2021年9月CCAA注冊(cè)審核員復(fù)習(xí)題-ISMS信息安全管理體系含解析

2021年9月CCAA注冊(cè)審核員復(fù)習(xí)題—ISMS信息安全管理體系一、單項(xiàng)選擇題1、防火墻提供的接入模式不包括(）A、透明模式B、混合模式C、網(wǎng)關(guān)模式D、旁路接入模式2、不屬于常見(jiàn)的危險(xiǎn)密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼3、下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議(NDM.P)可用于備份?（）A、需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備(NAS)時(shí)B、不能使用TCP/IP的環(huán)境時(shí)C、需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)中先創(chuàng)學(xué)D、要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)4、()是風(fēng)險(xiǎn)管理的重要一環(huán)。A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)管理程序5、關(guān)于文件管理下列說(shuō)法錯(cuò)誤的是（）A、文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的B、必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)C、應(yīng)確保文件保持清晰，易于識(shí)別D、作廢文件應(yīng)及時(shí)銷(xiāo)毀，防止錯(cuò)誤使用6、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過(guò)程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過(guò)程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更7、依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以下說(shuō)法不正確的是（）A、以電子或其它方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人的各種信息屬于個(gè)人信息B、自然人的身份證號(hào)碼、電話號(hào)碼屬于個(gè)人信息C、自然人的姓名、住址不屬于個(gè)人信息D、自然人的出生日期屬于個(gè)人信息8、對(duì)于獲準(zhǔn)認(rèn)可的認(rèn)證機(jī)構(gòu)，認(rèn)可機(jī)構(gòu)證明（）A、認(rèn)證機(jī)構(gòu)能夠開(kāi)展認(rèn)證活動(dòng)B、其在特定范圍內(nèi)按照標(biāo)準(zhǔn)具有從事認(rèn)證活動(dòng)的能力C、認(rèn)證機(jī)構(gòu)的每張認(rèn)證證書(shū)都符合要求D、認(rèn)證機(jī)構(gòu)具有從事相應(yīng)認(rèn)證活動(dòng)的能力9、依據(jù)GB/T22080/ISO/IEC27001,關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略，以下正確的是（）A、網(wǎng)絡(luò)管理員可以通過(guò)telnet在家里遠(yuǎn)程登錄、維護(hù)核心交換機(jī)B、應(yīng)關(guān)閉服務(wù)器上不需要的網(wǎng)絡(luò)服務(wù)C、可以通過(guò)防病毒產(chǎn)品實(shí)現(xiàn)對(duì)內(nèi)部用戶的網(wǎng)絡(luò)訪問(wèn)控制D、可以通過(guò)常規(guī)防火墻實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)的訪問(wèn)控制10、虛擬專(zhuān)用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過(guò)什么實(shí)現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險(xiǎn)隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險(xiǎn)釣魚(yú)11、組織應(yīng)（）A、定義和使用安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域B、識(shí)別和使用安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域C、識(shí)別和控制安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域D、定義和控控安全來(lái)保護(hù)敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域12、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標(biāo)準(zhǔn)，以下說(shuō)法正確的是（）A、對(duì)于進(jìn)入組織的設(shè)備和資產(chǎn)須驗(yàn)證其是否符合安全策略，對(duì)于離開(kāi)組織的設(shè)備設(shè)施則不須驗(yàn)證B、對(duì)于離開(kāi)組織的設(shè)備和資產(chǎn)須驗(yàn)證其合格證，對(duì)于進(jìn)入組織的設(shè)備設(shè)施則不必驗(yàn)證C、對(duì)于離開(kāi)組織的設(shè)備和資產(chǎn)須驗(yàn)證相關(guān)授權(quán)信息D、對(duì)于進(jìn)入和離開(kāi)組織的設(shè)備和資產(chǎn)，驗(yàn)證攜帶者身份信息，可替代對(duì)設(shè)備設(shè)施的驗(yàn)證