信息安全管理体系审核员真题.pdfVIP

信息安全管理体系审核员真题

第一篇：信息安全管理体系审核员真题

ISMS201409/11

一、简答

1、内审不符合项完成了30/35，审核员给开了不符合，是否正确？

你怎么审核？

[参考]不正确。应作如下审核：

（1）询问相关人员或查阅相关资料（不符合项整改计划或验证记

录），了解内审不符合项的纠正措施实施情况，分析对不符合的原因

确定是否充分，所实施的纠正措施是否有效；

（2）所采取的纠正措施是否与相关影响相适宜，如对业务的风险

影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。

（3）评估所采取的纠正措施带来的风险，如果该风险可接受，则

采取纠正措施，反之可采取适当的控制措施即可。

综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则

纠正措施适宜。

2、在人力资源部查看网管培训记录，负责人说证书在本人手里，

培训是外包的，成绩从那里要，要来后一看都合格，就结束了审核，

对吗？

[参考]不对。

应按照标准GB/T22080-2008条款5.2.2培训、意识和能力的要

求进行如下审核：（1）询问相关人员，了解是否有网管岗位说明书或

相关职责、角色的文件？（2）查阅网管职责相关文件，文件中如何规

定网管的岗位要求，这些要求基于教育、培训、经验、技术和应用能

力方面的评价要求，以及相关的培训规程及评价方法；

（3）查阅网管培训记录，是否符合岗位能力要求和培训规程的规

定要求？（4）了解相关部门和人员对网管培训后的工作能力确认和培

训效果的评价，是否保持记录？

（5）如果岗位能力经评价不能满足要求时，组织是否按规定要求

采取适当的措施，以保证岗位人员的能力要求。

二、案例分析

1、查某公司设备资产，负责人说台式机放在办公室，办公室做了

来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导

同意了，在家也没什么不安全的。A9.2.5组织场所外的设备安全

应对组织场所的设备采取安全措施，要考虑工作在组织场所以外

的不同风险

2、某公司操作系统升级都直接设置为系统自动升级，没出过什么

事，因为买的都是正版。A12.5.2操作系统变更后应用的技术评审

当操作系统发生变更时，应对业务的关键应用进行评审和测试，

以确保对组织的运行和安全没有负面影响。

3、创新公司委托专业互联网运营商提供网络运营，供应商为了提

升服务级别，采用了新技术，也通知了创新公司，但创新认为新技术

肯定更好，就没采取任何措施，后来因为软件不兼容造成断网了。

A10.2.3第三方服务的变更管理应管理服务提供的变更，包括保

持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统

和涉及过程的关键程度及风险的评估。

4、查某公司信息安全事件处理时，有好几份处理报告的原因都是

感染计算机病毒，负责人说我们严格的杀毒软件下载应用规程，不知

道为什么没有效，估计其它方法更没用了。8.2纠正措施

5、查看web服务器日志发现，最近几次经常重启，负责人说刚

买来还好用，最近总死机，都联系不上供应商负责人了。

A10.2.1应确保第三方实施、运行和保持包含在第三方服务交付

服务交付协议中的安全控制措施、服务定义和交付水准。

单选纠错（选择一个最佳可行的答案）

1、一个组织或安全域内所有信息处理设施与已设精确时钟源同步

是为了：便于探测未经授权的信息处理活动的发生。A.10.10

2、网络路由控制应遵从：确保计算机连接和信息流不违反业务应

用的访问控制策略。A.11.4.7

3、针对信息系统的软件包，应尽量劝阻对软件包实施变更，以规

避变更的风险。A.12.5.3

4、国家信息安全等级保护采取：自主定级、自主保护的原则。

5、对于用户访问信息系统使用的口令，如果使用生物识别技术，

可替代口令。A.11.3.1

6、信息安全灾备管理中，“恢复点目标”指：灾难发生后，系统

和数据必须恢复到的时间点要求。

7、关于IT系统审核，以下说法正确的是：组织经评估认为IT系

统审计风险