A.外部代理商的处理应该接受一个来自独立代理进行的IS审计
B.外部代理商的员工必须接受该组织的安全程序的培训
C.来自外部代理商的任何访问必须限制在停火区（DMZ）
D.该组织应该进行风险评估，并制定和实施适当的控制

A.数据拥有者
B.安全管理员
C.IT安全经理
D.请求者的直接上司

A.个人防火墙
B.防病毒软件
C.入侵检测系统
D.虚拟局域网设置

A.流程所有者
B.系统管理员
C.安全管理员
D.数据所有者

A.内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果
B.内审报告中必须包含对不符合性项的改进建议
C.内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商，核实报告内容
D.内审报告中必须包括对纠正预防措施实施情况的跟踪

A.关键的控制程序没有得到贯彻，缺乏标准规定的要求可构成严重不符合项
B.风险评估方法没有按照ISO27005（信息安全风险管理）标准进行
C.孤立的偶发性的且对信息安全管理体系无直接影响的问题
D.审核员识别的可能改进项

A.明确审核目的、审核准则和审核范围
B.明确审核员的分工
C.明确接受审核方责任，为配合审核提供必要资源和授权
D.明确审核进度和审核方法，且在整个审核过程中不可调整

A.审核依据
B.审核证据记录
C.审核发现
D.数据收集方法和工具

A.熟悉必要的文件和程序
B.根据要求编制检查列表
C.配合支持审核组长的工作，有效完成审核任务
D.负责实施整改内审中发现的问题

A.纠正预防
B.文件审核
C.现场审核
D.渗透测试

A.用作依据的一组方针、程序或要求
B.与审核准则有关的并且能够证实的记录、事实陈述或其他信息
C.将收集到的审核证据依照审核准则进行评价的结果，可以是合格/符合项，也可以是不合格/不符合项
D.对审核对象的物理位置、组织结构、活动和过程以及时限的描述