13、審核證據(jù)是指（）A、與審核準(zhǔn)則有關(guān)的，能夠證實(shí)的記錄、事實(shí)陳述或其他信息B、在審核過(guò)程中收集到的所有記錄、事實(shí)陳述或其他信息C、一組方針、程序或要求D、以上都不對(duì)14、組織應(yīng)（）A、采取過(guò)程的規(guī)程安全處置不需要的介質(zhì)B、采取文件的規(guī)程安全處置不需要的介質(zhì)C、采取正式的規(guī)程安全處置不需要的介質(zhì)D、采取制度的規(guī)程安全處置不需要的介質(zhì)15、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部16、()屬于管理脆弱性的識(shí)別對(duì)象A、物理環(huán)境B、網(wǎng)絡(luò)結(jié)構(gòu)C、應(yīng)用系統(tǒng)D、技術(shù)管理17、最高管理層應(yīng)通過(guò)（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、組織建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致C、領(lǐng)導(dǎo)建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致18、在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候開(kāi)始，如何測(cè)量結(jié)果B、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何測(cè)量結(jié)果C、要做什么，需要什么資源，由誰(shuí)負(fù)責(zé)，什么時(shí)候完成，如何評(píng)價(jià)結(jié)果D、要做什么，有什么可用資源，由誰(shuí)執(zhí)行，什么時(shí)候開(kāi)始，如何評(píng)價(jià)結(jié)果19、組織確定的信息安全管理體系范圍應(yīng)（）A、形成文件化信息并可用B、形成記錄并可用C、形成文件和記錄并可用D、形成程字化信息并可用20、從計(jì)算機(jī)安全的角度看，下面哪一種情況是社交工程的一個(gè)直接例子？（）A、計(jì)算機(jī)舞弊B、欺騙或脅迫C、計(jì)算機(jī)偷竊D、計(jì)算機(jī)破壞21、信息安全的機(jī)密性是指（）A、保證信息不被其他人使用B、信息不被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性C、根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)的特性D、保護(hù)信息準(zhǔn)確和完整的特性?22、關(guān)于訪問(wèn)控制，以下說(shuō)法正確的是（）A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制B、三層交換機(jī)基于MAC實(shí)施訪問(wèn)控制C、路由器根據(jù)路由表確定最短路徑D、強(qiáng)制訪問(wèn)控制中，用戶標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別，即可讀該文件23、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性24、信息分類(lèi)方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤(pán)、磁盤(pán)B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類(lèi)，按此分類(lèi)確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類(lèi)型，如供銷(xiāo)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析25、關(guān)于信息系統(tǒng)登錄口令的管理，以下做法不正確的是：()A、必要時(shí)，使用密碼技術(shù)、生物識(shí)等替代口令B、用提示信息告知用戶輸入的口令是否正確C、明確告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D、使用互動(dòng)式管理確保用戶使用優(yōu)質(zhì)口令26、應(yīng)定期評(píng)審信息系統(tǒng)與組織的（）的符合性。A、信息安全目標(biāo)和標(biāo)準(zhǔn)B、信息安全方針和策C、信息安全策略和制度D、信息安全策略和標(biāo)準(zhǔn)27、ISO/IEC27001所采用的過(guò)程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法28、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員29、拒絕服務(wù)攻擊損害了信息系統(tǒng)哪一項(xiàng)性能（）A、完整性B、可用性C、保密性D、可靠性30、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標(biāo)準(zhǔn)，不屬于第三方服務(wù)監(jiān)視和評(píng)審范疇的是（）。A、監(jiān)視和評(píng)審服務(wù)級(jí)別協(xié)議的符合性B、監(jiān)視和評(píng)審服務(wù)方人員聘用和考核的流程C、監(jiān)視和評(píng)審服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評(píng)審服務(wù)方跟蹤處理信息安全事件的能力31、組織應(yīng)（）。