2020年11月审核知识（改考前）答案及解析.pdfVIP

一、单选题

1、审核原则要求（）是审核的公正性和审核结论客观性的基础。

A、（A）系统性

B、（B）严格性

C、（C）独立性

D、（D）可追踪性

解析：【喵呜刷题小喵解析】：审核原则要求独立性是审核的公正性和审核结论客

观性的基础。独立性意味着审核人员在进行审核时，不受任何外部干扰或压力，能

够客观、公正地评估被审核对象的情况。只有保持独立性，审核人员才能确保审核

的公正性和审核结论的客观性，从而为相关方提供准确、可靠的审核结果。因此，

选项C“独立性”是正确答案。

2、1999年，我国发布的第一个信息安全等级保护的国家标准GB17859-

1999，提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能

要求。

A、（A）7

B、（B）8

C、（C）6

D、（D）5

解析：【喵呜刷题小喵解析】根据题目信息，1999年，我国发布的第一个信息安全

等级保护的国家标准GB17859-

1999，提出将信息系统的安全等级划分为5个等级，并提出每个级别的安全功能要

求。因此，正确答案为D，即5个等级。

3、强制访问控制是针对（）等级的信息系统的要求。

A、（A）二级（含）以上

B、（B）三级（含）以上

C、（C）四级（含）以上

D、（D）五级

解析：【喵呜刷题小喵解析】：强制访问控制是一种安全机制，用于限制主体对客

体的访问，以确保信息系统的安全。根据信息系统的安全等级要求，强制访问控制

通常应用于三级（含）以上的信息系统。因此，正确选项是（B）三级（含）以上

。

4、关于GB/T22080-2016/ISO/IEC27001:2013标准，下列说法错误的是（）。

A、（A）标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全

要求

B、（B）标准中所表述要求的顺序反映了这些要求要予实现的顺序

C、（C）信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中

D、（D）信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性

和可用性

解析：【喵呜刷题小喵解析】本题考察的是对GB/T22080-

2016/ISO/IEC27001:2013标准的理解。A选项表示标准可被内部和外部各方用于评

估组织的能力是否满足自身的信息安全要求，这是正确的，因为该标准确实提供了

评估信息安全管理体系的框架。B选项表示标准中所表述要求的顺序反映了这些要

求要予实现的顺序，这是错误的。标准中的要求顺序并不反映实现的顺序，而是按

照主题或领域进行组织的。C选项表示信息安全管理体系是组织的过程和整体管理

结构的一部分并集成在其中，这是正确的，因为信息安全管理体系确实是组织整体

管理结构的一部分。D选项表示信息安全管理体系通过应用风险管理过程来保持信

息的保密性、完整性和可用性，这也是正确的，因为该标准确实强调了风险管理在

信息安全管理体系中的重要性。因此，B选项是错误的，符合题目要求。

5、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）。

A、ISO/IEC27002

B、ISO/IEC27003

C、ISO/IEC27004

D、ISO/IEC27005

解析：【喵呜刷题小喵解析】：《信息技术安全技术信息安全管理体系实施指南》

对应的国际标准号为ISO/IEC27002。因此，正确答案为B。

6、ISMS管理评审的输出应包括（）。

A、（A）可能影响ISMS的任何变更

B、（B）以往风险评估没有充分强调的脆弱点或威胁

C、（C）风险评估和风险处理计划的更新

D、（D）改进的建议

解析：【喵呜刷题小喵解析】ISMS（信息安全管理体系）管理评审的输出应包含

与信息安全管理体系相关的关键信息。A选项“可能影响ISMS的任何变更”虽然重要

，但它更多地是管理评审的输入，而不是输出。管理评审的目的是评估现有的ISM

S是否有效，并确定是否需要做出任何变更。B选项“以往风险评估没有充分强调的

脆弱点或威胁”同样更多地是管理评审的输入，而不是输出。管理评审应该基于现

有的风险评估结果来评估ISMS的有效性。D选项“改进的建议”虽然重要，但它可能

包括在C选项“风险评估和风险处理计划的更新”中。风险评估和风险处理计划的更

新直接与管理评审的输出相关，因为它提供了对ISMS当前状态和需要改进的地方

的明确指示。因此，最符合题目要求的答案是C选项“风险评估和风险处理计划的

更新”。

7、在制定ISMS审核方案时，应考虑组织ISMS的规模，以下