ISO27001內(nèi)審員考試試題

信息安全管理體系內(nèi)審員考試試題姓名：工作單位：考試日期：一年—月—日類別單項(xiàng)選擇題多項(xiàng)選擇題判斷題簡(jiǎn)答題闡述題案例分析總得分得分閱卷人簽字復(fù)核人簽字一、單項(xiàng)選擇題（每題1分，共15分）從以下每題的幾個(gè)答案中選擇一個(gè)你認(rèn)為最合適的，并將答案代號(hào)填入（ ）中。（）1.ISO/IEC27001從的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。a）客戶安全要求b）組織整體業(yè)務(wù)風(fēng)險(xiǎn)c）信息安全法律法規(guī)d）以上都不對(duì)（）2.組織聲稱符合ISO/IEC27001時(shí)，的要求可刪減。a）第4章b）第5章c）第7章d）附錄A（）3.審核準(zhǔn)則是指一組方針、程序或要求一組能夠證實(shí)的記錄、事實(shí)陳述或其他信息一組約束審核行為的規(guī)范d）以上都不對(duì)（ ）4.審核計(jì)劃a）應(yīng)由受審核方確認(rèn)，可適當(dāng)調(diào)整b）一經(jīng)確定，不能改動(dòng)c）受審核方可隨意改動(dòng)d）以上都不對(duì)（）5.以下哪一種描述不適合信息安全管理體系？a）是指國(guó)家對(duì)各重要信息系統(tǒng)實(shí)施信息安全管理的行政管理結(jié)構(gòu)b）是整個(gè)管理體系的一部分，它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的c）建立信息安全方針和目標(biāo)，并實(shí)現(xiàn)這些目標(biāo)的相互關(guān)聯(lián)或相互作用的一組要素d）包括信息安全管理機(jī)構(gòu)、體系文件及相關(guān)資源等要素（）6.信息安全管理體系要求 ISO/IEC27001屬于標(biāo)準(zhǔn)？a）詞匯類標(biāo)準(zhǔn)b）指南類標(biāo)準(zhǔn)c）要求類標(biāo)準(zhǔn)d）相關(guān)類標(biāo)準(zhǔn)（）7.現(xiàn)場(chǎng)跟蹤驗(yàn)證a）只適用于一般不符合項(xiàng)b）只適用于嚴(yán)重不符合項(xiàng)c）只適用于短期內(nèi)無(wú)法完成且又制訂了糾正措施計(jì)劃的一般不符合項(xiàng)d）以上都不對(duì)（）8.負(fù)責(zé)審核計(jì)劃、協(xié)調(diào)審核活動(dòng)并在審核活動(dòng)中領(lǐng)導(dǎo)審核活動(dòng)？a）審核小組成員b）信息安全經(jīng)理c）審核小組組長(zhǎng)d）以上都不是（）9.下面哪一個(gè)不是信息安全管理體系審核的依據(jù)？ISO/IEC27001ISMS文件c）信息安全專家建議d）相關(guān)法律法規(guī)（）10.審核類型將由審核員和被審核組織的關(guān)系來(lái)確定，因此內(nèi)部審核又稱為a）第一方審核b）第二方審核第三方審核d）以上都不對(duì)（）11.組織通過信息安全管理體系認(rèn)證則a）表明組織已不存在不符合項(xiàng)b）表明體系具備保護(hù)組織信息資產(chǎn)的能力c）表明組織已達(dá)到了其信息安全目標(biāo)d）以上都不對(duì)（）12.對(duì)于ISMS審核組而言，以下哪一種要求不是必須的？a）信息安全的理解b）從業(yè)務(wù)角度對(duì)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的理解c）被審核活動(dòng)的技術(shù)知識(shí)d）以上都不對(duì)（）13.