信息安全管理体系建设案例分析试题及答案.docxVIP

信息安全管理体系建设案例分析试题及答案

案例背景

XX制造有限公司（以下简称“XX制造”）是一家专注于汽车零部件研发与生产的国家高新技术企业，现有员工2300人，年营收超45亿元。近年来，企业加速数字化转型，部署了ERP（企业资源计划）、PLM（产品生命周期管理）、MES（制造执行系统）等核心信息系统，并搭建了数字化车间与工业互联网平台，实现了研发、生产、销售全流程数据贯通。2022年，企业因客户要求及自身合规需求，启动ISO/IEC27001信息安全管理体系（ISMS）建设项目。

关键事件与问题：

2023年3月，企业开展首次内部审核时发现：研发部门员工通过私人邮箱传输产品设计图纸；生产车间工控机未安装杀毒软件，存在多个高危漏洞；IT部门对第三方运维人员的账号权限未定期回收。

2023年11月，企业PLM系统遭遇勒索软件攻击，部分核心设计数据被加密，导致研发进度延迟2周，直接经济损失约120万元。事后调查显示，攻击路径为某测试服务器未关闭默认端口，被攻击者利用弱口令登录后横向渗透。

2024年1月，企业申请ISO/IEC27001认证时，认证机构指出：风险评估报告中未明确“工业控制系统（ICS）”的资产价值评估标准；应急响应计划（IRP）仅覆盖网络安全事件，未包含物理安全事件（如机房火灾）；管理层未定期评审ISMS绩效，缺乏可量化的目标考核机制。

试题

一、单项选择题（每题2分，共10分）

1.根据ISO/IEC27001:2022标准，信息安全管理体系的核心运行模式是（）。

A.PDCA循环（计划执行检查改进）

B.风险管理四步法（识别评估处理监控）

C.三横三纵防护体系（技术管理运营）

D.等保2.0三级要求

2.XX制造PLM系统勒索软件攻击事件中，“测试服务器未关闭默认端口”属于（）。

A.资产脆弱性

B.安全威胁

C.安全事件

D.风险后果

3.针对研发部门员工通过私人邮箱传输设计图纸的问题，最适宜的控制措施是（）。

A.部署邮件加密系统

B.制定《数据跨境传输管理办法》

C.实施终端设备准入控制

D.修订《内部数据传输规范》并开展培训

4.ISO/IEC27001认证审核中，“管理层未定期评审ISMS绩效”不符合标准中的（）要求。

A.资源管理（7.1）

B.绩效评价（9.1）

C.运行控制（8.2）

D.改进（10.1）

5.工业控制系统（ICS）的资产价值评估需重点考虑（）。

A.硬件采购成本

B.系统停机对生产的影响

C.软件授权费用

D.运维人员数量

二、简答题（每题8分，共40分）

1.简述XX制造在ISMS建设中，风险评估的主要步骤及需输出的关键文档（需结合案例背景）。

2.分析案例中“第三方运维人员账号权限未定期回收”可能引发的安全风险，并提出至少3项控制措施。

3.说明ISO/IEC27001标准中“信息安全方针”的核心要素，并结合XX制造实际，设计其信息安全方针的具体内容（不超过100字）。

4.针对2023年11月的勒索软件攻击事件，从技术和管理两个维度，提出应急响应计划的改进建议。

5.解释“信息安全管理体系持续改进”的内涵，并列举XX制造可采取的3种持续改进措施。

三、案例分析题（共50分）

问题1（15分）：结合案例背景，分析XX制造ISMS建设过程中暴露的管理漏洞（至少5项），并说明每项漏洞对应的ISO/IEC27001标准条款。

问题2（20分）：假设你是XX制造ISMS建设项目负责人，需向管理层汇报下一步改进计划。请设计汇报的核心内容框架（需包含目标、重点任务、责任部门、时间节点）。

问题3（15分）：若XX制造计划通过认证后申请“国家级工业互联网安全防护示范企业”，需补充哪些与ISMS相关的支撑材料？

答案

一、单项选择题

1.A（ISO/IEC27001采用PDCA循环作为体系运行的基本模式）

2.A（脆弱性指资产可被威胁利用的弱点，如未关闭端口属于技术脆弱性）

3.D（员工行为问题需通过制度约束与培训解决，修订规范并培训是根源性措施）

4.B（绩效评价要求管理层定期评审体系有效性，对应标准9.1条款）

5.B（工业控制系统的核心价值在于保障生产连续性，停机影响是关键评估因素）

二、简答题

1.风险评估步骤及关键文档：

步骤：①资产识别（识别PLM、MES、工控机等资产，案例中需重点关注研发数据、工业控制系统）；②威胁分析（如勒索软件攻击、第三方运维越权访问）