丫空间介绍 ·丫空间(www.yaspace.cn),全国性活动内容平台,涉及展览展示、会议、庆祝活动、团建拓展、私人活动、竞技赛事、拍摄等各类活动图文、短视频内容的记录、传播。 ·用户通过丫空间可以浏览、筛选各类活动内容、活动商家、活动资源;商家通过丫空间可以发布、分享场地或业务信息、活动图文、短视频等活动内容进行市场营销。 ,丫空间已汇聚特色场地,虚拟空间,秀场/发布中心:艺术/展览馆,演出场馆。会所/俱乐部,公寓别墅/美趴,商场/步行街,酒店/度假村,影棚/演播厅,体育场馆,户外/广场。婚礼/宴会场地 会议中心,会展中心、剧场/剧院,众创空间/路演,会议室/培训厅,咖啡/书店、酒吧/餐厅、游船/游艇等全国各类场地资源。
d)管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性;
e)为持续改进而策划的活动的进展;
f)持续的运作控制;
g)任何变更;
h)标志的使用和(或)任何其他对认证资格的引用。
举例2. 管理体系认证审核的范围是()。
A.组织的全部经营管理范围。
B.组织的全部信息系统机房所在的范围。
C.组织承诺建立、实施和保持管理体系相关的组织、位置、过程和活动以及时期的范围。
D.组织机构中所有业务职能涉及的活动范围。
答案:C
解析:GBT 27021.1-2017 合格评定 管理体系审核认证机构要求 第1部分:要求之9.2策划审核
9.2.1确定审核目的、范围和准则
9.2.1.1审核目的应由认证机构确定。审核范围和准则,包括任何更改,应由认证机构在与客户商讨后确定。
9.2.1.2审核目的应说明审核要完成什么,并应包括下列内容:
a)确定客户管理体系或其部分与审核准则的符合性;
b)确定管理体系确保客户满足适用的法律、法规及合同要求的能力;
注:管理体系认证审核不是合规性审核。
c)确定管理体系在确保客户可以合理预期实现其规定目标方面的有效性;
d)适用时,识别管理体系的潜在改进区域。
9.2.1.3审核范围应说明审核的内容和界限,例如拟审核的场所、组织单元、活动及过程。当初次认证或再认证过程包含一次以上审核(例如覆盖不同场所的审核)时, 单次审核的范围可能并不覆盖整个认证范围,但整个审核所覆盖的范围应与认证文件中的范围一致。
9.2.1.4审核准则应被用作确定符合性的依据,并应包括:
——所确定的管理体系规范性文件的要求;
——所确定的由客户制定的管理体系的过程和文件。
举例3. 针对获证组织扩大范围的审核,以下说法正确的是()。
A.一种特殊审核,可以和监督审核一起进行
B.是监督审核的形式之一
C.审核时抽样的样本范围和监督审核相同
D.以上都对
答案:A
解析:GBT 27021.1-2017 合格评定 管理体系审核认证机构要求 第1部分:要求之9.6.4 特殊审核
9.6.4.1扩大认证范围
对于已授予的认证,认证机构应对扩大认证范围的申请进行评审,并确定任何必要的审核活动,以做出是否可予扩大的决定。这类审核活动可以和监督审核同时进行。
9.6.4.2提前较短时间通知的审核
认证机构为调查投诉、对变更做出回应或对被暂停的客户进行追踪,可能需要在提前较短时间通知获证客户后或不通知获证客户就对其进行审核。此时:
a)认证机构应说明并使获证客户提前了解(如在8.5.1所述的文件中)将在何种条件下进行此类审核;
b)由于客户缺乏对审核组成员的任命表示反对的机会,认证机构应在指派审核组时给予更多的关注。
审核通用知识
米米诺
举例3.以下属于信息安全管理体系审核发现的是:()
A.审核员看到的物理入口控制方式
B.审核员看到的信息系统资源阈值
C.审核员看到的移动介质的使用与安全策略的符合性
D.审核员看到的项目质量保证活动与CMMI规程的符合性
答案:C
解析:GB/T19011-2013 管理体系审核指南之3.4审核发现
将收集的审核证据(3.3)对照审核准则(3.2)进行评价的结果。
注1:审核发现表明符合或不符合。
注2:审核发现可引导识别改进的机会或记录良好实践。
注3:如果审核准则选自法律法规要求或其他要求,审核发现可表述为合规或不合规。
注4:改写 GB/T 19000—2008,定义3.9.5。
举例4.关于"纠正措施”,以下说法正确的是:()
A.针对不符合的原因分析必须采用"因果分析法'
B.审核组对于不符合项原因分析的准确性影响纠正措施的有效性的因素之一
C.审核方对于不符合项原因分析的准确性是影响纠正措施有效性的因素之一
D.审核组与受审核方应对不符合的原因进行共同分析,以确保纠正措施的有消息
答案:C
解析:GB/T 19011-2013 管理体系审核指南之6.7审核后续活动的实施
根据审核目标,审核结论可以表明采取纠正、纠正措施和预防措施或改进措施的需要。此类措施通常由受审核方确定并在商定的期限内实施。适当时,受审核方应将这些措施的实施状况告知审核方案管理人员和审核组。