信息安全管理體系認(rèn)證a）應(yīng)審核ISMS范圍內(nèi)的所有部門和所有人員b）指導(dǎo)受審核方改進(jìn)的過程c）尋找不符合項(xiàng)的過程d）可為受審核方提供控制措施的實(shí)施建議（）14.下列哪個(gè)要素可以不作為 ISMS審核時(shí)間判斷的依據(jù)？ISMS的復(fù)雜度b）高層管理者對(duì)信息安全問題的重視程度c）ISMS范圍內(nèi)執(zhí)行的業(yè)務(wù)的類型d）適用于認(rèn)證的標(biāo)準(zhǔn)和法規(guī)（）15.在認(rèn)證過程中，“根據(jù)審核報(bào)告，確定糾正措施”是的職責(zé)。a）審核組長(zhǎng)b）審核組c）受審核方d）以上都不對(duì)二、多項(xiàng)選擇題（每題2分，共10分）從以下每題的答案中選擇一個(gè)或多個(gè)你認(rèn)為合適的，并將答案代號(hào)填入（ ）中。（）1.ISMS第1階段審核的目的是a）獲取對(duì)組織信息安全管理體系的了解和認(rèn)識(shí)了解客戶組織的審核準(zhǔn)備狀態(tài)c）為計(jì)劃2階段審核提供重點(diǎn)d）確認(rèn)組織的信息安全管理體系符合標(biāo)準(zhǔn)或規(guī)范性文件的所有要求（）2.按照審核的先后順序劃分，審核包括a）第一階段審核b）第二階段審核c）監(jiān)督審核d）再認(rèn)證審核（）3.審核方案和審核計(jì)劃的區(qū)別包括a）范圍不同b）制定者不同c）實(shí)施者不同d）內(nèi)容不同（）4.以下屬于審核組長(zhǎng)的職責(zé)。a）確定審核的需要和目的b）組織編制現(xiàn)場(chǎng)審核有關(guān)的工作文件c)主持首末次會(huì)議和審核組會(huì)議d)代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通()5.審核計(jì)劃中應(yīng)涵蓋a)本次及其后續(xù)審核的時(shí)間安排b)審核準(zhǔn)則c)審核組成員及分工d)審核的日程安排三、判斷題(每題1分，共10分)卜列各題中，你認(rèn)為正確的在( )中劃，錯(cuò)誤的劃“x()1.糾正是指為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。()2.因信息安全問題在任何組織中都可能存在，所以組織在實(shí)施 ISMS時(shí)，不能刪減標(biāo)準(zhǔn)中任何安全控制措施的條款。()3.信息安全管理體系的范圍必須包括組織的所有場(chǎng)所和業(yè)務(wù)， 這樣才能保證安全。()4.記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。()5.資產(chǎn)越重要，其安全風(fēng)險(xiǎn)值就越大。()6.信息安全管理體系審核組內(nèi)必須有一名技術(shù)專家，提供信息安全的專門知識(shí)。()7.審核證據(jù)是指與審核有關(guān)的，并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息。()8.審核報(bào)告的內(nèi)容必須與末次會(huì)議的內(nèi)容基本一致。()9.現(xiàn)場(chǎng)審核過程中，受審核方為審核組配備的向?qū)Э蓞⑴c審核的全過程，但不能對(duì)受審核人員的回答做出澄清或提供幫助。()10.