容易，答题对的率90%以上，2级较容易，答题对的率80-90%之间，3级中档，答题对的率70-80% ，4级较难，答题对的率50-70%，5级很难，答题对的率50%以下。

答题对的率在30%以下的题不要出。

1．对于目的不拟定性的影响是（）。

A．风险评估B．风险C．不符合D．风险处置2．管理体系是（）。

A．应用知识和技能获得预期结果的本领的系统B．可引导辨认改善的机会或记录良好实践的系统C．对实际位置、组织单元、活动和过程描述的系统D．建立方针和目的并实现这些目的的体系3．审核的特性在于其遵循（）。

A．充足性、有效性和适宜性B．非营利性C．若干原则D．客观性4. 审核员在（）应保持客观性。

A．整个审核过程B．所有审核过程C．完整审核过程D．现场审核过程5. 假如审核目的、范围或准则发生变化，应根据（）修改审核方案。

A．顾客建议B．需要C．认可规范D．认证程序6. 在审核过程中，出现了利益冲突和能力方面的问题，审核组的（）也许有必要加以调整。

A．审核员和技术专家B．审核组长和审核员C．规模和组成D．实习审核员7. 从审核开始直到审核完毕，（）都应对审核的实行负责。

A．管理者代表B．审核方案人员C．认证机构D．审核组长8. 当审核不可行时，应向审核委托方提出（）并与受审核方协商一致。

A．合理化建议B．替代建议C．终止建议D．调整建议9. 文献评审应考虑受审核方管理体系和组织的规模、性质和复杂限度以及审核的（）A．目的和范围B．方针和目的C．方案和计划D．标准和法规10. 在编制审核计划时，审核组长不应考虑以下方面（）A．适当的抽样技术B．审核组的组成及其整体能力C．审核对组织形成的风险D．公司文化11. 对于初次审核和（），审核计划的内容和详略限度可以有所不同。

2024年第一期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系一、单项选择题1、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对2、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定3、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是4、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通5、对于所有拟定的纠正和预防措施，在实施前应通过（）过程进行评审。

A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B6、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略7、下列措施中，（）是风险管理的内容。

A、识别风险B、风险优先级评价C、风险处置D、以上都是8、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次9、以下哪个选项不是ISMS第一阶段审核的目的（）A、获取对组织信息安全管理体系的了解和认识B、了解客户组织的审核准备状态C、为计划2阶段审核提供重点D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求10、下列管理评审的方式，哪个不满足标准的要求?(）A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审11、在形成信息安全管理体系审核发现时，应（）。

2024年第一期CCAA国家注册审核员复习题—ISMS信息安全管理体系一、单项选择题1、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复2、在考虑网络安全策略时，应该在网络安全分析的基础上从以下哪两个方面提出相应的对策？A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷3、在运行阶段，组织应（）A、策划信息安全风险处置计划，保留文件化信息B、实现信息安全风险处置计划，保留文件化信息C、测量信息安全风险处置计划，保留文件化信息D、改进信息安全风险处置计划，保留文件化信息4、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏5、()是风险管理的重要一环。

A、管理手册B、适用性声明C、风险处置计划D、风险管理程序6、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改7、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应8、关于适用性声明下面描述错误的是(）A、包含附录A中控制删减的合理性说明B、不包含未实现的控制C、包含所有计划的控制D、包含附录A的控制及其选择的合理性说明9、安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略?（）A、基本角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略10、下列中哪个活动是组织发生重大变更后一定要开展的活动？（）A、对组织的信息安全管理体系进行变更B、执行信息安全风险评估C、开展内部审核D、开展管理评审11、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A、警告B、罚款C、没收违法所得D、吊销许可证12、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新13、关于互联网信息服务，以下说法正确的是A、互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务，是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动14、信息安全管理中，关于脆弱性，以下说法正确的是()。

信息安全管理体系审核员真题HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】ISMS 201409/11一、简答1、内审不符合项完成了30/35，审核员给开了不符合，是否正确？你怎么审核？[参考]不正确。

应作如下审核：（1）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解内审不符合项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效；（2）所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。

（3）评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的控制措施即可。

综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜。

2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的，成绩从那里要，要来后一看都合格，就结束了审核，对吗？[参考]不对。

应按照标准GB/T 22080-2008条款培训、意识和能力的要求进行如下审核：（1）询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件？（2）查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基于教育、培训、经验、技术和应用能力方面的评价要求，以及相关的培训规程及评价方法；（3）查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要求？（4）了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价，是否保持记录？（5）如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适当的措施，以保证岗位人员的能力要求。

二、案例分析1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。

A 组织场所外的设备安全应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因为买的都是正版。

2024年第二期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意2、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部3、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证4、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A、三级B、二级C、四级D、五级5、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20216、（）是建立有效的计算机病毒防御体系所需要的技术措施。

A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙7、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通8、ISMS文件的多少和详细程度取于A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C9、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志10、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用11、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件12、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更13、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯14、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低15、应定期评审信息系统与组织的（）的符合性。