应对措施的完成情况及有效性进行验证。验证可以是后续审核活动的一部分。
举例5.下列哪个不是审核计划必须的内容?()
A.受审核方的联系人
B.审核目的
C.审核范围
D.预计的现场审核持续时间
答案:A
解析:GBT 19011-2013 管理体系审核指南 之 6.3.2.2
6.3.2.2对于初次审核和随后的审核、内部审核和外部审核,审核计划的内容和详略程度可以有所不同。审核计划应具有充分的灵活性,以允许随着审核活动的进展进行必要的调整。
审核计划应包括或涉及下列内容:
a) 审核目标;
b)审核范围,包括受审核的组织单元、职能单元以及过程;
c) 审核准则和引用文件;
d)实施审核活动的地点、日期、预期的时间和期限,包括与受审核方管理者的会议;
e) 使用的审核方法,包括所需的审核抽样的范围,以获得足够的审核证据,适用时还包括抽样方案的设计;
f) 审核组成员、向导和观察员的作用和职责;
g)为审核的关键区域配置适当的资源。
举例6. 审核组中的技术专家是()。
A.审核组提供文化、法律、技术等方面知识咨询的人员。
B.特別负责对受审核方的专业技术过程进行审核的人员。
C.审核期间为受审核方提供技术咨询的人员。
D.从专业的角度对审核员的审核进行观察评价的人员。
答案:A
解析:GBT 19011-2013 管理体系审核指南之3.10
技术专家
向审核组(3.9)提供特定知识或技术的人员。
注1:特定知识或技术是指与受审核的组织、过程或活动以及语言或文化有关的知识或技术。
注2:在审核组(3.9)中,技术专家不作为审核员(3.8)。
[GB/T 19000-2008,定义3.9.11]
管理体系专业知识
米米诺
举例7.信息安全管理体系文件的多少和详细程度取决于()。
A.组织的规模和活动的类型
B.过程及其相关作用的复杂程度
C.人员的能力
D.以上都对
答案:D
解析:GB/T 22080-2016 信息安全管理体系-要求之7.5 文件化信息
7.5文件化信息
7.5.1总则
组织的信息安全管理体系应包括:
a) 本标准要求的文件化信息;
b) 组织为有效实施信息安全管理体系确定的必要的文件化信息。
注:不同组织的信息安全管理体系文件化信息的详略程度取决于:
1) 组织的规模及其活动、过程、产品和服务的类型;
2) 过程的复杂性及其相互作用;
3) 人员的能力。
举例8. 某银行将其物理区域按敏感性划分了安全等级,其中金库为最高等级,审核员进入金库审核需要得到分行行长批准,针对该场景,以下说法正确的是()。
A. 金库敏感性太高,应排除在认证审核范围之外
B. 这符合GB/T22080-2016/ISO/IE270:2013标准A9.1.1的要求
C. 这符合GB/T22080-2016/ISO/IE270:2013标准A11.1.2的要求
D. 这符合GB/T22080-2016/ISO/IE270:2013标准A6.1.2的要求
答案:B
解析:GB/T 22080-2016 信息安全管理体系-要求 之附录A
审核员进入金库需得到分行行长批准,属于访问控制范畴。
A.9.1.1 访问控制策略 控制措施
访问控制策略应建立、形成文件,并基于业务和信息安全要求进行评审。
A.6.1.2 职责分离 控制措施
分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。
A.11.L2 物理入口控制 控制措施
安全区域应由适合的入口控制所保护审核计划中应包括实施审核活动的地点,以确保只有授权的人员才允许访问。
举例9.以下不属于认证机构应考虑对组织的信息安全管理体系实施特殊审核的情形是()。
A. 组织获证范围内的业务活动场所、地址变更
B. 组织的适用性声明中对控制措施的选择相关内容发生变更
C. 组织获证范围内业务应用系统发生重大变更,如系统架构变更
D. 组织的信息安全管理体系年度内部审核计划变更
答案:D
解析:GB/T 22080-2016 信息安全管理体系-要求 之附录A
A.12.1.2 变更管理 控制措施
对影响信息安全的组织、业务过程、信息处理设施和系统等的变更应加以控制。
D选项属于内审计划的变更,不在认证机构应考虑的特殊审核范围内。
举例10.对于针对信息系统的软件包审核计划中应包括实施审核活动的地点,以下说法正确的是:( )
A.组织应具有有能力的人员,以便随吋对软件包进行适出性修改。
B.应尽量劝阻对软件包实施变更,以规避变更的风险。
C.软件包不必作为配置项进行管理。
D.软件包的安装必须由其开发商实施安装。
答案:B
解析:GBT 22080-2016 信息安全管理体系-要求 之附录A
A.14.2.4 软件包变更的限制 控制措施
应对软件包的修改进行劝阻,只限于必要的变更,且对所有的变更加以严格控制。
本题选B,C选项错误,软件包应作为配置项进行管理,D选项过于绝对。