審核組長(zhǎng)在末次會(huì)議中應(yīng)該對(duì)受審核方是否通過認(rèn)證給出結(jié)論。 四、簡(jiǎn)答題(每題5分，共15分)1.管理者在信息安全管理體系的建立和實(shí)施過程中起到關(guān)鍵的作用，請(qǐng)指出ISO27001:2005中哪些條款體現(xiàn)了“管理者的作用” ，至少舉出2個(gè)條款并簡(jiǎn)要說明。2.什么是審核？按審核委托方劃分，審核可分為哪幾種類型，各自的目的是什么?3.什么是糾正措施？什么是預(yù)防措施？舉例說明糾正措施與預(yù)防措施的區(qū)別。五、闡述題（每題10分，共20分）1.如何依據(jù)ISO/IEC27001:2005審核A.8.3,組織應(yīng)確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系。公司負(fù)責(zé)網(wǎng)絡(luò)安全2.在某公司人事部，審核員向人力資源部負(fù)責(zé)人了解培訓(xùn)情況時(shí)得知,的管理人員的培訓(xùn)是請(qǐng)專門的網(wǎng)絡(luò)安全培訓(xùn)機(jī)構(gòu)進(jìn)行的。審核員想看看這些人員的培訓(xùn)成公司負(fù)責(zé)網(wǎng)絡(luò)安全績(jī)及證書，該負(fù)責(zé)人說，證書他們自己保存，我們替他們保存反而不方便。培訓(xùn)成績(jī)?cè)谂嘤?xùn)機(jī)構(gòu)，你們要看的話，我打電話聯(lián)系，讓他們發(fā)過來(lái)。審核員同意，并查閱了發(fā)過來(lái)的成績(jī)，由于成績(jī)合格，審核員表示滿意，并結(jié)束了培訓(xùn)的審核。這樣的審核是否符合要求？為什么？如果請(qǐng)您去審核，您會(huì)怎么做？六、案例分析題（每題6分，共30分）請(qǐng)根據(jù)所述情況判斷：如能判斷有不符合項(xiàng)，請(qǐng)寫出不符合ISO27001：2005標(biāo)準(zhǔn)的條款號(hào)、內(nèi)容和嚴(yán)重程度，并寫出不符合事實(shí)，如提供的證據(jù)不能足以判斷有不符合項(xiàng)時(shí)，請(qǐng)寫出進(jìn)一步審核的思路。判分標(biāo)準(zhǔn)：不符合和內(nèi)容2分，不符合事實(shí)描述 2分，不符合的嚴(yán)重程度2分。1．審核員在某公司機(jī)房查閱 Web服務(wù)器日志時(shí)發(fā)現(xiàn)，該服務(wù)器經(jīng)常重啟，管理人員說，這臺(tái)服務(wù)器在剛買回來(lái)時(shí)，還沒有問題，但最近幾天經(jīng)常死機(jī)，我們跟服務(wù)器提供商聯(lián)系，但一直找不到對(duì)此負(fù)責(zé)的人。2．某公司的體系文件中包含《信息安全事件管理程序》，審核員在詢問某員工在信息安全事件管理中的職責(zé)時(shí)， 該員工說：“我們沒有發(fā)生過信息安全事件， 所以也沒有人讓我們?nèi)タ催@個(gè)程序，更不知道有什么職責(zé)了。 ”.審核員在某公司的體系文件中看到了對(duì)技術(shù)脆弱性的控制要求， 詢問信息安全管理部長(zhǎng)該控制措施的實(shí)施情況時(shí)，部長(zhǎng)回答，我們已經(jīng)制定了實(shí)施策略，但由于資金一直沒有到位，所以還沒有購(gòu)買系統(tǒng)審計(jì)軟件。.某公司在內(nèi)部審核時(shí)，針對(duì)不同部門，組成審核組。