ISO27001信息安全管理體系注冊審核員模擬試題

Word文檔可以編輯ISO27001 信息安全治理體系注冊審核員模擬試題考題 A2018-04-07 來源：國家注冊審核員網一、推斷題：728分〕信息安全的主要屬性有保密性、完整性、可用性?！拘畔踩卫眢w系由假設干信息安全治理類組成。

【對】集中監(jiān)控的網狀部署構造的節(jié)點監(jiān)控中心之間的通訊需要與治理中心協(xié)調調度方可進展。【錯】為了安全起見，網絡安全員與報警處置中心聯(lián)系的只使用網絡這條唯一通道?！惧e】黑色星期四“是因有人通過BELL試驗室與Internet連接的有漏洞的機器上放置了一個蠕蟲程序而引起網絡災難得名的?！惧e】信息戰(zhàn)的軍事目標是指一個國家軍隊的網絡系統(tǒng)、信息系統(tǒng)、數(shù)據(jù)資源?！惧e】網絡物理隔離是指兩個網絡間鏈路層、網絡層在任何時刻都不能直接通訊?！惧e】二、單項選擇題：832分〕關于實現(xiàn)信息安全過程的描述，以下哪一項論述不正確?！?D】A．信息安全的實現(xiàn)是一個大的過程，其中包含很多小的可細分過程B．組織應當是別信息安全實現(xiàn)中的每一個過程C．對每一個分解后的信息安全的過程實施監(jiān)控和測量D．信息安全的實現(xiàn)是一個技術的過程 √建立和實施信息安全治理體系的重要原則是。A．領導重視 B．全員參與 C．持續(xù)改進

【D】D．以上各項都是√組織在建立和實施信息安全治理體系的過程中，領導重視可以。【A．指明方向和目標 B．供給組織保障 C．供給資源保障

D】D.以上各項都是√你認為建立信息安全治理體系時，首先因該：【A．風險評估 B．建立信息安全方針和目標

B】C．風險治理

D．制定安全策略《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證治理方法》A． B．公安部 C．密碼辦 D．以上都不是

是由那個部門公布的：【B】計算機信息系統(tǒng)安全專用產品，是指。【 C】A．用于保護計算機信息系統(tǒng)安全的專用硬件產品B．用于保護計算機信息系統(tǒng)安全的專用軟件產品C．用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產品 √D．以上都不是涉及國家隱秘的計算機信息系統(tǒng)，必需：【A．實行物理隔離 B．實行規(guī)律隔離

A】C．實行單向隔離 D．以上都不是計算機信息系統(tǒng)安全等級保護的等級是由那幾個因素確定?！?B】依據(jù)計算機信息系統(tǒng)面臨的風險專業(yè)資料完善整理WordWord文檔可以編輯專業(yè)資料完善整理專業(yè)資料完善整理依據(jù)計算機信息系統(tǒng)資源的經濟和社會價值及其面臨的風險 √依據(jù)計算機信息系統(tǒng)價值D．以上都不是三、多項選擇題：840分〕信息安全方針和策略的流程是〔〕?！続．安全方針和策略 B．資金投入治理

ABC】C．信息安全規(guī)劃 D．以上都不是從系統(tǒng)整體看，下述那些問題屬于系統(tǒng)安全漏洞。 【ABC】A、產品缺少安全功能 B、產品有Bugs

C、缺少足夠的安全學問

D、人為錯誤應對操作系統(tǒng)安全漏洞的根本方法是什么？?！?AB】A、對默認安裝進展必要的調整C、準時安裝最的安全補丁

B、給全部用戶設置嚴格的口令D、更換到另一種操作系統(tǒng)計算機安全事故包括以下幾個方面〔〕。【 ABCD】因自然因素，導致發(fā)生危害計算機信息系統(tǒng)安全的大事B．因自然因素，進入可能導致危害計算機信息系統(tǒng)安全的非正常運行狀態(tài)的大事C．因人為緣由，導致發(fā)生危害計算機信息系統(tǒng)安全的大事D．因人為緣由，進入可能導致危害計算機信息系統(tǒng)安全的非正常運行狀態(tài)的 大事病毒防護必需具備哪些準則?！?ABCD】A、拒絕訪問力量C、掌握病毒傳播的力量

