A.关键的控制程序没有得到贯彻，缺乏标准规定的要求可构成严重不符合项
B.风险评估方法没有按照ISO27005（信息安全风险管理）标准进行
C.孤立的偶发性的且对信息安全管理体系无直接影响的问题
D.审核员识别的可能改进项

A.明确审核目的、审核准则和审核范围
B.明确审核员的分工
C.明确接受审核方责任，为配合审核提供必要资源和授权
D.明确审核进度和审核方法，且在整个审核过程中不可调整

A.审核依据
B.审核证据记录
C.审核发现
D.数据收集方法和工具

A.熟悉必要的文件和程序
B.根据要求编制检查列表
C.配合支持审核组长的工作，有效完成审核任务
D.负责实施整改内审中发现的问题

A.纠正预防
B.文件审核
C.现场审核
D.渗透测试

A.用作依据的一组方针、程序或要求
B.与审核准则有关的并且能够证实的记录、事实陈述或其他信息
C.将收集到的审核证据依照审核准则进行评价的结果，可以是合格/符合项，也可以是不合格/不符合项
D.对审核对象的物理位置、组织结构、活动和过程以及时限的描述

A.约定的标准及相关法律的要求
B.已识别的安全需求
C.控制措施有效实施和维护
D.ISO13335风险评估方法

A.硬件、软件、文档资料
B.关键人员
C.组织提供的信息服务
D.桌子、椅子

A.使用由两个不同提供商提供的防火墙检查进入网络的流量
B.在主机上使用防火墙和逻辑访问控制来控制进入网络的流量
C.在数据中心建设中不使用明显标志
D.使用两个防火墙检查不同类型进入网络的流量

A.认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证（合格证书）
B.根据对象的不同，认证通常分为产品认证和体系认证
C.认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认
D.企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求

A.ISMS审计和评审的结果
B.来自利益伙伴的反馈
C.某个信息安全项目的技术方案
D.预防和纠正措施的状态