A、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)B、對(duì)信息按照制度要求、價(jià)值、有效性及其對(duì)授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)C、對(duì)信息按照法律要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)D、對(duì)信息按照制度要求、價(jià)值、重要性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)32、下列不一定要進(jìn)行風(fēng)險(xiǎn)評(píng)估的是（）A、發(fā)布新的法律法規(guī)B、ISMS最高管理者人員變更C、ISMS范圍內(nèi)的網(wǎng)絡(luò)采用新的網(wǎng)絡(luò)架構(gòu)D、計(jì)劃的時(shí)間間隔33、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運(yùn)營(yíng)商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)34、關(guān)于顧客滿意，以下說(shuō)法正確的是：()A、顧客沒(méi)有抱怨，表示顧客滿意B、信息安全事件沒(méi)有給顧客造成實(shí)質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求已得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求已得到滿足，即意味著顧客滿意35、構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有（）A、人、財(cái)、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點(diǎn)D、資產(chǎn)、可能性和嚴(yán)重性36、對(duì)保密文件復(fù)印件張數(shù)核對(duì)是確保保密文件的（）A、保密性B、完整性C、可用性D、連續(xù)性37、設(shè)備維護(hù)維修時(shí)，應(yīng)考慮的安全措施包括：（）A、維護(hù)維修前，按規(guī)定程序處理或清除其中的信息B、維護(hù)維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進(jìn)行物理銷(xiāo)毀而不予送修D(zhuǎn)、以上全部38、《信息技術(shù)安全技術(shù)信息安全治理》對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)號(hào)為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701439、殘余風(fēng)險(xiǎn)是指:（）A、風(fēng)險(xiǎn)評(píng)估前，以往活動(dòng)遺留的風(fēng)險(xiǎn)B、風(fēng)險(xiǎn)評(píng)估后，對(duì)以往活動(dòng)遺留的風(fēng)險(xiǎn)的估值C、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，比可接受風(fēng)險(xiǎn)低D、風(fēng)險(xiǎn)處置后剩余的風(fēng)險(xiǎn)，不一定比可接受風(fēng)險(xiǎn)低40、若通過(guò)桌面系統(tǒng)對(duì)終端實(shí)行IP、MAC綁定，該網(wǎng)絡(luò)IP地址分配方式應(yīng)為（）A、靜態(tài)B、動(dòng)態(tài)C、均可D、靜態(tài)達(dá)到50%以上即可二、多項(xiàng)選擇題41、依據(jù)GB/Z20986，確定為重大社會(huì)影響的情況包括（）A、涉及到一個(gè)或多個(gè)城市的大部分地區(qū)B、威脅到國(guó)家安全C、擾亂社會(huì)秩序D、對(duì)經(jīng)濟(jì)建設(shè)設(shè)有重大負(fù)面影響42、A,B,C解析:gb/t20984-20077,2自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)和使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估，A正確。周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，重點(diǎn)針對(duì)自上次評(píng)估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整性識(shí)別，以便于兩次評(píng)估結(jié)果對(duì)比，B正確。自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，C正確。D錯(cuò)誤，主體錯(cuò)誤，檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門(mén)組織的或國(guó)家有關(guān)職能部門(mén)依法展開(kāi)的風(fēng)險(xiǎn)評(píng)估。本題選ABC43、IS0/IEC27000系列標(biāo)準(zhǔn)主要包括哪幾類(lèi)標(biāo)準(zhǔn)？()A、要求類(lèi)B、應(yīng)用類(lèi)C、指南類(lèi)D、術(shù)語(yǔ)類(lèi)44、以下屬于信息安全管理體系審核證據(jù)的是（）A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告45、管理評(píng)審的輸出包括（）A、管理評(píng)審報(bào)告B、持續(xù)改進(jìn)機(jī)會(huì)相關(guān)決定C、管理評(píng)審會(huì)議紀(jì)要D、變更信息的安全管理體系任何需求46、某組織在酒店組織召開(kāi)內(nèi)容敏感的會(huì)議，根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，以下說(shuō)法正確的是（）A、會(huì)議開(kāi)始前及持續(xù)期間開(kāi)啟干擾機(jī)，這符合A11,2的要求B、進(jìn)入會(huì)議室人員被要求手機(jī)不得帶入，這符合A11,1的要求C、對(duì)于可進(jìn)入會(huì)議室提供茶水服務(wù)的酒店服務(wù)生進(jìn)行篩選，這符合A11,1的要求D、要求參會(huì)人員在散會(huì)時(shí)將紙質(zhì)會(huì)議資料留下由服務(wù)生統(tǒng)一回收，這符合A8,3的要求47、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測(cè)試時(shí)，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致48、常規(guī)控制圖主要用于區(qū)分（）A、過(guò)程處于穩(wěn)態(tài)還是非穩(wěn)態(tài)B、過(guò)程能力的大小C、過(guò)程加工的不合格率D、過(guò)程中存在偶然波動(dòng)還是異常波動(dòng)49、以下屬于訪問(wèn)控制的是（）。