信息安全内审员考核试题及答案.docxVIP

信息安全内审员考核试题及答案

一、单项选择题（每题2分，共20分）

1.依据ISO/IEC27001:2022标准，信息安全管理体系（ISMS）的核心运行模式是（）。

A.PDCA循环（计划执行检查改进）

B.风险评估控制监测

C.目标设定执行审核

D.合规性检查整改再验证

2.以下哪项不属于信息安全内审的“准备阶段”工作？（）

A.制定审核计划

B.收集受审部门的ISMS相关文档

C.与受审部门负责人沟通审核时间

D.对不符合项进行跟踪验证

3.在信息安全风险评估中，“资产价值”的确定应基于（）。

A.资产的采购成本

B.资产对组织业务的关键程度

C.资产的技术先进性

D.资产的使用年限

4.ISO/IEC27001:2022要求组织应定期评审信息安全目标，评审的频率至少为（）。

A.每季度一次

B.每半年一次

C.每年一次

D.每两年一次

5.某企业的财务系统访问日志仅保存了15天，根据ISO27001控制措施A.12.4（日志和监控），这一情况可能违反的要求是（）。

A.日志应覆盖所有与信息安全相关的事件

B.日志应保留足够时间以支持事件调查和合规性要求

C.日志应加密存储

D.日志应定期备份至离线介质

6.信息安全内审中，“抽样”的主要目的是（）。

A.减少审核时间和成本

B.通过部分样本推断整体符合性

C.避免暴露组织敏感信息

D.聚焦高风险区域

7.以下哪项属于“技术性信息安全控制措施”？（）

A.员工信息安全培训制度

B.服务器访问权限最小化配置

C.物理机房门禁管理

D.数据分类与标记流程

8.当发现受审部门未按规定对重要数据进行加密传输时，内审员应首先（）。

A.记录为“严重不符合项”

B.与受审部门负责人确认事实

C.要求立即整改并关闭系统

D.在审核报告中直接描述问题

9.ISO/IEC27001:2022中，“信息安全方针”的制定责任主体是（）。

A.信息安全部门负责人

B.最高管理层

C.内审组组长

D.合规官

10.某组织的信息资产清单中未包含员工个人使用的移动存储设备（用于工作），这可能违反ISO27001控制措施中的（）。

A.A.8.1（资产责任）

B.A.9.1（访问控制策略）

C.A.10.1（密码策略）

D.A.11.1（物理安全边界）

二、判断题（每题1分，共10分。正确填“√”，错误填“×”）

1.信息安全内审的目的是验证ISMS是否符合ISO27001标准要求，无需考虑组织自身的业务需求。（）

2.内审员可以审核自己直接负责的部门，只要具备相应资质。（）

3.风险评估报告中只需记录“高风险”项，低风险项可忽略。（）

4.信息安全事件发生后，组织只需向内部管理层报告，无需通知外部机构。（）

5.访问控制的“最小权限原则”要求用户仅获得完成工作所需的最低权限。（）

6.加密技术是信息安全技术控制措施的一种，但不属于管理控制措施。（）

7.信息安全方针应明确信息安全的总体目标、范围和责任，但无需包含具体的技术指标。（）

8.内审记录只需保存至审核报告发布后即可销毁。（）

9.物理安全控制措施（如机房监控）与信息安全无关，因此不属于ISMS范围。（）

10.当受审部门对不符合项的整改措施提出异议时，内审员应立即终止审核并上报管理层。（）

三、简答题（每题8分，共40分）

1.简述信息安全内审的主要步骤，并说明每个步骤的关键活动。

2.请列举ISO/IEC27001:2022中“运行控制”部分的至少5项控制措施（需写出控制措施编号及名称）。

3.信息安全风险评估的“残余风险”指什么？组织应如何处理残余风险？

4.内审员在现场审核中发现某部门员工未按规定定期更换登录密码，且密码复杂度不足（如使用“123456”）。请分析该问题可能涉及的ISO27001控制措施，并说明内审员应采取的处理流程。

5.请解释“信息安全管理体系文件化信息”的组成，并说明内审时需重点审核的内容。

四、案例分析题（共30分）

背景：某制造企业（以下简称“甲公司”）已建立ISO27001信息安全管理体系，近期开展内部审核。内审组在审核IT部门时发现以下问题：

（1）服务器日志仅记录了“登录成功”事件，未记录“登录失败”事件；

（2）生产控制系统的访问权限