信息安全管理体系审核员.pdfVIP

ISMS201409/11

一、简答

1、内审不符合项完成了30/35，审核员给开了不符合，是否正确？你怎么审核？

［参考］不正确。应作如下审核：

(1)询问相关人员或查阅相关资料(不符合项整改计划或验证记录)，了解内审不符合项的纠正

措施实施情况，分析对不符合的原因确定是否充分所实施的纠正措施是否有效；

(2)所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点

目标要求，与组织的资源能力相适应。

(3)评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适

当的控制措施即可。

综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜

2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的，成绩从

那里要，要来后一看都合格，就结束了审核,对吗？

［参考］不对。

GB/T22080—20085.22

应按照标准条款。培训、意识和能力的要求进行如下审核：

(1)询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件？

(2)查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基于教育、培训、经

验、技术和应用能力方面的评价要求，以及相关的培训规程及评价方法;

(3)查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要求？

(4)了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价，是否保持记录？

(5)如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适当的措施以保证岗位人

员的能力要求。

二、案例分析

1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；

笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。

A9。2.5组织场所外的设备安全应对组织场所的设备采取安全措施要考虑工作在组织场所以外的不同风

险

2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事,因为买的都是正版.

A1252

。。操作系统变更后应用的技术评审当操作系统发生变更时，应对业务的关键应用进行评审和

测试，以确保对组织的运彳亍和安全没有负面影响。

3、创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别，采用了新技

术,也通知了创新公司，但创新认为新技术肯定更好，就没采取任何措施，后来因为软件不

兼容造成断网了。

A1023

。。第三方服务的变更管理应管理服务提供的变更，包括保持和改进现有的信息安全策略、规

程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的评估。

4、查某公司信息安全事件处理时，有好几份处理报告的原因都是感染计算机病毒，负责人

说我们严格的杀毒软件下载应用规程，不知道为什么没有效，估计其它方法更没用了.

8.2纠正措施

5、查看web服务器日志发现，最近几次经常重启，负责人说刚买来还好用最近总死机，

都联系不上供应商负责人了。

A10。2.1应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服

务定义和交付水准.

单选纠错（选择一个最佳可行的答案）

1、一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了：便于探测未经授权的信

息处理活动的发生。A.10.10

2确保计算机连接和信息流不违反业务应用的访问控制策略A

、网络路由控制应遵从：。。

11.4.7

3应尽量劝阻对软件包实施变更,以规避变更的风险A°12.53

、针对信息系统的软件包，。。

4、国家信息安全等级保护采取：自主定级、自主保护的原则。

5