信息安全管理體系審核員 真題(共9頁(yè))

1、ISMS 201409/11一、簡(jiǎn)答內(nèi)審不符合項(xiàng)完成了30/35，審核員給開了不符合，是否正確(zhngqu)？你怎么審核？參考(cnko)不正確。應(yīng)作如下審核：詢問(wèn)相關(guān)人員或查閱相關(guān)資料（不符合項(xiàng)整改計(jì)劃或驗(yàn)證記錄），了解(lioji)內(nèi)審不符合項(xiàng)的糾正措施實(shí)施情況，分析對(duì)不符合的原因確定是否充分，所實(shí)施的糾正措施是否有效；所采取的糾正措施是否與相關(guān)影響相適宜，如對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)影響，風(fēng)險(xiǎn)控制策略和時(shí)間點(diǎn)目標(biāo)要求，與組織的資源能力相適應(yīng)。評(píng)估所采取的糾正措施帶來(lái)的風(fēng)險(xiǎn)，如果該風(fēng)險(xiǎn)可接受，則采取糾正措施，反之可采取適當(dāng)?shù)目刂拼胧┘纯?。綜上，如果所有糾正措施符合風(fēng)險(xiǎn)要求，與相關(guān)影響相適宜，則糾正措施

2、適宜。在人力資源部查看網(wǎng)管培訓(xùn)記錄，負(fù)責(zé)人說(shuō)證書在本人手里，培訓(xùn)是外包的，成績(jī)從那里要，要來(lái)后一看都合格，就結(jié)束了審核，對(duì)嗎？參考不對(duì)。應(yīng)按照標(biāo)準(zhǔn)GB/T 22080-2008條款5.2.2 培訓(xùn)、意識(shí)和能力的要求進(jìn)行如下審核：詢問(wèn)相關(guān)人員，了解是否有網(wǎng)管崗位說(shuō)明書或相關(guān)職責(zé)、角色的文件？查閱網(wǎng)管職責(zé)相關(guān)文件，文件中如何規(guī)定網(wǎng)管的崗位要求，這些要求基于教育、培訓(xùn)、經(jīng)驗(yàn)、技術(shù)和應(yīng)用能力方面的評(píng)價(jià)要求，以及相關(guān)的培訓(xùn)規(guī)程及評(píng)價(jià)方法；查閱網(wǎng)管培訓(xùn)記錄，是否符合崗位能力要求和培訓(xùn)規(guī)程的規(guī)定要求？了解相關(guān)部門和人員對(duì)網(wǎng)管培訓(xùn)后的工作能力確認(rèn)和培訓(xùn)效果的評(píng)價(jià)，是否保持記錄？如果崗位能力經(jīng)評(píng)價(jià)不能滿足要求時(shí)

3、，組織是否按規(guī)定要求采取適當(dāng)?shù)拇胧?，以保證崗位人員的能力要求。二、案例分析1、查某公司設(shè)備資產(chǎn)，負(fù)責(zé)人說(shuō)臺(tái)式機(jī)放在辦公室，辦公室做了來(lái)自環(huán)境的威脅的預(yù)防；筆記本經(jīng)常帶入帶出，有時(shí)在家工作，領(lǐng)導(dǎo)同意了，在家也沒(méi)什么不安全的。A 9.2.5 組織(zzh)場(chǎng)所外的設(shè)備(shbi)安全 應(yīng)對(duì)組織(zzh)場(chǎng)所的設(shè)備采取安全措施，要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)某公司操作系統(tǒng)升級(jí)都直接設(shè)置為系統(tǒng)自動(dòng)升級(jí)，沒(méi)出過(guò)什么事，因?yàn)橘I的都是正版。A 12.5.2 操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審 當(dāng)操作系統(tǒng)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。創(chuàng)新公司委托專業(yè)互聯(lián)網(wǎng)運(yùn)

4、營(yíng)商提供網(wǎng)絡(luò)運(yùn)營(yíng)，供應(yīng)商為了提升服務(wù)級(jí)別，采用了新技術(shù)，也通知了創(chuàng)新公司，但創(chuàng)新認(rèn)為新技術(shù)肯定更好，就沒(méi)采取任何措施，后來(lái)因?yàn)檐浖患嫒菰斐蓴嗑W(wǎng)了。A 10.2.3 第三方服務(wù)的變更管理 應(yīng)管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務(wù)系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的評(píng)估。查某公司信息安全事件處理時(shí)，有好幾份處理報(bào)告的原因都是感染計(jì)算機(jī)病毒，負(fù)責(zé)人說(shuō)我們嚴(yán)格的殺毒軟件下載應(yīng)用規(guī)程，不知道為什么沒(méi)有效，估計(jì)其它方法更沒(méi)用了。8.2糾正措施查看 web服務(wù)器日志發(fā)現(xiàn)，最近幾次經(jīng)常重啟，負(fù)責(zé)人說(shuō)剛買來(lái)還好用，最近總死機(jī)，都聯(lián)系不上供應(yīng)商負(fù)責(zé)人了。A 10.2.1

