279、信息安全管理体系(ISMS)的建设和实施是一个组织的战略性举措。若一个组织声称自己的 ISKS 符合1SO/IBC27001 或心 BT22080 标准要求,则需实施准要求,则需实施以下 ISMS 建设的各项工作,哪不属于ISMS 建设的工作( )

本题考查的是信息安全管理体系（ISMS）建设与实施的标准流程，依据是ISO/IEC 27001:2022（题干中误写为“ISO/IBC27001”和“BT22080”，应为ISO/IEC 27001和ISO/IEC 27002；其中ISO/IEC 27002原为ISO/IEC 17799，后演进为27002，而“GB/T 22080”是我国等同采用ISO/IEC 27001的国家标准，即《信息技术 安全技术 信息安全管理体系 要求》）。 根据ISO/IEC 27001:2022标准，ISMS的建立与运行遵循PDCA（Plan-Do-Check-Act）循环模型，其核心阶段明确划分为以下四个主要过程： - **C：规划与建立 ISMS**（Plan） 包括确定ISMS范围、方针、风险评估与处置、体系文件编制等，属于PDCA中的“Plan”阶段。 - **D：实施和运行 ISMS**（Do） 包括资源提供、职责分配、控制措施实施、意识培训、运行过程管理等，对应“Do”阶段。 - **A：监视和评审 ISMS**（Check） 包括绩效监测、内部审核、管理评审、不符合与纠正措施等，属于“Check”阶段。注意：“监视和评审”是标准术语组合——监视（monitoring）侧重日常运行指标跟踪，评审（review）特指管理层定期开展的管理评审（Management Review），二者共同构成“Check”。 - **B：保持和审核 ISMS**（×） 此选项表述不准确，存在概念混淆： - “保持ISMS”并非ISO/IEC 27001标准中独立的工作阶段；体系的持续改进与维护已内化于PDCA各环节，尤其是“Act”（改进）和“Check”（评审与审核）之中。 - “审核”（audit）确属ISMS活动，但标准中明确归类为“监视和评审”（Clause 9.2 内部审核、Clause 9.3 管理评审），是“Check”阶段的组成部分，而非与“规划”“实施”“监视评审”并列的独立建设阶段。 - 更关键的是，ISO/IEC 27001:2022标准结构中，**不存在名为“保持和审核”的独立工作阶段**；将“保持”与“审核”强行并列，既不符合标准术语，也割裂了PDCA逻辑——审核是监视评审的手段之一，而“保持”是体系运行的自然结果，非一项可单独列出的建设任务。 因此，选项B不属于ISO/IEC 27001所定义的ISMS建设四项基本工作之一。其余A、C、D均严格对应标准PDCA四阶段的核心活动。 **正确答案：B** 核心知识点总结： - ISO/IEC 27001采用PDCA循环框架构建ISMS； - 四个标准阶段为：Plan（规划与建立）、Do（实施和运行）、Check（监视和评审）、Act（保持与改进）； - “审核”是Check阶段的具体活动，不可脱离“监视和评审”单独列为建设阶段； - “保持”在标准中体现为Act阶段的“持续改进”（Clause 10），而非独立建设工作； - 题干中“ISKS”“IBC”“BT”等均为笔误，应识别为“ISMS”“IEC”“GB/T”。