姓名：

一、选择题（在下列各题中选择一个你认为最适合的答案，填在括号中。每题2分，共30分）

1、信息安全中的可用性是指（ ）

a信息不能被未授权的个人，实体或者过程利用或知悉的特性

b保护资产的准确和完整的特性

c根据授权实体的要求可访问和利用的特性

d以上都不对

2、审核发现是指（ ）。

a审核中观察到的事实。

b审核中的事实与审核准则相比较的评价结果；

c审核过程中发现的新的线索；

d审核中的观察项。

3、风险处理的可选措施包括：

a采用适当的控制措施； b接受风险 c避免风险； d风险转移 e a+b+c+d

4、以下属于计算机病毒感染事件的纠正措施的是( )

a 对计算机病毒事件进行响应和处理 b将感染病毒的计算机从网络中隔离

c 对相关责任人进行处罚 d以上都不是

5、组织应定期( )已建立和实施的信息安全连续性控制措施，以确保在不利情况下是有效的和生效的

a培训 b测试

c验证 d增加

6、ISO/IEC27001：2013标准可与其他管理标准， 如质量管理标准（ ）。

a相容； b包容；

c互不相容； d既包含也相容。

7、组织的信息安全要求来源包括（ ）

a法律法规与合同要求 b风险评估的结果

c组织已有的原则、目标与要求 d a+b+c

8、编制内部审核实施计划时，应考虑( ), 才能合理的安排时间和审核员，以保证审核有计划的顺利进行。

a上次审核的结果 b某个部门在体系中的重要程度

c主要过程、风险因素的分布 d a+b+c

9、外部审核时陪同人员的作用是

a负责联络 b审核路线引导

c审核证据的证实 d a+b+c

10、审核方案是

a一组方针、程序和要求

b针对特定时间段所策划、并具有特定目的的一组（一次或多次）审核

c一项审核的广度和界限

d对一项审核的活动及安排的说明

11受审核方代表在不合格报告上签字确认的目的是

a对不合格报告中各栏内容的正确性进行复核 b对不合格事实进行确认

c对不合格性质（严重程度）进行确认 d a+b+c

12第三方信息安全管理体系审核的目的是

a发现尽可能多的不符合项

b建立互利的供方关系

c证实组织的信息安全管理体系符合已确定准则的要求

d改进组织信息安全管理

13信息安全管理体系文件详略程序取决于

a组织规模 b活动类型

c安全要求和被管理系统的范围和复杂程度 d a+b+c

14审核证据是指（ ）

a将收集到的审核证据对照审核准则进行评价的结果

b与审核有关的记录

c与审核准则有关的并且能够证实的记录、事实陈述或其他信息

15、管理评审应（ ）。

a 按策划的时间间隔进行,一年不少于1次 b按规定的时间间隔进行

c由最高管理者随机确定

二、是非题（正确的在括号中打“√”，错误的打“×”。每题2分，共20分）

（ ）1、组织的安全要求全部来源于风险评估。

（ ）2、机密性、完整性和可用性是评价信息资产的三个安全属性。

（ ）3、末次会议意味着一次现场审核的结束。

（ ）4、管理评审的目的是确保信息安全管理体系的适宜性、充分性、有效性。

（ ）5、为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。

（ ）6、建议的残余风险必须获得管理者的批准

（ ）7、审核计划经受审核方事先确认后，不能更改。

（ ）8、审核的原则包括审核的独立性和客观性。

（ ）9、资产的责任人是指对资产拥有所有权的人员

（ ）10、信息安全事件的发生必然造成事故和损失。

三、简答题（每题5分，共25分）

1、简述信息安全管理体系内部审核的审核准则。

2、简述审核抽样的基本原则

3、简述内部审核的一般流程

4、简述内部审核与管理评审的区别

5、简述客观证据的收集方式

四、判断题（每题5分，共10分）

对下列各题中的不符合内容，请写出不符合ISO/IEC27001：2013标准哪一条款（尽可能细化到分条款），并描述不符合。

1、设计师张先生是某公司的骨干，他嫌公司提供的设计软件版本太旧，自己安装了盗版的新版本设计程序。

2、李某是一家复印机维修公司工作人员。在试复印机时，随手从废纸箱中拿出一张纸，上面有6月份的部分财务数据。

五、审核案例题（每题15分，共15分）

A公司是M国内一家大型电信运营商，公司有明确保护客户隐私信息的承诺。为尊重客户，其前台服务的计算机由原来的单显示器更改为双显示器，客户可以很方便地看到操作员的操作情况。但该服务系统有设计缺陷，在某个特定查询模块，能够同时显示同一号码的前后几位使用者的姓名、家庭住址和联系电话等信息，由此带来顾客的投诉。如果你是审核员，将如何进行审核？请根据以上场景，编写检查表或者写出审核思路与审核要点。

【体系管理】专注于质量、环境、职业健康安全等管理体系知识的分享！

【分享内容】企业内外部培训教材PPT,管理体系制度文件,表单模板案例,内部审核技巧,外部审核准备迎审技巧,管理体系建设实战案例,注册审核员考试资料,内部审核员培养教程,质量/安全/精益生产,制造行业书籍电子书,GB/GBT/HB/DB/QB/GJB,法律法规分享及解读,ISO9001，ISO14001，ISO45001，IATF16949，ISO13485，ISO27001，ISO17025，ISO22000，VDA系列，CQI系列等等标准体系管理知识及培训教材分享！！！