信息安全管理体系审核员真题完整版.pdf

息安全管理体系审核

员真题

HENsystemofficeroomHEN16H-HENS2AHENS8Q8-HENH1688】

1、内审不符合项完成了30/35，审核员给开了不符合，是否正确？你怎么

审核？

[参考]不正确。应作如下审核：

（1）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），

了解内审不符合项的纠正措施实施情况，分析对不符合的原因确定

是否充分，所实施的纠正措施是否有效；

（2）所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，

风险控制策略和时间点目标要求，与组织的资源能力相适应。

（3）评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠

正措施，反之可采取适当的控制措施即可。

综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠

正措施适宜。

2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是

外包的，成绩从那里要，要来后一看都合格，就结束了审核，对吗？

[参考]不对。

应按照标准GB/T22080-2008条款培训、意识和能力的要求进行如下审

核：

（1）询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文

件？

（2）查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要

求基于教育、培训、经验、技术和应用能力方面的评价要求，以及

（3）查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要

求？

（4）了解相关部门和人员对网管培训后的工作能力确认和培训效果的评

价，是否保持记录？

（5）如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适

当的措施，以保证岗位人员的能力要求。

二、案例分析

1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁

的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全

的。

A组织场所外的设备安全应对组织场所的设备采取安全措施，要考虑工作在组

织场所以外的不同风险

2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因

为买的都是正版。

A操作系统变更后应用的技术评审当操作系统发生变更时，应对业务的关键应

用进行评审和测试，以确保对组织的运行和安全没有负面影响。

3、创新公司委托专业互联网运营商提供网络运营，供应商为了提升服务级别，

采用了新技术，也通知了创新公司，但创新认为新技术肯定更好，就没采取任何措

施，后来因为软件不兼容造成断网了。

A第三方服务的变更管理应管理服务提供的变更，包括保持和改进现有的信息安

全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的评

估。

4、查某公司信息安全事件处理时，有好几份处理报告的原因都是感染计算机病

毒，负责人说我们严格的杀毒软件下载应用规程，不知道为什么没有效，估计其它

方法更没用了。

纠正措施

5、查看web服务器日志发现，最近几次经常重启，负责人说刚买来还好用，最

近总死机，都联系不上供应商负责人了。

A应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全

控制措施、服务定义和交付水准。

单选纠错（选择一个最佳可行的答案）

1、一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了：便于

探测未经授权的信息处理活动的发生

2、网络路由控制应遵从：确保计算机连接和信息流不违反业务应用的访问控制

策略

3、针对信息系统的软件包，应尽量劝阻对软件包实施变更，以规避变更的风险

、国家信息安全等级保护采取：自主定级、自主保护的原则。

5、对于用户访问信息系统使用的口令，如果使用生物识别技术，可替代口令

6、信息安全灾备管理中，“恢复点目标”指：灾难发生后，系统和数据必须恢

复到的时间点要求。

7、关于IT系统审核，以下说法正确的是：组织经评估认为IT系统审计风险不

可接受时，可以删减。依据