信息安全管理实用规则(27002)

IOS/IEC 27001 ISMS审核员考试基础知识201606一、单项选择1、Cp是理想过程能力指数，Cpk是实际过程能力指数，以下（）是正确的。

A、Cp＞CpkB、Cp＜CpkC、Cp≤CpkD、Cp≥Cpk2、信息安全是保证信息的保密性、完整性、（）。

A、充分性B、适宜性C、可用性D、有效性3、应为远程工作活动开发和实施策略、（）和规程。

A、制定目标B、，明确职责C、编制作业指导书D、操作计划4、一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性。

A、已经发生B、可能发生C、意外D、A+B+C5、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。

A、国家经营B、地方经营C、许可制度D、备案制度6、以下说法不正确的是（）A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、组织在建立和评审信息安全管理体系时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其他要求D、A+C8、管理体系是指（）。

A、建立方针和目标并实现这些目标的体系B、相互关联的相互作用的一组要素C、指挥和控制组织的协调活动D、以上都对9、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、以下属于计算机病毒感染事件的纠正措施的是（）A、对计算机病毒事件进行相应和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对11、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、国家秘密的密级分为（）A、绝密B、机密C、秘密D、以上都对13、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

信息安全控制措施测量程序
1 目的
为明确对公司所选择和实施的信息安全控制措施测量的职责、方法和程序，测量控制措施的有效性，制定本文件。

2 适用范围
本程序适用于公司选择和实施的信息安全控制措施所涉及的部门、业务和人员。

3 参考文件
ISO/IEC27001:2005 信息安全管理体系要求
ISO/IEC27002:2005 信息安全管理实用规则
4 职责和权限
信息安全领导办公室负责本文件的建立和评审。

内部审核小组、XXX部等相关部门和人员按照本文件的要求执行。

5 相关活动
5.1 信息安全控制措施测量方法
针对不同的控制措施，采用两类测量方法：观察验证和系统测试。

5.1.1 观察验证
用于组织类控制措施的有效性测量，包括查验记录、访谈、观察和物理检查等；
5.1.2 系统测试
用于技术类控制措施的有效性测量，包括上机操作，或者通过使用专门的系统工具等。

5.2 信息安全控制措施测量流程
信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划；
根据测量计划，由内审小组和资讯部区分不同类型的控制措施，选择测量方法，编制详细的检查表；
针对系统测试方法，准备相应的系统工具；
按计划实施测量；
形成控制措施有效性测量报告（可以包含在内部审核报告中）。

6 相关文件和记录
信息安全控制措施检查表
信息安全控制措施测量方法参考表
信息安全控制措施检查表。

WORD文档可编辑信息安全管理体系管理手册ISMS-M-yyyy版本号：A/1受控状态：■受控□非受控编制审核批准编写组审核人A 总经理yyyy-mm-dd yyyy-mm-dd yyyy-mm-dd日期： 2016年1月8日实施日期： 2016年1月8日修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016-1-08定版审核人同意AA/1编写组2017-1-15定版审核人同意B00 目录00 目录 (3)01 颁布令 (5)02 管理者代表授权书 (6)03 企业概况 (7)04 信息安全管理方针目标 (8)05 手册的管理 (10)06 信息安全管理手册 (11)1 范围 (11)1.1 总则 (11)1.2 应用 (11)2 规范性引用文件 (11)3 术语和定义 (11)3.1 本公司 (12)3.2 信息系统 (12)3.3 计算机病毒 (12)3.4 信息安全事件 (12)3.5 相关方 (12)4 组织环境 (12)4.1 组织及其环境 (12)4.2 相关方的需求和期望 (12)4.3 确定信息安全管理体系的范围 (13)4.4 信息安全管理体系 (13)5 领导力 (14)5.1 领导和承诺 (14)5.2 方针 (14)5.3 组织角色、职责和权限 (14)6 规划 (14)6.1 应对风险和机会的措施 (15)6.2 信息安全目标和规划实现 (17)7 支持 (18)7.1 资源 (18)7.2 能力 (18)7.3 意识 (18)7.4 沟通 (18)7.5 文件化信息 (19)8 运行 (20)8.1 运行的规划和控制 (20)8.2 信息安全风险评估 (20)8.3 信息安全风险处置 (20)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (22)9.3 管理评审 (22)10 改进 (23)10.1 不符合和纠正措施 (23)10.2 持续改进 (23)附录A 信息安全管理组织结构图 (25)附录B 信息安全管理职责明细表 (26)附录C 信息安全管理程序文件清单 (28)01 颁布令为提高**公司**的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了**公司** 《信息安全管理手册》。

