信息安全管理體系審核員真題

1、ISMS202109/11一、簡答1、內(nèi)審不符合項(xiàng)完成了30/35,審核員給開了不符合,是否正確你怎么審核參考不正確.應(yīng)作如下(1)詢問相關(guān)人員或查閱相關(guān)資料(不符合項(xiàng)整改方案或驗(yàn)證記錄),了解內(nèi)審不符合項(xiàng)的糾正舉措實(shí)施情況,分析對不符合的原因確定是否充分,所實(shí)施的糾正舉措是否有效；(2)所采取的糾正舉措是否與相關(guān)影響相適宜,如對業(yè)務(wù)的風(fēng)險(xiǎn)影響,風(fēng)險(xiǎn)限制策略和時(shí)間點(diǎn)目標(biāo)要求,與組織的資源水平相適應(yīng).(3)評估所采取的糾正舉措帶來的風(fēng)險(xiǎn),如果該風(fēng)險(xiǎn)可接受,那么采取糾正措施,反之可采取適當(dāng)?shù)南拗婆e措即可.綜上,如果所有糾正舉措符合風(fēng)險(xiǎn)要求,與相關(guān)影響相適宜,那么糾正措施適宜.2、在人力資源部查看網(wǎng)

2、管培訓(xùn)記錄,負(fù)責(zé)人說證書在本人手里,培訓(xùn)是外包的,成績從那里要,要來后一看都合格,就結(jié)束了審核,對嗎參考不對.應(yīng)根據(jù)標(biāo)準(zhǔn)GB/T22080-2021條款培訓(xùn)、意識和水平的要求進(jìn)行如下(1)詢問相關(guān)人員,了解是否有網(wǎng)管崗位說明書或相關(guān)責(zé)任、角色的文件(2)查閱網(wǎng)管責(zé)任相關(guān)文件,文件中如何規(guī)定網(wǎng)管的崗位要求,這些要求基于教育、培訓(xùn)、經(jīng)驗(yàn)、技術(shù)和應(yīng)用水平方面的評價(jià)要求,以及相關(guān)的培訓(xùn)規(guī)程及評價(jià)方法；(3)查閱網(wǎng)管培訓(xùn)記錄,是否符合崗位水平要求和培訓(xùn)規(guī)程的規(guī)定要求(4)了解相關(guān)部門和人員對網(wǎng)管培訓(xùn)后的工作水平確認(rèn)和培訓(xùn)效果的評價(jià),是否保持記錄(5)如果崗位水平經(jīng)評價(jià)不能滿足要求時(shí),組織是否按規(guī)定要求采

3、取適當(dāng)?shù)呐e措,以保證崗位人員的水平要求.二、案例分析1、查某公司設(shè)備資產(chǎn),負(fù)責(zé)人說臺式機(jī)放在辦公室,辦公室做了來自環(huán)境的威脅的預(yù)防；筆記本經(jīng)常帶入帶出,有時(shí)在家工作,領(lǐng)導(dǎo)同意了,在家也沒什么不安全的.A組織場所外的設(shè)備平安應(yīng)對組織場所的設(shè)備采取平安舉措,要考慮工作在組織場所以外的不同風(fēng)險(xiǎn)2、某公司操作系統(tǒng)升級都直接設(shè)置為系統(tǒng)自動升級,沒出過什么事,由于買的都是正版.A操作系統(tǒng)變更后應(yīng)用的技術(shù)評審當(dāng)操作系統(tǒng)發(fā)生變更時(shí),應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試,以保證對組織的運(yùn)行和平安沒有負(fù)面影響.3、創(chuàng)新公司委托專業(yè)互聯(lián)網(wǎng)運(yùn)營商提供網(wǎng)絡(luò)運(yùn)營,供給商為了提升效勞級別,采用了新技術(shù),也通知了創(chuàng)新公司,但創(chuàng)新

