下列不一定要进行风险评估的是（  ）。
A.发布新的法律法规
B.ISMS最高管理者人员变更
C.ISMS范围内的网络采用新的网络架构
D.计划的时间间隔

依据GB/T22080，以下不是“适用性声明”文件必须包含的内容是：（  ）。
A.实施信息安全控制措施的角色、职责和权限
B.组织选择的控制目标和控制措施，以及选择的理由
C.当前实施的控制目标和控制措施
D.对附录A中可控制目标和控制措施的删减，以及删减的合理性说明

在运行阶段，组织应( )

A.策划信息安全风险处置计划，保留文件化信息

B.实现信息安全风险处置计划，保留文件化信息

C.测量信息安全风险处置计划，保留文件化信息

D.改进信息安全风险处置计划，保留文件化信息

依据GB/T22080，风险评估过程包含：（  ）。
A.风险分析和风险评价的活动
B.风险管理和风险处置的活动
C.风险识别与风险分析的活动
D.风险处置

关于GB/T22080-2016，以下说法正确的是（　）。

A.相关方的需求和期望是组织制定信息安全方针的输入

B.实施标准4.1～4.2，须编制“相关方管理程序”，形成文件

C.组织须维护一份相关方及其需求和期望的清单

D.组织应识别的相关方不随ISMS范围而变化

关于信息安全方针，以下说法错误的是（  ）。
A.信息安全方针应由组织最高管理层授权
B.信息安全方针应是向组织内部公开的文件
C.信息安全方针应定义并规范组织信息安全管理基本面、重点和实施方针
D.信息安全方针一般包含具体的安全控制流程

定期备份和测试信息是指（  ）。
A.每次备份完成时对备份结果进行检查，以确保备份效果
B.对系统测试记录进行定期备份
C.定期备份，定期对备份数据的完整性和可用性进行测试
D.定期检查备份存储介质的容量

根据GB/T22080-2016标准中控制措施的要求，有关安全登录规程，不能接受的做法是（　）。

A.在设备上张贴警示通告，说明只有已授权用户才能访问计算机

B.忘记个人口令，暴力破解尝试登陆

C.输入口令时不显示系统或应用标识符，直到登陆过程已成功完成为止

D.在安全登陆期间，不提供对未授权用户有帮助作用的信息

对于“监控系统”的存取与使用，下列说法正确的是（  ）。
A.监控系统所产生的记录可由用户任意存取
B.应保持时钟同步
C.只有当系统发生异常事件及其他安全相关事件时才需进行监控
D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略

关于中国认证认可相关活动的监督管理机制，以下说法正确的是（）。

A.CNCA对CNAS、CCAA认证机构依法实施监督管理

B.CNCA依法监管CNAS, CNAS依法监管认证机构

C.CCAA依法监管认证机构，CNCA依法监管CNAS

D.CCAA依法监管认证人员，CNAS依法监管认证机构，CNCA依法监管CNAS