ISO/IEC27001知识体系1.ISMS概述 (2)1。

1 什么是ISMS (2)1。

2 为什么需要ISMS (3)1。

3 如何建立ISMS (5)2。

ISMS标准 (10)2.1 ISMS标准体系－ISO/IEC27000族简介 (10)2.2 信息安全管理实用规则－ISO/IEC27002：2005介绍 (14)2.3 信息安全管理体系要求－ISO/IEC27001：2005介绍 (18)3.ISMS认证 (22)3。

1 什么是ISMS认证 (22)3。

2 为什么要进行ISMS认证 (22)3.3 ISMS认证适合何种类型的组织 (23)3.4 全球ISMS认证状况及发展趋势 (24)3.5 如何建设ISMS并取得认证 (29)1. ISMS概述1.1 什么是ISMS信息安全管理体系(Information Security Management System，简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。

近年来,伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。

ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

在ISMS的要求标准ISO/IEC27001:2005（信息安全管理体系要求)的第3章术语和定义中，对ISMS的定义如下:ISMS（信息安全管理体系）：是整个管理体系的一部分。

它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的.注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。

这个定义看上去同其他管理体系的定义描述不尽相同，但我们也可以用ISO GUIDE 72：2001（Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则）中管理体系的定义，将ISMS 描述为：组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素.ISMS同其他MS（如QMS、EMS、OHSMS）一样，有许多共同的要素，其原理、方法、过程和体系的结构也基本一致。

一、单项选择1、Cp是理想过程能力指数，Cpk是实际过程能力指数，以下（）是正确的。

A、Cp＞CpkB、Cp＜CpkC、Cp≤CpkD、Cp≥Cpk2、信息安全是保证信息的保密性、完整性、（）。

A、充分性B、适宜性C、可用性D、有效性3、应为远程工作活动制定：开发和实施策略、（）和规程。

A、制定目标B、，明确职责C、编制作业指导书D、操作计划4、一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性。

A、已经发生B、可能发生C、意外D、A+B+C5、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。

A、国家经营B、地方经营C、许可制度D、备案制度6、以下说法不正确的是（）A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、组织在建立和评审信息安全管理体系时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其他要求D、A+C8、管理体系是指（）。

A、建立方针和目标并实现这些目标的体系B、相互关联的相互作用的一组要素C、指挥和控制组织的协调活动D、以上都对9、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、以下属于计算机病毒感染事件的纠正预防措施的是（）A、对计算机病毒事件进行相应调查和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对11、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、国家秘密的密级分为（）A、绝密B、机密C、秘密D、以上都对13、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