5、應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。單選糾錯(cuò)(ji cu)（選擇一個(gè)最佳可行(kxng)的答案）一個(gè)組織或安全(nqun)域內(nèi)所有信息處理設(shè)施與已設(shè)精確時(shí)鐘源同步是為了：便于探測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的發(fā)生。A.10.10網(wǎng)絡(luò)路由控制應(yīng)遵從：確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問(wèn)控制策略。A.11.4.7針對(duì)信息系統(tǒng)的軟件包，應(yīng)盡量勸阻對(duì)軟件包實(shí)施變更，以規(guī)避變更的風(fēng)險(xiǎn)。A.12.5.3國(guó)家信息安全等級(jí)保護(hù)采?。鹤灾鞫?jí)、自主保護(hù)的原則。對(duì)于用戶訪問(wèn)信息系統(tǒng)使用的口令，如果使用生物識(shí)別技術(shù)，可替代口令。 A.11.3.1信息安全

6、災(zāi)備管理中，“恢復(fù)點(diǎn)目標(biāo)”指：災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求。關(guān)于IT系統(tǒng)審核，以下說(shuō)法(shuf)正確的是：組織經(jīng)評(píng)估認(rèn)為IT系統(tǒng)審計(jì)風(fēng)險(xiǎn)不可接受時(shí)，可以(ky)刪減。A.15.3依據(jù)GB/T 22080 ，組織與員工的保密性協(xié)議(xiy)的內(nèi)容應(yīng)：反映組織信息保護(hù)需要的保密性或不泄露協(xié)議要求。A.6.1.5為了防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問(wèn)，正確的做法是：按照訪問(wèn)控制策略限制用戶訪問(wèn)應(yīng)用系統(tǒng)功能和隔離敏感系統(tǒng)。A.11.1.1 A.11.6.2對(duì)于所有擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)先通過(guò)（風(fēng)險(xiǎn)分析）過(guò)程進(jìn)行評(píng)審。不屬于WEB服務(wù)器的安全措施是（保證注冊(cè)帳戶的時(shí)效性）。文件

7、初審是評(píng)價(jià)受審核方ISMS文件的描述與審核準(zhǔn)則的（符合性）。國(guó)家對(duì)于經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)施：許可制度。針對(duì)獲證組織擴(kuò)大范圍的審核，以下說(shuō)法正確的是：一種特殊審核，可以和監(jiān)督審核一起進(jìn)行。信息安全管理體系初次認(rèn)證審核時(shí)，第一階段審核應(yīng)：對(duì)受審核方信息安全管理體系文件進(jìn)行審核和符合性評(píng)價(jià)。文件在信息安全管理體系中是一個(gè)必須的要素，文件有助于：確?？勺匪菪?。對(duì)一段時(shí)間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計(jì)分析屬于事件管理。哪一種安全技術(shù)是鑒別用戶身份的最好方法：生物測(cè)量技術(shù)。最佳的提供本地(bnd)服務(wù)器上的處理工資數(shù)據(jù)的訪問(wèn)控制是：使用(shyng)軟件來(lái)約束授權(quán)用戶的訪問(wèn)。當(dāng)計(jì)劃對(duì)組織

8、的遠(yuǎn)程辦公系統(tǒng)進(jìn)行(jnxng)加密時(shí)，應(yīng)該首先回答下面哪一個(gè)問(wèn)題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度。簡(jiǎn)述題審核員在某公司審核時(shí)，發(fā)現(xiàn)該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負(fù)責(zé)人解釋說(shuō)，因保安負(fù)責(zé)公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查所有區(qū)域，所以只能給保安全權(quán)限門卡。審核員對(duì)此解釋表示認(rèn)同。如果你是審核員，你將如何做？答：應(yīng)根據(jù)標(biāo)準(zhǔn)GB/T 22080-2008條款A(yù).11.1.1審核以下內(nèi)容：是否有形成文件的訪問(wèn)控制策略，并且包含針對(duì)公司每一部分物理區(qū)域的訪問(wèn)控制策略的內(nèi)容？訪問(wèn)控制策略是否基于業(yè)務(wù)和訪問(wèn)的安全要素進(jìn)行過(guò)評(píng)審？核實(shí)保安角色是否在訪