B、病毒檢測力量D、去除力量、恢復力量、替代操作防火墻治理員應擔當下面哪些責任：〔〕?！疽?guī)劃和部署，策略制定，規(guī)章配置與測試

ABCD】防火墻狀態(tài)監(jiān)控防火墻日志審計分析 D．安全大事的響應處理應建立計算機信息網絡安全治理組織的聯(lián)網單位有：〔〕。【

ABC】A、各互聯(lián)網接入效勞單位C、專線接入互聯(lián)網的單位

B、信息效勞單位D、全部接入互聯(lián)網的單位實行計算機安全事故和計算機案件報告制度是〔〕。【 ABCD】A、是計算機信息系統(tǒng)安全監(jiān)察和安全防范、安全治理工作中的重要組成局部B、是貫徹落實有關安全法規(guī)，強化計算機信息系統(tǒng)安全治理的標準性要求C、是公安機關了解把握計算機信息系統(tǒng)應用單位內部安全治理狀況的手段D、是國家法規(guī)的要求，也是全部計算機使用單位和用戶，以及公民應有的職責和義務Word文檔可以編輯ISO27001 信息安全治理體系注冊審核員模擬試題考題 B2018-04-07 來源：國家注冊審核員網一、簡答1、內審不符合項完成了 30/35，審核員給開了不符合，是否正確？你怎么審核？【參考】不正確。應作如下詢問相關人員或查閱相關資料〔不符合項整改打算或驗證記錄〕，了解內審不符合項的訂正措施實施狀況，分析對不符合的緣由確定是否充分，所實施的訂正措施是否有效；所實行的訂正措施是否與相關影響相適宜，如對業(yè)務的風險影響，風險掌握策略和時間點目標要求，與組織的資源力量相適應。評估所實行的訂正措施帶來的風險，假設該風險可承受，則實行訂正措施，反之可實行適當?shù)恼莆沾胧┘纯伞＞C上，假設全部訂正措施符合風險要求， 與相關影響相適宜，則訂正措施適宜。2里要，要來后一看都合格，就完畢了審核，對嗎？【參考】不對。應依據(jù)標準GB/T22080-2008條款5.2.2培訓、意識和力量的要求進展如下〔1〕詢問相關人員，了解是否有網管崗位說明書或相關職責、角色的文件？〔2〕查閱網管職責相關文件，文件中如何規(guī)定網管的崗位要求，這些要求基于教育、培訓、閱歷、技術和應用力量方面的評價要求，以及相關的培訓規(guī)程及評價方法；〔3〕查閱網管培訓記錄，是否符合崗位力量要求和培訓規(guī)程的規(guī)定要求？〔4〕了解相關部門和人員對網管培訓后的工作力量確認和培訓效果的評價，記錄？

是否保持假設崗位力量經評價不能滿足要求時，保證崗位人員的力量要求。二、案例分析

組織是否按規(guī)定要求實行適當?shù)拇胧?以1、查某公司設備資產，負責人說臺式機放在辦公室，辦公室做了來自環(huán)境的威逼的預防；筆記本常常帶入帶出，有時在家工作，領導同意了，在家也沒什么擔憂全的。A9.2.5 組織場所外的設備安全 應對組織場所的設備實行安全措施，要考慮工作在組織場所以外的不同風險。2A12.5.2 操作系統(tǒng)變更后應用的技術評審 當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進展評審和測試，以確保對組織的運行和安全沒有負面影響。3術，也通知了創(chuàng)公司，但創(chuàng)認為技術確定更好，就沒實行任何措施，兼容造成斷網了。

后來由于軟件不A10.2.3 第三方效勞的變更治理 應治理效勞供給的變更，包括保持和改進現(xiàn)有的信息安全策略、規(guī)程和掌握措施，并考慮到業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的評估。4說我們嚴格的殺毒軟件下載應用規(guī)程，不知道為什么沒有效，估量其它方法更沒用了。專業(yè)資料完善整理WordWord文檔可以編輯專業(yè)資料完善整理專業(yè)資料完善整理訂正措施5、查看web效勞器日志覺察，最近幾次常常重啟，負責人說剛買來還好用，最近總死機，都聯(lián)系不上供給商負責人了。A10.2.1 應確保第三方實施、運行和保持包含在第三方效勞交付效勞交付協(xié)議中的安全掌握措施、效勞定義和交付水準?！病?、一個組織或安全域內全部信息處理設施與已設準確時鐘源同步是為了：權的信息處理活動的發(fā)生 。A.10.10

便于探測未經授2、網絡路由掌握應遵從：確保計算機連接和信息流不違反業(yè)務應用的訪問掌握策略3、針對信息系統(tǒng)的軟件包， 應盡量勸阻對軟件包實施變更，以躲避變更的風險4、國家信息安全等級保護實行： 自主定級、自主保護的原則 。

。A.12.5.35

假設使用生物識別技術，可替代口令

A.11.3.16、信息安全災備治理中，“恢復點目標”指： 災難發(fā)生后，系統(tǒng)和數(shù)據(jù)必需恢復到的時間點要求。7、關于IT系統(tǒng)審核，以下說法正確的選項是：可以刪減。A.15.3