在對(duì)技術(shù)開發(fā)部進(jìn)行審核時(shí)，由信息安全部經(jīng)理任審核組長(zhǎng)，技術(shù)開發(fā)部副經(jīng)理和運(yùn)營(yíng)部副經(jīng)理任組員，因?yàn)樗麄儍蓚€(gè)對(duì)技術(shù)部的工作流程、業(yè)務(wù)和人員等最為了解。.創(chuàng)新公司的網(wǎng)絡(luò)接入服務(wù)由互聯(lián)網(wǎng)專業(yè)提供商提供， 為了防止網(wǎng)絡(luò)安全問題，他們簽訂了服務(wù)提供協(xié)議，規(guī)定了必要的安全安排、服務(wù)水準(zhǔn)等事宜。互聯(lián)網(wǎng)專業(yè)提供商為提高服務(wù)級(jí)別，采用了新的技術(shù)，并通知了創(chuàng)新公司，創(chuàng)新公司認(rèn)為既然是新技術(shù)，肯定比原來(lái)的要好，沒有采取任何行動(dòng)。但由于互聯(lián)網(wǎng)專業(yè)提供商的技術(shù)兼容問題， 出現(xiàn)了網(wǎng)絡(luò)中斷,導(dǎo)致了創(chuàng)新公司的業(yè)務(wù)中斷。3、真真的心，想你；美美的意，戀你；暖暖的懷，抱你；甜甜的笑，給你；癡癡的眼，看你；深深的夜，夢(mèng)你；滿滿的情，寵你；久久的我，愛你!4不管從什么時(shí)候開始，重要的是開始以后不要停止；不管在什么時(shí)候結(jié)束，重要的是結(jié)束以后不要后悔。愛情來(lái)了，你還在猶豫么？5美女，我注意你好久啦，就是不知道怎么表白。我翻來(lái)覆去，思來(lái)想去，最終想到一個(gè)大膽的辦法，我要俘虜你的心，讓你愛上我。愛上了嗎？&對(duì)你的愛意，早已飛過萬(wàn)水千山，飛到你眼前，請(qǐng)你睜開眼，仔細(xì)看認(rèn)真聽，我的眼睛為你明亮，我的嗓音為你歌唱，來(lái)吧，讓我們一起舞動(dòng)愛情之歌!7、愛你沒商量，你的眼睛眨一下，我就死去，你的眼睛再眨一下，我就活過來(lái)，你的眼睛不停地眨來(lái)眨去，于是我便死去活來(lái)!&因?yàn)樯類郏也坏皆~匯詮釋，因?yàn)樯類?，找不到言語(yǔ)概括，因?yàn)樯類?，只能發(fā)條短信，輕聲說一聲 我愛你”這不是三個(gè)字，而是一輩子!9我對(duì)你的心是鮮啤酒，清澈甘冽；我對(duì)你的情是葡萄酒，味美甘甜；我對(duì)你的愛是刀燒酒，熱情濃烈；醉倒在懷，無(wú)限愛戀。10、人生短短幾十年，不要給自己留下了什么遺憾，想笑就笑，想哭就哭，該愛的時(shí)候就去愛，無(wú)謂壓抑自己。人生的苦悶有二，一是欲望沒有被滿足，二是它得到了滿足。11、一片瓊花天庭落，萬(wàn)里江山披銀河，冰凌也有相思苦，寫意窗花含淚說，曇花一現(xiàn)夜夢(mèng)短，早有晨光盼春歌。想你，我的心會(huì)和你一起啟程，祈禱每一個(gè)黎明。12。戒指好比愛情，戴在手上，也是戴在心上；傷在心上，便也傷在手上。不敢碰的，是那心里的傷；不愿摘的，是那難舍的愛。13、在追求愛情的列車上，透過車窗，可以欣賞到許多優(yōu)美的景色，但是，請(qǐng)不要留戀，因?yàn)榻K點(diǎn)站才是真正的目的地。但愿我能夠成為你永遠(yuǎn)的終點(diǎn)站!14、愛一個(gè)人真的好難，讓我歡喜讓我憂！如果不讓我去愛你的話，我會(huì)更難受，更彷徨。所以為了我自己，我還是愛著你吧!15、誠(chéng)摯的微笑，每一次心跳，或許寂然無(wú)聲，卻勝過虛幻的海誓山盟；真情的碰撞，靈魂的契合，或許不夠浪漫，卻勝過無(wú)數(shù)的真情告白。16、此時(shí)此刻我又想起了你，想你的感覺是一種酸酸的痛！不能打電話告訴你，只想用文字親親你！記住愛你的人始終是我!17、愛你一萬(wàn)年，夸張！愛你五千年，無(wú)望！愛