9、問(wèn)控制策略中有明確規(guī)定？核實(shí)訪問(wèn)控制策略的制定是否與各物理區(qū)域風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果一致？核實(shí)發(fā)生過(guò)的信息安全事件，是否與物理區(qū)域非授權(quán)進(jìn)入有關(guān)？核實(shí)如何對(duì)保安進(jìn)行背景調(diào)查，是否明確了其安全角色和職責(zé)？請(qǐng)闡述對(duì)GB/T 22080中A.13.2.2的審核思路。答：（1）詢問(wèn)相關(guān)責(zé)任人，查閱文件3-5份，了解如何規(guī)定對(duì)信息安全事件進(jìn)行總結(jié)的機(jī)制？該機(jī)制中是否明確定義了信息安全事件的類型？該機(jī)制是否規(guī)定了量化和監(jiān)視信息安全事件類型、數(shù)量和代價(jià)的方法和要求，并包括成功的和未遂事件？（2）查閱監(jiān)視或記錄3-15條，查閱總結(jié)報(bào)告文件3-5份，了解是否針對(duì)信息安全事件進(jìn)行測(cè)量，是否就類型、數(shù)量和代價(jià)進(jìn)行了量化的總

10、結(jié)，并包括成功的和未遂事件。（3）查閱文件和記錄以及訪問(wèn)相關(guān)責(zé)任人，核實(shí)根據(jù)監(jiān)視和量化總結(jié)的結(jié)果采取后續(xù)措施有效防止同類事件的再發(fā)生。案例(n l)分析題不符合標(biāo)準(zhǔn)GB/T 22080-2008條款(tiokun) A.11.4.6 網(wǎng)絡(luò)連接控制“對(duì)于共享的網(wǎng)絡(luò)，特別是越過(guò)組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問(wèn)控制策略和業(yè)務(wù)應(yīng)用要求加以(jiy)限制（見A.11.1）?！钡囊?。不符合事實(shí)：某知名網(wǎng)站總部陳列室中5臺(tái)演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng)。2、 不符合標(biāo)準(zhǔn)GB/T 22080-2008條款 A9.1.2 物理入口控制“安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問(wèn)。

11、”的要求。不符合事實(shí)：現(xiàn)場(chǎng)發(fā)現(xiàn)未經(jīng)授權(quán)的人員張X進(jìn)出機(jī)器和網(wǎng)絡(luò)操作機(jī)房，卻沒(méi)有任何登記記錄，而程序文件（GX28）規(guī)定除授權(quán)工作人員可憑磁卡進(jìn)出外，其余人員進(jìn)出均須辦理準(zhǔn)入和登記手續(xù)。 不符合標(biāo)準(zhǔn)GB/T 22080-2008條款4.2.1 d) 識(shí)別風(fēng)險(xiǎn)“3）識(shí)別可能被威脅利用的脆弱性；”的要求。不符合事實(shí)：現(xiàn)場(chǎng)管理人員認(rèn)為下載的軟件都是從知名網(wǎng)站上下載的，不會(huì)有問(wèn)題。不符合標(biāo)準(zhǔn)GB/T 22080-2008條款(tiokun)8.2 糾正措施“組織應(yīng)采取措施，以消除(xioch)與ISMS要求不符合的原因，以防止再發(fā)生?！钡囊?yoqi)。不符合事實(shí)：XX銀行在2008年一季度發(fā)生了10

12、起網(wǎng)銀客戶資金損失事故，4-5月又發(fā)生7起類似事故。不符合標(biāo)準(zhǔn)GB/T 22080-2008條款A(yù).11.6.1信息訪問(wèn)控制“用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)應(yīng)依照已確定的訪問(wèn)控制策略加以限制”的要求。不符合事實(shí)：開發(fā)人員可以修改測(cè)試問(wèn)題記錄。不符合標(biāo)準(zhǔn)GB/T 22080-2008條款A(yù).7.1.3資產(chǎn)的可接受使用“與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施”的要求。不符合事實(shí)：非常敏感的系統(tǒng)設(shè)計(jì)文件，公司要求開發(fā)人員只可讀，不可以修改，且不可以在公司其他部門傳閱，但未對(duì)開發(fā)人員是否可以打印進(jìn)行規(guī)定。不符合標(biāo)準(zhǔn)GB/T 22080-2008條款A(yù).11.3.3清空桌面和屏幕策略“應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略”的要求。不符合事實(shí)：敏感票據(jù)(pio j)印刷企業(yè)的制版工藝工藝師辦公桌上散放著三份含水量有票據(jù)制版工藝要求的生產(chǎn)通知單。內(nèi)容