組織經評估認為IT 系統(tǒng)審計風險不行承受時，8、依據(jù)GB/T 22080，組織與員工的保密性協(xié)議的內容應：性或不泄露協(xié)議要求。A.6.1.59、為了防止對應用系統(tǒng)中信息的未授權訪問，正確的做法是：訪問應用系統(tǒng)功能和隔離敏感系統(tǒng) A.11.6.210〔

反映組織信息保護需要的保密依據(jù)訪問掌握策略限制用戶風險分析〕過程進展評審。11、不屬于WEB效勞器的安全措施是〔 保證注冊帳戶的時效性 〕。12

ISMS文件的描述與審核準則的〔

〕。13

許可制度。14一起進展。15、信息安全治理體系初次認證審核時，第一階段審核應：文件進展審核和符合性評價 。

一種特別審核，可以和監(jiān)視審核對受審核方信息安全治理體系1617

確保可追溯性。屬于大事治理。18

生物測量技術。19、最正確的供給本地效勞器上的處理工資數(shù)據(jù)的訪問掌握是： 使用軟件來約束授權用戶的訪問。20、當打算對組織的遠程辦公系統(tǒng)進展加密時，應當首先答復下面哪一個問題：據(jù)具有什么樣的敏感程度 。四、簡述題1門禁。公司主管信息安全的負責人解釋說，因保安負責公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查全部區(qū)域，所以只能給保安全權限門卡。審核員對此解釋表示認同。假設你是審核員，你將如何做？答：應依據(jù)標準GB/T22080-2008 條款A.11.1.1 審核以下內容：是否有形成文件的訪問掌握策略，并且包含針對公司每一局部物理區(qū)域的訪問掌握策略的內容？

系統(tǒng)和數(shù)訪問掌握策略是否基于業(yè)務和訪問的安全要素進展過評審？核實保安角色是否在訪問掌握策略中有明確規(guī)定？核實訪問掌握策略的制定是否與各物理區(qū)域風險評價的結果全都？核實發(fā)生過的信息安全大事，是否與物理區(qū)域非授權進入有關？核實如何對保安進展背景調查，是否明確了其安全角色和職責？2、請闡述對GB/T22080中A.13.2.2 的審核思路。答：〔1〕詢問相關責任人，查閱文件 3-5份，了解如何規(guī)定對信息安全大事進展總結的機制？該機制中是否明確定義了信息安全大事的類型？該機制是否規(guī)定了量化和監(jiān)視信息安全大事類型、數(shù)量和代價的方法和要求，并包括成功的和未遂大事？〔2〕查閱監(jiān)視或記錄3-15條，查閱總結報告文件 3-5份，了解是否針對信息安全大事進展測量，是否就類型、數(shù)量和代價進展了量化的總結，并包括成功的和未遂大事?！?〕查閱文件和記錄以及訪問相關責任人，核實依據(jù)監(jiān)視和量化總結的結果實行后續(xù)措施有效防止同類大事的再發(fā)生。五、案例分析題1、不符合標準GB/T22080-2008 條款A.11.4.6 網絡連接掌握“對于共享的網絡，特別是越過組織邊界的網絡，用戶的聯(lián)網力量應依據(jù)訪問掌握策略和業(yè)務應用要求加以限制〔A.11.1〕?！钡囊蟆２环鲜聦崳耗持W站總部陳設室中 5臺演示用的電腦可以連接外網和內網。2、不符合標準GB/T22080-2008 條款A9.1.2 物理入口掌握“安全區(qū)域應由適合的入口掌握所保護，以確保只有授權的人員才允許訪問?！钡囊?。

X進出機器和網絡操作機房， 卻沒有任何登記記錄，而程序文件〔GX28〕規(guī)定除授權工作人員可憑磁卡進出外，理準入和登記手續(xù)。

其余人員進出均須辦3、不符合標準GB/T22080-2008條款4.2.1 d)識別風險“3〕識別可能被威逼利用的脆弱性；”的要求。不符合事實：現(xiàn)場治理人員認為下載的軟件都是從知名網站上下載的，不會有問題。4、不符合標準GB/T22080-2008 條款8.2訂正措施“組織應實行措施，以消退與求不符合的緣由，以防止再發(fā)生?！钡囊蟆?/p>

ISMS要XX銀行在2008年一季度發(fā)生了10起網銀客戶資金損失事故，4-5月又發(fā)7起類似事故。5、不符合標準GB/T22080-2008 條款A.11.6.1 信息訪問掌握“用戶和支持人員對信息和應用系統(tǒng)功能的訪問應依照已確定的訪問掌握策略加以限制”的要求。不符合事實：開發(fā)人員可以修改測試問題記錄。6、不符合標準GB/T22080-2008條款