资料范本本资料为word版本，可以直接编辑和打印，感谢您的下载信息安全管理实用规则地点：__________________时间：__________________说明：本资料适用于约定双方经过谈判，协商而共同承认，共同遵守的责任与义务，仅供参考，文档可直接下载或修改，不需要的部分可直接删除，使用时请详细阅读内容国家质量监督检验检疫总局发布××××-××-××实施××××-××-××发布信息技术信息安全管理实用规则Information technology-Code of practicefor information security management（ISO/IEC 17799：2000，MOD）（报批稿）GB/T ××××—××××中华人民共和国国家标准ICS 35.040目次TOC \f \h \t "前言、引言标题,附录标识,参考文献、索引标题,章标题,附录章标题,一级条标题,附录一级条标题" HYPERLINK \l "_Toc60554279" 前言 PAGEREF _Toc60554279 \h IIIHYPERLINK \l "_Toc60554280" 引言 PAGEREF _Toc60554280 \h IVHYPERLINK \l "_Toc60554281" 1 范围 PAGEREF _Toc60554281 \h 1HYPERLINK \l "_Toc60554282" 2 术语和定义 PAGEREF_Toc60554282 \h 1HYPERLINK \l "_Toc60554283" 2.1 信息安全 PAGEREF_Toc60554283 \h 1HYPERLINK \l "_Toc60554284" 2.2 风险评估 PAGEREF_Toc60554284 \h 1HYPERLINK \l "_Toc60554285" 2.3 风险管理 PAGEREF_Toc60554285 \h 1HYPERLINK \l "_Toc60554286" 3 安全策略 PAGEREF_Toc60554286 \h 1HYPERLINK \l "_Toc60554287" 3.1 信息安全策略 PAGEREF_Toc60554287 \h 1HYPERLINK \l "_Toc60554288" 4 组织的安全 PAGEREF_Toc60554288 \h 2HYPERLINK \l "_Toc60554289" 4.1 信息安全基础设施 PAGEREF _Toc60554289 \h 2HYPERLINK \l "_Toc60554290" 4.2 第三方访问的安全 PAGEREF _Toc60554290 \h 4HYPERLINK \l "_Toc60554291" 4.3 外包 PAGEREF_Toc60554291 \h 6HYPERLINK \l "_Toc60554292" 5 资产分类和控制 PAGEREF_Toc60554292 \h 7HYPERLINK \l "_Toc60554293" 5.1 资产的可核查性 PAGEREF_Toc60554293 \h 7HYPERLINK \l "_Toc60554294" 5.2 信息分类 PAGEREF_Toc60554294 \h 7HYPERLINK \l "_Toc60554295" 6 人员安全 PAGEREF_Toc60554295 \h 8HYPERLINK \l "_Toc60554296" 6.1 岗位设定和人力资源的安全PAGEREF _Toc60554296 \h 8HYPERLINK \l "_Toc60554297" 6.2 用户培训 PAGEREF_Toc60554297 \h 10HYPERLINK \l "_Toc60554298" 6.3 对安全事故和故障的响应PAGEREF _Toc60554298 \h 10HYPERLINK \l "_Toc60554299" 7 物理和环境的安全 PAGEREF_Toc60554299 \h 11HYPERLINK \l "_Toc60554300" 7.1 安全区域 PAGEREF_Toc60554300 \h 11HYPERLINK \l "_Toc60554301" 7.2 设备安全 PAGEREF_Toc60554301 \h 13HYPERLINK \l "_Toc60554302" 7.3 一般控制 PAGEREF_Toc60554302 \h 15HYPERLINK \l "_Toc60554303" 8 通信和操作管理 PAGEREF_Toc60554303 \h 16HYPERLINK \l "_Toc60554304" 8.1 操作规程和职责 PAGEREF_Toc60554304 \h 16HYPERLINK \l "_Toc60554305" 8.2 系统规划和验收 PAGEREF_Toc60554305 \h 19HYPERLINK \l "_Toc60554306" 8.3 防范恶意软件 PAGEREF_Toc60554306 \h 19HYPERLINK \l "_Toc60554307" 8.4 内务处理 PAGEREF_Toc60554307 \h 20HYPERLINK \l "_Toc60554308" 8.5 网络管理 PAGEREF_Toc60554308 \h 21HYPERLINK \l "_Toc60554309" 8.6 媒体处置和安全 PAGEREF_Toc60554309 \h 21HYPERLINK \l "_Toc60554310" 8.7 信息和软件的交换 PAGEREF _Toc60554310 \h 23HYPERLINK \l "_Toc60554311" 9 访问控制 PAGEREF_Toc60554311 \h 26HYPERLINK \l "_Toc60554312" 9.1 访问控制的业务要求 PAGEREF _Toc60554312 \h 27HYPERLINK \l "_Toc60554313" 9.2 用户访问管理 PAGEREF_Toc60554313 \h 27HYPERLINK \l "_Toc60554314" 9.3 用户职责 PAGEREF_Toc60554314 \h 29HYPERLINK \l "_Toc60554315" 9.4 网络访问控制 PAGEREF_Toc60554315 \h 30HYPERLINK \l "_Toc60554316" 9.5 操作系统访问控制 PAGEREF _Toc60554316 \h 32HYPERLINK \l "_Toc60554317" 9.6 应用访问控制 PAGEREF_Toc60554317 \h 35HYPERLINK \l "_Toc60554318" 9.7 对系统访问和使用的监督PAGEREF _Toc60554318 \h 35HYPERLINK \l "_Toc60554319" 9.8 移动计算和远程工作 PAGEREF _Toc60554319 \h 37HYPERLINK \l "_Toc60554320" 10 系统开发和维护 PAGEREF_Toc60554320 \h 38HYPERLINK \l "_Toc60554321" 10.1 系统的安全要求 PAGEREF _Toc60554321 \h 38HYPERLINK \l "_Toc60554322" 10.2 应用系统的安全 PAGEREF _Toc60554322 \h 39HYPERLINK \l "_Toc60554323" 10.3 密码控制 PAGEREF_Toc60554323 \h 41HYPERLINK \l "_Toc60554324" 10.4 系统文件的安全 PAGEREF _Toc60554324 \h 43HYPERLINK \l "_Toc60554325" 10.5 开发和支持过程的安全PAGEREF _Toc60554325 \h 44HYPERLINK \l "_Toc60554326" 11 业务连续性管理 PAGEREF_Toc60554326 \h 46HYPERLINK \l "_Toc60554327" 11.1 业务连续性管理的各方面PAGEREF _Toc60554327 \h 46HYPERLINK \l "_Toc60554328" 12 符合性 PAGEREF_Toc60554328 \h 48HYPERLINK \l "_Toc60554329" 12.1 符合法律要求 PAGEREF_Toc60554329 \h 48HYPERLINK \l "_Toc60554330" 12.2 安全策略和技术符合性的评审 PAGEREF _Toc60554330 \h 51HYPERLINK \l "_Toc60554331" 12.3 系统审核考虑 PAGEREF_Toc60554331 \h 52前言GB/T XXXX-XXXX《信息技术信息安全管理实用规则》。

