2014年CCAA信息安全风险管理考题和答案

管理体系认证基础题库1、（）提出了“理想的行政组织体系”理论，被后人称为”组织理论之父”A泰勒B甘特C法约尔D韦伯2、麦格雷戈认为：（））的前景非常美好，有助于人类实现“美好社会”。

A需要层次理论B成就需要理论C x理论D Y理论3、由于他的杰出贡献，（）被后人尊为“科学管理之父”。

A泰勒B甘特C法约尔D韦伯4、（）是管理的根本目的？A特定的时空B实现目标C协调资源D控制活动5、（）的中心思想是核心技术或能力是决定企业经营成败的根本，企业应该围绕核心技术或能力的获得应用和发展去设计发展战略，而不是只等着短期目标A核心竞争力理论B战略管理理论C学习型组织理论D企文化理论6、（多选题）管理的基本原则是一定的工作完全负责。

要做到完全负责取决于下列因素：（）。

A权限B利益C意识D能力解析：—定的人对所管的—定的工作能否做到完全负责，基本上取决于三个因素：权限——明确了职责，就要授予相应的权力；利益——完全负责就意昧着责任者要承担全部风险而任何管理者在承担风险时都必然地要对风险和收益进行权衡，然后才决定是否值得去承担这种风险；能力——管理者既要有生产、技术、经济、社会、管理、心理等各方面的科学知识，又需要具备处理人际关系的组织才能，还要有—定的实践经验。

7、（多选题）人本原理的主要观点（）A尊重人B依靠人C发展人D为了人8、（多选题）管理信息系统的主要特点是：（）A系统的观点B数学的方法C计算机的应用D信息的处理9、（多选题）管理信息具有三个基本特征：（）A价值的不确定性B信息的可预测性C内容的可干扰性形式和内容的更替性10、（多选题）管理的四项基本职能是（）A策划B组织C领导D控制管理职能是管理系统中所涉及的管理功能。

不同的管理学家对管理职能有不同的划分，但基本上都包括策划、组织、领导、控制四项基本职能。

11、（多选题）系统的特征包括：（）A集合性B符合性C相关性D层次性12、（判断题）管理科学学派认为，管理的本质是一种实践不在于知而在于行，唯一权威的就是成果。

2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20212、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果3、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确5、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、66、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件7、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行8、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标9、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C10、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度11、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、对于较大范围的网络，网络隔离是（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性14、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果15、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部16、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性17、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

2024年3月CCAA国家注册ISMS信息安全管理体系审核员知识模拟试题一、单项选择题1、局域网环境下与大型计算机环境下的本地备份方式在（）方面有主要区别。

A、主要结构B、容错能力C、网络拓扑D、局域网协议2、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以3、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密4、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。

A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密5、主动式射频识别卡(RFID)存在哪一种弱点?（）A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR6、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份7、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B8、测量控制措施的有效性以验证安全要求是否被满足是（）的活动。

A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段9、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是10、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件11、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A、静态B、动态C、均可D、静态达到50%以上即可12、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素13、计算机病毒系指_____。

2024年第二期CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性B、完整性C、机密性D、可用性2、描述组织采取适当的控制措施的文档是（）A、管理手册B、适用性声明C、风险处置计划D、风险评估程序3、根据GB/T22080-2016标准，审核中下列哪些章节不能删减(）。

A、4-10B、1-10C、4-7和9-10D、4-10和附录A4、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机5、创建和更新文件化信息时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准6、在信息安全管理体系审核时，应遵循（）原则。

A、保密性和基于准则的B、保密性和基于风险的C、最小特权原则最小特权原则是信息系统安全的最基本原则D、建立阻塞点原则阻塞点就是在网络系统对外连接通道内，可以被系统管理人员进行监控的连接控制点。

7、关于信息安全管理体系认证，以下说法正确的是：A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员8、信息安全管理体系中提到的“资产责任人”是指:（）A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人9、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞10、最高管理层应通过（）活动，证实对信息安全管理体系的领导和承诺。

