捕鱼来了功率
模擬練習題
ISO27001信息安全管理體系注冊審核員模擬試題考題B
2018-04-07      收集整理:注冊審核員網
【字體: 】              

 一、簡答

1、 內審不符合項完成了30/35,審核員給開了不符合,是否正確?你怎么審核?

[參考]不正確。應作如下審核:

(1)   詢問相關人員或查閱相關資料(不符合項整改計劃或驗證記錄),了解內審不符合項的糾正措施實施情況,分析對不符合的原因確定是否充分,所實施的糾正措施是否有效;

(2)   所采取的糾正措施是否與相關影響相適宜,如對業務的風險影響,風險控制策略和時間點目標要求,與組織的資源能力相適應。

(3)   評估所采取的糾正措施帶來的風險,如果該風險可接受,則采取糾正措施,反之可采取適當的控制措施即可。

綜上,如果所有糾正措施符合風險要求,與相關影響相適宜,則糾正措施適宜。 

2、 在人力資源部查看網管培訓記錄,負責人說證書在本人手里,培訓是外包的,成績從那里要,要來后一看都合格,就結束了審核,對嗎?

[參考]不對。

應按照標準GB/T 22080-2008條款5.2.2 培訓、意識和能力的要求進行如下審核:

(1)     詢問相關人員,了解是否有網管崗位說明書或相關職責、角色的文件?

(2)   查閱網管職責相關文件,文件中如何規定網管的崗位要求,這些要求基于教育、培訓、經驗、技術和應用能力方面的評價要求,以及相關的培訓規程及評價方法;

(3)   查閱網管培訓記錄,是否符合崗位能力要求和培訓規程的規定要求?

(4)   了解相關部門和人員對網管培訓后的工作能力確認和培訓效果的評價,是否保持記錄?

(5)   如果崗位能力經評價不能滿足要求時,組織是否按規定要求采取適當的措施,以保證崗位人員的能力要求。

二、案例分析

1、查某公司設備資產,負責人說臺式機放在辦公室,辦公室做了來自環境的威脅的預防;筆記本經常帶入帶出,有時在家工作,領導同意了,在家也沒什么不安全的。

A 9.2.5  組織場所外的設備安全  應對組織場所的設備采取安全措施,要考慮工作在組織場所以外的不同風險

 

2、 某公司操作系統升級都直接設置為系統自動升級,沒出過什么事,因為買的都是正版。

A 12.5.2 操作系統變更后應用的技術評審  當操作系統發生變更時,應對業務的關鍵應用進行評審和測試,以確保對組織的運行和安全沒有負面影響。

 

3、  創新公司委托專業互聯網運營商提供網絡運營,供應商為了提升服務級別,采用了新技術,也通知了創新公司,但創新認為新技術肯定更好,就沒采取任何措施,后來因為軟件不兼容造成斷網了。

A 10.2.3 第三方服務的變更管理 應管理服務提供的變更,包括保持和改進現有的信息安全策略、規程和控制措施,并考慮到業務系統和涉及過程的關鍵程度及風險的評估。

 

4、  查某公司信息安全事件處理時,有好幾份處理報告的原因都是感染計算機病毒,負責人說我們嚴格的殺毒軟件下載應用規程,不知道為什么沒有效,估計其它方法更沒用了。

8.2糾正措施

 