ISOxxx隐私保护相关的控制随着数字化时代的到来，个人隐私保护的问题变得愈发重要。

在信息安全管理领域，ISO xxx作为国际标准，提供了一套全面的隐私保护相关的控制措施。

本文将从深度和广度两方面，全面评估ISO xxx关于隐私保护的控制，并针对其进行详细的分析和解读。

1. 概述ISO xxx是信息安全管理领域的国际标准，为组织提供了一套全面的信息安全管理最佳实践指南。

在其中，也包含了一系列针对隐私保护的控制。

隐私保护是信息安全管理的重要组成部分，也是组织需要高度重视的问题。

ISO xxx为组织提供了针对隐私保护的具体控制措施，以确保个人信息的安全和合规。

2. ISO xxx隐私保护控制的重要性隐私保护控制的重要性无需多言。

在当今信息爆炸的时代，个人隐私面临着来自外部恶意攻击、内部疏忽管理等多方面威胁。

组织需要采取一系列控制措施来保护个人隐私信息，避免信息泄露、滥用等问题的发生。

ISO xxx提供了一系列的隐私保护控制，帮助组织建立起健全的隐私保护体系，从而确保个人隐私信息的安全和合规。

3. ISO xxx隐私保护控制的详细分析ISO xxx关于隐私保护的控制主要包括以下几方面：1) 保密性控制：包括对个人隐私信息进行加密、访问控制、安全审计等措施，以确保个人隐私信息不被未经授权的人员获取。

2) 完整性控制：确保个人隐私信息不被篡改，包括数据备份、防篡改技术等措施。

3) 可用性控制：保障个人隐私信息的可用性，包括灾备计划、容灾措施等，以应对各种意外事件。

在这些控制中，建立起严格的访问控制是核心。

组织需要设立严格的权限控制制度，确保只有经过授权的人员才能访问个人隐私信息。

也需要建立起有效的安全审计机制，及时发现并应对潜在的隐私泄露风险。

4. 个人观点和理解个人隐私保护是信息安全管理领域的重要议题，在数字化时代更是显得尤为重要。

ISO xxx提供的隐私保护控制措施，为组织提供了一套系统性的指南，帮助组织建立起完善的隐私保护体系。

2024年8月CCAA注册ISMS信息安全管理体系审核员知识模拟试题一、单项选择题1、审核证据是指（）A、与审核准则有关的，能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对2、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是（）A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》3、下列哪个措施不是用来防止对组织信息和信息处理设施的未授权访问的？（）A、物理入口控制B、开发、测试和运行环境的分离C、物理安全边界D、在安全区域工作4、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性B、完整性C、机密性D、可用性5、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改6、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対7、关于访问控制，以下说法正确的是（）A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中，用户标记级别小于文件标记级别，即可读该文件8、容量管理的对象包括（）A、服务器内存B、网络通信带宽C、人力资源D、以上全部9、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作10、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定11、在每天下午5点使计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗12、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性13、组织机构在建立和评审ISMS时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其它要求D、A+BE、A+C14、信息安全目标应()A、可测量B、与信息安全方针一致C、适当时，对相关方可用D、定期更新15、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改16、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、202117、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性18、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以19、信息安全管理体系是用来确定（)A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度20、根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是（）A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性21、若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A、静态B、动态C、均可D、静态达到50%以上即可22、依据GB/T22080-2016/IS(VIEC27001:2013标准，以下说法正确的是（）A、对于进入组织的设备和资产须验证其是否符合安全策略，对于离开组织的设备设施则不须验证B、对于离开组织的设备和资产须验证其合格证，对于进入组织的设备设施则不必验证C、对于离开组织的设备和资产须验证相关授权信息D、对于进入和离开组织的设备和资产，验证携带者身份信息，可替代对设备设施的验证23、关于互联网信息服务，以下说法正确的是A、互联网服务分为经营性和非经营性两类，其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务，应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务，是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动24、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵25、对保密文件复印件张数核对是确保保密文件的（）A、保密性B、完整性C、可用性D、连续性26、第三方认证审核时，对于审核提出的不符合项，审核组应：（）A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对27、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年28、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。