信息安全管理体系审核员真题.doc

ISMS 201409/11 一、简答 内审不符合项完成了30/35，审核员给开了不符合，是否正确？你怎么审核？ [参考]不正确。应作如下审核： 询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解内审不符合项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效； 所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。 评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的控制措施即可。 综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜。 在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的，成绩从那里要，要来后一看都合格，就结束了审核，对吗？ [参考]不对。 应按照标准GB/T 22080-2008条款5.2.2 培训、意识和能力的要求进行如下审核： 询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件？ 查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基于教育、培训、经验、技术和应用能力方面的评价要求，以及相关的培训规程及评价方法； 查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要求？ 了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价，是否保持记录？ 如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适当的措施，以保证岗位人员的能力要求。 二、案例分析 1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。 A 9.2.5 组织场所外的设备安全 应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险 某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因为买的都是正版。 A 12.5.2 操作系统变更后应用的技术评审 当操作系统发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。 创新公司委托专业互联网运营商提供网络运营，供应商为了提升服务级别，采用了新技术，也通知了创新公司，但创新认为新技术肯定更好，就没采取任何措施，后来因为软件不兼容造成断网了。 A 10.2.3 第三方服务的变更管理 应管理服务提供的变更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的评估。 查某公司信息安全事件处理时，有好几份处理报告的原因都是感染计算机病毒，负责人说我们严格的杀毒软件下载应用规程，不知道为什么没有效，估计其它方法更没用了。 8.2纠正措施 查看 web服务器日志发现，最近几次经常重启，负责人说刚买来还好用，最近总死机，都联系不上供应商负责人了。 A 10.2.1 应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服务定义和交付水准。 单选纠错（选择一个最佳可行的答案） 一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了：便于探测未经授权的信息处理活动的发生。A.10.10 网络路由控制应遵从：确保计算机连接和信息流不违反业务应用的访问控制策略。A.11.4.7 针对信息系统的软件包，应尽量劝阻对软件包实施变更，以规避变更的风险。A.12.5.3 国家信息安全等级保护采取：自主定级、自主保护的原则。 对于用户访问信息系统使用的口令，如果使用生物识别技术，可替代口令。 A.11.3.1 信息安全灾备管理中，“恢复点目标”指：灾难发生后，系统和数据必须恢复到的时间点要求。 关于IT系统审核，以下说法正确的是：组织经评估认为IT系统审计风险不可接受时，可以删减。A.15.3 依据GB/T 22080 ，组织与员工的必威体育官网网址性协议的内容应：反映组织信息保护需要的必威体育官网网址性或不泄露协议要求。A.6.1.5 为了防止对应用系统中信息的未授权访问，正确的做法是：按照访问控制策略限制用户访问应用系统功能和隔离敏感系统。A.11.1.1 A.11.6.2 对于所有拟定的纠正和预防措施，在实施前应先通过（风险分析）过程进行评审。 不属于WEB服务器的安全措施是（保证注册帐户的时效性）。 文件初审是评价受审核方ISMS文件的描述与审核准则的（符合性）。 国家对于经营性互联网信息服务实施：许可制度。 针对获证组织扩大范围的审核，以下说法正确的是：一种特殊审核，可以和监督审核一起进行。 信息安全管理体系初次认证审核时，第一阶段审核应：对受审核方信息安全管理体系文件进行审核和符合性评价。 文件在信息安全管理体系中是一个必须的要素，文件有助于：