信息安全管理體系審核員真題

1、ISMS 201409/11、簡答1、 內(nèi)審不符合項完成了 30/35 ，審核員給開了不符合，是否正確？你怎么審核？ 參考 不正確。應作如下審核：（ 1） 詢問相關人員或查閱相關資料（不符合項整改計劃或驗證記錄） ，了解內(nèi)審不符合項的糾正措施實施情況，分析對不符合的原因確定是否充分，所實施的糾正措施是否有效；（ 2） 所采取的糾正措施是否與相關影響相適宜，如對業(yè)務的風險影響，風險控制策略和時間點 目標要求，與組織的資源能力相適應。（ 3） 評估所采取的糾正措施帶來的風險，如果該風險可接受，則采取糾正措施，反之可采取適 當?shù)目刂拼胧┘纯伞?綜上，如果所有糾正措施符合風險要求，與相關影響相適宜，則

2、糾正措施適宜。2、 在人力資源部查看網(wǎng)管培訓記錄，負責人說證書在本人手里，培訓是外包的，成績從那里要，要 來后一看都合格，就結(jié)束了審核，對嗎？參考 不對。應按照標準 GB/T 22080-2008 條款 5.2.2 培訓、意識和能力的要求進行如下審核：（ 1） 詢問相關人員，了解是否有網(wǎng)管崗位說明書或相關職責、角色的文件？（ 2） 查閱網(wǎng)管職責相關文件，文件中如何規(guī)定網(wǎng)管的崗位要求，這些要求基于教育、培訓、經(jīng) 驗、技術和應用能力方面的評價要求，以及相關的培訓規(guī)程及評價方法；（ 3） 查閱網(wǎng)管培訓記錄，是否符合崗位能力要求和培訓規(guī)程的規(guī)定要求？（ 4） 了解相關部門和人員對網(wǎng)管培訓后的工作能力確

3、認和培訓效果的評價，是否保持記錄？（ 5） 如果崗位能力經(jīng)評價不能滿足要求時， 組織是否按規(guī)定要求采取適當?shù)拇胧?以保證崗位 人員的能力要求。二、案例分析1、查某公司設備資產(chǎn)， 負責人說臺式機放在辦公室， 辦公室做了來自環(huán)境的威脅的預防； 筆記本經(jīng)常帶入帶出， 有時在家工作，領導同意了，在家也沒什么不安全的。A 9.2.5 組織場所外的設備安全 應對組織場所的設備采取安全措施，要考慮工作在組織場所以外的不同風險2、 某公司操作系統(tǒng)升級都直接設置為系統(tǒng)自動升級，沒出過什么事，因為買的都是正版。A 12.5.2 操作系統(tǒng)變更后應用的技術評審 當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行評審和測試

4、，以 確保對組織的運行和安全沒有負面影響。3、創(chuàng)新公司委托專業(yè)互聯(lián)網(wǎng)運營商提供網(wǎng)絡運營，供應商為了提升服務級別，采用了新技術，也通知了創(chuàng)新 公司，但創(chuàng)新認為新技術肯定更好，就沒采取任何措施，后來因為軟件不兼容造成斷網(wǎng)了。A 10.2.3 第三方服務的變更管理 應管理服務提供的變更，包括保持和改進現(xiàn)有的信息安全策略、規(guī)程和控制措 施，并考慮到業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的評估。4、查某公司信息安全事件處理時，有好幾份處理報告的原因都是感染計算機病毒，負責人說我們嚴格的殺毒 軟件下載應用規(guī)程，不知道為什么沒有效，估計其它方法更沒用了。8.2糾正措施5、查看 web 服務器日志發(fā)現(xiàn)，最近幾次經(jīng)

5、常重啟，負責人說剛買來還好用，最近總死機，都聯(lián)系不上供應商 負責人了。A 10.2.1 應確保第三方實施、運行和保持包含在第三方服務交付服務交付協(xié)議中的安全控制措施、服務定義和 交付水準。單選糾錯（ 選擇一個最佳可行的答案 ）1、一個組織或安全域內(nèi)所有信息處理設施與已設精確時鐘源同步是為了：便于探測未經(jīng)授權的信息處理活動的發(fā)生2、網(wǎng)絡路由控制應遵從： 確保計算機連接和信息流不違反業(yè)務應用的訪問控制策略3、針對信息系統(tǒng)的軟件包， 應盡量勸阻對軟件包實施變更，以規(guī)避變更的風險4、國家信息安全等級保護采?。?自主定級、自主保護的原則 。5、對于用戶訪問信息系統(tǒng)使用的口令，如果使用生物識別技術，可替代