2024年3月CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。

A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障2、（）属于管理脆弱性的识别对象。

A、物理环境B、网络结构C、应用系统D、技术管理3、根据ISO/IEC27001中规定，在决定讲行第二阶段审核之间，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）A、所需审核组能力的要求B、客户组织的准备程度C、所需能力的审核组成员D、客户组织的场所分布4、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性5、ISMS文件评审需考虑（）A、收集信息，以准备审核活动和适当的工作文件B、请受审核方确认ISMS文件审核报告，并签字C、确认受审核方文件与标准的符合性,并提出改进意见D、双方就ISMS文件框架交换不同意见6、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部7、下列措施中，（）是风险管理的内容。

A、识别风险B、风险优先级评价C、风险处置D、以上都是8、漏洞检测的方法分为（）A、静态检测B、动态测试C、混合检测D、以上都是9、信息安全目标应()A、可测量B、与信息安全方针一致C、适当时，对相关方可用D、定期更新10、下列那些事情是审核员不必要做的？（）A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式11、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次12、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为（）A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求13、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责？（）A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对14、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性15、下面哪一种属于网络上的被动攻击（）A、消息篡改B、伪装C、拒绝服务D、流量分析16、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性17、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。

2024年第一期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、Saas是指(）A、软件即服务B、服务平台即月勝C、服务应用即服务D、服务瞇即服务2、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录3、制定信息安全管理体系方针，应予以考虑的输入是（）A、业务战略B、法律法规要求C、合同要求D、以上全部4、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏5、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保6、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果8、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月9、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划10、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度11、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程12、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B13、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏14、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定15、关于信息安全管理体系认证，以下说法正确的是（）A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期16、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼17、信息分级的目的是（）A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理18、当发现不符合项时，组织应对不符合做出反应，适用时（）。

2024年第二期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系知识一、单项选择题1、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对2、不属于公司信息资产的是（）A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对3、ISMS不一定必须保留的文件化信息有()A、适用性声明B、信息安全风险评估过程记录C、管理评审结果D、重要业务系统操作指南4、关于信息安全连续性，以下说法正确的是（）A、信息安全连续性即IT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定5、计算机病毒系指_____。

A、生物病毒感染B、细菌感染C、被损坏的程序D、特制的具有损坏性的小程序6、下列不一定要进行风险评估的是（）A、发布新的法律法规B、ISMS最高管理者人员变更C、ISMS范围内的网络采用新的网络架构D、计划的时间间隔7、下面哪一种环境控制措施可以保护计算机不受短期停电影响?（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应8、在运行阶段，组织应（）A、策划信息安全风险处置计划，保留文件化信息B、实现信息安全风险处置计划，保留文件化信息C、测量信息安全风险处置计划，保留文件化信息D、改进信息安全风险处置计划，保留文件化信息9、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B10、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性11、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用12、在以下认为的恶意攻击行为中，属于主动攻击的是()A、数据窃听B、误操作C、数据流分析D、数据篡改13、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析14、依据GB/T22080，关于职责分离，以下说法正确的是(）A、信息安全政策的培训者与审计之间的职责分离B、职责分离的是不同管理层级之间的职责分离C、信息安全策略的制定者与受益者之间的职责分离D、职责分离的是不同用户组之间的职责分离15、《信息技术安全技术信息安全治理》对应的国际标准号为（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701416、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标17、关于《中华人民共和国保密法》，以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护18、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审19、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。

2024年8月CCAA注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、组织应（）A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质2、最高管理者应（）。

A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审3、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年4、对于可能超越系统和应用控制的实用程序,以下做法正确的是（）A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单5、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270056、相关方的要求可以包括（）A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务7、()是风险管理的重要一环。

A、管理手册B、适用性声明C、风险处置计划D、风险管理程序8、《信息安全管理体系认证机构要求》中規定，第二阶段审核（）进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対9、（）是建立有效的计算机病毒防御体系所需要的技术措施。

A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙10、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审11、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。

2023年第一期CCAA国家注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、信息安全管理中，关于脆弱性，以下说法正确的是()。

A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会2、组织应（），以确信相关过程按计划得到执行。

A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度3、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年4、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性B、完整性C、机密性D、可用性5、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对6、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度7、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部8、根据GB/T22080-2016标准的要求，组织（）实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔9、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行10、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵11、安全区域通常的防护措施有（）A、公司前台的电脑显示器背对来访者B、进出公司的访客须在门卫处进行登记C、重点机房安装有门禁系统D、以上全部12、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯13、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用14、下列不属于取得认证机构资质应满足条件的是（）。

2024年3月CCAA注册审核员复习题—ISMS信息安全管理体系一、单项选择题1、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗2、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请。

A、2年B、3年C、4年D、5年3、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志4、依据GB/T22080/IS0/IEC27001，关于网络服务的访问控制策略，以下正确的是（）A、没有陈述为禁止访问的网络服务，视为允许访问的网络服务B、对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务，按照规定的授权机制进行授权D、以上都对5、不属于WEB服务器的安全措施的是（）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码6、下列哪一种情况下，网络数据管理协议(NDM.P)可用于备份?（）A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时7、风险处置计划，应（）A、获得风险责任人的批准，同时获得对残余风险的批准B、获得最高管理者的批准，同时获得对残余风险的批准C、获得风险部门负责人的批准，同时获得对残余风险的批准D、获得管理者代表的批准，同时获得对残余风险的批准8、在现场审核结束之前，下列哪项活动不是必须的？（）A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题9、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。