信息安全管理體系審核員真題

ISMS202209/11一、簡答1、內(nèi)審不符合項完成了30/35，審核員給開了不符合，是否正確？你怎么審核？[參考]不正確。應(yīng)作如下〔不符合項整改打算或驗證記錄審不符合項的訂正措施實施狀況，分析對不符合的緣由確定是否充分，所實施的訂正措施是否有效；所實行的訂正措施是否與相關(guān)影響相適宜，如對業(yè)務(wù)的風(fēng)險影響，風(fēng)險掌握策略和時間點目標(biāo)要求，與組織的資源力量相適應(yīng)。評估所實行的訂正措施帶來的風(fēng)險，假設(shè)該風(fēng)險可承受，則實行訂正措施，反之可實行適當(dāng)?shù)恼莆沾胧┘纯?。綜上，假設(shè)全部訂正措施符合風(fēng)險要求，與相關(guān)影響相適宜，則訂正措施適宜。2、在人力資源部查看網(wǎng)管培訓(xùn)記錄，負責(zé)人說證書在本人手里，培訓(xùn)是外包的，成績從那里要，要來后一看都合格，就完畢了審核，對嗎？[參考]不對。應(yīng)依據(jù)標(biāo)準(zhǔn)GB/T22080-2022條款5.2.2培訓(xùn)、意識和力量的要求進展如下詢問相關(guān)人員，了解是否有網(wǎng)管崗位說明書或相關(guān)職責(zé)、角色的文件？查閱網(wǎng)管職責(zé)相關(guān)文件，文件中如何規(guī)定網(wǎng)管的崗位要求，這些要求基于教育、培訓(xùn)、閱歷、技術(shù)和應(yīng)用力量方面的評價要求，以及相關(guān)的培訓(xùn)規(guī)程及評價方法；查閱網(wǎng)管培訓(xùn)記錄，是否符合崗位力量要求和培訓(xùn)規(guī)程的規(guī)定要求？了解相關(guān)部門和人員對網(wǎng)管培訓(xùn)后的工作力量確認和培訓(xùn)效果的評價，是否保持記錄？假設(shè)崗位力量經(jīng)評價不能滿足要求時，組織是否按規(guī)定要求實行適當(dāng)?shù)拇胧?，以保證崗位人員的力量要求。二、案例分析1、查某公司設(shè)備資產(chǎn)，負責(zé)人說臺式機放在辦公室，辦公室做了來自環(huán)境的威逼的預(yù)防；筆記本常常帶入帶出，有時在家工作，領(lǐng)導(dǎo)同意了，在家也沒什么擔(dān)憂全的。A9.2.5 組織場所外的設(shè)備安全 應(yīng)對組織場所的設(shè)備實行安全措施要考慮工作在組織場所以外的不同風(fēng)險2是正版。A12.5.2操作系統(tǒng)變更后應(yīng)用的技術(shù)評審 當(dāng)操作系統(tǒng)發(fā)生變更時應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進展評審和測試，以確保對組織的運行和安全沒有負面影響。3、創(chuàng)公司托付專業(yè)互聯(lián)網(wǎng)運營商供給網(wǎng)絡(luò)運營，供給商為了提升效勞級別，采用了技術(shù)，也通知了創(chuàng)公司，但創(chuàng)認為技術(shù)確定更好，就沒實行任何措施，后來由于軟件不兼容造成斷網(wǎng)了。A10.2.3第三方效勞的變更治理應(yīng)治理效勞供給的變更，包括保持和改進現(xiàn)有的信息安全策略、規(guī)程和掌握措施，并考慮到業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險的評估。4、查某公司信息安全大事處理時，有好幾份處理報告的緣由都是感染計算機病毒，負責(zé)人說我們嚴(yán)格的殺毒軟件下載應(yīng)用規(guī)程，不知道為什么沒有效，估量其它方法更沒用了。訂正措施5、查看web近總死機，都聯(lián)系不上供給商負責(zé)人了。A10.2.1安全掌握措施、效勞定義和交付水準(zhǔn)。單項選擇糾錯〔選擇一個最正確可行的答案〕1便于探測未經(jīng)授權(quán)的信息處理活動的發(fā)生2確保計算機連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問掌握策略3、針對信息系統(tǒng)的軟件包，應(yīng)盡量勸阻對軟件包實施變更，以躲避變更的風(fēng)險4、國家信息安全等級保護實行：自主定級、自主保護的原則。5、對于用戶訪問信息系統(tǒng)使用的口令，假設(shè)使用生物識別技術(shù)，可替代口令6到的時間點要求。7、關(guān)于IT系統(tǒng)審核，以下說法正確的選項是：組織經(jīng)評估認為IT系統(tǒng)審計風(fēng)險不行承受時，可以刪減。A.15.38、依據(jù)GB/T22080，組織與員工的保密性協(xié)議的內(nèi)容應(yīng)：反映組織信息保護需要的保密性或不泄露協(xié)議要求9、為了防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問，正確的做法是：依據(jù)訪問掌握策略限制用戶訪問應(yīng)用系統(tǒng)功能和隔離敏感系統(tǒng)10、 對于全部擬定的訂正和預(yù)防措施，在實施前應(yīng)先通過〔風(fēng)險分析〕過程進展評審。11、12、13、14、