4、認(rèn)為新技術(shù)肯定更好,就沒采取任何措施,后來由于軟件不兼容造成斷網(wǎng)了.A第三方效勞的變更治理應(yīng)治理效勞提供的變更,包括保持和改良現(xiàn)有的信息平安策略、規(guī)程和限制舉措,并考慮到業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險(xiǎn)的評估.4、查某公司信息平安事件處理時(shí),有好幾份處理報(bào)告的原因都是感染計(jì)算機(jī)病毒,負(fù)責(zé)人說我們嚴(yán)格的殺毒軟件下載應(yīng)用規(guī)程,不知道為什么沒有效,估計(jì)其它方法更沒用了糾正舉措5、查看web效勞器日志發(fā)現(xiàn),最近幾次經(jīng)常重啟,負(fù)責(zé)人說剛買來還好用,最近總死機(jī),都聯(lián)系不上供給商負(fù)責(zé)人了.A應(yīng)保證第三方實(shí)施、運(yùn)行和保持包含在第三方效勞交付效勞交付協(xié)議中的平安限制舉措、效勞定義和交付水準(zhǔn).單項(xiàng)選擇糾錯(cuò)選擇一

5、個(gè)最正確可行的答案1、一個(gè)組織或平安域內(nèi)所有信息處理設(shè)施與已設(shè)精確時(shí)鐘源同步是為了：便于探測未經(jīng)授權(quán)的信息處理活動的發(fā)生2、網(wǎng)絡(luò)路由限制應(yīng)遵從：保證計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問限制策略3、針對信息系統(tǒng)的軟件包,應(yīng)盡量勸阻對軟件包實(shí)施變更,以躲避變更的風(fēng)險(xiǎn)4、國家信息平安等級保護(hù)采?。鹤灾鞫?、自主保護(hù)的原那么.5、對于用戶訪問信息系統(tǒng)使用的口令,如果使用生物識別技術(shù),可替代口令6、信息平安災(zāi)備治理中,“恢復(fù)點(diǎn)目標(biāo)指：災(zāi)難發(fā)生后,系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求.7、關(guān)于IT系統(tǒng)審核,以下說法正確的選項(xiàng)是：組織經(jīng)評估認(rèn)為IT系統(tǒng)審計(jì)風(fēng)險(xiǎn)不可接受時(shí),可以刪減.依據(jù)GB/T22080,組織

6、與員工的保密性協(xié)議的內(nèi)容應(yīng)：反映組織信息保護(hù)需要的保密性或不泄露協(xié)議要求8、為了預(yù)防對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問,正確的做法是：根據(jù)訪問限制策略限制用戶訪問應(yīng)用系統(tǒng)功能和隔離敏感系統(tǒng)9、對于所有擬定的糾正和預(yù)防舉措,在實(shí)施前應(yīng)先通過風(fēng)險(xiǎn)分析過程進(jìn)行評10、 不屬于WEB效勞器的平安舉措是保證注冊帳戶的時(shí)效性.11、 文件初審是評價(jià)受審核方ISMS文件的描述與審核準(zhǔn)那么的符合性.12、 國家對于經(jīng)營性互聯(lián)網(wǎng)信息效勞實(shí)施：許可制度.13、 針對獲證組織擴(kuò)大范圍的審核,以下說法正確的選項(xiàng)是：一種特殊審核,可以和監(jiān)督審核一起進(jìn)行.14、 信息平安治理體系初次認(rèn)證審核時(shí),第一階段審核應(yīng)：對受審核方信息安

7、全治理體系文件進(jìn)行審核和符合性評價(jià).15、 文件在信息平安治理體系中是一個(gè)必須的要素,文件有助于：保證可追溯性016、 對一段時(shí)間內(nèi)發(fā)生的信息平安事件類型、頻次、處理本錢的統(tǒng)計(jì)分析屬于事件治理.17、 哪一種平安技術(shù)是鑒別用戶身份的最好方法：生物測量技術(shù).18、 最正確的提供本地效勞器上的處理工資數(shù)據(jù)的訪問限制是：使用軟件來約束授權(quán)用戶的訪問.19、 當(dāng)方案對組織的遠(yuǎn)程辦公系統(tǒng)進(jìn)行加密時(shí),應(yīng)該首先答復(fù)下面哪一個(gè)問題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度.簡述題1、 審核員在某公司審核時(shí),發(fā)現(xiàn)該公司從保安公司聘用的保安的門卡可通行公司所有的門禁.公司主管信息平安的負(fù)責(zé)人解釋說,因保安負(fù)責(zé)公司的物理區(qū)域