5、  查看 web服務器日志發現,最近幾次經常重啟,負責人說剛買來還好用,最近總死機,都聯系不上供應商負責人了。

A 10.2.1 應確保第三方實施、運行和保持包含在第三方服務交付服務交付協議中的安全控制措施、服務定義和交付水準。

 單選糾錯(選擇一個最佳可行的答案

1、  一個組織或安全域內所有信息處理設施與已設精確時鐘源同步是為了:便于探測未經授權的信息處理活動的發生A.10.10

2、  網絡路由控制應遵從:確保計算機連接和信息流不違反業務應用的訪問控制策略A.11.4.7

3、  針對信息系統的軟件包,應盡量勸阻對軟件包實施變更,以規避變更的風險A.12.5.3

4、  國家信息安全等級保護采取:自主定級、自主保護的原則

5、  對于用戶訪問信息系統使用的口令,如果使用生物識別技術,可替代口令 A.11.3.1

6、  信息安全災備管理中,“恢復點目標”指:災難發生后,系統和數據必須恢復到的時間點要求

7、  關于IT系統審核,以下說法正確的是:組織經評估認為IT系統審計風險不可接受時,可以刪減A.15.3

8、  依據GB/T 22080 ,組織與員工的保密性協議的內容應:反映組織信息保護需要的保密性或不泄露協議要求A.6.1.5

9、  為了防止對應用系統中信息的未授權訪問,正確的做法是:按照訪問控制策略限制用戶訪問應用系統功能和隔離敏感系統A.11.1.1 A.11.6.2

10、 對于所有擬定的糾正和預防措施,在實施前應先通過(風險分析)過程進行評審。

11、 不屬于WEB服務器的安全措施是(保證注冊帳戶的時效性)。

12、 文件初審是評價受審核方ISMS文件的描述與審核準則的(符合性)。

13、 國家對于經營性互聯網信息服務實施:許可制度

14、 針對獲證組織擴大范圍的審核,以下說法正確的是:一種特殊審核,可以和監督審核一起進行

15、 信息安全管理體系初次認證審核時,第一階段審核應:對受審核方信息安全管理體系文件進行審核和符合性評價

16、 文件在信息安全管理體系中是一個必須的要素,文件有助于:確保可追溯性

17、 對一段時間內發生的信息安全事件類型、頻次、處理成本的統計分析屬于事件管理

18、 哪一種安全技術是鑒別用戶身份的最好方法:生物測量技術

19、 最佳的提供本地服務器上的處理工資數據的訪問控制是:使用軟件來約束授權用戶的訪問

20、 當計劃對組織的遠程辦公系統進行加密時,應該首先回答下面哪一個問題:系統和數據具有什么樣的敏感程度

 

簡述題

1、  審核員在某公司審核時,發現該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負責人解釋說,因保安負責公司的物理區域安全,他們夜里以及節假日要值班和巡查所有區域,所以只能給保安全權限門卡。審核員對此解釋表示認同。如果你是審核員,你將如何做?

答:應根據標準GB/T 22080-2008條款A.11.1.1審核以下內容:

(1)   是否有形成文件的訪問控制策略,并且包含針對公司每一部分物理區域的訪問控制策略的內容?

(2)   訪問控制策略是否基于業務和訪問的安全要素進行過評審?

(3)   核實保安角色是否在訪問控制策略中有明確規定?

(4)   核實訪問控制策略的制定是否與各物理區域風險評價的結果一致?

(5)   核實發生過的信息安全事件,是否與物理區域非授權進入有關?

(6)     核實如何對保安進行背景調查,是否明確了其安全角色和職責?

2、  請闡述對GB/T 22080A.13.2.2的審核思路。

答:1)詢問相關責任人,查閱文件3-5份,了解如何規定對信息安全事件進行總結的機制?該機制中是否明確定義了信息安全事件的類型?該機制是否規定了量化和監視信息安全事件類型、數量和代價的方法和要求,并包括成功的和未遂事件?

2)查閱監視或記錄3-15條,查閱總結報告文件3-5份,了解是否針對信息安全事件進行測量,是否就類型、數量和代價進行了量化的總結,并包括成功的和未遂事件。

3)查閱文件和記錄以及訪問相關責任人,核實根據監視和量化總結的結果采取后續措施有效防止同類事件的再發生。

 

案例分析題

1、   不符合標準GB/T 22080-2008條款 A.11.4.6 網絡連接控制“對于共享的網絡,特別是越過組織邊界的網絡,用戶的聯網能力應按照訪問控制策略和業務應用要求加以限制(見A.11.1)。”的要求。

不符合事實:某知名網站總部陳列室中5臺演示用的電腦可以連接外網和內網。

 

2、 不符合標準GB/T 22080-2008條款 A9.1.2 物理入口控制“安全區域應由適合的入口控制所保護,以確保只有授權的人員才允許訪問。”的要求。

不符合事實:現場發現未經授權的人員張X進出機器和網絡操作機房,卻沒有任何登記記錄,而程序文件(GX28)規定除授權工作人員可憑磁卡進出外,其余人員進出均須辦理準入和登記手續。

 

1、  不符合標準GB/T 22080-2008條款4.2.1 d) 識別風險“3)識別可能被威脅利用的脆弱性;”的要求。

不符合事實:現場管理人員認為下載的軟件都是從知名網站上下載的,不會有問題。

 

2、  不符合標準GB/T 22080-2008條款8.2 糾正措施“組織應采取措施,以消除與ISMS要求不符合的原因,以防止再發生。”的要求。

不符合事實:XX銀行在2008年一季度發生了10起網銀客戶資金損失事故,4-5月又發生7起類似事故。

 

3、  不符合標準GB/T 22080-2008條款A.11.6.1信息訪問控制“用戶和支持人員對信息和應用系統功能的訪問應依照已確定的訪問控制策略加以限制”的要求。

不符合事實:開發人員可以修改測試問題記錄。

 

4、  不符合標準GB/T 22080-2008條款A.7.1.3資產的可接受使用“與信息處理設施有關的信息和資產可接受使用規則應被確定、形成文件并加以實施”的要求。

不符合事實:非常敏感的系統設計文件,公司要求開發人員只可讀,不可以修改,且不可以在公司其他部門傳閱,但未對開發人員是否可以打印進行規定。

 

5、  不符合標準GB/T 22080-2008條款A.11.3.3清空桌面和屏幕策略“應采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略”的要求。

不符合事實:敏感票據印刷企業的制版工藝工藝師辦公桌上散放著三份含水量有票據制版工藝要求的生產通知單。

手機掃一掃
進行注冊審核員考試咨詢

微信號:ccaaxue
功能介紹:注冊審核員 考試通知、培訓信息;
認證機構掛靠、人員注冊、復習題、模擬試題。