2024年3月CCAA注册审核员ISMS信息安全管理体系复习题一、单项选择题1、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行2、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度3、当发现不符合项时，组织应对不符合做出反应，适用时（）。

A、采取措施，以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生4、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯5、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。

A、服务水平目标（SLO)B、恢复点目标（RPO)C、恢复时间目标（RTO)D、最长可接受终端时间（MAO)6、应定期评审信息系统与组织的（）的符合性。

A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准7、组织在确定与ISMS相关的内部和外部沟通需求时可以不包括(）A、沟通周期B、沟通内容C、沟通时间D、沟通对象8、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是9、ISMS文件的多少和详细程度取决于()A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、以上都对10、组织确定的信息安全管理体系范围应（）A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用11、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。

A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响12、下列那些事情是审核员不必要做的？（）A、对接触到的客户信息进行保密B、客观公正的给出审核结论C、关注客户的喜好D、尽量使用客户熟悉的表达方式13、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼14、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机15、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改16、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件17、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）A、不考虑资产的价值，基本水平的保护都会被实施B、对所有信息资产保护都投入相同的资源C、对信息资产实施适当水平的保护D、信息资产过度的保护18、当操作系统发生变更时，应对业务的关键应用进行（）以确保对组织的运行和安全没有负面影响A、隔离和迀移B、评审和测试C、评审和隔离D、验证和确认19、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标20、关于顾客满意，以下说法正确的是：()A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失，就意味着顾客满意C、顾客认为其要求已得到满足，即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意21、《计算机信息系统安全保护条例》中所称计算机信息系统，是指A、对信息进行采集、加工、存储、传输、检索等处理的人机系统B、计算机及其相关的设备、设施，不包括软件C、计算机运算环境的总和，但不含网络D、一个组织所有计算机的总和，包括未联网的微型计算机22、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略，以下正确的是（）A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制23、ISO/IEC27001所采用的过程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法24、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作25、关于《中华人民共和国保密法》，以下说法正确的是:（）A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护26、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析B、确保信息按照其对组织的重要程度受到适当水平的保护C、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘D、划分信息载体所属的职能以便于明确管理责任27、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果28、密码技术不适用于控制下列哪种风险？（）A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险29、关于技术脆弱性管理，以下说法正确的是：（）A、技术脆弱性应单独管理，与事件管理没有关联B、了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径30、形成ISMS审核发现时，不需要考虑的是（）A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性31、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密32、下面哪一种环境控制措施可以保护计算机不受短期停电影响？（）A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应33、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定34、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4035、过程是指（）A、有输入和输出的任意活动B、通过使用资源和管理，将输入转化为输出的活动C、所有业务活动的集合D、以上都不对36、根据GB/T22080-2016中控制措施的要求，不属于人员招聘的安全要求的是(）A、参加信息安全培训B、背景调査C、安全技能与岗位要求匹配的评估D、签署保密协议37、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

2024年3月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统A、报告B、传递C、评价D、测量2、下面哪一种属于网络上的被动攻击（）A、消息篡改B、伪装C、拒绝服务D、流量分析3、信息分类方案的目的是（）A、划分信息载体的不同介质以便于储存和处理，如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析4、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低5、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对6、关于访问控制策略，以下不正确的是：（）A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型B、对于多任务访问，一次性赋予全任务权限C、物理区域的管理规定须遵从物理区域的访问控制策D、物理区域访问控制策略应与其中的资产敏感性一致7、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对8、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保9、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新10、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部11、关于内部审核下面说法不正确的是(）。