A、開(kāi)發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問(wèn)D、病毒產(chǎn)品查殺病毒50、以下說(shuō)法正確的是（）A、顧客不投訴表示顧客滿意了B、監(jiān)視和測(cè)量顧客滿意的方法之一是發(fā)調(diào)查問(wèn)卷，并對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)C、顧客滿意測(cè)評(píng)只能通過(guò)第三方機(jī)構(gòu)來(lái)實(shí)施D、顧客不投訴并不意味著顧客滿意了51、為確保員工和合同方理解其職責(zé)、并適合其角色，在員工任用之前，必須（）A、對(duì)其進(jìn)行試用B、對(duì)員工的背景進(jìn)行適當(dāng)?shù)尿?yàn)證檢查C、在任用條款與合同中指導(dǎo)安全職責(zé)D、面試52、對(duì)于涉密信息系統(tǒng)，以下說(shuō)法正確的是（）A、使用的信息安全保密產(chǎn)品原則上應(yīng)選擇國(guó)產(chǎn)產(chǎn)品B、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)檢測(cè)C、使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過(guò)國(guó)家保密局審核發(fā)布的目錄中選取D、總體保密水平不低于國(guó)家信息安全等級(jí)保護(hù)第四級(jí)水平53、認(rèn)證機(jī)構(gòu)應(yīng)有驗(yàn)證審核組成員背景經(jīng)驗(yàn)，特定培訓(xùn)或情況的準(zhǔn)則，以確保審核組至少具備(）A、管理體系的知識(shí)B、ISMS監(jiān)視、測(cè)量、分析和評(píng)價(jià)的知識(shí)C、與受審核活動(dòng)相關(guān)的技術(shù)知識(shí)D、信息安全的知識(shí)54、某金融資產(chǎn)武裝押運(yùn)服務(wù)公司擬申請(qǐng)ISMS認(rèn)證，下列哪些應(yīng)列入資產(chǎn)清單中（）A、行車(chē)監(jiān)控系統(tǒng)B、行車(chē)路線信息C、押運(yùn)人員個(gè)人信息D、押運(yùn)人員用槍支55、在信息安全事件管理中，（）是員工應(yīng)該完成的活動(dòng)。A、報(bào)告安全方面的漏洞或弱點(diǎn)B、對(duì)漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報(bào)告安全事件D、發(fā)現(xiàn)立即處理安全事件三、判斷題56、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。57、通過(guò)修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，可以稱(chēng)這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)計(jì)算機(jī)病毒的變形。58、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息。（）59、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）60、容量管理策略可以考慮增加容量或降低容量要求（）61、IS0/IEC27006是ISO/IEC17021的相關(guān)要求的補(bǔ)充。（）62、敏感標(biāo)記表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，可信計(jì)算機(jī)中把敏感標(biāo)記作為強(qiáng)制訪問(wèn)控制決策的依據(jù)（）。63、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性（）64、組織應(yīng)適當(dāng)保留信息安全目標(biāo)文件化信息（）65、審核員由實(shí)習(xí)審核員轉(zhuǎn)審核員之前，至少必須通過(guò)4次完整體系20天的審核。（）

參考答案一、單項(xiàng)選擇題1、D2、D3、A4、C解析:參考iso/iec27005，風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)處置，風(fēng)險(xiǎn)接受，風(fēng)險(xiǎn)溝通，風(fēng)險(xiǎn)監(jiān)視和風(fēng)險(xiǎn)評(píng)審。因此風(fēng)險(xiǎn)處置計(jì)劃是風(fēng)險(xiǎn)管理的重要一環(huán)，故選C5、D6、B7、C8、B9、B解析:網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)，應(yīng)僅向用戶提供他們已獲專(zhuān)門(mén)授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)。cd選項(xiàng)錯(cuò)誤，必須是已授權(quán)用戶才可訪問(wèn)。A選項(xiàng)錯(cuò)誤，在家登錄，不符合安全訪問(wèn)控制策略。故選B10、B11、A12、C13、A14、