WEB〔保證注冊帳戶的時效性。ISMS〔符合性。國家對于經(jīng)營性互聯(lián)網(wǎng)信息效勞實施：許可制度。針對獲證組織擴大范圍的審核，以下說法正確的選項是：一種特別審核，可以和監(jiān)視審核一起進展。15、 信息安全治理體系初次認證審核時，第一階段審核應(yīng)：對受審核方信息安全治理體系文件進展審核和符合性評價。16、 文件在信息安全治理體系中是一個必需的要素，文件有助于：確?？勺匪菪?。17、 對一段時間內(nèi)發(fā)生的信息安全大事類型、頻次、處理本錢的統(tǒng)計分析屬于大事治理。18、19、

哪一種安全技術(shù)是鑒別用戶身份的最好方法：生物測量技術(shù)。最正確的供給本地效勞器上的處理工資數(shù)據(jù)的訪問掌握是：使用軟件來約束授權(quán)用戶的訪問。20、 當(dāng)打算對組織的遠程辦公系統(tǒng)進展加密時應(yīng)當(dāng)首先答復(fù)下面哪一個問題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度。簡述題1、 審核員在某公司審核時，覺察該公司從保安公司聘用的保安的門卡可通行公司全部的門禁。公司主管信息安全的負責(zé)人解釋說，因保安負責(zé)公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查全部區(qū)域，所以只能給保安全權(quán)限門卡。審核員對此解釋表示認同。假設(shè)你是審核員，你將如何做？答：是否有形成文件的訪問掌握策略，并且包含針對公司每一局部物理區(qū)域的訪問掌握策略的內(nèi)容？訪問掌握策略是否基于業(yè)務(wù)和訪問的安全要素進展過評審？核實保安角色是否在訪問掌握策略中有明確規(guī)定？核實訪問掌握策略的制定是否與各物理區(qū)域風(fēng)險評價的結(jié)果全都？核實發(fā)生過的信息安全大事，是否與物理區(qū)域非授權(quán)進入有關(guān)？核實如何對保安進展背景調(diào)查，是否明確了其安全角色和職責(zé)？〔1〕詢問相關(guān)責(zé)任人，查閱文件3-5份，了解如何規(guī)定對信息安全大事進行總結(jié)的機制？該機制中是否明確定義了信息安全大事的類型？該機制是否規(guī)定了量化和監(jiān)視信息安全大事類型、數(shù)量和代價的方法和要求，并包括成功的和未遂大事？查閱監(jiān)視或記錄3-15條，查閱總結(jié)報告文件3-5份，了解是否針對信息安全大事進展測量，是否就類型、數(shù)量和代價進展了量化的總結(jié)，并包括成功的和未遂大事。查閱文件和記錄以及訪問相關(guān)責(zé)任人，核實依據(jù)監(jiān)視和量化總結(jié)的結(jié)果實行后續(xù)措施有效防止同類大事的再發(fā)生。案例分析題1、不符合標(biāo)準(zhǔn)GB/T2“”的要求。不符合事實：某知名網(wǎng)站總部陳設(shè)室中5臺演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng)。2、不符合標(biāo)準(zhǔn)GB/T22080-2022條款A(yù)9.1.2物理入口掌握“安全區(qū)域應(yīng)由適合不符合事實：現(xiàn)場覺察未經(jīng)授權(quán)的人員張X進出機器和網(wǎng)絡(luò)操作機房，卻沒〔GX28〕規(guī)定除授權(quán)工作人員可憑磁卡進出外，其余人員進出均須辦理準(zhǔn)入和登記手續(xù)。3、不符合標(biāo)準(zhǔn)GB/T22080-2022條款4.2.1d)識別風(fēng)險“3〕識別可能被威逼利用不符合事實：現(xiàn)場治理人員認為下載的軟件都是從知名網(wǎng)站上下載的，不會有問題。4、不符合標(biāo)準(zhǔn)GB/T22080-2022條款8.2訂正措施“組織應(yīng)實行措施，以消退與ISMS不符合事實：XX銀行在2022年一季度發(fā)生了10起網(wǎng)銀客戶資金損失事故，4-57起類似事故。5、“用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問掌握策略加以限制”的要求。不符合事實：開發(fā)人員可以修改測試問題記錄。6、不符合標(biāo)準(zhǔn)GB/T22080-2022條款“與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可