ccaa考试试题和答案**CCAA考试试题和答案**一、单项选择题（每题2分，共40分）1. CCAA认证机构的全称是什么？A. 中国认证认可协会B. 中国认证认可中心C. 中国认证认可协会D. 中国认证认可委员会答案：C2. CCAA认证机构的主要职能是什么？A. 提供认证服务B. 提供认可服务C. 提供认证和认可服务D. 提供咨询和培训服务答案：C3. 下列哪项不是CCAA认证机构认可的认证领域？A. 质量管理体系认证B. 环境管理体系认证C. 职业健康安全管理体系认证D. 食品安全管理体系认证答案：D4. CCAA认证机构认可的认证机构必须遵守哪些原则？A. 独立性、公正性、科学性B. 独立性、客观性、有效性C. 独立性、公正性、有效性D. 客观性、公正性、科学性答案：A5. CCAA认证机构认可的认证机构必须具备哪些条件？A. 合法注册、具备专业能力、有良好的管理体系B. 合法注册、具备专业能力、有良好的财务状况C. 合法注册、具备专业能力、有良好的管理体系和财务状况D. 合法注册、具备专业能力、有良好的管理体系和市场声誉答案：C6. CCAA认证机构认可的认证机构必须定期进行哪些活动？A. 内部审核和外部审核B. 内部审核和监督审核C. 监督审核和再认证审核D. 内部审核和再认证审核答案：C原则？A. 客观性、公正性、独立性B. 客观性、公正性、透明性C. 客观性、公正性、独立性和透明性D. 客观性、公正性、独立性和保密性答案：C8. CCAA认证机构认可的认证机构在认证过程中必须遵守哪些规定？A. 认证规则和认证程序B. 认证规则和认证标准C. 认证程序和认证标准D. 认证规则、认证程序和认证标准答案：D信息？A. 认证结果和认证证书B. 认证结果和认证报告C. 认证证书和认证报告D. 认证结果、认证证书和认证报告答案：D10. CCAA认证机构认可的认证机构在认证过程中必须如何处理申诉和投诉？A. 按照认证规则和程序处理B. 按照认证标准和程序处理C. 按照认证规则和认证标准处理D. 按照认证规则、认证标准和程序处理答案：D二、多项选择题（每题3分，共30分）11. CCAA认证机构认可的认证机构必须具备哪些基本条件？A. 合法注册B. 具备专业能力C. 有良好的管理体系D. 有良好的市场声誉答案：ABC12. CCAA认证机构认可的认证机构必须遵守哪些基本规则？A. 认证规则B. 认证程序C. 认证标准D. 认证指南答案：ABC些基本原则？A. 客观性B. 公正性C. 独立性D. 透明性答案：ABCD14. CCAA认证机构认可的认证机构在认证过程中必须提供哪些基本文件？A. 认证申请书B. 认证合同C. 认证计划D. 认证报告答案：ABCD理申诉和投诉？A. 按照认证规则处理B. 按照认证程序处理C. 按照认证标准处理D. 按照认证指南处理答案：ABC三、判断题（每题1分，共10分）16. CCAA认证机构认可的认证机构必须每年进行一次内部审核。

2024年第一期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系知识一、单项选择题1、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意2、依据GB/T220802016/SO/EC.27001:2013标准，组织应（）。

A、识别在组织范围内从事会影响组织信息安全绩效的员工的必要能力B、确保在组织控制下从事会影响组织信息安全绩效的员工的必要能力C、确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力D、鉴定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力3、信息安全基本属性是（）。

A、保密性、完整性、可靠性B、保密性、完整性、可用性C、可用性、保密性、可能性D、稳定性、保密性、完整性4、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力5、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定6、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。

A、认证B、认可C、审核D、评审7、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏8、确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程其所用，是指（）A、完整性B、可用性C、机密性D、抗抵赖性9、在现场审核结束之前，下列哪项活动不是必须的？（）A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题10、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、建设关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、建设三级以上信息系统须保证安全子系统同步规划、同步建设、同步使用C、建设机密及以上信息系统须保证安全子系统同步规划、同步建设、同步使用D、以上都不对11、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述，正确的是（）A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时，必须满足该标准的所有要求12、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。