6、口令6、信息安全災備管理中，“恢復點目標”指：災難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復到的時間點要求 。7、關于 IT 系統(tǒng)審核，以下說法正確的是： 組織經(jīng)評估認為 IT 系統(tǒng)審計風險不可接受時，可以刪減。 A.15.38、依據(jù) GB/T 22080 ，組織與員工的保密性協(xié)議的內(nèi)容應： 反映組織信息保護需要的保密性或不泄露協(xié)議要求9、為了防止對應用系統(tǒng)中信息的未授權訪問，正確的做法是： 按照訪問控制策略限制用戶訪問應用系統(tǒng)功能 和隔離敏感系統(tǒng)10、對于所有擬定的糾正和預防措施，在實施前應先通過（風險分析 ）過程進行評審。11、不屬于 WEB 服務器的安全措施是（ 保證注冊帳戶的時效性 ）。12、文件初審

7、是評價受審核方 ISMS 文件的描述與審核準則的（ 符合性 ）。13、國家對于經(jīng)營性互聯(lián)網(wǎng)信息服務實施：許可制度 。14、針對獲證組織擴大范圍的審核，以下說法正確的是：一種特殊審核，可以和監(jiān)督審核一起進行 。15、信息安全管理體系初次認證審核時，第一階段審核應：對受審核方信息安全管理體系文件進行審核和符合性評價 。16、文件在信息安全管理體系中是一個必須的要素，文件有助于：確?？勺匪菪?。17、對一段時間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計分析屬于事件管理 。18、哪一種安全技術是鑒別用戶身份的最好方法：生物測量技術 。19、最佳的提供本地服務器上的處理工資數(shù)據(jù)的訪問控制是：使用軟件

8、來約束授權用戶的訪問 。20、當計劃對組織的遠程辦公系統(tǒng)進行加密時，應該首先回答下面哪一個問題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度 。簡述題1、 審核員在某公司審核時， 發(fā)現(xiàn)該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。 公司主管信息 安全的負責人解釋說，因保安負責公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查所有區(qū)域，所 以只能給保安全權限門卡。審核員對此解釋表示認同。如果你是審核員，你將如何做？答：（ 1） 是否有形成文件的訪問控制策略，并且包含針對公司每一部分物理區(qū)域的訪問控制策略的內(nèi)容？ （ 2） 訪問控制策略是否基于業(yè)務和訪問的安全要素進行過評審？（ 3） 核實保安角色是否在

9、訪問控制策略中有明確規(guī)定？（ 4） 核實訪問控制策略的制定是否與各物理區(qū)域風險評價的結(jié)果一致？（ 5） 核實發(fā)生過的信息安全事件，是否與物理區(qū)域非授權進入有關？（ 6） 核實如何對保安進行背景調(diào)查，是否明確了其安全角色和職責？ 答： （1）詢問相關責任人，查閱文件3-5 份，了解如何規(guī)定對信息安全事件進行總結(jié)的機制？該機制中是否明確定義了信息安全事件的類型？該機制是否規(guī)定了量化和監(jiān)視信息安全事件類型、數(shù)量和代價的方法 和要求，并包括成功的和未遂事件？（ 2）查閱監(jiān)視或記錄 3-15 條，查閱總結(jié)報告文件 3-5 份，了解是否針對信息安全事件進行測量，是否就 類型、數(shù)量和代價進行了量化的總結(jié)，并

10、包括成功的和未遂事件。（ 3）查閱文件和記錄以及訪問相關責任人，核實根據(jù)監(jiān)視和量化總結(jié)的結(jié)果采取后續(xù)措施有效防止同類事件的再發(fā)生。案例分析題1、 “”的要求。 不符合事實：某知名網(wǎng)站總部陳列室中 5 臺演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng)。2、不符合標準 GB/T 22080-2008 條款 A9.1.2 物理入口控制“安全區(qū)域應由適合的入口控制所保護，以確保只 有授權的人員才允許訪問?！钡囊?。不符合事實：現(xiàn)場發(fā)現(xiàn)未經(jīng)授權的人員張 X 進出機器和網(wǎng)絡操作機房，卻沒有任何登記記錄，而程序文件 （GX28 ）規(guī)定除授權工作人員可憑磁卡進出外，其余人員進出均須辦理準入和登記手續(xù)。3、不符合標準 GB/T

11、 22080-2008 條款 4.2.1 d） 識別風險“ 3）識別可能被威脅利用的脆弱性；”的要求。 不符合事實：現(xiàn)場管理人員認為下載的軟件都是從知名網(wǎng)站上下載的，不會有問題。4、不符合標準 GB/T 22080-2008 條款 8.2 糾正措施“組織應采取措施，以消除與 ISMS 要求不符合的原因，以 防止再發(fā)生。”的要求。不符合事實： XX 銀行在 2008年一季度發(fā)生了 10起網(wǎng)銀客戶資金損失事故， 4-5 月又發(fā)生 7起類似事故。5、“用戶和支持人員對信息和應用系統(tǒng)功能的訪問應依照已確定的訪問控制策略加以限制”的要求。 不符合事實：開發(fā)人員可以修改測試問題記錄。6、不符合標準 GB/T 22080-2008 條款“與信息處理設施有關的信息和資產(chǎn)可接受使用規(guī)則應被確定、形成文