8、平安,他們夜里以及節(jié)假日要值班和巡查所有區(qū)域,所以只能給保安全權(quán)限門卡.審核員對此解釋表示認(rèn)同.如果你是審核員,你將如何做答:(1)是否有形成文件的訪問限制策略,并且包含針對公司每一局部物理區(qū)域的訪問限制策略的內(nèi)容(2)訪問限制策略是否基于業(yè)務(wù)和訪問的平安要素進(jìn)行過評審(3)核實(shí)保安角色是否在訪問限制策略中有明確規(guī)定(4)核實(shí)訪問限制策略的制定是否與各物理區(qū)域風(fēng)險(xiǎn)評價(jià)的結(jié)果一致(5)核實(shí)發(fā)生過的信息平安事件,是否與物理區(qū)域非授權(quán)進(jìn)入有關(guān)(6)核實(shí)如何對保安進(jìn)行背景調(diào)查,是否明確了其平安角色和責(zé)任答：(1)詢問相關(guān)責(zé)任人,查閱文件3-5份,了解如何規(guī)定對信息平安事件進(jìn)行總結(jié)的機(jī)制該機(jī)制中是否明確

9、定義了信息平安事件的類型該機(jī)制是否規(guī)定了量化和監(jiān)視信息平安事件類型、數(shù)量和代價(jià)的方法和要求,并包括成功的和未遂事件(2)查閱監(jiān)視或記錄3-15條,查閱總結(jié)報(bào)告文件3-5份,了解是否針對信息平安事件進(jìn)行測量,是否就類型、數(shù)量和代價(jià)進(jìn)行了量化的總結(jié),并包括成功的和未遂事件.(3)查閱文件和記錄以及訪問相關(guān)責(zé)任人,核實(shí)根據(jù)監(jiān)視和量化總結(jié)的結(jié)果采取后續(xù)舉措有效預(yù)防同類事件的再發(fā)生.案例分析題1、不符合標(biāo)準(zhǔn)GB/T2"的要求.不符合事實(shí)：某知名網(wǎng)站總部陳列室中5臺演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng).2、不符合標(biāo)準(zhǔn)GB/T22080-2021條款物理入口限制“平安區(qū)域應(yīng)由適合的入口限制所保護(hù),以保證

10、只有授權(quán)的人員才允許訪問.的要求.不符合事實(shí)：現(xiàn)場發(fā)現(xiàn)未經(jīng)授權(quán)的人員張X進(jìn)出機(jī)器和網(wǎng)絡(luò)操作機(jī)房,卻沒有任何登記記錄,而程序文件GX28規(guī)定除授權(quán)工作人員可憑磁卡進(jìn)出外,其余人員進(jìn)出均須辦理準(zhǔn)入和登記手續(xù).3、不符合標(biāo)準(zhǔn)GB/T22080-2021條款d識別風(fēng)險(xiǎn)"3識別可能被威脅利用的脆弱性；的要求.不符合事實(shí)：現(xiàn)場治理人員認(rèn)為下載的軟件都是從知名網(wǎng)站上下載的,不會有問題.4、不符合標(biāo)準(zhǔn)GB/T22080-2021條款糾正舉措“組織應(yīng)采取舉措,以消除與ISMS要求不符合的原因,以預(yù)防再發(fā)生.的要求.不符合事實(shí)：XX銀行在2021年一季度發(fā)生了10起網(wǎng)銀客戶資金損失事故,4-5月又發(fā)生7起類似事故.5、“用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問限制策略加以限制的要求.不符合事實(shí)：開發(fā)人員可以修改測試問題記錄.6、不符合標(biāo)準(zhǔn)GB/T22080-2021條款“與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可接受使用規(guī)那么應(yīng)被確定、形成文件并加以實(shí)